Bonsoir,
 
j'ai récemment mis en service un contrôleur de domaine (sous 2012r2) sur mon lieu de travail et je me posais les question suivante :
 
Selon vous à quel groupe un compte admin doit-il appartenir ?
Quels sont les droits alloués par défaut et qu'il serait nécessaire de retirer?  (à la fois sur les compte admin et utilisateurs)?  
 
Je précise que nous sommes un petit nombre d'administrateurs, mes collègues doivent être en mesure de paramétrer les comptes utilisateurs (mot de passe, désactivation etc ... ), par contre il serait souhaitable qu'il n'aient pas la possibilité de modifier les stratégies de groupe.
 
 
Merci d'avance de vos réponse

Bonsoir,
 
perso pour les questions de sécu je me base sur le logiciel WSCM :
 
https://technet.microsoft.com/fr-fr [...] 35245.aspx
 
et sur les recommandations gouvernementales :
 
http://www.ssi.gouv.fr/entreprise/bonnes-pratiques/
 
pour les ad :
http://www.ssi.gouv.fr/guide/recom [...] directory/

La base c'est de mettre en place une délégation, afin de n'accorder que les droits minimaux nécessaires aux admins. Et pour la mettre en place il faut commenecer par définir une organisation (rôles et responsabilités entre autres)