Remove From My Forums

Mister Active Directory DAC

Question
0

Connectez-vous pour voter
Salut tout le monde,

mon infra est la suivante un DC et plusieurs postes, j'ai mis en place le DAC sur le DC, pas de problème tout fonctionne bien, mais quand je change un élément dans l'attribut qui permet l'accès, supposons le service devrait être standard, je mets standard1. cela prend du temps pour fonctionner sur l'accès malgré les refresh, repadmin, gpupdate etc....

pourtant dans le powershell et dans dsa l'utilisateur prend bien la bonne valeur qui l'empêche ou l'autorise à accéder à la règle mais le changement n'est pas immédiat, du à quoi je sais pas !!! aucune documentation sur le net, j'ai séché

Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Modifié M dakhama jeudi 12 novembre 2020 19:04
jeudi 12 novembre 2020 19:00

Réponse

|

Citation

Réponses

1

Connectez-vous pour voter
Tu peux détailler les manip que tu fais ? pas tout compris sur la question .

mais le dac à besoin de 15 min pour que cela se modifie

C'est a dire ? ce n'est pas le DAC qui vérifies que tu as le droit d'accéder à une ressource, mais le serveur de ressource qui regarde dans le ticket Kerberos (que le KDC t'a fournis) les groupes et les claims qui sont présent.

La modification est prise en compte quand le ticket est renouvelé. Un ticket actif non échue peut autoriser ou empecher pendant un delata l'accès à une ressource.

Le rôle du DAC est de fournir des règles pour ajouter des identifiants de sécurité dans les tickets Kerberos.

Klist en ligne de commande pour afficher tes tickets Kerberos.

Whoami /claims devrait permettre d'afficher les revendications (claims) de la session.
- Modifié Philippe BarthMVP vendredi 13 novembre 2020 11:28
- Marqué comme réponse Nedeltcho PopovMicrosoft contingent staff mardi 8 décembre 2020 08:16
vendredi 13 novembre 2020 10:39

Réponse

|

Citation
0

Connectez-vous pour voter
en fait je récapitule,

le DAC est configuré sur mon AD, y a qu'un seul AD, je suis logué avec Mehdi qui est admin du domaine.

quand je teste l'accès au dossier par l'onglet sécurité, Accès effectif avec un autre utilisateur, toujours connecté en tant que mehdi, par exemple : user1 le résultat m'affiche que l'utilisateur a accès, puisque la règle match.

maintenant toujours avec ma propre session et toujours dans l'AD si je modifie l'attribut exprès de user1 pour que je le bloque, il aura toujours accès durant 15min le temps que la modification soit effective, et cela est du à quoi je sais pas, car avec powershell je vois parexemple que user1 à pris la nouvelle valeur dans l'attribut.

klist et Whoami donne le résultat de mehdi, mais moi j'ai testé sur user1. en fait les changements dans l'ad ont besoin de 15 min sur le même AD, sachant qu'il y a qu'un seul AD !!! et je n'ai touché à rien ni site ni réplication ni rien, j'avais forcer la réplication avec les commandes repadmin etc... gpupdate rien

15min c'est 15min
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Marqué comme réponse Nedeltcho PopovMicrosoft contingent staff mardi 8 décembre 2020 08:16
vendredi 13 novembre 2020 14:24

Réponse

|

Citation

Toutes les réponses

0

Connectez-vous pour voter

l'utilisateur à ici l'attribut standard1 qui ne devrait pas lui permettre d'accéder au dossier, mais cela ne va pas s'appliquer quoique je fasse, avant une durée de 15 min minimum, est ce que c'est le catalogue globale qui a changé et le dac interroge un autre annuaire interne ??

mon hypothèse : le DC interroge un annuaire que nous voyons pas par commande ? ou console ? car j'ai un seul AD ? qui peut nous résoudre cette énigme
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

jeudi 12 novembre 2020 19:04

Réponse

|

Citation
0

Connectez-vous pour voter
Bonjour,

J'avais souvent le problème dans mes proof of concept DAC.

Voila une méthode qui marche a chaque fois.

Cela pour n'importe quelle modification du DAC.

Pour le rafraichissement du DAC instantanément, il faut :

GPUPDATE /force sur le DC

GPUDAPTE /force sur le/les serveur de fichier

GPUPDATE /force sur le/les clients

+

Commande à taper en POWERSHELL sur le serveur de fichier ou il y a FSRM (classification) :

Update-FsrmClassificationPropertyDefinition

Remarque

Il faut les GPO KDC + STRATEGY ACCES au niveau du domaine.

"Marquer comme réponse" les réponses qui ont résolu votre problème
- Modifié Jérôme Sanchez (BLUEINFO) jeudi 12 novembre 2020 20:01
jeudi 12 novembre 2020 19:08

Réponse

|

Citation
0

Connectez-vous pour voter

Voila je confirme après 15 min le dac, c'est rafraichit, et les droits ont disparus eux même, si cela peut aider quelqu'un d'autre, philippe on attend une explication !!! need help

le dac s'appuis sur le GC ? c'est quoi ce délire

Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

jeudi 12 novembre 2020 19:10

Réponse

|

Citation
0

Connectez-vous pour voter

Voila un lien qui peut être t'aidera :

https://www.e-novatic.fr/mise-en-oeuvre-dynamic-access-control/

"Marquer comme réponse" les réponses qui ont résolu votre problème

jeudi 12 novembre 2020 20:01

Réponse

|

Citation
0

Connectez-vous pour voter

Merci beaucoup jerome pour ta réactivité, en fait le dac fonctionne super bien, j'ai la doc officielle de Microsoft et je l'ai fait pour des stagiaires aujourd'hui, y a aucun problème ladessus, ce que je voulais savoir pourquoi il faut attendre 15min pour que les attributs ad soient appliqués ! Alors que le dac et ad sont sur le meme serveur, seul un génie d'ad peut répondre à cette question.

J'ai tout essayé toutes les commandes
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

jeudi 12 novembre 2020 21:02

Réponse

|

Citation
1

Connectez-vous pour voter
1- )Le DAC utilise Kerberos pour ajouter les informations de classifications en tant qu'identifiant de sécurité. Une modifications est prise en compte après le renouvellement du ticket Kerberos.

C'est le ticket kerberos qui permet d'accéder à la ressource.

2-) De plus dans des environnements complexe, les temps de réplications peuvent également ajouté un délai à la prise en compte de la modification.
- Modifié Philippe BarthMVP vendredi 13 novembre 2020 11:37
vendredi 13 novembre 2020 05:41

Réponse

|

Citation
0

Connectez-vous pour voter

Salut Philippe,

Merci pour la réponse, c'est ce que je me suis dit.

Mais la je suis sur l'ad lui même, qui est KDC, et j'essaies avec l'onglet accès effectifs avec d'autres users pas celui avec lequel j'ai ouvert la session, quand je modifie un attribut sur l'ad d'un user, la modification est immédiate, sur le dsa et powershell, mais le dac à besoin de 15 min pour que cela se modifie ??

On dirait le serveur AD n'interroge pas l'annuaire que nous voyons peut etre une copie en attendant un rafraîchissement !!
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

vendredi 13 novembre 2020 08:53

Réponse

|

Citation
1

Connectez-vous pour voter
Tu peux détailler les manip que tu fais ? pas tout compris sur la question .

mais le dac à besoin de 15 min pour que cela se modifie

C'est a dire ? ce n'est pas le DAC qui vérifies que tu as le droit d'accéder à une ressource, mais le serveur de ressource qui regarde dans le ticket Kerberos (que le KDC t'a fournis) les groupes et les claims qui sont présent.

La modification est prise en compte quand le ticket est renouvelé. Un ticket actif non échue peut autoriser ou empecher pendant un delata l'accès à une ressource.

Le rôle du DAC est de fournir des règles pour ajouter des identifiants de sécurité dans les tickets Kerberos.

Klist en ligne de commande pour afficher tes tickets Kerberos.

Whoami /claims devrait permettre d'afficher les revendications (claims) de la session.
- Modifié Philippe BarthMVP vendredi 13 novembre 2020 11:28
- Marqué comme réponse Nedeltcho PopovMicrosoft contingent staff mardi 8 décembre 2020 08:16
vendredi 13 novembre 2020 10:39

Réponse

|

Citation
0

Connectez-vous pour voter
en fait je récapitule,

le DAC est configuré sur mon AD, y a qu'un seul AD, je suis logué avec Mehdi qui est admin du domaine.

quand je teste l'accès au dossier par l'onglet sécurité, Accès effectif avec un autre utilisateur, toujours connecté en tant que mehdi, par exemple : user1 le résultat m'affiche que l'utilisateur a accès, puisque la règle match.

maintenant toujours avec ma propre session et toujours dans l'AD si je modifie l'attribut exprès de user1 pour que je le bloque, il aura toujours accès durant 15min le temps que la modification soit effective, et cela est du à quoi je sais pas, car avec powershell je vois parexemple que user1 à pris la nouvelle valeur dans l'attribut.

klist et Whoami donne le résultat de mehdi, mais moi j'ai testé sur user1. en fait les changements dans l'ad ont besoin de 15 min sur le même AD, sachant qu'il y a qu'un seul AD !!! et je n'ai touché à rien ni site ni réplication ni rien, j'avais forcer la réplication avec les commandes repadmin etc... gpupdate rien

15min c'est 15min
Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi
- Marqué comme réponse Nedeltcho PopovMicrosoft contingent staff mardi 8 décembre 2020 08:16
vendredi 13 novembre 2020 14:24

Réponse

|

Citation

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

Mister Active Directory DAC

Question

Réponses

Toutes les réponses