none
DÉLÉGATION: Droits pour renommer un ordinateur dans l'AD, impossible. RRS feed

  • Discussion générale

  • Bonjour,

    Je suis bloquer sur un probleme, je souhaite fournir à un groupe d'utilisateurs la possibilité de déplacer/renommer des objets Ordinateur dans l'AD.

    Pour cela, je leur ai octroyé les droits  contrôle total(Full) sur les objets ordinateurs de l'AD (descendant) ainsi que les droits de suppression et création d'objets Ordinateurs dans les OUs.

    Pourtant en tentant de renommer un poste avec un compte de ce groupe, j'ai accès refusé.


    - Le compte utilisé est aussi administrateur local du poste à renommer.

    - C'est lui qui est aussi fournie lors de la demande d'authentification pour l’accès à l'AD pour le renommage (session ouverte sur le poste à renommer).

    - Les autorisations effectives sur l'objet ordinateur pour ce compte sont bien en "full accès" pour tous les attributs et propriétés de l'objet ordinateur en question.

    - L'OU contenant l'ordinateur, en plus des autorisations effectives de lecture, à aussi le création et suppression des objets ordinateurs (toujours pour ce même compte membre du groupe sur lequel les droits ont été appliqués).

    - Une tentative avec Netdom, donne également un accès refusé.

    - J'ai mis un audit sur les accès refusés à partir de l'OU pour ce compte,  je n'ai rien vu remonté, sauf si j'ai mal réalisé la mise en place de l'audit sur les objets de l'AD, je dirai qu'il n  ya rien de remonté.

    - Le déplacement et suppression de poste fonctionne bien pour les membres de ce groupe.

    - L'AD concerné un basé sur du 2012R2 avec 3 DCs.

    Si vous avez une idée à me fournir ou quelque chose que j'aurai oublié... j'aimerai éviter bien évidement de leur donner l’accès du domaine pour qui le renommage fonctionne.

    Merci d'avance

    mercredi 1 juillet 2015 09:51

Toutes les réponses

  • Avez vous essayer de créer une délégation de droit à partir de l'assistant ?

    Voir http://pbarth.fr/node/102

    mercredi 1 juillet 2015 10:53
    Modérateur
  • Pour info, 

    En utilisant un script VBS pour déplacer le poste au meme endroit, j'arrive à réaliser un pseudo renommage.
    Mais bien évidement le poste lui reste toujours localement avec l'ancien nom.
    Il se connecte malgré tout à l'AD correctement mais je pense parce que son SID n'a pas changé, le nom dans le DNS aussi.
    On se retrouve donc avec des incohérences de nom pour un meme objet, ca se rapproche mais c 'est pas propre, donc 'est pas ce que je souhaite.
    mercredi 1 juillet 2015 11:15
  • A Partir de l'assistant, Non.

    Mais je l'ai fais à la mano en appliquant les droits sur l'OU racine(+ OUs enfants) et sur les bons objets (ordinateurs) directement par l'onglet sécurité.

    D'ailleurs, par défaut, il n y a pas de délégation juste pour le renommage dans l'assistant de délégation, il est a créer dans le fichier template de déléguation, delegwiz.inf. 

    Une exemple ici du template possible
    (meme si je pense avoir fait mieux, car j'ai donné les droits full sur tous les attributs et propriétés d un objet ordinateurs et R/W sur les ordinateurs des OUs au groupe d'utilisateurs):

    ;-------------------------
    [template35]
    AppliesToClasses=domainDNS,organizationalUnit,container

    Description = "Rename a computer account"

    ObjectTypes = SCOPE, computer

    [template35.SCOPE]
    computer=CC

    [template35.computer]
    CONTROLRIGHT="Validated write to DNS host name","Account Restrictions","Reset Password","Validated write to service principal name"
    name=WP
    cn=WP
    dNSHostName=WP
    sAMAccountName=WP

    ;----------------------------------




    • Modifié West1602 mercredi 1 juillet 2015 11:29
    mercredi 1 juillet 2015 11:25