limiter la gestion d'un groupe Active Directory

limiter la gestion d'un groupe Active Directory - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 15-02-2016 à 14:47:05    

Bonjour,
 
Je n'ai pas d'AD sous la maim.
Je voulais savoir s'il était possible, sur un groupe Active Directory, de limité sa gestion qu'à un seul utilisateur ? Peut être avec l'onglet sécurité ?
 
Merci d'avance

Reply

Marsh Posté le 15-02-2016 à 14:47:05   

Reply

Marsh Posté le 15-02-2016 à 14:55:20    

Bonjour,
 
tu veux dire avoir un seul administrateur de ton ad ?

Reply

Marsh Posté le 15-02-2016 à 15:00:22    

oui, avec l'onglet sécurité. Mais ça m'a l'air foireux ton truc

Reply

Marsh Posté le 15-02-2016 à 15:09:11    

en faite, j'ai des dossiers sensibles (RH) et je ne veux pas que les admin puissent voir le contenu. Juste une seul personne de l'informatique pour l'administration en plus des utilisateurs.

Reply

Marsh Posté le 15-02-2016 à 16:06:17    

Dans ce cas je te suggère de créer un seul admin, et de mettre les autres comptes en délégation de contrôle. Il faudra par contre définir ce à quoi tu souhaites leur donner accès, et éventuellement les définir comme admin local machine via une gpo . Avec cette méthode tes "admin" ne sont pas dans les groupes d'administration (il faut les enlever si ils y sont) et n'ont donc acces qu'aux répertoires les concernant.

Reply

Marsh Posté le 15-02-2016 à 16:35:16    

Je viens de faire des tests en jouant avec les sécurité des objets.

 

Dans ce scénario :

 

J'ai un utilisateur "toto", membre du groupe "admin du domaine".
"toto" est en accès refusé sur le groupe "test".
Lorsque "toto" parcours l'AD et qu'il veut lire les attributs du groupe "test", l'accès est refusé.

 

Ce scénario est viable.

 

Cependant, dans autre scénario (qui ressemble à mon cas) :

 

J'ai un utilisateur "toto", membre du groupe "admin_France". Le groupe "admin_France" est membre du groupe "admin du domaine".
"admin_France" est en accès refusé sur le groupe "test".
Lorsque "toto"  (utilisateurs du groupe "admin_france" ) parcours l'AD et qu'il veut lire les attributs du groupe "test", l'accès est refusé.
Mais si "toto" est un peu malin, il s'ajoute directement dans le groupe "admin du domaine" et se supprime du groupe "admin_france" et que "toto" veut lire les attributs du groupe "test", l'accès est autorisé.

 

Ce scénario n'est pas viable.

 

Donc dans mon cas, je n'ai pas de solution moins invasive que celle proposé par splinter_five0

 

NOTE : si à la place de "toto" je prend le compte "builtin\administrateur", et que je lui mets un accès refusé sur le groupe "test", il n'aura pas accès aux attributs, cependant, la gestion de la sécurité reste possible. On ne peux pas se couper la branche sur laquelle on est assit.

 


Message édité par arnaudperfect le 15-02-2016 à 16:38:17
Reply

Marsh Posté le 15-02-2016 à 16:56:06    

Tu as bien résumé ta problématique. Ceci dit la délégation de contrôle n'est pas une mauvaise solution, tu verras en plus que les possibilités de délégation sont assez larges, c'est d'ailleurs la préconisation Microsoft de limiter les admins au strict nécessaire et de créer une délégation sur les autres comptes "admin"

Reply

Marsh Posté le 15-02-2016 à 17:24:21    

C'est ce que je viens de voir. Merci en tout cas de vos retours. :)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed