locked
Probleme compte AD RRS feed

  • Question

  • Bonjour,

    J'ai un comportement étrange sur certains comptes de mon AD et notemment le mien.

    Cela represente 5 utilisateurs environ sdonc pas enorme mais j'aimerai comprendre.

    Il se trouve que la case à coché "Inclure les autorisations pouvant être héritées du parent de cet objet" est décochée. 

    Je coche donc cette case applique les modifications ... reviesn 5 minutes plus tard c'est OK.... et au bout d'un certain temps que je qualifie de tres court (moins de 2 heures au plus long) et bien pas la case se retrouve décochée.

    J'ai eu beau déplacé mon compte à droite ou a gauche rien n'y fait. J'ai créé un compte tout frais et il n'y a pas de soucis enfin je n'ai pas essayé de décoché la case pour voir si'l la recochait d'office.

    Auriez vous une idée je seche un peu sur ce coup la.

    MErci par avance

    Eric

    vendredi 16 mars 2018 11:40

Réponses

Toutes les réponses

  • Si tu veux avoir des infos il faudrait activer l'audit sur les objets AD :

    http://pbarth.fr/node/136

    Sinon les 2 cas les plus problèmes sont la modification des comptes à cause d'un traitement ou une modification d'un autre admin.

    vendredi 16 mars 2018 11:48
  • Bonjour,

    Comme indiqué par Philippe , il faut activer l'audit active directory pour avoir une trace sur chaque modification d'un compte AD qui pourra vous aider à déterminer la source du problème.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    vendredi 16 mars 2018 12:31
    Auteur de réponse
  • Pris par mon problème,n je n'ai pas eu le reflex de l'audit.

    C'est mis en place j'attends avec impatience la ou les traces.

    Pour information je suis le seul administrateur. Pour le reste je n'ai rien qui aille modifier les comptes.

    Je vous tiens informé du résultat.

    Merci pour l'orientation

    Eric

    vendredi 16 mars 2018 13:32
  • He bien il n'y a rien eu du tout. J'ai deux DC et aucun des deux n'a eu trace d'une modification.Je vais voir ce qu'il y a comme audit possible au niveau de l'AD.

    ---------------------------------------------------------------

    Une petite suite de mes investigations

    j'ai recommencé la manipulation en élargissant un peu l'audit et toujours rien. Par contre je situe la modification à environ 35 minutes apres avoir coché la case.

    Eric


    • Modifié Blin Eric vendredi 16 mars 2018 15:18
    vendredi 16 mars 2018 14:01
  • J'ai avancé sur le sujet et non grace à l'audit qui a su rester muet.

    En effectuant des recoupements entre ces 5 comptes j'ai pu m'apercevoir qu'ils faisaient partis de même groupe ou groupe similaire.

    Pour trois d'entre eux ils étaient membres du groupe "Operateurs de sauvegarde" en les supprimant de ce groupe cela a corriger le problème.

    Pour les deux restants ce sont les 2 admins du domaine entre autre. Je vais simplifier pour voir mais je suppose que c'est lié.

    MAintenant je n'ai pas mis la main sur ce qui faisait qu'en ayant des pouvoirs un peu plus poussé on en arrive la ?

    Si quelqu'un a des idees à ce sujet je suis un peu à court.

    Pour simplifier j'avais mis certains utilisateurs dans un OU fraifchement créée et donc absente de mes GPO ... 

    lundi 19 mars 2018 14:33
  • Voir les groupes protégés et AdminSDHolder 

    https://blogs.technet.microsoft.com/frmcsuc/2014/03/21/groupes-protgs-ad-adminsdholder/

    "Il est important de noter que cette ACL est très restrictive et qu’elle a pour effet secondaire de désactiver l’option d’héritage d’ACL qui proviendrait d’un niveau supérieur."
    lundi 19 mars 2018 14:59
  • Apres verifictaion c'est tout à fait ça.

    Je ne connaissais pas ce principe. C'est chose faite maintenant.

    En tout cas merci pour les informations.

    Ce thread peut être clos et solutionné en esperant que cela aidera quelqu'un.

    lundi 19 mars 2018 16:46