none
privilège audit active directory RRS feed

  • Question

  • Bonjour,

    je souhaite créer un compte ( ailleurs qu' ADMINISTRATEUR )qui a les privilèges d'auditer infrastructure Active directory , qui a le droits d'acceder a des station client a distance , accéder au contrôleurs du domaine.

    Merci 

    jeudi 2 avril 2015 10:12

Réponses

  • Si vous ne voulez pas lui donner les droits admin, ne le mettez pas dans admin du domaine en essayant de mettre des GPO pour lui couper les droits. Mettez le en utilisateur et créér des délégations et gérer les sécurités locales pour qu'il puisse faire ce dont il a besoin.
    • Marqué comme réponse HabsiAbdeslam vendredi 3 avril 2015 09:38
    jeudi 2 avril 2015 17:13
    Modérateur

Toutes les réponses

  • Bonjour,

    pour auditer l'infrastructure Active Directory en tant que telle, les droits utilisateurs suffisent, par exemple en utilisant l'outil Active Topology Diagrammer. En effet, l'annuaire Active Directory est accessible en lecture sur la quasi totalité des informations, mis à part les mots de passe!!!

    Maintenant, si l'Audit doit inclure comment sont configurés les serveurs (IP, DNS, etc..), le plus simple est de mettre l'utilisateur choisi dans un des groupes d'opérateurs, par exemple le groupe "opérateurs de compte".

    Pour l'accès aux stations à distance, quel est l'objectif? Idéalement, l'utilisateur doit être ajouté au groupe "Remote Desktop Users" (Utilisateurs du bureau à distance), mais il n'aura peut être pas assez de droit pour consulter toute la configuration.

    Si la sécurité n'est pas un problème, mettre l'utilisateur dans le groupe "Admins. du domaine" lui donnerait l'intégralité des éléments demandés (et même bien plus)...

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    jeudi 2 avril 2015 13:17
  • Oui exactement c'est ce que j'ai fait ! mais ce que je souhaite faire que ce compte a le droit seulement de consulter et non pas de modifier .

    il es membre de 3 groupe , ( administrateurs , utilisateurs du bureau a distance , admin du domaine ) 

    mais avec cette partenariat il aura un control total donc j'ai pensé a appliquer une GPO , et cette derniere est loin d'être facile.

    jeudi 2 avril 2015 14:12
  • Si vous ne voulez pas lui donner les droits admin, ne le mettez pas dans admin du domaine en essayant de mettre des GPO pour lui couper les droits. Mettez le en utilisateur et créér des délégations et gérer les sécurités locales pour qu'il puisse faire ce dont il a besoin.
    • Marqué comme réponse HabsiAbdeslam vendredi 3 avril 2015 09:38
    jeudi 2 avril 2015 17:13
    Modérateur
  • OK merci 
    vendredi 3 avril 2015 09:38