locked
Empecher l'inclusion d'un groupe global dans un autre RRS feed

  • Discussion générale

  • Bonjour,
     
    Je bloque sur un problème avec un domaine AD 2003. Dans une unité  
    organisationnelle qui comprend des utilisateurs (user1, user2, user3 ...) et  
    des groupes globaux de sécurité (gp1, gp2) j'aimerais faire ceci :
    1/ Accorder le droit à "user1" de rajouter des utilisateurs dans les groupes  
    "gp1" ou "gp2"
    2/ Interdire l'incorporation d'un groupe dans un autre (ex : gp1 inclu dans  
    gp2, ou gp2 inclu dans gp1) par "user1".
    J'ai essayé beaucoup de configurations différentes via la délégation de  
    contrôle et la modification des droits sur l'OU, mais sans aucun résultat :  
    les points 1 et 2 ne peuvent être réalisés simultanement.
    (NOTE : J'ai bien entendu essayé en accordant les droits à "user1" de  
    modifier le champ "memberof" des utilisateurs, et en refusant à "user1" la  
    modification du champ "memberof" des groupes...)
     
    Quelqu'un a t'il une solution ou une suggestion ?

     

    mardi 21 octobre 2008 21:00

Toutes les réponses

  • salut,

     

     G_ROM A écrit:
    2/ Interdire l'incorporation d'un groupe dans un autre (ex : gp1 inclu dans  
    gp2, ou gp2 inclu dans gp1) par "user1".

     

    Interdire l'imbrication de groupes globaux sécurité . Non !

     

    @+

    mercredi 3 décembre 2008 20:01
  • Bonsoir,

    Le fait qu'un utilisateur puisse ajouter ou retirer un membre d'un groupe, cela se passe au niveau de l'attribut Member du groupe en question et non au niveau de l'utilisateur. L'attribut MemberOf n'est que calculé pour être affiché (Mettre un Deny dessus ne sert à rien). Pour s'en convaincre, voir le modèle ADSI pour la gestion des appartenances au groupe.

    Problème de cette approche, on peut ajouter un membre mais aussi retirer des membres. Dans une administration déléguée, le seul contournement consiste à reproduire les groupes "centraux" dans les conteneurs organisationnel dédiés et de les positionner comme membre des groupes centraux. De cette manière l'administrateur délégué peut disposer de Read et Write sur l'attribut Member. Donc, c'est presque insoluble, on ne fait que déporter le problème

    J'ai déjà travaille ce cas pour un client et le seul moyen a été de personnaliser la console MMC pour développer un script qui valide bien que l'objet positionné comme membre dépend bien de l'administrateur délégué car dans le même conteneur.

    J'espère avoir éclairé ta lanterne.


    BenoîtS - Simple by Design
    BenoitS
    mardi 17 février 2009 18:29