Utilisateur d'introduction de machine dans le domaine - Windows & Software
Marsh Posté le 27-10-2004 à 09:04:33
il n'y a rien de tout ça à ma connaissance. Pour rentrer des machines dans le domaine, c'est trés simple. Tu te connecte sur les machines clients en tant qu'admin (pas le choix) et tu rejoins le domaine.
Tu rentre un compte admin existant ! Ce compte peut s'apeller, toto, la seule condition s'est qu'il soit dans le groupe admin dans l'AD !
/!\ un utilisateur qui se connecterais en tant qu'admin sur une machine et qui mettrait d'autre identifiant que ce de l'admin, par exemple son compte. (log et pass pour se connecter à l'AD ), rentre la machine dans le domaine /!\
Ca s'est produit et on n'as été assez supris du manque de rigueur de 2k Server. D'aprés ce que j'ai compris se n'est plus possible sous 2003 server !
@+
cvb
Marsh Posté le 27-10-2004 à 09:17:44
Faut créer une GPO sur l' OU utilisateur
Dans "stratégie de groupe" >> paramétres windows >> paramétres de sécurité >> attribution des droits utilisateur >> ajouter des stations de travail au domaine
La dedans tu mets les comptes AD qui ont le droit de mettre des machines dans le domaine !
Pas besoin d'étre admin du domaine (les domain admin ont autre chose à foutre.....)
http://www.google.fr/search?hl=fr& [...] e%22&meta=
Marsh Posté le 27-10-2004 à 09:19:56
Inutile de lui donner les droits d'admin. Il faut que tu fasses de la "délégation de contrôle". Comment ça se fait, je ne sais pas, je n'ai jamais encore fait personnellement
Marsh Posté le 27-10-2004 à 10:41:44
Ok merci nickel, je suis allé dans les sécurités systèmes et j'ai mis un groupe dans l'ajout de machines dans le domaine ;-)
@+ et encore merci !!!
Hans
Marsh Posté le 27-10-2004 à 11:20:11
Normalement dans les domaines 2000/2003 meme les simples utilisateurs du domaine ont le droit de rentrer des machines dans le domaine.
Marsh Posté le 27-10-2004 à 13:50:47
El Pollo Diablo a écrit : Normalement dans les domaines 2000/2003 meme les simples utilisateurs du domaine ont le droit de rentrer des machines dans le domaine. |
c'est quand même une faille de sécurité ! Je trouve que seuls les admins devraient rentrer les machines...
Marsh Posté le 27-10-2004 à 13:54:56
El Pollo Diablo a écrit : Normalement dans les domaines 2000/2003 meme les simples utilisateurs du domaine ont le droit de rentrer des machines dans le domaine. |
Non, par défaut les utilisateurs ne peuvent pas intégrer des machines au domaine. Il faut un compte d'admin du domaine, ou avoir mis en place des délégations de contrôle.
Marsh Posté le 27-10-2004 à 14:00:10
Wolfman a écrit : Non, par défaut les utilisateurs ne peuvent pas intégrer des machines au domaine. Il faut un compte d'admin du domaine, ou avoir mis en place des délégations de contrôle. |
pas sous 2kserver, si on mets un compte user, on rentre la machine rejoint quand même le domaine. Sous 2003, je sais pas...
Marsh Posté le 27-10-2004 à 14:01:26
Wolfman a écrit : Non, par défaut les utilisateurs ne peuvent pas intégrer des machines au domaine. Il faut un compte d'admin du domaine, ou avoir mis en place des délégations de contrôle. |
Non non, c'est ce que les gens pensent, mais c'est pas le cas, par defaut n'importe quel user peut rentrer 10 stations dans le domaine.
Marsh Posté le 27-10-2004 à 14:05:14
http://support.microsoft.com/kb/251335/fr/
Citation : Windows 2000 accorde par défaut le droit d'ajouter des stations de travail à un domaine au groupe Utilisateurs authentifiés. Une fois ce droit activé, les utilisateurs authentifiés peuvent ignorer la vérification de la liste de contrôle d'accès (ACL, Access Control List), jusqu'à ce qu'une valeur maximale prédéfinie soit atteinte. Pour éviter tout abus, un utilisateur authentifié peut joindre par défaut dix comptes d'ordinateur au maximum. |
Marsh Posté le 27-10-2004 à 08:34:03
Bonjour,
J'ai fait plusieurs recherche infructueuse un peu partout ...
Je cherche s'il existe un utilisateur par défaut dans Active Directory qui peut seulement introduire des machines dans le domaine.
Sur mon réseau, seul l'administrateur a ces droits et comme ce n'est pas moi qui va m'occuper de rentrer les machines sur le domaine, je ne veux pas donner le mot de passe à un hans
Bref, on m'a dit qu'il en existait 1, du genre "Intro_Domaine" ?!?!?
Je tourne sous Windows 2000 Server.
Merci beaucoup ;-)