locked
Restriction des attributs des objet AD RRS feed

  • Question

  • Bonjour,

     

    Je souhaite restreindre l'utilisation de recherche AD qu'à des groupes de personnes bien précis (comme des informaticiens qui ont une delegation) et non à tous les utilisateurs du domaine.

     

    Exemple : avec d'utilisation de commandes get-adcomputer  ou get-aduser ou tout autre cmdlet de recherches que les utilisateurs peuvent utiliser depuis des PCs du domaine.

    Pour information, environnement education.

    Merci d'avance pour vos retours d'expériences

    Olivier

     

    lundi 30 janvier 2012 14:24

Réponses

  • Bonsoir,

    Pour supprimer la possiblite de lire les attributs des objets AD, vous pouvez aller au niveau du domaine / OU et supprimer la permission de lecture au niveau de l'onglet securite pour Tout le Monde. Donnez uniquement la permission de lecture pour les utilisateurs autorises.

    Notez que ceci peut faire des conflits avec des applications basees sur la lecture / modification des attributs de vos objets AD.




    This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.     

    Microsoft Student Partner 2010 / 2011
    Microsoft Certified Professional
    Microsoft Certified Systems Administrator: Security
    Microsoft Certified Systems Engineer: Security
    Microsoft Certified Technology Specialist: Windows Server 2008 Active Directory, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Network Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Applications Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows 7, Configuring
    Microsoft Certified Technology Specialist: Designing and Providing Volume Licensing Solutions to Large Organizations
    Microsoft Certified IT Professional: Enterprise Administrator
    Microsoft Certified IT Professional: Server Administrator
    Microsoft Certified Trainer

     

     


    Mon site web: http://www.ahmedmalek.com

    Pour suivre mes publications d'articles / tutoriels, devenez membre de cette page sur Facebook: http://www.facebook.com/TunisianIT

    • Marqué comme réponse Florin Ciuca mardi 31 janvier 2012 20:37
    lundi 30 janvier 2012 21:00
    Auteur de réponse
  • Bonsoir,

    on peut à la rigueur masquer certaines parties sensibles de l'annuaire, mais le fonctionnement normal d'un utilisateur et d'ordinateur dans un domaine consiste à pouvoir accéder à certaines informations. Bloquer ces accès, c'est forcément aller devant des problèmes aléatoires et difficilement prévisibles.

    Normalement, toutes les données importantes sont déjà protégées.

    En revanche, on peut réaliser un classement judicieux ! Par exemple, tous les ordinateurs et utilisateurs des élèves dans une OU. Tous les comptes des professeurs et leurs ordinateurs, les serveurs non nécessaires aux élèves peuvent être mis dans une autre OU.

    => alors des restrictions peuvent être mises sur cette OU à protéger.

    Mais les contrôleurs de domaine, les serveurs de fichiers et de messagerie, par exemple, doivent rester accessibles à tous.

    A bientôt,

     


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    • Marqué comme réponse Florin Ciuca mardi 31 janvier 2012 20:37
    lundi 30 janvier 2012 21:09

Toutes les réponses

  • Bonsoir,

    Pour supprimer la possiblite de lire les attributs des objets AD, vous pouvez aller au niveau du domaine / OU et supprimer la permission de lecture au niveau de l'onglet securite pour Tout le Monde. Donnez uniquement la permission de lecture pour les utilisateurs autorises.

    Notez que ceci peut faire des conflits avec des applications basees sur la lecture / modification des attributs de vos objets AD.




    This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.     

    Microsoft Student Partner 2010 / 2011
    Microsoft Certified Professional
    Microsoft Certified Systems Administrator: Security
    Microsoft Certified Systems Engineer: Security
    Microsoft Certified Technology Specialist: Windows Server 2008 Active Directory, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Network Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Applications Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows 7, Configuring
    Microsoft Certified Technology Specialist: Designing and Providing Volume Licensing Solutions to Large Organizations
    Microsoft Certified IT Professional: Enterprise Administrator
    Microsoft Certified IT Professional: Server Administrator
    Microsoft Certified Trainer

     

     


    Mon site web: http://www.ahmedmalek.com

    Pour suivre mes publications d'articles / tutoriels, devenez membre de cette page sur Facebook: http://www.facebook.com/TunisianIT

    • Marqué comme réponse Florin Ciuca mardi 31 janvier 2012 20:37
    lundi 30 janvier 2012 21:00
    Auteur de réponse
  • Bonsoir,

    on peut à la rigueur masquer certaines parties sensibles de l'annuaire, mais le fonctionnement normal d'un utilisateur et d'ordinateur dans un domaine consiste à pouvoir accéder à certaines informations. Bloquer ces accès, c'est forcément aller devant des problèmes aléatoires et difficilement prévisibles.

    Normalement, toutes les données importantes sont déjà protégées.

    En revanche, on peut réaliser un classement judicieux ! Par exemple, tous les ordinateurs et utilisateurs des élèves dans une OU. Tous les comptes des professeurs et leurs ordinateurs, les serveurs non nécessaires aux élèves peuvent être mis dans une autre OU.

    => alors des restrictions peuvent être mises sur cette OU à protéger.

    Mais les contrôleurs de domaine, les serveurs de fichiers et de messagerie, par exemple, doivent rester accessibles à tous.

    A bientôt,

     


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    • Marqué comme réponse Florin Ciuca mardi 31 janvier 2012 20:37
    lundi 30 janvier 2012 21:09