# ADMINISTRATION Bien que le schéma théorique soit facile à comprendre, il peut entraîner une complexité d'administration par rapport aux habitudes prises par de nombreux administrateurs qui se connectent directement aux serveurs depuis leurs stations de travail. Les différentes couches et leurs comptes sont isolés les uns des autres, ce qui signifie que le même personnel peut avoir jusqu'à trois comptes d'administration selon le périmètre dans lequel ils doivent intervenir et trois comptes standard pour prendre le contrôle (voir le chapitre suivant). Heureusement, seuls les personnels techniquement compétents, capables de comprendre l'avantage de cette mesure et d'utiliser des outils tels que des gestionnaires de mots de passe ou un gestionnaire de bureau à distance, sont censés intervenir sur les trois couches. [![](https://asf-france.gitbook.io/~gitbook/image?url=https%3A%2F%2Fgithub.com%2FAugmentedSecurityForce%2F-PROCESS-Active_Directory_Tiering%2Fraw%2Fmain%2FEN%2FImages%2FPAW.png\&width=300\&dpr=4\&quality=100\&sign=7dd7b43e\&sv=2)](https://github.com/AugmentedSecurityForce/-PROCESS-Active_Directory_Tiering/blob/main/EN/Images/PAW.png) ### ACCÈS PRIVILEGIE AUX STATIONS DE TRAVAIL POUR L'ADMINISTRATION Indépendamment des technologies derrière vos serveurs de rebond (Wallix, Guacamole, Windows, etc.), l'emplacement de vos rebonds restera le même. #### **SOLUTION 1 : UN REBOND PAR COUCHE** **C'est la solution la plus sécurisée, mais aussi la plus coûteuse en termes de licences ou de maintenance.** Dans cette solution, nous déployons un serveur de rebond par couche. Nous ajoutons également un rebond dédié pour les éventuels intervenants externes. Chaque utilisateur se connecte à un rebond dédié à la couche, avec son compte utilisateur pour cette couche. Ensuite, ils utilisent le compte d'administration selon les besoins sur l'infrastructure nécessaire. [![](https://asf-france.gitbook.io/~gitbook/image?url=https%3A%2F%2Fgithub.com%2FAugmentedSecurityForce%2F-PROCESS-Active_Directory_Tiering%2Fraw%2Fmain%2FEN%2FImages%2FSolution1.drawio.png\&width=300\&dpr=4\&quality=100\&sign=8a062a4\&sv=2)](https://github.com/AugmentedSecurityForce/-PROCESS-Active_Directory_Tiering/blob/main/EN/Images/Solution1.drawio.png) #### SOLUTION 2 : UN SEUL SERVEUR DE REBOND Cette solution n'est pas recommandée car elle va à l'encontre du principe de l'architecture à trois niveaux. Malheureusement, la première solution peut rencontrer des réalités financières (coûts de multiples serveurs de rebond) et techniques (consommation de ressources). Cependant, elle permet de sécuriser l'infrastructure à moindre coût en déployant un seul serveur de rebond pour que vos administrateurs gèrent les trois couches. Idéalement, créez un deuxième rebond pour vos sous-traitants. Dans ce cas, le serveur de rebond sera positionné dans la couche 1 car il répond à un besoin fonctionnel d'administration. Placer ce rebond dans la couche 0 irait à l'encontre du principe des privilèges minimaux. [![](https://asf-france.gitbook.io/~gitbook/image?url=https%3A%2F%2Fgithub.com%2FAugmentedSecurityForce%2F-PROCESS-Active_Directory_Tiering%2Fraw%2Fmain%2FEN%2FImages%2FSolution2.drawio.png\&width=300\&dpr=4\&quality=100\&sign=aedb9ba5\&sv=2)](https://github.com/AugmentedSecurityForce/-PROCESS-Active_Directory_Tiering/blob/main/EN/Images/Solution2.drawio.png)