none
L'administrateur et ses GPO RRS feed

  • Question

  • Bonsoir à vous,

    Je me permets de venir vers vous car je rencontre une problématique au qu'elle je ne trouve pas de solution. Je travaille actuellement sur Windows Serveur 2016 et je suis sur la création de GPO.

    Contexte :

    L'utilisateur Albert est Administrateur, il appartient aux groupes Admin du domaine et Administrateurs.

    L'utilisateur Robert lui n'est pas Administrateur.

    Une GPO permettant l'activation du pare-feu a été créé et fonctionne parfaitement bien sur tous les serveurs et ordinateurs.

    Configuration de la GPO :

    #Configuration ordinateur/Stratégies/Paramètres de sécurité/Pare-feu Windows avec fonctions avancées de sécurité

    Profil du domaine ; Etat du pare-feu : Activé (recommandé)

    Profil privé ; Etat du pare-feu : Activé (recommandé)

    Profil public ; Etat du pare-feu : Activé (recommandé)


    Robert est sur un ordinateur il se rend dans les paramètres afin de désactiver le pare-feu, impossible, le message suivant apparaît : "Par sécurité, certains paramètres sont gérés par l'administrateur système", bien heureusement ! Cependant aucun bouton permet de demander une élévation de droit.

    Albert rencontre exactement la même problématique alors que lui est administrateur, aucun bouton ou option lui permet d'autoriser la désactivation du pare-feu.


    Est-je un problème quelque part ? Je trouve ça bloquant car cela arrive avec plusieurs GPO pour lequel j'aimerais autoriser temporairement un poste, le temps d'un redémarrage ou de le réactiver par exemple, avec mon compte administrateur sans forcement à devoir aller sur le serveur.

    mercredi 29 mai 2019 21:36

Réponses

  • Albert rencontre exactement la même problématique alors que lui est administrateur, aucun bouton ou option lui permet d'autoriser la désactivation du pare-feu.

    C'est normal , les paramètres de la partie configuration ordinateurs  cible des machines peut importe l'utilisateur qui a ouvert la session.

    Si un admin a besoin de modifier l'impact des GPO il peut déplacer la machine dans une OU ou le paramètre ne s'applique pas.  Modifier manuellement un paramètre, que la GPO va réappliquer automatique entre 2s et 2heures après selon le temps qu'il reste avant réactualisation ne donne pas des résultats fiables.

    Enfin pour des raisons de sécurité, c'est une mauvaise idée que d'utiliser des comptes "admins du domaine" sur des postes de travail.  Déja par ce que le mot de passe du compte admin du domaine, va par défaut se retrouver un peu partout dans le cache sur tous les postes.

    Les administrateurs devraient disposer de plusieurs comptes dans l'idéal :

    1 compte en tant qu'utilisateur

    1 compte pour administrer les postes

    1 compte dans l'utilisation devrait être limité à l'AD et aux postes d'administrations, avec des privilège admin du domaine.

    jeudi 30 mai 2019 04:45

Toutes les réponses

  • Albert rencontre exactement la même problématique alors que lui est administrateur, aucun bouton ou option lui permet d'autoriser la désactivation du pare-feu.

    C'est normal , les paramètres de la partie configuration ordinateurs  cible des machines peut importe l'utilisateur qui a ouvert la session.

    Si un admin a besoin de modifier l'impact des GPO il peut déplacer la machine dans une OU ou le paramètre ne s'applique pas.  Modifier manuellement un paramètre, que la GPO va réappliquer automatique entre 2s et 2heures après selon le temps qu'il reste avant réactualisation ne donne pas des résultats fiables.

    Enfin pour des raisons de sécurité, c'est une mauvaise idée que d'utiliser des comptes "admins du domaine" sur des postes de travail.  Déja par ce que le mot de passe du compte admin du domaine, va par défaut se retrouver un peu partout dans le cache sur tous les postes.

    Les administrateurs devraient disposer de plusieurs comptes dans l'idéal :

    1 compte en tant qu'utilisateur

    1 compte pour administrer les postes

    1 compte dans l'utilisation devrait être limité à l'AD et aux postes d'administrations, avec des privilège admin du domaine.

    jeudi 30 mai 2019 04:45
  • Merci pour ta réponse !

    J'ai bien saisi la différence entre GPO ordinateur et utilisateur, mais j'ai un peu de mal à comprendre le système de privilège lorsque des GPO rentrent en compteJe ne vois pas la différence entre un administrateur et un utilisateur standard sur un poste utilisateur lorsque des GPO comme précédemment cité s'appliquent.

    Il me semble avoir déjà vu un message du style ; Autoriser la modification, qui apparaissait et quand on cliquait dessus il demande de saisir un compte utilisateur avec des privilèges plus élevés, nous permettant ainsi de faire les modifications souhaitées. Devoir intervenir sur le serveur pour autoriser ça me dérange fortement.

    Je dois avouer que mon exemple était un peu grossier mais c'était pour faire comprendre au mieux ma problématique.

    jeudi 30 mai 2019 13:27
  • Bonjour,

    Si votre GPO concernant le pare-feu n'existait pas et que sur le poste en question vous activeriez le pare-feu (en tant qu'admin), alors, l'UAC demandera à l'utilisateur standard des credentials administateur pour désactiver le pare-feu.

    vendredi 31 mai 2019 09:38