Bonjour,
 
Je n'ai pas d'AD sous la maim.
Je voulais savoir s'il était possible, sur un groupe Active Directory, de limité sa gestion qu'à un seul utilisateur ? Peut être avec l'onglet sécurité ?
 
Merci d'avance

Bonjour,
 
tu veux dire avoir un seul administrateur de ton ad ?

oui, avec l'onglet sécurité. Mais ça m'a l'air foireux ton truc

en faite, j'ai des dossiers sensibles (RH) et je ne veux pas que les admin puissent voir le contenu. Juste une seul personne de l'informatique pour l'administration en plus des utilisateurs.

Dans ce cas je te suggère de créer un seul admin, et de mettre les autres comptes en délégation de contrôle. Il faudra par contre définir ce à quoi tu souhaites leur donner accès, et éventuellement les définir comme admin local machine via une gpo . Avec cette méthode tes "admin" ne sont pas dans les groupes d'administration (il faut les enlever si ils y sont) et n'ont donc acces qu'aux répertoires les concernant.

Je viens de faire des tests en jouant avec les sécurité des objets.

Dans ce scénario :

J'ai un utilisateur "toto", membre du groupe "admin du domaine".
"toto" est en accès refusé sur le groupe "test".
Lorsque "toto" parcours l'AD et qu'il veut lire les attributs du groupe "test", l'accès est refusé.

Ce scénario est viable.

Cependant, dans autre scénario (qui ressemble à mon cas) :

J'ai un utilisateur "toto", membre du groupe "admin_France". Le groupe "admin_France" est membre du groupe "admin du domaine".
"admin_France" est en accès refusé sur le groupe "test".
Lorsque "toto"  (utilisateurs du groupe "admin_france" ) parcours l'AD et qu'il veut lire les attributs du groupe "test", l'accès est refusé.
Mais si "toto" est un peu malin, il s'ajoute directement dans le groupe "admin du domaine" et se supprime du groupe "admin_france" et que "toto" veut lire les attributs du groupe "test", l'accès est autorisé.

Ce scénario n'est pas viable.

Donc dans mon cas, je n'ai pas de solution moins invasive que celle proposé par splinter_five0

NOTE : si à la place de "toto" je prend le compte "builtin\administrateur", et que je lui mets un accès refusé sur le groupe "test", il n'aura pas accès aux attributs, cependant, la gestion de la sécurité reste possible. On ne peux pas se couper la branche sur laquelle on est assit.

Tu as bien résumé ta problématique. Ceci dit la délégation de contrôle n'est pas une mauvaise solution, tu verras en plus que les possibilités de délégation sont assez larges, c'est d'ailleurs la préconisation Microsoft de limiter les admins au strict nécessaire et de créer une délégation sur les autres comptes "admin"

C'est ce que je viens de voir. Merci en tout cas de vos retours.