none
Donner des droits pour un UO spécifique RRS feed

  • Question

  • Bonjour,

    je vous explique, j'ai un mono domaine avec plusieurs sites et un CD Read and write en locaux (sur chaque site), ces sites sont identifier par des UO dans l'active directory.

    J'aimerais avoir un utilisateur mais avec un role de "Admin local" par site et donc il faudrait qu'il puisse modifier / ajouter des objets (user, ..) sur l'UO mais UNIQUEMENT de son site.

    Est-ce possible ?

    Pour cela il faut qu'il puisse se connecter sur son CD mais ne doit pas être admins du domaines.

    J'ai songé à l'ajout du compte dans les props de sécu du UO mais l'utilisateur n'a pas les droit pour se connecter au DC donc ça ne sert a rien...


    • Modifié L'ours mercredi 14 avril 2021 15:03
    mercredi 14 avril 2021 15:00

Réponses

  • Bonjour,

    les délégations sur l'UO sont tout à fait possibles. L'assistant permet de définir les droits autorisés de manière granulaire, et par type d'objet.

    Maintenant, il faut qu'il puisse utiliser son droit.

    - Soit en installant l'outil d'administration sur sa machine. Il verra tout mais ne pourra modifier que les objets dans les UO sur lesquels il a des droits.

    - Soit en lui donnant le droit d'utiliser RDP et d'ouvrir une session sur le (les) "CD". Il verra tout, au moins en lecture (comme tous les utilisateurs, en réalité).

    - Soit en développant un outil (Script Powershell, VB.NET ou autre, ..) qui accède en LDAP au serveur et aux objets autorisés.

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(91 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate, Modern Desktop Administrator Associate, Security Admin, Azure Administrator https://base.faqexchange.info

    • Marqué comme réponse L'ours jeudi 15 avril 2021 10:04
    mercredi 14 avril 2021 15:47
  • J'aimerais avoir un utilisateur mais avec un role de "Admin local" par site et donc il faudrait qu'il puisse modifier / ajouter des objets (user, ..) sur l'UO mais UNIQUEMENT de son site.

    Est-ce possible ?

    Oui déléguer l'administration d'une partie est même une des raisons de créer des OU différentes.

    http://pbarth.fr/node/102

    Vous pouvez déléguer par exemple à un compte juste le droit de réinitialiser les mots de passe. Si la personne doit gérer les membres de groupes, il faut déléguer le droit d'écrire sur les groupes.

    Pour cela il faut qu'il puisse se connecter sur son CD mais ne doit pas être admins du domaines.

    Non avec les outils d'administration de serveurs distant ce n'est pas utile, ni pour cette personne, ni pour les autres administrateurs.http://pbarth.fr/node/337

    • Marqué comme réponse L'ours jeudi 15 avril 2021 10:04
    mercredi 14 avril 2021 16:55
  • Bonjour,

    En effet, vous avez besoin de faire une délégation au niveau de l'OU en question avec les droits que vous désirez.

    Ensuite, il sera nécessaire d'installer les outils RSAT pour la partie active directory sur le poste client de la personne.

    Enfin, vous pouvez lui faire une MMC personnalisée au travers de laquelle il ne verrait que l'OU de son site.

    C'est expliqué ici : procedure mmc


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    • Modifié matteu31400 mercredi 14 avril 2021 17:28
    • Marqué comme réponse L'ours jeudi 15 avril 2021 10:04
    mercredi 14 avril 2021 17:27

Toutes les réponses

  • Bonjour,

    les délégations sur l'UO sont tout à fait possibles. L'assistant permet de définir les droits autorisés de manière granulaire, et par type d'objet.

    Maintenant, il faut qu'il puisse utiliser son droit.

    - Soit en installant l'outil d'administration sur sa machine. Il verra tout mais ne pourra modifier que les objets dans les UO sur lesquels il a des droits.

    - Soit en lui donnant le droit d'utiliser RDP et d'ouvrir une session sur le (les) "CD". Il verra tout, au moins en lecture (comme tous les utilisateurs, en réalité).

    - Soit en développant un outil (Script Powershell, VB.NET ou autre, ..) qui accède en LDAP au serveur et aux objets autorisés.

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(91 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate, Modern Desktop Administrator Associate, Security Admin, Azure Administrator https://base.faqexchange.info

    • Marqué comme réponse L'ours jeudi 15 avril 2021 10:04
    mercredi 14 avril 2021 15:47
  • J'aimerais avoir un utilisateur mais avec un role de "Admin local" par site et donc il faudrait qu'il puisse modifier / ajouter des objets (user, ..) sur l'UO mais UNIQUEMENT de son site.

    Est-ce possible ?

    Oui déléguer l'administration d'une partie est même une des raisons de créer des OU différentes.

    http://pbarth.fr/node/102

    Vous pouvez déléguer par exemple à un compte juste le droit de réinitialiser les mots de passe. Si la personne doit gérer les membres de groupes, il faut déléguer le droit d'écrire sur les groupes.

    Pour cela il faut qu'il puisse se connecter sur son CD mais ne doit pas être admins du domaines.

    Non avec les outils d'administration de serveurs distant ce n'est pas utile, ni pour cette personne, ni pour les autres administrateurs.http://pbarth.fr/node/337

    • Marqué comme réponse L'ours jeudi 15 avril 2021 10:04
    mercredi 14 avril 2021 16:55
  • Bonjour,

    En effet, vous avez besoin de faire une délégation au niveau de l'OU en question avec les droits que vous désirez.

    Ensuite, il sera nécessaire d'installer les outils RSAT pour la partie active directory sur le poste client de la personne.

    Enfin, vous pouvez lui faire une MMC personnalisée au travers de laquelle il ne verrait que l'OU de son site.

    C'est expliqué ici : procedure mmc


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    • Modifié matteu31400 mercredi 14 avril 2021 17:28
    • Marqué comme réponse L'ours jeudi 15 avril 2021 10:04
    mercredi 14 avril 2021 17:27
  • Bonjour,

    Hier, J'ai suivis vos conseil et j'ai opté pour la méthode RSAT, Néanmoins mon utilisateur à qui j'ai délégué les droits :

    "créer, supprimer et gérer les comptes utilisateurs"

    "Réinitialiser les mots de passes des utilisateurs et forcer leur changement lors de la prochaine ouverture de session"

    "Lire toutes les informations sur l’utilisateur"

    J'ai un UO "Utilisateurs" et 4 sous UO "site1" "site2" "site3" "site4"

    Mon utilisateur "toto" avec les droits se trouve dans "site1" et il à les droits ci-dessus sur les UO "site1" et "site3"

    Sur le PC de toto, j'ai installé RSAT via internet car la version de W est trop vieille et RSAT n'est pas dans "fonctionnalité"

    Version de mon OS : 10240

    Ensuite quand j'accède à l'outil d'admin "Utilisateur et ordinateur Active directory", j'ai sur les UO où il a les droits, l'icon de créer un utilisateur en couleur et les autres icons en gris.

    Mais quand je clique pour créer un User, rien ne ce passe et quand je vais dans les props des User je n'ai accès qu'à "Environnement" "Session" "COM+" "Controle à distance" "profil des service bureau à distance"

    MAIS En faisant clic droit sur un utilisateur j'ai accès à réinitialiser le mpd.

    Avez vous une idée de pourquoi il ne se passe rien que je veux créer un user ?


    • Modifié L'ours vendredi 16 avril 2021 08:17
    vendredi 16 avril 2021 07:49
  • Bonjour,

    je suppose que les mêmes permissions ont été données sur les 2 UOs.

    Sinon, vérifier bien que les objets (utilisateurs) présents dans l'UO héritent bien des mêmes permissions que l'OU.

    Ensuite, regarder quelles sont les permissions qui ont effectivement été données sur l'OU par la délégation de contrôle.

    => Il est souvent plus simple d'ajuster les permissions après coup.

    Sinon, on peut aussi utiliser le mode "Tâche personnalisée à déléguer" en sélectionnant le type d'objet, par exemple Utilisateur", ensuite, ce que l'on veut autoriser sur ce type d'objet.

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(91 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate, Modern Desktop Administrator Associate, Security Admin, Azure Administrator https://base.faqexchange.info


    lundi 19 avril 2021 07:17