Droits admin sur Windows 2012 R2 - Sécurité - Windows & Software
Marsh Posté le 18-07-2014 à 20:12:00
Le compte administrator "local" n'est pas le compte admin local, c'est le compte administrateur du domaine.
Vois dans ton groupe administrators, les droits sur l'ad et le groupe admin du domaine, les droits sur le domaine entier.
Tu dois surement avoir des problèmes de droits mais avec avec les screenshot rayés de partout, on ne voit pas grand chose.
Marsh Posté le 18-07-2014 à 20:34:51
nnwldx a écrit : Le compte administrator "local" n'est pas le compte admin local, c'est le compte administrateur du domaine. |
Désolé pour les traits fait à l'arrache mais je ne peux pas afficher le nom de l'entreprise et des clients.
Le seul truc à voir sur les screenshots c'est que le groupe administrators à les full access et que, autant administator que admin xxx font partie de ce groupe et donc devraient avoir accès.
Oui, c'est bien l'admin du domaine et quand je retrace le cheminement des groupes de sécurité, je ne comprends pas pourquoi ca me fait ça.
Par exemple, le compte "administrator" fait partie du groupe "domain admin" qui fait partie du groupe "administrators".
Exactement comme mes admin qui ne fonctionnent pas de la même façon.
J'ai essayé de mettre exactement les mêmes groupes à mes admin que administrators, c'est à dire:
- administrators
- domain admin
- domain users
- enterprise admin
- group policies creator owner
- schema admins
Mais c'est toujours le même problème
Marsh Posté le 18-07-2014 à 21:13:38
Je ne pense pas que le problème vienne de l'AD, la configuration que tu donnes semble correcte.
Essaye avec d'autres dossiers pour voir si tu peux bien y accéder.
Je pense qu'il y a peut être un problème de propagation des droits, essaye de les reforcer et de reprendre la propriété dessus.
Vérifie au niveau des partages s'il n'y aurait pas quelque chose qui bloquerait.
Marsh Posté le 18-07-2014 à 23:45:52
Tu as certainement raison mais je dois être idiot, je ne trouve pas.
En fait, ce répertoire est fait automatiquement par script avec ces commandes pour les droits:
icacls %rep_on_D% /inheritance:d /T |
En résumé:
1) Je désactive l'héritage et je copie les droits hérités (donc avec le groupe administrators dedans)
2) J'enlève le groupe Users des droits
3) J'ajoute des groupes en lecture et écriture
Voyez-vous quelque chose de faux dans ce procédé ?
Les partages sont pour tout le monde en contrôle total, je ne gère pas la sécurité via ce biais.
Salutation.
Marsh Posté le 19-07-2014 à 16:07:49
c'est juste l'UAC. Par défaut avec les comptes membres du groupe administrateurs tu perds ce privilège pour les opérations courantes.
Marsh Posté le 19-07-2014 à 16:56:45
Bonjour,
J'avais déjà testé avec divers proprio de dossier, ca ne change rien.
Pour l'UAC, j'y avais pensé et je l'ai d'ailleurs désactivé pour tester mais ca ne fonctionne pas.
Est-ce qu'il y a autre chose à faire ?
Le gag, c'est que si je mets les full access à domain users ou n'importe quel groupe de sécurtié par exemple, ca fonctionne mais impossible avec domain admin -> administrators
Marsh Posté le 19-07-2014 à 17:11:34
oui c'est normal, c'est le principe de l'uac. Tu dégager de ton token d'autorisation les droits du groupe administrateur (tu le vois bien en faisant un whoami /groups que le groupe est en "Group used for deny only"
Après je sais pas comment tu as viré l'UAC, mais apparemment pas pareil
Marsh Posté le 19-07-2014 à 17:23:50
Merci, c'est effectivement ca.
Ou je faisais faux c'est que je désactivais l'UAC via l'interface graphique mais en fait, il reste, c'est juste les messages de l'UAC qui sont désactivés.
J'ai trouvé le même problème ici: http://social.technet.microsoft.co [...] inserverDS
et pour désactiver complètement l'UAC: http://www.nimbo.com/blog/how-to-d [...] rver-2012/
Mais comme expliqué en dessous, ce n'est pas conseillé par Microsoft et surtout pas supporté mais je n'ai pas d'autres solutions si ce n'est lancer l'explorateur en run as avec le compte administrator (un peu con pour un admin qui est censé avoir le même niveau et qui n'a pas a avoir le mot de passe).
Problème résolu pour moi.
Merci.
Marsh Posté le 19-07-2014 à 17:40:17
Tu es plutôt censé ajouter un autre groupe et donner des droits à cet autre groupe.
Marsh Posté le 19-07-2014 à 17:53:01
Ha ok, donc un groupe admin normal et ca passe logiquement.
Je n'ai pas tout saisi sur l'histoire des jetons, je vais me renseigner.
Marsh Posté le 18-07-2014 à 19:50:11
Bonsoir,
J'ai un problème sur un Windows 2012 R2 dont je ne comprends pas le principe.
Ce serveur est un AD, je pense que c'est important à savoir.
Il y a donc le compte "administrator" local qui fait partie du groupe "administrators".
Avec ce compte, aucun soucis, je peux tout faire.
Maintenant, j'ai 3 autres administrateurs qui font partie du groupe "Domain Admin", qui fait partie du groupe "administrators" et c'est là que je ne comprends plus.
J'ai des répertoires ou j'ai mis ces droits:
Donc tous ceux qui font partie du groupe "Administrators" doivent avoir l'accès complet à ce répertoire.
Quand je me connecte avec un compte admin autre que "administrator", je reçois ce message si je veux accéder au répertoire ci-dessus:
Si je clique sur "continuer", il me rajoute le compte admin dans la sécurité NTFS (Admin Jacques dans cet exemple), ce que je ne veut évidement pas vu qu'il devrait avoir accès via le groupe "administrators" qui à tous les droits.
Avez-vous une idée du pourquoi du comment de cette situation ? Y a-t-il un lien avec le fait que le serveur soit un AD ?
Merci d'avance pour votre aide.
Jack
---------------
youplà boum...