locked
opérateur de compte probléme RRS feed

  • Question

  • Bonjour

    je voudrai exposé un problème sur les ''opérateur de compte' je suis en phase de migration des systèmes XP vers windows 7 avec un AD sous Windows server 2003 sp2. je suis seul opérateur de compte mais je découvre que n'importe quel autre utilisateur peux configurer sous windows 7 un poste en réseau??  puis je savoir si quelqu'un a déjà rencontrer un problème identique et la solution adéquate si possible. merci d"avance pour vos conseil.

     


    layali

    j'ai pas de réponse ai je mal exprimé mon problème?
    • Modifié layalis vendredi 20 mars 2015 19:46
    samedi 14 mars 2015 20:56

Réponses

Toutes les réponses

  • Bonjour, oui je pense qu'il faudrait plus de précision sur votre problème.

    Sur un domaine AD 2003, un utilisateur du réseau peut intégrer un pc sur le domaine.

    Du moment qu'il entre son user et son password.

    Ensuite les possibilités dépendent des stratégies de groupe.

    Cdlt.

    mardi 24 mars 2015 00:47
  • Bonjour

    je voudrai exposé un problème sur les ''opérateur de compte' je suis en phase de migration des systèmes XP vers windows 7 avec un AD sous Windows server 2003 sp2. je suis seul opérateur de compte mais je découvre que n'importe quel autre utilisateur peux configurer sous windows 7 un poste en réseau??  puis je savoir si quelqu'un a déjà rencontrer un problème identique et la solution adéquate si possible. merci d"avance pour vos conseil.


    layali

    j'ai pas de réponse ai je mal exprimé mon problème?

    Bonjour,

    Je confirme la réponse de Grégory : par défaut un compte de domaine a le droit d'effectuer 10 jonctions au domaine.

    Mais les privilèges s'arrêtent là.

    Si tu veux "empêcher" les utilisateurs d'ajouter des machines au domaine, j'ai un astuce :

    • Tu créés une OU spécifique qui hébergera les machines "jointes au domaine" par des users classiques (par exemple : Ordinateurs_Blacklist)
    • Sur ton DC, tu tapes la commande suivante :
    redircmp ou=Ordinateurs_Blacklist,dc=domaine,dc=local

    Avec cette commande, lors d'une jonction au domaine, les comptes d'ordinateur arriveront dans cette OU.

    Il ne te reste plus qu'à créer un GPO sur cette OU pour bloquer complètement le fonctionnement des machines situées dedans (par exemple), ou interdire l'ouverture de session aux "Utilisateurs du domaine" sur ces machines.

    Lorsque toi, en tant qu'administrateur, tu ajouteras du machines au domaine :

    • soit tu créés le compte d'ordinateur dans la bonne OU manuellement
    • soit tu déplaces le compte d'ordinateur dans la bonne OU

    Espérant que cela répondra à ta question.


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr


    mardi 24 mars 2015 07:39
  • Bonjour 

    Merci pour vos réponses et j'essaierai votre proposition Sylvain. précision utile dans l'actuel organisation tout les nouveaux comptes vont dans le conteneur "Computers" donc pour moi c'est la seul possibilité de vérification des nouveaux comptes. Dans les propriétés du conteneurs et dans le volet sécurités il est bien dit que les utilisateurs authentifiés peuvent:

    liste le contenu;

    lire les propriétés

    mais la "création de compte ordinateur" n'est pas cocher??

    par contre pour les "opérateurs de comptes" l'option "création de compte ordinateur" elle est cocher

    j aimerai comprendre comment cela se fait même avec cette aspect de sécurité?? et quel est alors le rôle du groupe "opérateurs de comptes" si tout le monde peu joindre un pc au domaine??? même si c'est pour 10 possibilités??

    cordialement

     


    layali

    mardi 24 mars 2015 08:47
  • J'ai fais quelques recherches entre temps.

    Tu peux bloquer cette fonctionnalité qui permet à un utilisateur du domaine de joindre 10 machines.

    Regardes sur ce site : https://bidouilleit.wordpress.com/2014/02/11/qui-peut-ajouter-un-ordinateur-dans-un-domaine-ad/


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    • Proposé comme réponse Sylvain COUDEVILLE mardi 24 mars 2015 08:58
    • Marqué comme réponse layalis mardi 24 mars 2015 09:13
    • Non marqué comme réponse layalis dimanche 5 avril 2015 09:24
    • Non proposé comme réponse layalis dimanche 5 avril 2015 09:24
    • Marqué comme réponse layalis jeudi 16 avril 2015 14:21
    mardi 24 mars 2015 08:58
  • Merci beaucoup pour le lien qui en dit beaucoup sur cette faille de sécurité.

    cordialement


    layali

    mardi 24 mars 2015 09:15
  • Bonjour

    j'ai suivi le lien   https://bidouilleit.wordpress.com/2014/02/11/qui-peut-ajouter-un-ordinateur-dans-un-domaine-ad/      et j'ai tester la premier partie de la solution (modification de la stratégie qui s'applique au contrôleur de domaine) en indiquant le groupe "operateur de compte". cela bien évidement n'a pas résolu le problème car il faut modifier le nombre de jonction au domaine de 10 à 0 avec la console ADSI que je ne retrouve pas ? peut on télécharger le msc? et son utilisation? merci d'avance pour vos réponse.


    layali

    jeudi 9 avril 2015 13:43
  • Bonjour,

    Windows Server 2003 je suppose ? Il faut enregistrer la DLL d'abord :

    Démarrer, Exécuter puis :

    regsvr32 adsiedit.dll

    Ensuite, Démarrer, Exécuter :

    adsiedit.msc
    


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    jeudi 9 avril 2015 14:09
  • Bonjour

    ni le adsiedit.Dll ni le adsiedit.msc n'existe. sont il téléchargeables

    cordialement    


    layali

    jeudi 9 avril 2015 14:52
  • Vous pouvez télécharger les Support Tools de Windows Server 2003 SP2 ici :

    http://www.microsoft.com/fr-fr/download/details.aspx?id=6315


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    • Proposé comme réponse Boris Ivanov mardi 14 avril 2015 13:40
    • Marqué comme réponse Boris Ivanov jeudi 16 avril 2015 09:14
    jeudi 9 avril 2015 15:02
  • ok merci je vais essayer.

    layali

    jeudi 9 avril 2015 15:28
  • Merci beaucoup résultat concluant.

    layali

    jeudi 16 avril 2015 13:55