Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1439 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Management du SI

  [AD] Droits nécessaire pour administrer mais pas trop

 
 



Dernière réponse
Sujet : [AD] Droits nécessaire pour administrer mais pas trop
Eric B compte admin différent, c est bon.
Dans AD, on a pour chq utilisateur les tabs MemberOf et aussi Security.
MemberOf defini les groupes et donc les droits de l utilisateur.
Security, c est à l envers, cad quel groupes ont des droits sur mon compte. J ai eu peur au début qd j ai vu DomainAdmins là dessus.
http://www.windows-active-director [...] ctory.html

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
Eric B compte admin différent, c est bon.
Dans AD, on a pour chq utilisateur les tabs MemberOf et aussi Security.
MemberOf defini les groupes et donc les droits de l utilisateur.
Security, c est à l envers, cad quel groupes ont des droits sur mon compte. J ai eu peur au début qd j ai vu DomainAdmins là dessus.
http://www.windows-active-director [...] ctory.html
Je@nb Les domain admin devraient se compter sur les doigts d'une main dans un grand groupe et devraient être 2 max dans des petites structures ...
et bien évidemment avec un compte différent que celui qu'ils utilisent tous les jours
Eric B sujet qui m interesse aussi, faudrait que je demande à mes collegues comment on fait chez nous, je trouve étonnant qu il y ait autant de domain admin sur AD...
nebulios La seconde est un peu moins sécurisée.
splinter_five0 Voila !
 
il existe aussi une autre méthode  :  configuration ordinateur > preferences > parametres du panneau de configuration > utilisateurs et groupes locaux > nouveau groupe , et la tu choisis le groupe administrateurs intégré (builtin) et tu peux ajouter ton user dedans.  
 
Les deux fonctionnent mais il me semble que M$ recommande la première méthode.
bicoun Salut,
 
Configuration ordinateur
Stratégies
Paramètres Windows
Paramètres de sécurité
Groupes restreints
MON_DOMAINE\Groupe_AD  BUILTIN\Administrateurs
Styx0

splinter_five0 a écrit :

Voila, Nebulios a tout dit, pour la gestion des droits sur l'ad, une délégation de controle , pour les droits d'admin, une GPO pour faire redescendre ton admin dans le groupes administrateurs des machines. Si tu veux le chemin exact pour la gpo dis-le moi car je procède ainsi pour l'un de mes réseaux.  
 
(...)


 
Oui ça m'intéresse stp.
 
merci d'avance
nebulios Parce que j'ai tendance à penser grande société, où ce type de changement implique des problématiques organisationelles et politiques fortes (en plus de la technique).
splinter_five0 Voila, Nebulios a tout dit, pour la gestion des droits sur l'ad, une délégation de controle , pour les droits d'admin, une GPO pour faire redescendre ton admin dans le groupes administrateurs des machines. Si tu veux le chemin exact pour la gpo dis-le moi car je procède ainsi pour l'un de mes réseaux.  
 
Par contre je comprends pas pourquoi tu parles de plusieurs semaines voire plusieurs mois nébulios car pour moi c'est plutot simple au contraire une délégation de controle.
nebulios Par GPO tu peux indiquer que tel groupe AD (dont ton presta sera membre) est membre de tel groupe built-in (les groupes créés par défaut dur une machine, ce qui inclus "Administrateurs" ). Regarde dans l'option "Groupes restreints".
Styx0 Par GPO je peux indiquer que mon tech soit local admin de tous les PC ? (sauf serveurs que je ferai à la mimine et au besoin)
 
Mon admin n'avait qu'à pas tomber malade :o :o
nebulios Il te faut une délégation AD.
 
Donc soit tu le fais proprement et c'est un projet qui prend quelques semaines/mois :D
 
Soit tu le fais en mode dégeu :
Déverrouiller les comptes -> configurer la permission ad hoc via la MMC
Connexion aux comptes utilisateurs/certains serveurs -> créer deux groupes admin et les configurer en tant que local admin par GPO (par ailleurs configurer un compte local admin de tous les postes de travail n'est pas sécurisé du tout).
Ca te dépannera, mais au retour tu te fais empaler par ton admin système  :o
Styx0 Bonjour à tous,
 
mon admin syst & réseau n'est actuellement pas présent, et j'ai un presta qui va venir combler cette absence. Et moi le système c'est pas mon truc :o
 
Cependant je ne veux pas lui donner des droits trop étendus, ni lui donner le mdp du super root.
 
j'ai une foret MS AD 2012
 
Quels droits dois je donner pour que le presta puisse :
- déverrouiller des comptes  utilisateurs (mais pas pouvoir toucher les groupes, droits etc..)
- se connecter sur les postes utilisateurs et avoir accès au rôle d'admin local (mais avec son login issu de l'AD), afin d'effectuer installation programme, modifiation de driver, et toute autre joyeuseté
- Pouvoir se connecter sur certains serveurs qui gèrent applicatifs (mais pas tous les serveurs non plus) - arreter/redémarrer les services ...
 
merci pour votre aide
 
(j'ai honte de poser la question :o , mais j'en ai vraiment besoin)
 

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR