none
Bloquer la possibilité de sortir un ordinateur d'un domaine RRS feed

  • Question

  • Bonjour à tous,

    Existe-t'il un moyen de bloquer la possibilité de sortir un ordinateur d'un domaine à un utilisateur qui admin de son poste ?

    Via une GPO, un powershell ?

    Une clé dans la base de registre ?

    Merci d'avance pour vos réponses.

    Cordialement,

    Benjamin

    lundi 29 octobre 2018 13:21

Réponses

  • Bonjour,

    Vous prenez le problème à l'envers.

    Un utilisateur ne doit pas être administrateur de son poste et cela sera écrit dans toutes les documentations microsoft que vous pouvez trouver sur la sécurité.

    Je n'ai pas connaissance que cela soit possible. De plus, admetons que cela le soit. L'administrateur à tous les droits sur sa machine, donc si il trouvait ce qui l'empêche (clé de registre par exemple), il pourrait tout à fait la modifier / supprimer etc... Donc la solution ne serait pas viable.

    Concrétement, il vous faut changer de méthode d'administration. Si vous souhaitez avoir un environnement un minimum sécurisé et vous éviter de nombreux problèmes (les utilisateurs qui installent n'importe quo isur leur machine) il est nécessaire qu'ils ne soit que de simple utilisateurs de leur machine et en aucun cas possèdent des droits d'administrateur.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    • Marqué comme réponse Ben_40 mardi 30 octobre 2018 09:39
    lundi 29 octobre 2018 13:31

Toutes les réponses

  • Bonjour,

    Vous prenez le problème à l'envers.

    Un utilisateur ne doit pas être administrateur de son poste et cela sera écrit dans toutes les documentations microsoft que vous pouvez trouver sur la sécurité.

    Je n'ai pas connaissance que cela soit possible. De plus, admetons que cela le soit. L'administrateur à tous les droits sur sa machine, donc si il trouvait ce qui l'empêche (clé de registre par exemple), il pourrait tout à fait la modifier / supprimer etc... Donc la solution ne serait pas viable.

    Concrétement, il vous faut changer de méthode d'administration. Si vous souhaitez avoir un environnement un minimum sécurisé et vous éviter de nombreux problèmes (les utilisateurs qui installent n'importe quo isur leur machine) il est nécessaire qu'ils ne soit que de simple utilisateurs de leur machine et en aucun cas possèdent des droits d'administrateur.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    • Marqué comme réponse Ben_40 mardi 30 octobre 2018 09:39
    lundi 29 octobre 2018 13:31
  • Bonjour,

    Merci pour votre réponse.

    Les utilisateurs sont administrateurs de leur PC pour certains besoins logiciels qui nécessitent ces droits...
    Je doute que ce soit écrit dans toutes les docs Microsoft... C'est peut-être une préconisation, mais pas une finalité...

    Comme, en terme de droits c'est le plus restrictif qui l'emporte, je me disais qu'il y avait une solution de blocage (au moins de "premier abord", car je suis d'accord qu'en tant qu'admin du PC, on peut retrouver quasiment tous ses droits)... 

    Exemple, les paramètres du pare-feu Windows gérés par GPO... On a beau être administrateur du PC, Windows indique qu'ils "...sont gérés par l’administrateur système" du domaine... et les options sont grisées.


    Je laisse la discussion ouverte, si jamais quelqu'un a une idée.
    lundi 29 octobre 2018 14:32
  • Il existe différent niveau de privilège dans une infrastructure professionnelle avec Active directory.

    Je vais la simplifier mais en gros il y a :

    -Les administrateurs locaux des postes de travail

    -Les administrateurs locaux des serveurs

    -Les administrateurs du domaine

    Chaque niveau de privilège étant spécifique. Dans votre cas, un administrateur local au poste peut faire ce qu'il veut sur une machine. En effet, si une GPO vient s'appliquer, il y a des paramètrages qu'il ne pourra pas modifier directement. Rien ne l'empêche de sortir la machine du domaine pour mettre ensuite le réglage qu'il souhaite si il possède les droits...

    Assurez vous que vos application nécessites absolument des droits d'administrateur. Parfois le groupe utilisateur avec pouvoir leur est suffisant.

    Si vous application nécessite des droits d'administrateur local, malheureusement vous risquez d'être confronter à beaucoup de problème qui alourdissent l'administration... Il faut donc pouvoir mettre en place des GPO de restriction pour éviter que les postes de travail soient vulnérables...

    1) Il faut essayer de mettre en place des stratégie de types Applocker afin d'eviter que les utilisateurs puissent installer / utiliser des applications dont ils n'ont pas la nécessité.

    2) masquer tout ce qui pourrait nuire au fonctionnement du poste et qui ne leur est pas nécessaire (masquer tout ce qui est panneau de configuration etc...).

    3) Je vous souhaite beaucoup de courage pour arriver à gérer cela. C'est très chronophage pour arriver à homogénéiser cela uniquement car les utilisateurs sont administrateurs de leur machine... Il faut vraiment essayer de travailler avec l'editeur des application de façon à ce que l'appli soit utilisable sans être administrateur de la machine. Quitte à devoir ouvrir des droits sur certains répertoires système.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    lundi 29 octobre 2018 14:52
  • Merci pour vos conseils. C'est vrai qu'idéalement, si on peut éviter qu'ils soient admin du PC.

    Mais le pool d'utilisateurs concernés est consciencieux et averti... En cas d'abus et dysfonctionnements => remasterisation du PC (par déploiement).

    Quant aux éditeurs de logiciels, ça prend aussi beaucoup de temps.

    De plus, une solution qui fonctionne un jour, n'est pas garantie après des mises à jour critiques / de sécurité MS... (je le sais par expérience).

    Et là aussi, on perd un temps fou... Et dans ce cas, ce n'est pas un seul utilisateur qui est touché...

    C'est un choix, une stratégie... Et même un parti pris. 

    lundi 29 octobre 2018 15:26
  • Bonsoir,

    à partir du moment où l'utilisateur a les droits "administrateur" localement, il peut modifier sa machine pour qu'elle n'appartienne plus au domaine, par exemple en intégrant un autre domaine.

    Concrètement, il n'a aucun droit au niveau du domaine. L'objet "ordinateur" dans l'ancien domaine n'est pas modifié et ne peut pas être modifié par l'administrateur local, néanmoins le mal est fait.

    En fait, les logiciels nécessitant des droits particuliers peuvent quasiment TOUS fonctionner sans les droits "administrateurs". Il "suffit" de trouver les clés de registres et dossiers que cette application doit avoir le droit de créer, modifier voire supprimer pour qu'elle fonctionne.

    => Malheureusement, cette étape peut être très longue, surtout lorsque l'éditeur n'indique aucune piste. J'ai par exemple travaillé sur l'application Business Object qui PEUT fonctionner sans droits administrateurs, mais la préconisation de l'éditeur est de donner au minimum les droits "utilisateurs avec pouvoir".

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    lundi 29 octobre 2018 16:51
  • Bonjour,

    Merci pour vos réponses.

    De mon coté, cela concerne des "usines à gaz" éditées par Dassault System, National Instrument... 

    En tous cas, c'est noté comme quoi ce n'est pas possible.

    Merci,

    À bientôt.

    mardi 30 octobre 2018 09:37