locked
Restreindre les droits administrateurs RRS feed

  • Question

  • Bonjour à tous,

    Je suis confronté à un problème bloquant, je dois trouver un moyen de dissocier les droits administrateurs de domaine sur des ensembles de serveurs, c’est à dire qu’un compte administrateur puisse se connecter à un serveur avec ses droits d’administration mais pas à un autre. L’architecture Active directory ne comprend qu’un seul domaine sur un Windows 2003 r2. Il y a un certain nombre de solution que je ne peux pas appliquer, pour des questions d’organisations, comme par exemple créer des sous domaines afin de différencier les comptes administrateurs de domaine, restreindre l’accès par un firewall (plage IP).

    Comme solution, on m’a proposé de tester au niveau de l’AD, la création de deux groupes distincts dont les droits d’accès sont restreints aux serveurs qui en sont membres mais j’ai des vrais doute sur la faisabilité.

    Auriez-vous une solution qui prenne en compte ces contraintes ?

    Merci d’avance, pour votre aide.

    lundi 12 novembre 2012 14:16

Réponses

  • Bonjour,

    Par conception, "By design" de Active Directory, un administrateur du domaine doit impérativement avoir le privilège en tant que maitre "Admin" sur n'importe qu'elle ressource situé au niveau de l'entreprise. 

    Si vous voulez enlevez le groupe admin de la liste des administrateurs par défaut des machines intégré au domaine, ceci peut causer des soucis et un exemple:

    Si un compte de service qui fait parti de ce groupe a besoin des droit d'administrateur local pour executer une tâche sur la machine en question, vous aurez certainement dans ce cas un problème !!! 

    A+



    Best Regards Don't forget to mark it as answer if it helps

    mardi 13 novembre 2012 16:18
  • Bonsoir,

    Je suis d'accord avec vous, sauf que les applications qui sont installées nécessitent des droits administrateur du domaine donc un simple utilisateur du domaine, ne suffira pas.

    Je me suis orienté sur le RDP car cette restriction, n'allait pas affecter le fonctionnement des serveurs.

    Mon champ d'action est très limité et en vue de toute ces contraintes, je crains qu'il n'y est pas de solution.

    Je vous remercie à tous de votre aide !

    Cdt,

    Romain

    dimanche 18 novembre 2012 21:21

Toutes les réponses

  • Bonjour,

    Par conception, "By design" de Active Directory, un administrateur du domaine doit impérativement avoir le privilège en tant que maitre "Admin" sur n'importe qu'elle ressource situé au niveau de l'entreprise. 

    Si vous voulez enlevez le groupe admin de la liste des administrateurs par défaut des machines intégré au domaine, ceci peut causer des soucis et un exemple:

    Si un compte de service qui fait parti de ce groupe a besoin des droit d'administrateur local pour executer une tâche sur la machine en question, vous aurez certainement dans ce cas un problème !!! 

    A+



    Best Regards Don't forget to mark it as answer if it helps

    mardi 13 novembre 2012 16:18
  • Bonsoir,

    Effectivement, j'ai pensé à cette problématique du droit administrateur local, il faut je trouve une solution qui se limite uniquement à la restriction de l'accès via RDP

    Je pense à plusieurs possibilités :

     - Créer deux OU avec mes comptes ordinateur (serveurs), dans chacun d'eux j'applique des GPO. Comme paramètre, j'active le firewall bureau à distance que je limite à la plage ip des machines souhaitées. L'inconvenient, c'est que cela nécessite un redemarrage des serveurs pour l'appliquation de la GPO et il y en a un grand nombre.

    - La deuxième solution, c'est que j'execute un script (qui effectue la même modification que la GPO ) via l'outil sysinternal :  PSEXEC et normalement, cela ne doit pas nécessiter de redémarrage des serveurs.

    Merci de me donner votre avis

    Cdt

    mercredi 14 novembre 2012 22:17
  • Si l'on veut être admin que d'un serveur membre on crée un compte qui par défaut est utilisateur du domaine et on le rajoute dans le groupe local administrateurs du serveur concerné.


    A moins que j'ai mal compris l’énoncé ?

    Je n'ai pas compris le rapport avec RDP ? Tu mélange le droit ouvrir une session TS et le rôle administrer un serveur.

    jeudi 15 novembre 2012 19:28
  • Bonsoir,

    Je suis d'accord avec vous, sauf que les applications qui sont installées nécessitent des droits administrateur du domaine donc un simple utilisateur du domaine, ne suffira pas.

    Je me suis orienté sur le RDP car cette restriction, n'allait pas affecter le fonctionnement des serveurs.

    Mon champ d'action est très limité et en vue de toute ces contraintes, je crains qu'il n'y est pas de solution.

    Je vous remercie à tous de votre aide !

    Cdt,

    Romain

    dimanche 18 novembre 2012 21:21
  • En générale les éditeurs demandent systématiquement des droits admin, hors il suffit de connaitre les clé de registre et les dossier concernés pour que l'appli fonctionne en utilisateur simple.

    Dans ma boite on a une centaine d'appli dont une 20 vraiment métier, plein d'éditeur nous demande le droit admin afin de se simplifier la vie. Mais la on a basculer tout en 7, et on a imposer simple utilisateur à tous le monde,( moi y compris)

    A noter qu'un utilisateur du domaine peut être admin du serveur TS. Mais bon administrateur du domaine !

    Si tu as vraiment des appli utilisateurs qui ne peuvent fonctionner qu'avec admin du domaine, vire l'éditeur ...


    lundi 19 novembre 2012 13:10