Restreindre l'accès aux fichiers des utilisateurs à certains administrateurs du domaine

Toutes les réponses

• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  Si j'ai bien compris le problème, il faut que seul 1 compte administrateur sur les 3 ait accès aux données de la direction.

  Solution ultra-simple :

  • tu créé un groupe "Administrateurs Pub" dans lequel tu mets des administrateurs du serveur de fichiers public
  • sur srv-file-priv, tu modifies les autorisations NTFS du dossier contenant les données privées : tu y ajoutes le groupe "Administrateurs Pub" avec Accès Refusé.
  • sur srv-file-priv, via une GPO, tu interdis "l'ouverture de session par les services de bureau à distance" et "l'ouverture de session locale" au groupe "Administrateurs Pub".

  Tes admins "publics" ne peuvent plus se connecter, et ne peuvent pas accéder aux données, même via le réseau. Tu conserves tes accès. Et il n'y a pas d'effets de bord au niveau Sauvegardes, services etc.

  ---

  Cordialement,

  Sylvain

  Blog : http://sylvaincoudeville.fr

  mercredi 11 mars 2015 10:19
• 

  

  1

  Connectez-vous pour voter

  Hello !

  A priori ça marche, il faut aussi modifier le mdp de l'administrateur local dans ce cas.

  Par contre si tu retires "Admins du domaine" de ton groupe local Administrateurs du serveur, il ne sert à rien d'ajouter ton compte "Admin2" membre "d'Admins du domaine" A la limite tu le laisses juste "Utilisateur du domaine" et tu l'ajoutes simplement dans le groupe local "Administrateurs".

  Par contre cela n'empêche pas un administrateur de l'AD de reset le mdp pour se connecter avec ton compte.

  Pas plus simple de mettre en "Deny" les accès sur le répertoire privé ?

  mercredi 11 mars 2015 10:26
• 

  

  1

  Connectez-vous pour voter

  Effectivement, les administrateurs peuvent réinitialiser le mot de passe d'un administrateur ayant plus de privilèges, en tout cas, de base :

  • mais cela va se voir lorsque l'administrateur va voir que son mot de passe aura été changé
  • cela laissera des traces dans les journaux si tu as activé l'audit

  Pour te prémunir de cela :

  • Tu créés une OU dans laquelle tu va mettre tes groupes "administrateurs du domaine", "administrateur de l'entreprise", "Direction" etc.
  • Tu crées une OU dans laquelle tu va mettre les comptes sensibles : les comptes de la direction, les comptes d'administrateurs public
  • Tu interdis la délégation à ces administrateurs sur ces OU
  • Comme ça, ils ne peuvent pas se rajouter dans un groupe, ni modifier le mot de passe d'un compte sensible

  ---

  Cordialement,

  Sylvain

  Blog : http://sylvaincoudeville.fr

  mercredi 11 mars 2015 10:39
• 

  

  1

  Connectez-vous pour voter

  Merci pour cette réponse.

  Je n'ai pas été très clair : Il y a 3 PERSONNES qui disposent du mot de passe pour LE SEUL compte utilisateur "DOMAINE\Administrateur".

  C'est pour ça que je parlais de créer un compte "DOMAINE\Administrateur2" sans leur donner le mot de passe cette fois.

  mercredi 11 mars 2015 13:08
• 

  

  1

  Connectez-vous pour voter

  Concernant les effets de bord, sans parler "sauvegardes" ou "services", c'est ton "etc." qui m'intéresse, tu penses à des choses en particulier ?

  J'ai lu quelque part que si je retirais le groupe "admins du domaine" du groupe local de mon serveur de fichiers "administrateurs", ce serveur sortirai du domaine !!! Je n'ai pas fait le test et je ne sais pas si c'est vrai, mais j'ai un doute...

  Cordialement.

  mercredi 11 mars 2015 13:23
• 

  

  1

  Connectez-vous pour voter

  Merci pour cette réponse.

  Je ne tiens pas trop à jouer avec les permissions NTFS parce qu'elles sont très facile à modifier et pas simple facile à surveiller je trouve même si on peut activer l'audit.

  Je vais sûrement surveiller la modification du mot de passe du compte AD "administrateur2"

  Cordialement.

  mercredi 11 mars 2015 13:26
• 

  

  1

  Connectez-vous pour voter

  Bonjour

  Je ne sais pas si cela peux t'aider, mais j'ai rencontrer ce problème lors d'un mandat. En fait, un administrateur, c est pas facile de l’empêcher, car il pourra toujours modifier les mot de passe etc.. Ok il ce ferra pincer et encore. Du coup, tu perds aussi les informations qui y a accéder etc.

  La solution que nous avions mit en place c'étais le système RMS de Microsoft.

  J'ai fait un article dessus si cela peux vous aider.

  http://www.frbmg.com/installation-et-configuration-dun-serveur-rms/

  Francis Bonnamour

  

  www.frbmg.com

  mercredi 11 mars 2015 17:46
• 

  

  1

  Connectez-vous pour voter

  Il vaut mieux modifier les permissions ntfs que de faire cela :

   Sur "Srv-File-Priv", retirer le groupe "Admins du domaine" du groupe local "Administrateurs"

  - Sur "Srv-File-Priv", ajouter l'utilisateur du domaine "administrateur2" dans le groupe local "Administrateurs"

  Je te déconseille de supprimer admin du domaine du groupe local administrateurs sur le serveur, tout comme utilisateurs du domaines dans le groupe utilisateur.

  En générale on mets plutôt des comptes d'administrateurs nominatif et on mets en place un audit sur les ressources et sur les comptes. On bloque l'accès aux dossiers,si l'administrateur modifie un élément de sécurité cela sera tracé.

  De plus si une personne ne doit gérer par exemple que des comptes ou réinitialiser les mots de passe (c'est un exemple) on ne le mets pas admin du domaine mais on crée une délégation de droit sur l'AD par exemple pour un groupe "admin de compte" nouvellement créer. On peut également affecter les permissions NTFS de CT a ce groupe et que sur les ressources utiles.

  Pour le compte administrateur par défaut tu mets un mot de passe très complexe, tu le mets dans une enveloppe fermée dans le coffre en cas d'urgence. Si l'enveloppe est ouverte tu dois rechanger de mot de passe. Chacun doit utiliser son compte nominatif.

  En générale c'est beaucoup plus dur à gérer si on part du principe de mettre les droits maximales, puis spécifiquement des interdictions. Cela donne vite des casse têtes...

  • Modifié Philippe BarthMVP mercredi 11 mars 2015 18:08

  mercredi 11 mars 2015 18:05
• 

  

  1

  Connectez-vous pour voter

  Bonjour

  Je ne sais pas si cela peux t'aider, mais j'ai rencontrer ce problème lors d'un mandat. En fait, un administrateur, c est pas facile de l’empêcher, car il pourra toujours modifier les mot de passe etc.. Ok il ce ferra pincer et encore. Du coup, tu perds aussi les informations qui y a accéder etc.

  La solution que nous avions mit en place c'étais le système RMS de Microsoft.

  J'ai fait un article dessus si cela peux vous aider.

  http://www.frbmg.com/installation-et-configuration-dun-serveur-rms/

  Francis Bonnamour

  

  www.frbmg.com

  Merci pour cette piste (RMS).

  Mais bien entendue, je ne vais certainement avoir aucun budget pour trouver une solution donc entre les CAL RMS et les ressources systèmes supplémentaires... Ça ne passera pas :-(

  PS : Je vais quand-même l'étudier pour ma veille techno.

  jeudi 12 mars 2015 07:57
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  Ce qui m'embête un peu, c'est que je ne vois pas en quoi c'est un problème de supprimer "admins du domaine" du groupe local "administrateurs" sur le serveur.

  Car de base, il n'y a que le compte "domaine\administrateur" qui est dans le groupe "admins du domaine". Donc sauf erreur de ma part, ça ne pose pas de problème particulier...

  Quelqu'un aurait-il plus de précisions SVP ?

  Merci d'avance.

  vendredi 13 mars 2015 08:37
• 

  

  2

  Connectez-vous pour voter

  Domain Admins are, by default, members of the local Administrators groups on all member servers and workstations in their respective domains. This default nesting should not be modified for supportability and disaster recovery purposes. 

  Voir : https://technet.microsoft.com/fr-fr/library/dn487454.aspx

  Il est préférable de créer ses propres groupe de sécurité et d'y affecter les éléments utiles plutôt que de prendre un groupe système et de bloquer des éléments, déjà par ce qu'il est difficile de penser à tous les éléments où ce groupe pourrai être utilisé.

  Après c'est un choix, souvent fait par ce que admins du domaine est un groupe de "noblesse" dans certaine boite  ou par ce que l'on ne sait pas gérer les délégations de droits.

  Par défaut le compte administrateur ne devrait pas être utilisé n'importe ou, comme par exemple pour le fonctionnement de service. Il devrait être sécurisé car il est défois la porte de sortie sur une grosse tuile. Tous comme le mot de passe de restauration d'annuaire pour l'AD souvent négligé.

  
  
  

  • Modifié Philippe BarthMVP vendredi 13 mars 2015 10:22

  vendredi 13 mars 2015 09:50
• 

  

  1

  Connectez-vous pour voter

  Domain Admins are, by default, members of the local Administrators groups on all member servers and workstations in their respective domains. This default nesting should not be modified for supportability and disaster recovery purposes. 

  Voir : https://technet.microsoft.com/fr-fr/library/dn487454.aspx

  Il est préférable de créer ses propres groupe de sécurité et d'y affecter les éléments utiles plutôt que de prendre un groupe système et de bloquer des éléments, déjà par ce qu'il est difficile de penser à tous les éléments où ce groupe pourrai être utilisé.

  Après c'est un choix, souvent fait par ce que admins du domaine est un groupe de "noblesse" dans certaine boite  ou par ce que l'on ne sait pas gérer les délégations de droits.

  Par défaut le compte administrateur ne devrait pas être utilisé n'importe ou, comme par exemple pour le fonctionnement de service. Il devrait être sécurisé car il est défois la porte de sortie sur une grosse tuile. Tous comme le mot de passe de restauration d'annuaire pour l'AD souvent négligé.

  
  
  

  Merci pour ces explications et surtout pour ce lien très utile !

  Du coup, je pense faire ça :

  - Laisser les groupes comme ils étaient de base (parce que "This default nesting should not be modified for supportability and disaster recovery purposes")

  - Suivre les étapes "Step-by-Step Instructions to Secure Domain Admins in Active Directory" pour empêcher les membres du groupe "admins du domaine" de

  1. Accéder à cet ordinateur à partir du réseau
  2. D'ouvrir une session en tant que tâche
  3. D'ouvrir une session en tant que service
  4. D'ouvrir une session locale
  5. D'ouvrir une session par les services Bureau à distance

  - Ne même pas créer d'utilisateur "domaine\administrateur2"

  - Tout gérer sur le serveur de fichiers sensibles avec le compte utilisateur local "administrateur" dont je ne donnerai bien sûr le mot de passe à personne

  Qu'en pensez-vous ? C'est viable ou pas ?

  
  

  Merci d'avance.

  
  

  • Modifié Fred Dy lundi 16 mars 2015 15:56 précisions

  vendredi 13 mars 2015 13:16
• 

  

  1

  Connectez-vous pour voter

  Up - please :-)

  mardi 17 mars 2015 15:25
• 

  

  1

  Connectez-vous pour voter

  Non, ce n'est toujours pas bon.

  Ton admin de domaine ne pourra plus rien faire sur ce serveur.

  Nous t'avons donné la solution :

  • Tu changes le mot de passe "administrateur" du domaine
  • Tu verrouilles tes comptes sensibles (administrateur, direction etc.) en les mettant dans une OU à part
  • Tu délègues les tâches d'administration à tes autres administrateurs via des comptes admin2, admin3, etc. dans les OU où se trouvent les utilisateurs
  • En prime, tu refuses l'accès à admin2, admin3 etc. sur le serveur Privé pour les privilèges cités au dessus (accéder à cet ordinateur à partir du réseau, ouvrir une session en tant que tâche etc...)

  Là, ça me semble propre et surtout sans aucun effet de bord !

  ---

  Cordialement,

  Sylvain

  Blog : http://sylvaincoudeville.fr

  mardi 17 mars 2015 15:33
• 

  

  0

  Connectez-vous pour voter

  Dommage !

  Je ne peux pas garder le mot de passe "administrateur" du domaine pour moi.

  Je vais donc plutôt me tourner vers les permissions NTFS et l'audit d'accès aux fichiers. C'est un compromis.

  Je constate que je cherchais une solution de grand compte alors que nous ne sommes qu'une petite structure.

  Merci à tous pour vos réponses.

  Cordialement.

  mercredi 18 mars 2015 10:03
• 

  

  0

  Connectez-vous pour voter

  J'ai encore une petite question liée :

  - Peut-on désactiver le partage administratif d'un lecteur (D$) sans désactiver C$, IPC$ etc. ?

  Merci d'avance.

  
  
  

  • Modifié Fred Dy mercredi 18 mars 2015 10:45 Faute d'orthographe

  mercredi 18 mars 2015 10:44
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  tu vas dans gestion de l'ordinateur, ensuite tu vas dans dossiers partagés, tu fais un clic droit sur le partage que tu veux arrêter et tu cliques sur "arrêter le partage"tu valides, puis tu redémarres le service serveur.

  Cordialement.

  mercredi 18 mars 2015 11:06
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  tu vas dans gestion de l'ordinateur, ensuite tu vas dans dossiers partagés, tu fais un clic droit sur le partage que tu veux arrêter et tu cliques sur "arrêter le partage"tu valides, puis tu redémarres le service serveur.

  Cordialement.

  
  Heu non, au redémarrage du serveur ou du service "server", le partage administratif D$ se recré.

  mercredi 18 mars 2015 12:24
• 

  

  0

  Connectez-vous pour voter

  Bonjour les solutions de Sylvain me semblent appropriées en répondant à ces exigences.

  Toutefois, il est indispensable pour moi, de créer des comptes d'administrateurs du domaine nominatifs (adm.pnom@tonsuffixeUPN).

  Comme dit précédemment, cela te permettra de tracer si tu actives l'audit, et jouer avec des groupes que tu créés sans pour autant modifier ceux par défaut.

  mercredi 18 mars 2015 21:48
• 

  

  0

  Connectez-vous pour voter

  Le plus simple est de mettre un mot de passe administrateur très complexe et de le mettre dans une enveloppe fermé dans le coffre. Toutes les personnes concernées auront le même niveau d'accès à ce mot de passe sans frustration et personne ne l'utilisera discrètement. Pour l'usage courant chacun a son compte avec les bonnes délégations et les bons groupes.

  Retirer des droits au groupe admins du domaine ou à l'administrateur par défaut n’empêchera pas les autres utilisateurs du compte admin, par contre tu risques d'être bloqué dans une situation d'urgence. Idem supprimer les partages administratifs ne généra vraiment que celui qui dépanne dans une situation d'urgence, les autres ont le temps de trouver un contournement.

  Il est possible de renommer le compte administrateur par défaut et d'en créer un autre.

  https://support.microsoft.com/en-us/kb/816109

  jeudi 19 mars 2015 05:30