locked
Problème de permission RRS feed

  • Question

  • Bonjour,

    Je m'occupe actuellement d'un active directory 2003.
    Et j'ai constaté que sur l'ensemble des objets présent le compte EVERYONE peut changer le mot de passe.

    Je me suis dit que ces pas possible. Alors j'ai fait des tests
    Avec un script avec "ObjUser.ChangePassword 'Exemple' 'exemple2' " exécuté depuis n'importe quel compte de l'AD changé le mot de passe du compte demandé.

    J'ai ensuite fais la même chose avec un script avec "ObjUser.SetPassword 'exemple3' " est la encore le mot de passe à changé.

    J'ai donc vérifié quand retirant Everyone des permissions du compte, que l'utilisateur peut encore changer son mot de passe.
    Tout fonctionne du moment qu'il y a la permission SELF pour le remplacer.

    Donc voici mes questions :

    - Est ce que j'ai loupé un épisode ou pas ?

    Si oui lire les autres questions sinon m'expliqué pourquoi on doit laisser Everyone ?
    - Est ce qu'il est possible d'éditer la template de sécurité de création des objets pour ne plus avoir Everyone automatiquement ? Si oui comment ?
    - Comment faire pour l'enlever de tous les objets déjà créé ?

    Merci
    • Déplacé swapnilpBanned jeudi 4 février 2010 01:21 Forum Consolidation (Origine :Windows Server 2003 – Services d’Annuaire)
    jeudi 13 décembre 2007 12:24

Toutes les réponses

  •  

    Bonjour,

     

    c'est un paramètre normal car nécessaire en cas d'oubli du mot de passe par l'utilisateur.

     

    cf. http://support.microsoft.com/kb/242795

     

    (Pour les autres, cf également la discussion que TheDjinhn  et moi avons eu sur un autre forum  Wink : http://www.forum-microsoft.org/topic100188.html )

     

    @+

    jeudi 13 décembre 2007 13:53
  •  bigstyle A écrit:

     

    Bonjour,

     

    c'est un paramètre normal car nécessaire en cas d'oubli du mot de passe par l'utilisateur.

     

    cf. http://support.microsoft.com/kb/242795



    Ok pour ca !!!

    Mais les utilisateurs lorsqu'ils ont un problème, il appel la hotline qui leur force le changement de mot de passe !!!
    donc everyone n'est pas obligatoire ?
    car en plus de everyone qui à le droit de changer le mot de passe, il y a aussi utilisateur authentifié !
    jeudi 13 décembre 2007 14:02
  •  

    Si tu pars du principe que seuls les hotliners sont autorisés à modifier le mot des utilisateurs alors effectivement tu peux supprimer le droit pour Everyone.

     

    Cependant, attends toi à voir la fréquence des appels fortement augmenter lorsque les mots de passe de tes utilisateurs arriveront à expiration et que ces derniers n'auront pas modifiés celui-ci avant cette date ...

     

     

    "Utilisateurs authentifiés" ne sera d'aucune utilité si l'utilisateur a attendu le dernier moment que le système le force à changer son mot de passe car à ce moment là l'utilisateur est considéré comme "anonyme".

     

    La modification que tu souhaites faire n'est pas recommandée par Microsoft et probablement pas supportée mais c'est à toi de voir Wink

    jeudi 13 décembre 2007 14:22