Remove From My Forums

Compte Microsoft et active directory

Question
1

Connectez-vous pour voter

Bonjour,

je suis à la recherche d'informations sur les possibilités (et les restrictions) qui peuvent exister dans l'usage des comptes en ligne Microsoft et les comptes Active Directory. Existe-t-il des documentations à ce sujet ?

Plus spécialement, je me demande s'il est possible (et opportun) d'utiliser un seul et unique compte en ligne Microsoft en tant qu'administrateur local d'un ordinateur sous windows 10 (en lieu et place d'un compte local).
Ce compte ne serait pas spécialement utilisé au quotidien, puisque les ordinateurs sont sur le domaine, et que certains comptes du domaine sont administrateurs des postes, mais l'intérêt serait d'en protéger plus efficacement l'accès, puisque le mot de passe du compte serait alors centralisé chez Microsoft.
Est-ce une pratique recommandée par MS et/ou par des techniciens ?

Merci pour vos réponses.

Damien

vendredi 10 août 2018 08:56

Réponse

|

Citation

Réponses

3

Connectez-vous pour voter
Je n'ai pas totalement saisi la finalité de la question.

Plus spécialement, je me demande s'il est possible (et opportun) d'utiliser un seul et unique compte en ligne Microsoft en tant qu'administrateur local d'un ordinateur sous windows 10 (en lieu et place d'un compte local).

Tu peux créer un compte admin ou mieux un groupe dans ton domaine AD, le poussé en tant que memebres du groupe administrateurs sur les postes du domaine.

Si tu mets un groupe, il faudra que, tu crées un compte utilisateurs du domaine par exemple "adm-poste" qui est membre de ce groupe ...

Tu n'as pas besoin d'utiliser le compte administrateur local à la machine.

JE ne comprend pas le bénéfice que tu espères en utilisant un compte du cloud.

Voir : http://www.pbarth.fr/node/78 (c'est une ancienne méthode qui marche bien, il y a aussi la possibilité d'utiliser les préférences).

mais l'intérêt serait d'en protéger plus efficacement l'accès, puisque le mot de passe du compte serait alors centralisé chez Microsoft.

Quel est l'intérêt de centraliser le compte dans le cloud plutôt que dans l'AD local. En quoi cela protège il plus efficacement ? Tu n'as pas confiance dans la sécurité de l'AD local ?

----------------------------------------------------

Sinon il y a aussi LAPS pour gérer les comptes administrateur local aux postes de travail :

https://blogs.technet.microsoft.com/arnaud/2015/11/25/local-admin-password-solution-laps/

----------------------------------------------------

Pour exemple, j'utilise :

- un compte utilisateur du domaine qui n'est pas administrateur de l'ordi n du domaine (c'est une activité utilisateur)

- un compte administration du domaine/ ou entreprise pour administrateur l'AD

- un compte spécifique admin des postes qui est membre d'un groupe spécifique et le groupe est ajouté dans le groupe administrateurs local des postes.

Lorsque je fais une action qui a besoin de droit je fais un runas pour n'exécuter que l'action avec des droits spécifiques.
- Modifié Philippe BarthMVP vendredi 10 août 2018 09:19
- Proposé comme réponse Philippe BarthMVP jeudi 16 août 2018 17:47
- Marqué comme réponse Damien ARNOULD vendredi 17 août 2018 07:00
vendredi 10 août 2018 09:18

Réponse

|

Citation

Toutes les réponses

3

Connectez-vous pour voter
Je n'ai pas totalement saisi la finalité de la question.

Plus spécialement, je me demande s'il est possible (et opportun) d'utiliser un seul et unique compte en ligne Microsoft en tant qu'administrateur local d'un ordinateur sous windows 10 (en lieu et place d'un compte local).

Tu peux créer un compte admin ou mieux un groupe dans ton domaine AD, le poussé en tant que memebres du groupe administrateurs sur les postes du domaine.

Si tu mets un groupe, il faudra que, tu crées un compte utilisateurs du domaine par exemple "adm-poste" qui est membre de ce groupe ...

Tu n'as pas besoin d'utiliser le compte administrateur local à la machine.

JE ne comprend pas le bénéfice que tu espères en utilisant un compte du cloud.

Voir : http://www.pbarth.fr/node/78 (c'est une ancienne méthode qui marche bien, il y a aussi la possibilité d'utiliser les préférences).

mais l'intérêt serait d'en protéger plus efficacement l'accès, puisque le mot de passe du compte serait alors centralisé chez Microsoft.

Quel est l'intérêt de centraliser le compte dans le cloud plutôt que dans l'AD local. En quoi cela protège il plus efficacement ? Tu n'as pas confiance dans la sécurité de l'AD local ?

----------------------------------------------------

Sinon il y a aussi LAPS pour gérer les comptes administrateur local aux postes de travail :

https://blogs.technet.microsoft.com/arnaud/2015/11/25/local-admin-password-solution-laps/

----------------------------------------------------

Pour exemple, j'utilise :

- un compte utilisateur du domaine qui n'est pas administrateur de l'ordi n du domaine (c'est une activité utilisateur)

- un compte administration du domaine/ ou entreprise pour administrateur l'AD

- un compte spécifique admin des postes qui est membre d'un groupe spécifique et le groupe est ajouté dans le groupe administrateurs local des postes.

Lorsque je fais une action qui a besoin de droit je fais un runas pour n'exécuter que l'action avec des droits spécifiques.
- Modifié Philippe BarthMVP vendredi 10 août 2018 09:19
- Proposé comme réponse Philippe BarthMVP jeudi 16 août 2018 17:47
- Marqué comme réponse Damien ARNOULD vendredi 17 août 2018 07:00
vendredi 10 août 2018 09:18

Réponse

|

Citation
1

Connectez-vous pour voter

Bonjour Philippe et merci pour tes informations.

Je ne remet pas en cause la sécurité de mes comptes AD et, en effet, pour les usages habituels, j'utilise bien un compte AD qui est admin local (pour installer un logiciel ou toute autre action par exemple).

Cependant, le compte admin local (donc pas dans l'AD), peut avoir un intérêt. Il arrive parfois qu'une machine sorte du domaine (soit pour changer son nom, soit de manière inopinée).
Dans le cas du changement de nom, on peut parfaitement anticiper la manip et réactiver le compte admin local provisoirement, mais dans le cas d'une sortie inopinée du domaine (ça m'est déjà arrivé, bien cela soit plutôt rare), la seule manière de se reconnecter au poste, c'est d'utiliser un compte local (de préférence administrateur).

Je n'ai que cet exemple en tête pour l'utilité du compte admin local...

Je vais étudier de près l'article concernant l'outil LAPS, cela semble intéressant !

Pour finir, le compte en ligne MS est indispensable si on souhaite utiliser un service MS (windows store, etc...), savez-vous s'il est possible de "lier" un compte MS à un compte AD ?

vendredi 10 août 2018 09:37

Réponse

|

Citation
1

Connectez-vous pour voter
our finir, le compte en ligne MS est indispensable si on souhaite utiliser un service MS (windows store, etc...), savez-vous s'il est possible de "lier" un compte MS à un compte AD ?

Oui c'est le but de Azure AD Connect (également utilisé par Office 365) de synchroniser et lié les comptes de l'AD local avec des comptes dans le cloud (Azure Active Directory):

Voir :

http://www.pbarth.fr/node/175

Tu as même la gestion des applications avec des solution comme EMS (Entreprise Mobility Suite) ...

Sur Windows 10, il est même possible de joindre un ordinateur dans un domaine Azure AD plutot que membre d'un domaine AD local...
- Modifié Philippe BarthMVP samedi 11 août 2018 21:56
vendredi 10 août 2018 10:06

Réponse

|

Citation

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

Compte Microsoft et active directory

Question

Réponses

Toutes les réponses