none
Droit Administrateur

    Question

  • Bonjour, 

    Je souhaite créer un compte local sur windows server 2012 qui permet d'administrer (créer, supprimer, modifier...) les utilisateurs active directory et les comptes mail dans exchange. 

    Merci pour votre aide, cordialement, 

    mercredi 13 décembre 2017 11:46

Réponses

  • +1 pour notre ami MCSE un peu perdu :)

    Pour reformuler ce qui a déjà été dit : un compte non membre du domaine ne peut pas se voir attribuer de privilège dans le domaine. C'est inhérent au contexte de sécurité d'une forêt. Mais, en revanche, la bonne pratique consiste à déleguer des privilèges  à un compte utilisateur du domaine.

    Dans votre cas, il semble que l'objectif soit de circoncire le périmètre des actions à un serveur précis : dans ce cas, créez un compte utilisateur du domaine (par exemple server01.user01@mon.domaine.lan), configurez ce compte pour qu'il soit autorisé à ouvrir une session exclusivement sur le serveur (server01 dans l'exemple) et assignez-lui les privilèges requis : pour la gestion des objets (type reset de mot de passe, etc) vous procéder à une délégation de privilège sur une OU, pour la gestion des services (exchange) vous l'ajouterez dans les groupes requis.

    Vous pouvez compléter l'opération avec du hardening (interdiction d'ajouter des softs, UAC, methode d'autrhentification, bloquer les accès et le partage de fichiers, etc.).

    mercredi 13 décembre 2017 14:00
  • Bonjour, 

    Merci pour votre réponse, je m'explique : j'ai un AD et un exchange sur un windows server 2012 qui sont fonctionnelle, maintenant je souhaite donner un accès à un autre utilisateur avec des droits limités qui lui permettent juste de créer des utilisateurs sur AD et exchange et non pas configurer les paramètres réseaux par exemple 

    Cordialement, 

    Il faut utiliser la délégation de contrôle Active Directory.

    M BARTH en parle ici.

    http://pbarth.fr/node/102


    Un MCSE un peu perdu...


    mercredi 13 décembre 2017 12:50
  • Bonjour, 

    Je souhaite créer un compte local sur windows server 2012 qui permet d'administrer (créer, supprimer, modifier...) les utilisateurs active directory et les comptes mail dans exchange. 

    Merci pour votre aide, cordialement, 

    Bonsoir,

    Ce n'est pas possible de déléguer à un compte local des droits pour gérer des comptes AD et des boites aux lettres.

    Il faut créer un compte de domaine, lui ajouter dans le groupe administrateur des serveurs en question et lui assigner les délégation AD et Exchange:

    Manage permissions for recipients

    Delegate Control of an Organizational Unit


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    jeudi 14 décembre 2017 00:01
    Modérateur

Toutes les réponses

  • Bonjour,

    Tu as un domaine ?

    NON tu n'auras pas d'Active Directory.

    OUI tu ne peux pas avoir de compte local sur l'AD.

    Pour info :

    Tu peux peux promouvoir ton Windows 2012 en Contrôleur de domaine.

    Après seulement tu pourra avoir un annuaire Active Directory et administrer tes comptes utilisateurs.

    Exemple

    http://www.octetmalin.net/windows/tutoriels/windows-server-2012-promouvoir-ce-serveur-en-controleur-de-domaine.php

    Cordialement


    Un MCSE un peu perdu...









    • Modifié sanio74 mercredi 13 décembre 2017 12:47
    mercredi 13 décembre 2017 12:11
  • Bonjour, 

    Merci pour votre réponse, je m'explique : j'ai un AD et un exchange sur un windows server 2012 qui sont fonctionnelle, maintenant je souhaite donner un accès à un autre utilisateur avec des droits limités qui lui permettent juste de créer des utilisateurs sur AD et exchange et non pas configurer les paramètres réseaux par exemple 

    Cordialement, 

    mercredi 13 décembre 2017 12:36
  • Bonjour, 

    Merci pour votre réponse, je m'explique : j'ai un AD et un exchange sur un windows server 2012 qui sont fonctionnelle, maintenant je souhaite donner un accès à un autre utilisateur avec des droits limités qui lui permettent juste de créer des utilisateurs sur AD et exchange et non pas configurer les paramètres réseaux par exemple 

    Cordialement, 

    Il faut utiliser la délégation de contrôle Active Directory.

    M BARTH en parle ici.

    http://pbarth.fr/node/102


    Un MCSE un peu perdu...


    mercredi 13 décembre 2017 12:50
  • Bonjour, 

    Merci pour le lien.

    On ne peut pas créer un utilisateur local sur windows server 2012 ? 

    Cordialement, 

    mercredi 13 décembre 2017 13:49
  • +1 pour notre ami MCSE un peu perdu :)

    Pour reformuler ce qui a déjà été dit : un compte non membre du domaine ne peut pas se voir attribuer de privilège dans le domaine. C'est inhérent au contexte de sécurité d'une forêt. Mais, en revanche, la bonne pratique consiste à déleguer des privilèges  à un compte utilisateur du domaine.

    Dans votre cas, il semble que l'objectif soit de circoncire le périmètre des actions à un serveur précis : dans ce cas, créez un compte utilisateur du domaine (par exemple server01.user01@mon.domaine.lan), configurez ce compte pour qu'il soit autorisé à ouvrir une session exclusivement sur le serveur (server01 dans l'exemple) et assignez-lui les privilèges requis : pour la gestion des objets (type reset de mot de passe, etc) vous procéder à une délégation de privilège sur une OU, pour la gestion des services (exchange) vous l'ajouterez dans les groupes requis.

    Vous pouvez compléter l'opération avec du hardening (interdiction d'ajouter des softs, UAC, methode d'autrhentification, bloquer les accès et le partage de fichiers, etc.).

    mercredi 13 décembre 2017 14:00
  • Bonjour, 

    Je souhaite créer un compte local sur windows server 2012 qui permet d'administrer (créer, supprimer, modifier...) les utilisateurs active directory et les comptes mail dans exchange. 

    Merci pour votre aide, cordialement, 

    Bonsoir,

    Ce n'est pas possible de déléguer à un compte local des droits pour gérer des comptes AD et des boites aux lettres.

    Il faut créer un compte de domaine, lui ajouter dans le groupe administrateur des serveurs en question et lui assigner les délégation AD et Exchange:

    Manage permissions for recipients

    Delegate Control of an Organizational Unit


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    jeudi 14 décembre 2017 00:01
    Modérateur
  • Admin de domaine ? Non, je ne pense pas :)
    jeudi 14 décembre 2017 07:08
  • Admin de domaine ? Non, je ne pense pas :)

    Un compte admin ou adm si tu veux pour éviter la confusion avec les comptes membres du groupe admin du domaine

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 14 décembre 2017 08:27
    Modérateur
  • Ah oui, si tu veux dire "doit disposer de certaines délégation", je suis d'accord :) 
    jeudi 14 décembre 2017 09:21
  • Ah oui, si tu veux dire "doit disposer de certaines délégation", je suis d'accord :) 
    j'ai mis à jour mon commentaire pour ne pas avoir cette confusion. Tu as raison il vaut mieux être précis :)

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 14 décembre 2017 12:55
    Modérateur
  • Un MCSE un peu perdu serait d'accord :p
    jeudi 14 décembre 2017 15:17
  • Merci Loïc :))

    Je file au Mexique jusqu'en janvier donc plus sur le FORUM.

    Bien que tu va t ennuyer sans moi je te dit a très bientôt.

    C'est toujours un plaisir de papoter avec toi.


    Un MCSE un peu perdu...

    jeudi 14 décembre 2017 16:07
  • Profites bien de ton voyage, on se repapote à ton retour :p
    jeudi 14 décembre 2017 17:30