Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
2028 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Management du SI

  [AD] Droits nécessaire pour administrer mais pas trop

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[AD] Droits nécessaire pour administrer mais pas trop

n°142306
Styx0
Aware, abware !
Posté le 23-09-2016 à 16:13:03  profilanswer
 

Bonjour à tous,
 
mon admin syst & réseau n'est actuellement pas présent, et j'ai un presta qui va venir combler cette absence. Et moi le système c'est pas mon truc :o
 
Cependant je ne veux pas lui donner des droits trop étendus, ni lui donner le mdp du super root.
 
j'ai une foret MS AD 2012
 
Quels droits dois je donner pour que le presta puisse :
- déverrouiller des comptes  utilisateurs (mais pas pouvoir toucher les groupes, droits etc..)
- se connecter sur les postes utilisateurs et avoir accès au rôle d'admin local (mais avec son login issu de l'AD), afin d'effectuer installation programme, modifiation de driver, et toute autre joyeuseté
- Pouvoir se connecter sur certains serveurs qui gèrent applicatifs (mais pas tous les serveurs non plus) - arreter/redémarrer les services ...
 
merci pour votre aide
 
(j'ai honte de poser la question :o , mais j'en ai vraiment besoin)
 


---------------
Galerie Photo (Canon)
mood
Publicité
Posté le 23-09-2016 à 16:13:03  profilanswer
 

n°142307
nebulios
Posté le 23-09-2016 à 16:19:45  profilanswer
 

Il te faut une délégation AD.
 
Donc soit tu le fais proprement et c'est un projet qui prend quelques semaines/mois :D
 
Soit tu le fais en mode dégeu :
Déverrouiller les comptes -> configurer la permission ad hoc via la MMC
Connexion aux comptes utilisateurs/certains serveurs -> créer deux groupes admin et les configurer en tant que local admin par GPO (par ailleurs configurer un compte local admin de tous les postes de travail n'est pas sécurisé du tout).
Ca te dépannera, mais au retour tu te fais empaler par ton admin système  :o

n°142310
Styx0
Aware, abware !
Posté le 23-09-2016 à 17:25:06  profilanswer
 

Par GPO je peux indiquer que mon tech soit local admin de tous les PC ? (sauf serveurs que je ferai à la mimine et au besoin)
 
Mon admin n'avait qu'à pas tomber malade :o :o


---------------
Galerie Photo (Canon)
n°142311
nebulios
Posté le 23-09-2016 à 17:43:55  profilanswer
 

Par GPO tu peux indiquer que tel groupe AD (dont ton presta sera membre) est membre de tel groupe built-in (les groupes créés par défaut dur une machine, ce qui inclus "Administrateurs" ). Regarde dans l'option "Groupes restreints".

n°142314
splinter_f​ive0
Posté le 26-09-2016 à 09:31:19  profilanswer
 

Voila, Nebulios a tout dit, pour la gestion des droits sur l'ad, une délégation de controle , pour les droits d'admin, une GPO pour faire redescendre ton admin dans le groupes administrateurs des machines. Si tu veux le chemin exact pour la gpo dis-le moi car je procède ainsi pour l'un de mes réseaux.  
 
Par contre je comprends pas pourquoi tu parles de plusieurs semaines voire plusieurs mois nébulios car pour moi c'est plutot simple au contraire une délégation de controle.

n°142316
nebulios
Posté le 26-09-2016 à 09:59:20  profilanswer
 

Parce que j'ai tendance à penser grande société, où ce type de changement implique des problématiques organisationelles et politiques fortes (en plus de la technique).

n°142321
Styx0
Aware, abware !
Posté le 26-09-2016 à 16:14:56  profilanswer
 

splinter_five0 a écrit :

Voila, Nebulios a tout dit, pour la gestion des droits sur l'ad, une délégation de controle , pour les droits d'admin, une GPO pour faire redescendre ton admin dans le groupes administrateurs des machines. Si tu veux le chemin exact pour la gpo dis-le moi car je procède ainsi pour l'un de mes réseaux.  
 
(...)


 
Oui ça m'intéresse stp.
 
merci d'avance


---------------
Galerie Photo (Canon)
n°142338
bicoun
Et non pas Bicounet !!!
Posté le 27-09-2016 à 15:08:46  profilanswer
 

Salut,
 
Configuration ordinateur
Stratégies
Paramètres Windows
Paramètres de sécurité
Groupes restreints
MON_DOMAINE\Groupe_AD  BUILTIN\Administrateurs


---------------
Pixel mort -> .
n°142345
splinter_f​ive0
Posté le 27-09-2016 à 17:36:56  profilanswer
 

Voila !
 
il existe aussi une autre méthode  :  configuration ordinateur > preferences > parametres du panneau de configuration > utilisateurs et groupes locaux > nouveau groupe , et la tu choisis le groupe administrateurs intégré (builtin) et tu peux ajouter ton user dedans.  
 
Les deux fonctionnent mais il me semble que M$ recommande la première méthode.

n°142366
nebulios
Posté le 28-09-2016 à 11:54:56  profilanswer
 

La seconde est un peu moins sécurisée.

mood
Publicité
Posté le 28-09-2016 à 11:54:56  profilanswer
 

n°142811
Eric B
Posté le 19-10-2016 à 19:31:32  profilanswer
 

sujet qui m interesse aussi, faudrait que je demande à mes collegues comment on fait chez nous, je trouve étonnant qu il y ait autant de domain admin sur AD...

n°142814
Je@nb
Modérateur
In ze cloud
Posté le 20-10-2016 à 08:51:05  profilanswer
 

Les domain admin devraient se compter sur les doigts d'une main dans un grand groupe et devraient être 2 max dans des petites structures ...
et bien évidemment avec un compte différent que celui qu'ils utilisent tous les jours


Message édité par Je@nb le 20-10-2016 à 08:51:46
n°142910
Eric B
Posté le 24-10-2016 à 16:46:38  profilanswer
 

compte admin différent, c est bon.
Dans AD, on a pour chq utilisateur les tabs MemberOf et aussi Security.
MemberOf defini les groupes et donc les droits de l utilisateur.
Security, c est à l envers, cad quel groupes ont des droits sur mon compte. J ai eu peur au début qd j ai vu DomainAdmins là dessus.
http://www.windows-active-director [...] ctory.html


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Management du SI

  [AD] Droits nécessaire pour administrer mais pas trop

 

Sujets relatifs
Comment évaluer la mémoire nécessaire pour un serveur TSE[AD] Compte copié, comment connaitre le compte de référence
Office 365 et droits sur les dossiers[AD] lister les sous groupes auquel appartiens les users par heritage
Script import csv user ADSuivi d'activité sur l'AD Windows server 2012
AD - Limiter les accès aux adminsPasser à un NAS sous Windows pour meilleure intégration AD?
[HELP] SCCM - Client installation Foret AD UntrustedAzure AD, Office 365, le futur ?
Plus de sujets relatifs à : [AD] Droits nécessaire pour administrer mais pas trop



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR