limiter la gestion d'un groupe Active Directory
limiter la gestion d'un groupe Active Directory - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 15-02-2016 à 14:55:20
Bonjour,
tu veux dire avoir un seul administrateur de ton ad ?
Marsh Posté le 15-02-2016 à 15:00:22
oui, avec l'onglet sécurité. Mais ça m'a l'air foireux ton truc
Marsh Posté le 15-02-2016 à 15:09:11
en faite, j'ai des dossiers sensibles (RH) et je ne veux pas que les admin puissent voir le contenu. Juste une seul personne de l'informatique pour l'administration en plus des utilisateurs.
Marsh Posté le 15-02-2016 à 16:06:17
Dans ce cas je te suggère de créer un seul admin, et de mettre les autres comptes en délégation de contrôle. Il faudra par contre définir ce à quoi tu souhaites leur donner accès, et éventuellement les définir comme admin local machine via une gpo . Avec cette méthode tes "admin" ne sont pas dans les groupes d'administration (il faut les enlever si ils y sont) et n'ont donc acces qu'aux répertoires les concernant.
Marsh Posté le 15-02-2016 à 16:35:16
Je viens de faire des tests en jouant avec les sécurité des objets.
Dans ce scénario :
J'ai un utilisateur "toto", membre du groupe "admin du domaine".
"toto" est en accès refusé sur le groupe "test".
Lorsque "toto" parcours l'AD et qu'il veut lire les attributs du groupe "test", l'accès est refusé.
Ce scénario est viable.
Cependant, dans autre scénario (qui ressemble à mon cas) :
J'ai un utilisateur "toto", membre du groupe "admin_France". Le groupe "admin_France" est membre du groupe "admin du domaine".
"admin_France" est en accès refusé sur le groupe "test".
Lorsque "toto" (utilisateurs du groupe "admin_france" ) parcours l'AD et qu'il veut lire les attributs du groupe "test", l'accès est refusé.
Mais si "toto" est un peu malin, il s'ajoute directement dans le groupe "admin du domaine" et se supprime du groupe "admin_france" et que "toto" veut lire les attributs du groupe "test", l'accès est autorisé.
Ce scénario n'est pas viable.
Donc dans mon cas, je n'ai pas de solution moins invasive que celle proposé par splinter_five0
NOTE : si à la place de "toto" je prend le compte "builtin\administrateur", et que je lui mets un accès refusé sur le groupe "test", il n'aura pas accès aux attributs, cependant, la gestion de la sécurité reste possible. On ne peux pas se couper la branche sur laquelle on est assit.
Message édité par arnaudperfect le 15-02-2016 à 16:38:17
Marsh Posté le 15-02-2016 à 16:56:06
Tu as bien résumé ta problématique. Ceci dit la délégation de contrôle n'est pas une mauvaise solution, tu verras en plus que les possibilités de délégation sont assez larges, c'est d'ailleurs la préconisation Microsoft de limiter les admins au strict nécessaire et de créer une délégation sur les autres comptes "admin"
Marsh Posté le 15-02-2016 à 17:24:21
C'est ce que je viens de voir. Merci en tout cas de vos retours. 
Sujets relatifs:
- probleme Active directory
- Solution de gestion des congés ?
- Serveur multimédia dans un environnement Active Directory
- Gestion RAID sous ESXI
- Implanter une gestion du SI
- Gestion des permissions sur NAS Synology
- [RESOLU] mettre un groupe administrateur de plusieurs domaines
- Infrastructure RDS 2012 - Gestion, rétention, externa. des logs/events
Marsh Posté le 15-02-2016 à 14:47:05
Bonjour,
Je n'ai pas d'AD sous la maim.
Je voulais savoir s'il était possible, sur un groupe Active Directory, de limité sa gestion qu'à un seul utilisateur ? Peut être avec l'onglet sécurité ?
Merci d'avance