administration active directorie restreinte à certaine personne - Windows & Software
Marsh Posté le 06-03-2007 à 15:41:51
Salut,
C'est pas pour être méchant, mais si tu fais partie des 2 "informaticiens" qui vont gérer completement l'AD, ta question fait un peu peur... (surtout que si vous êtes une équipe de 9, ça doit déjà être un reseau d'une certaine taille/complexité).
Bref demande une formation AD à ton boss, ce sera toujours utile.
Marsh Posté le 06-03-2007 à 15:46:05
Déjà si tu pouvais écrire Active Directory et pas directorie ...
Ensuite, je ne vois pas trop comment ils vont pouvoir intégrer des machines dans un domaine sans être administrateurs sur ce même domaine, mais bon...
Marsh Posté le 06-03-2007 à 15:55:32
Il y a en effet moyen de limiter les droits au sein de l'AD. Par exemple moi au boulot, je peux créer des users, mais pas de nouveau groupe, et je n'ai pas de "full access" sur tous les "contener" de l'AD (celui par exemple qui contient les comptes d'administration). Mais c'est gerer avec une multitude de groupe, et ce n'est pas "évident". C'est pour ça que je conseil a fabch une formation plutôt que de venir sur le forum dès qu'il à une tâche un peu plus complexe à faire... Surtout qu'apès il pourra revenir répondre aux questions plutôt que de les poser!
Marsh Posté le 06-03-2007 à 15:58:11
et à part être méprisant y'a des personnes qui sont compétentes ??
Je ne savais que c'était un forum qui avait pour but de se moquer de l'ortographe !
Marsh Posté le 06-03-2007 à 16:14:22
je veux pas etre mechant, mais ça devient vraiment complexe, et j'avoue que je sais pas te répondre comme ça... Mais vu que tu vas être le SuperDomainAdmin, tu as une bonne excuse pour demander une formation de qualité à ton boss.
Marsh Posté le 06-03-2007 à 16:36:11
Pour te permetre de chercher un peu, faut créer des groupes différents en fonction des "responsabilités" ensuite dans "active directory users and services" tu prends les propriétés de ton domaine -> sécurité, tu rajoutes tes groupes et tu vas dans "advanced" (tu l'as compris, j'ai un windows en anglais ) et là tu as une immence liste avec des actions possibles dans l'ad, et tu choisis ce qui correspond à tes besoins.
Faut bien sur que le user ne soit plus "domain admin", et donc vérifié TOUS les accès du "domain admin" que l'informaticien est censé avoir (droits sur les repertoires par exemple...)
Mais moi a ta place j'irais voir mon boss pour une formation (moi je n'ai pas assez de responsabilité dans l'AD que pour justifier une formation...)
Bon amusement!
Marsh Posté le 07-03-2007 à 08:09:44
merci beaucoup, je vais m'autoformer car tu dois connaitre les boss, économie économie et donc pas question d'une formation, merci encore
Marsh Posté le 07-03-2007 à 12:27:25
Je n'ai pas tout suivi mais par defaut un user peut ajouter 10 machines dans le domaine. D'autre part tu as une stratégie qui s'il est activé permet de choisir quels compte sont autorisés à ajouter des machines dans le domaine.
Marsh Posté le 08-03-2007 à 11:53:45
Regarde un peu du côté des groupes d'Opérateurs (compte, serveur), ça pourrait peut-être te convenir...
Marsh Posté le 08-03-2007 à 22:02:22
User de base plus délégation de controle sur le(s) OU !
Clic droit sur l'OU >>> Délégation de controle >> suivre l'assistant !
Marsh Posté le 06-03-2007 à 15:11:26
Bonjour,
Je travaille avec 8 autres informaticiens.
J'aimerais qu'il n'y'ait plus que 2 et uniques informaticiens qui gèrent l'active directorie.
Quelle parade puis-je mettre en place ?
j'avais pensé d'enlever tous les autres informaticiens du groupe admin du domaine, de changer le mot de passe administrateur, ensuite de créer un groupe "administrateur partiel".
Dans ce groupe j'aimerais que tous les informaticiens aient la possibilité de mettre un pc dans le domaine, quelles droits dois-je donner pour qu'ils aient ces droits ?
si quelqu'un à une autre parade à me proposer ...
Merci à tous