Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1571 connectés 

 



Dernière réponse
Sujet : Ajout administrateur du poste temporairement
gkss Merci à tous pour vos réponses et votre disponibilité.  
 
 :)

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse


[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 

Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
gkss Merci à tous pour vos réponses et votre disponibilité.  
 
 :)
skoizer

gkss a écrit :


 
C'est + lors de mises à jour ou mise à jour de pilotes (mise à jour récurrentes), pour pouvoir les appliquer il faut les droits Admin, et c'est assez contraignant et engendre une perte de temps de se déplacer d'un bâtiment à un autre pour donner les droits et appliquer les MAJ.


tu n'as pas la possibilité de faire du contrôle a distance sur ce serveur?
puis ouvrir en tant qu’administrateur puis zouuu
 

Je@nb par magie ?
logre un script vbs qui lance le soft avec les droits admin? XD
nebulios Par exemple oui, mais là il s'agit d'actions manuelles. Et si tu lui donnes les droits admin il peut faire n'importe quoi sur la machine, y compris ajouter des backdoors pour se redonner les droits admin n'importe quand...il te faudrait plutôt un logiciel capable de déployer des packages applicatifs non ? Dans ce cas tu as aussi des solutions gratuites (genre WAPT) ou payantes (genre SCCM, LanDesk…)
gkss

nebulios a écrit :


C'est possible mais via un outil payant ou fait maison.


 
Créer un groupe "admin" sur l'AD, ajouter ce groupe dans le groupe administrateur sur les postes et ajouter les user et/ou postes voulus à ce groupe et les retirer une fois le taff terminer ?? Qu'est-ce-que vous en pensaient ?

gkss

skoizer a écrit :

gkss jamais vu ce genre de situation. Pas standard = difficilee a maintenir
 
comme le dit nebulios.
Regarde deja qu'est que le logiciel a besoin comme droit. (demander à l'editeur ou lire la doc)
C'est peu être un droit ACL sur un repertoire/fichier ou une clef du registre.
gkss c'est assez courant de faire cela.


 
C'est + lors de mises à jour ou mise à jour de pilotes (mise à jour récurrentes), pour pouvoir les appliquer il faut les droits Admin, et c'est assez contraignant et engendre une perte de temps de se déplacer d'un bâtiment à un autre pour donner les droits et appliquer les MAJ.

nebulios

gkss a écrit :


 
Donc si je souhaite ajouter un user admin d'un poste pour un temps voulus de manière automatisé, ce n'est pas possible selon vous ?


C'est possible mais via un outil payant ou fait maison.

nebulios

frede94 a écrit :

JIT = just in time ?
Nouveauté 2016 ? je ne connais pas. Vais regarder à l'occasion.


Oui, regarde les modules JIT/JEA dispos depuis Windows Server 2016 et PowerShell par exemple.

skoizer gkss jamais vu ce genre de situation. Pas standard = difficilee a maintenir
 
comme le dit nebulios.
Regarde deja qu'est que le logiciel a besoin comme droit. (demander à l'editeur ou lire la doc)
C'est peu être un droit ACL sur un repertoire/fichier ou une clef du registre.
gkss c'est assez courant de faire cela.
gkss

nebulios a écrit :


C'est pas du tout propre de passer par le compte admin par défaut, mieux vaut une délégation AD + JIT.
 
@gkss : regarde pourquoi ton appli a besoin de droits admins d'abord. Souvent modifier des ACL sur Program Files/quelques clés de registre suffisent. Ce n'est pas très propre mais c'est mieux que de leur donner des droits admin. Ou alors ce sont des machines en workgroup, sans connexion à internet, là ça peut être envisageable.


 
Donc si je souhaite ajouter un user admin d'un poste pour un temps voulus de manière automatisé, ce n'est pas possible selon vous ?

frede94 JIT = just in time ?
Nouveauté 2016 ? je ne connais pas. Vais regarder à l'occasion.
nebulios

frede94 a écrit :

Certes c'est plus fait pour sécuriser le système. Mais tu peux quand même aider sur ce genre de demande. Tu peux quand même donner le mot de passe admin local à la personne, et puis quand la personne n'a plus besoin de droits admin, tu changes le mot de passe à distance depuis LAPS.


C'est pas du tout propre de passer par le compte admin par défaut, mieux vaut une délégation AD + JIT.
 
@gkss : regarde pourquoi ton appli a besoin de droits admins d'abord. Souvent modifier des ACL sur Program Files/quelques clés de registre suffisent. Ce n'est pas très propre mais c'est mieux que de leur donner des droits admin. Ou alors ce sont des machines en workgroup, sans connexion à internet, là ça peut être envisageable.

gkss

nebulios a écrit :

Quel est le besoin derrière ?

 

Pour l'exécution d'un logiciel qui pilote des machines, ce logiciel à besoin des droit admin du poste pour être exécuté.

 

Je voudrais pouvoir donner les droits admin un temps voulu par moi même, et ceci sans le faire depuis le poste fixe.

 

Faire cette manip à distance et le plus simplement possible.

frede94 Certes c'est plus fait pour sécuriser le système. Mais tu peux quand même aider sur ce genre de demande. Tu peux quand même donner le mot de passe admin local à la personne, et puis quand la personne n'a plus besoin de droits admin, tu changes le mot de passe à distance depuis LAPS.
nebulios Attention LAPS n'est pas vraiment conçu pour la délégation. Mieux vaut passer par quelque chose comme CyberArk
frede94 Bonjour,
Tu peux jeter un oeil sur LAPS : https://blogs.technet.microsoft.com [...] tion-laps/
nebulios Quel est le besoin derrière ?
gkss Edit : AD windows 2012 et les postes sont sous win7 et Win10
gkss Bonjour,  
 
Alors voilà je voudrais faire de certain user de mon AD des admin de poste locale temporairement ( ex : 24h) .  
 
Quelqu'un aurait une idée pour faire ceci de manière automatisé ?  
 
Merci par avance.

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR