none
Limiter l'accès aux sous-dossiers C:\Users sous Windows 10 RRS feed

  • Question

  • Bonjour,

    J'ai une station de travail Windows 10 (MàJ 1709) avec un compte Administrateur local qui doit-être fonctionnel.  Cette machine est aussi jointe au domaine.  Certains utilisateurs du domaine utilisent cette machine (ils se loguent au domaine) en plus de l'utilisateur Administrateur local.

    Lorsque l'utilisateur Administrateur local utilise la machine, il est en mesure de faire des modifications aux différents dossiers de profiles (Ex. : C:\Users\AD-User1) de tous les utilisateurs qui se sont connectés au domaine en utilisant cette machine.

    Comment faire pour empêcher l'Administrateur local d'avoir accès aux dossiers locaux de profiles des utilisateurs du domaine.

    J'espère que la question est assez claire.  Mais si non, vous pouvez me demander des précisions.

    Merci.
    jeudi 22 février 2018 18:29

Réponses

  • Comment faire pour empêcher l'Administrateur local d'avoir accès aux dossiers locaux de profiles des utilisateurs du domaine.

    C'est impossible :tTechniquement, vous pourriez lui retirer les droits mais il sera toujours possible de forcer la reprise de contrôle (takown.exe et icacls.vbs). La bonne approche serait plutôt de désactiver le compte administrateur local (ou de remplacer son mot de passe avec LAPS) et de créer un compte du domaine ayant les privilèges voulu sur le système.

    Autre approche : mettre en œuvre une redirection de profiles vers un filer et restreindre l'accès au seul utilisateur propriétaire. De cette façon, l'admin local est "full-patate" sur la machine mais ne pourra pas voir le contenu des profiles utilisateurs (sauf AppData\LocalRoaming).


    jeudi 22 février 2018 19:35
  • Bonsoir,

    Je rejoint Loic sur la gestion du compte administrateur in-build SID-500. ce compte est créé automatiquement lors de l'installation de l'OS . Il est sensé d'être utilisé que pour configuration du poste de travail avant son intégration dans le domaine. Une fois intégré dans le domaine, il est recommandé de le désactiver pour de raison de sécurité et utiliser des comptes de domaine comme indiqué par Loic.

    Si vous n'êtes pas sur que ce compte est désactivé sur tous les postes de travail, dans ce cas il faut penser à protéger son de passe et pour cela LAPS est le bon candidat.

    LAPS est une solution gratuite qui permet de gérer d'une manière sécurisée la génération du mot de passe de passe de l'administrateur in-build ou un autre et le stocker dans un endroit sécurisé accessible que pour les utilisateurs autorisés.

    Pour avoir plus de détails sur cette solution , je vous invite à consulter mon blog:

    Gérer le mot de passe du compte d'administrateur local via LAPS

    Il faut pas aussi de contrôler les membres du groupe administrateur local pour supprimer les utilisateurs non autorisés et cela est possible via GPO grâce à l'option groupe restreint. 


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 22 février 2018 22:19
    Modérateur

Toutes les réponses

  • Bonjour,

    L'administration local a le pouvoir totale sur la machine.

    A mon avis la bonne démarche est de supprimer ce droit à tout le monde. et cela est possible via GPO groupe restreints. 


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    jeudi 22 février 2018 18:35
    Modérateur
  • Comment faire pour empêcher l'Administrateur local d'avoir accès aux dossiers locaux de profiles des utilisateurs du domaine.

    C'est impossible :tTechniquement, vous pourriez lui retirer les droits mais il sera toujours possible de forcer la reprise de contrôle (takown.exe et icacls.vbs). La bonne approche serait plutôt de désactiver le compte administrateur local (ou de remplacer son mot de passe avec LAPS) et de créer un compte du domaine ayant les privilèges voulu sur le système.

    Autre approche : mettre en œuvre une redirection de profiles vers un filer et restreindre l'accès au seul utilisateur propriétaire. De cette façon, l'admin local est "full-patate" sur la machine mais ne pourra pas voir le contenu des profiles utilisateurs (sauf AppData\LocalRoaming).


    jeudi 22 février 2018 19:35
  • Bonsoir,

    Je rejoint Loic sur la gestion du compte administrateur in-build SID-500. ce compte est créé automatiquement lors de l'installation de l'OS . Il est sensé d'être utilisé que pour configuration du poste de travail avant son intégration dans le domaine. Une fois intégré dans le domaine, il est recommandé de le désactiver pour de raison de sécurité et utiliser des comptes de domaine comme indiqué par Loic.

    Si vous n'êtes pas sur que ce compte est désactivé sur tous les postes de travail, dans ce cas il faut penser à protéger son de passe et pour cela LAPS est le bon candidat.

    LAPS est une solution gratuite qui permet de gérer d'une manière sécurisée la génération du mot de passe de passe de l'administrateur in-build ou un autre et le stocker dans un endroit sécurisé accessible que pour les utilisateurs autorisés.

    Pour avoir plus de détails sur cette solution , je vous invite à consulter mon blog:

    Gérer le mot de passe du compte d'administrateur local via LAPS

    Il faut pas aussi de contrôler les membres du groupe administrateur local pour supprimer les utilisateurs non autorisés et cela est possible via GPO grâce à l'option groupe restreint. 


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 22 février 2018 22:19
    Modérateur