Souci de GPO Windows Serveur 2008 R2

Souci de GPO Windows Serveur 2008 R2 - Sécurité - Windows & Software

Marsh Posté le 25-05-2012 à 11:49:28    

Bonjour tout le monde !
 
Petite question d'information, qui me paraît étrange pour moi
J'ai un AD sur un serveur Windows Server 2k8R2, et sur cette AD des GPO sont appliqué, notament la GPO "Ajout de stations de travail au domaine".
Pour cette GPO j'ai spécifié que seul les membre faisant parti du groupe "Administrateur" ont le droit d'ajouter des stations au domaine.
 
Hors je me suis rendu compte que n'importe quel utilisateur authentifié peut le faire ... Oo!!
 
Est-ce que quelqu'un à déjà (ou a) le même problème que moi ?
 
Cordialement,
Matt

Reply

Marsh Posté le 25-05-2012 à 11:49:28   

Reply

Marsh Posté le 25-05-2012 à 16:48:39    

Salut,
je crois que ce paramètre doit être modifié dans la default domain policies
A+


---------------
Hommage au sergent Aurélie Salel - http://www.pompiersparis.fr/
Reply

Marsh Posté le 25-05-2012 à 17:04:45    

Plop!
Merci de ta réponse déjà =)
 
Je me suis renseigné et je crois qu'on ne peut pas agir pour interterdire aux users d'ajouter des potes =/ (cf technet.microsoft.net)
 
Ajouter des stations de travail au domaine
 
"Ces paramètres de stratégie désignent les utilisateurs qui peuvent ajouter des stations de travail à un domaine spécifique. Pour que cette stratégie puisse prendre effet, elle doit être attribuée à l'utilisateur en tant qu'élément de la stratégie par défaut des contrôleurs de domaine pour le domaine. Tout utilisateur disposant de ce droit peut ajouter jusqu'à 10 stations de travail au domaine. Les utilisateurs qui bénéficient d'une autorisation de type Créer objets ordinateur pour une UO ou le conteneur Ordinateurs dans Active Directory peuvent ajouter un nombre illimité d'ordinateurs au domaine, qu'ils disposent du droit Ajouter des stations de travail au domaine ou non.
 
Par défaut, tous les utilisateurs du groupe Utilisateurs identifiés ont la possibilité d'ajouter jusqu'à 10 comptes ordinateur dans un domaine Active Directory. Ces nouveaux comptes ordinateur sont créés dans le conteneur Ordinateurs.
 
Dans les réseaux Windows, le terme entité de sécurité désigne un utilisateur, un groupe ou un ordinateur qui se voit automatiquement attribuer un identificateur de sécurité pour contrôler l'accès aux ressources. Dans un domaine Active Directory, chaque compte d'ordinateur est une entité de sécurité complète, disposant de la capacité d'authentifier et d'accéder aux ressources du domaine. Cependant, certaines organisations préfèrent limiter le nombre d'ordinateurs dans un environnement Active Directory de manière à pouvoir assurer leur suivi, les développer et les gérer de manière cohérente. Le fait d'autoriser les utilisateurs à ajouter des ordinateurs au domaine entrave les tâches de suivi et de gestion. En outre, les utilisateurs pourraient exécuter des activités qui sont plus difficiles à suivre du fait de la multiplication des ordinateurs de domaine non autorisés.
 
Par conséquent, le droit utilisateur Ajouter des stations de travail au domaine est attribué uniquement au groupe Administrateurs dans la stratégie DCBP pour l'environnement SSLF. Ce paramètre de stratégie est configuré sur Non défini pour les environnements LC et EC. "

Reply

Marsh Posté le 26-05-2012 à 23:45:03    

Salut,
si je lis correctement oui tu peux interdire :
"elle doit être attribuée à l'utilisateur en tant qu'élément de la stratégie par défaut des contrôleurs de domaine "
 
Par conséquent, le droit utilisateur Ajouter des stations de travail au domaine est attribué uniquement au groupe Administrateurs dans la stratégie DCBP pour l'environnement SSLF. Ce paramètre de stratégie est configuré sur Non défini pour les environnements LC et EC. "
 
A+


---------------
Hommage au sergent Aurélie Salel - http://www.pompiersparis.fr/
Reply

Marsh Posté le 10-02-2015 à 16:01:06    

Bonjour et désolée de revenir sur ce vieux sujet mais la réponse n'a pas été très très claire pour moi donc pour ceux qui galèrent avec ce soucis de GPO par défaut voici le lien qui m'a aidé et qui fonctionne (et qui nous fait nous sentir bête une fois qu'on a compris à quel point c'est simple... :( )  
 
http://www.it-connect.fr/restreind [...] u-domaine/  
 
Cordialement,
 
JMats

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed