locked
active diectory RRS feed

  • Question

  • Bonjour lorsque je créer un nouvel utilisateur dans AD des droit exclusive d'accès sont automatiquement attribuer au dossier de l'utilisateur, même moi administrateur du domaine n'a pas accès.  Je crois normal cette méthode puisque les utilisateurs ont le droit d'avoir un accès exlusive à leur donnée, même de l'administrateur du domaine.  J'aimerais en tant qu'administrateur pouvoir modifier leur données ou paramètre ou sauvegarder leur donnée, pour ce faire je doit prendre pouvoir de leur dossier en leur attribuant chacun leur droit d'accès privé, ainsi je peut manipuler leur donnée et eux peuvent continuer d'utiliser leur compte.

    J'aimerais savoir la façon de m'y prendre et quel sont les meilleurs méthodes pour ce que je veut faire?

    Dois-je automatiquement prendre possession des dossiers des utilisateurs lorsque j'en créer un nouveau ou bien changer mon approche lorsque je manipule leur données?

    Apparement qu'il y aurais une politique pour empecher windows d'attibuer automatiquement ses droits d'accès, ou es-t-elle, es-ce une bonne idée de faire cela?

    merci

    • Déplacé Thierry DEMAN-BARCELÒMVP jeudi 30 avril 2009 20:37 Sujet non lié au High Performance Computing ([Loc]From:Windows Server 2003 - High Performance Computing)
    lundi 30 mars 2009 03:48

Réponses

  • Bonjour,

     

    Vous pouvez visualiser tout document d’un utilisateur habituel, si vous ouvrez une session en qualité  d’administrateur (cas possible en Windows Vista avec l’option de changer l’utilisateur (« Switch user »)).

    Aussi, les documents peuvent être vus de tout ordinateur du réseau sur lequel l’administrateur réseau a une session ouverte, par la simple visualisation de \\nomordinateur\c$.

    Ce n’est pas nécessaire d’empêcher la propagation des droits, l’administrateur a des « droits absolus », de toute façon.

    Cordialement,

     


    Roxana Panait, MSFT
    mercredi 3 juin 2009 13:10
  • Bonsoir,

    il existe maintenant une GPO permettant d'ajouter les administrateurs aux répertoires personnels créés automatiquement.

    Une autre solution est d'utiliser un script pour créer l'utilisateur et son dossier personnel.
    Ceci est la seule manière de gérer de manière précise les droits affectés à l'utilisateur, l'administrateur et autres groupes nécessitant des droits particuliers.

    A+
    Thierry DEMAN. MCSE+MSI, MCDBA, MCITP SQL2K5,SQL2K8,EXCH2K7,W2K8 ADM&ENT. Exchange MVP (http://www.faqexchange.info) LE PERMIS INFORMATIQUE.
    jeudi 4 juin 2009 22:10

Toutes les réponses

  • Bonjour,

     

    Vous pouvez visualiser tout document d’un utilisateur habituel, si vous ouvrez une session en qualité  d’administrateur (cas possible en Windows Vista avec l’option de changer l’utilisateur (« Switch user »)).

    Aussi, les documents peuvent être vus de tout ordinateur du réseau sur lequel l’administrateur réseau a une session ouverte, par la simple visualisation de \\nomordinateur\c$.

    Ce n’est pas nécessaire d’empêcher la propagation des droits, l’administrateur a des « droits absolus », de toute façon.

    Cordialement,

     


    Roxana Panait, MSFT
    mercredi 3 juin 2009 13:10
  • Bonjour,

    je me permet de suggerer l'implementation d'une GPO ajoutant le "groupe de sécurité administrateurs aux profils utilisateurs itinerants" cela facilite grandement la gestion des profils.

    Cordialement,
    Daniel.

    mercredi 3 juin 2009 15:37
  • Bonsoir,

    il existe maintenant une GPO permettant d'ajouter les administrateurs aux répertoires personnels créés automatiquement.

    Une autre solution est d'utiliser un script pour créer l'utilisateur et son dossier personnel.
    Ceci est la seule manière de gérer de manière précise les droits affectés à l'utilisateur, l'administrateur et autres groupes nécessitant des droits particuliers.

    A+
    Thierry DEMAN. MCSE+MSI, MCDBA, MCITP SQL2K5,SQL2K8,EXCH2K7,W2K8 ADM&ENT. Exchange MVP (http://www.faqexchange.info) LE PERMIS INFORMATIQUE.
    jeudi 4 juin 2009 22:10
  • tiens tiens me semble te reconnaitre Roxana :)

    je vais revérifier tes dires, mais me semble que par défaut sur le domaine, l'administrateur n'as pas de droit d'accès sur les dossiers des utilisateurs, évidement à moins de les avoirs attribuers manuellement.  Parcontre je n'ai jamais essayer avec le partage c$, je te reviens sur ce

    je me demande si nous utilisons les mêmes versions de windows, je croirais bien que oui, de toute façon j'ai tester plusieurs version de windows server, style 2003, 2008, sbs, standard, entreprise et j'ai retrouver cette rêgle sur chaque version, je suis toujours surpris d'entendre des gens me dire, de quoi tu parles, j'ai l'impression d'être le seul à rencontrer ces probleme, enfin plus maintenant avec thierry et daniel qui semble appuyer ma question avec des suggestions pour appliquer certaine rêgle, enfin

    peut-être qu'en fin de compte il faudrais préciser que j'utilise la fonction de profil utilisateur en itinérance, il se pourrais que ce soit qu'a ce moment que des droits exlusifs sont attribuer à chaque utilisateur surtout sur les controleurs de domaines, puisque leurs comptes ne réside pas que sur le poste local, en général quand je parle de manipulation de donné de leur compte, je le fais surtout sur les serveurs même(controleur de domaine) ou les données sont centralisés, à ce moment même en temps qu'adiministrateurs je n'ai pas de droit d'accès à leur donnée, je doit prendre propriété de leur dossiers pour pouvoir manipuler leur donnée

    alors je vous reviens la dessus un moment donnée à savoir quel approche je vais utiliser pour faire ce que je veut faire, en attandant je vais continuer de m'approprié de leur dossier en leur donnant accès à chacun, puisque tout marche bien quand je le fais de cette façon, de toute façon ma question sur ce forum n'étais pas vraiment un problème, mais plutôt une demande de suggestion ou un genre de 'Comment faire', communément appeler en anglais un 'How to...' ou 'Best practice'

    alors a+ pour ce post

    merci pour vos suggestions

    Serge
    vendredi 5 juin 2009 11:32
  • bonjour daniel et thierry, merci de vos suggestion, vous me parler de suggestion, mais comme dans mon poste original, j'ai bien mentionné: ou es-t-elle

    alors je répète ou est-t-elle cette clé?

    et de plus je profite de votre expérience pour vous renvoyer une autre question, quelqu'un pourrais-t-il bien me mentionner comment fait-on pour rechercher des gpo dans leur fastidieuse liste??

    je sais que sur server 2k8, microsoft semble s'être éfforcé enfin d'implémenter un outil de recherche dans les gpo, mais je crois qu'il est encore à travailler, je trouve ca toujours fastidieux et long parfois de trouver certaine gpo que l'on cherche dans tout ces longues listes

    des suggestions ???

    a+

    Serge

    vendredi 5 juin 2009 11:41
  • Rebonjour Serge,

     

    Si tu as le temps tu peux vérifier : http://support.microsoft.com/default.aspx?scid=kb;en-us;314984  et http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/9b5d9a49-b498-4c00-abdc-13c227c38c64  (Anglais).

    L’administrateur réseaux a accès aux fichiers partagés de type «  cachés/administratives ». Ton utilisateur administrateur de domaine fait aussi partie du groupe «  Enterprise Administrators » ?

    Cordialement,


    Roxana Panait, MSFT
    vendredi 5 juin 2009 12:21
  • Bonjour Neobug,

    pour activer l'option "ajouter le groupe de sécurité administrateurs aux profils utilisateurs itinerants" tu dois créer une nouvelle GPO ou implementer dans une GPO déjà existante la fonction situer dans :


    -configuration ordinateur
     -modeles d'administration : definition de strategies  (fichier amdx)...
      -systeme
       -profil des utilisateurs
                   -> Ajouter le groupe de sécurité administrateurs aux profils itinérants utilisateurs (activer)
                                                     (clique droit sur la stratégie/propriété/activer)


    cordialement,
    Daniel.

    vendredi 5 juin 2009 14:15