none
Comptes AD et comptes locaux RRS feed

  • Question

  • Bonjour,

    Je dois intervenir exceptionnellement sur un serveur Windows server 2012 standard (contrôleur de domaine) et mes connaissances en la matière sont des plus limitées. Mes questions sont très certainement basiques et je m'en excuse mais je n'ai pas trouvé de réponse claire après quelques recherches.

    Sur cette machine existe beaucoup de comptes locaux d'utilisateurs standards. J'essaie de comprendre le lien entre les comptes locaux (ceux que gère toute machine Windows, serveur ou pas) et les comptes AD. Mes questions :

    • Les comptes locaux sont-ils nécessairement liés à des comptes AD ? Il me semble que oui (puisque sauf erreur de ma part, je ne peux pas créer un compte local sur le serveur qui ne soit pas déjà dans l'AD).
    • Si oui, comment trouver le lien ? J'ai sur ce serveur un compte local dont je ne trouve aucune trace dans l'AD.
    • Les comptes locaux sont utilisés pour faire de l'accès distant (remote desktop). Comme il ne me parait pas très sains d'avoir tant de compte locaux sur un serveur, je me proposais de les supprimer et d'ajouter les comptes AD correspondants au groupe "Utilisateur du bureau à distance" (ou de rendre le groupe "Users" membre du groupe UBD). Est-ce une bonne option ? Quels sont les avantage et inconvénients des deux approches ?
    • Quel est l'identifiant véritable d'un compte local ? D'un compte AD ? Peuvent-ils ne pas correspondre quand bien même il s'agirait du même compte ? J'observe que le nom d'ouverture de session n'est pas celui qui apparaît dans la liste des comptes dans la console d'administration AD.

    Voilà. Merci pour vos réponses ou pour tout lien vers une doc claire sur ces sujets.


    Searching... wondering...





    • Modifié Patrice O mercredi 16 septembre 2015 08:03 correction "Serveur de domaine" en "Contrôleur de domaine"
    mercredi 16 septembre 2015 07:32

Réponses

  • Bonjour,

    • Les comptes locaux sont-ils nécessairement liés à des comptes AD ? Il me semble que oui (puisque sauf erreur de ma part, je ne peux pas créer un compte local sur le serveur qui ne soit pas déjà dans l'AD).

    Vous pouvez créer autant de compte locaux que vous voulez sur un serveur en domaine. Le seul serveur sur lequel vous ne pouvez pas est le controleur de domaine.

    • Si oui, comment trouver le lien ? J'ai sur ce serveur un compte local dont je ne trouve aucune trace dans l'AD.

    Vous avez la réponse au dessus.

    • Les comptes locaux sont utilisés pour faire de l'accès distant (remote desktop). Je me proposais de supprimer ces comptes locaux et d'ajouter les compte AD correspondants au groupe "Utilisateur du bureau à distance". Est-ce une bonne option ? Quels sont les avantage et inconvénients des deux approches ?

    Pour un maximum de sécurité, il vous faut utilisez des comptes de domaine nominatif. Dans le domaine vous pourrez gérer facilement les accès, les mots de passe, etc... et de manière centralisée. De manière général, il faut éviter les comptes locaux.

    • Quel est l'identifiant véritable d'un compte local ? D'un compte AD ? Peuvent-ils ne pas correspondre quand bien même il s'agirait du même compte ? J'observe que le nom d'ouverture de session n'est pas celui qui apparaît dans la liste des comptes dans la console d'administration AD.

    Il n'y a pas de raport entre les deux types de compte. Vous pouvez ajoutez par contre des compte de domaine dans un groupe local. 

    Cordialement


    S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution. Mon blog : http://Les2t.fr

    • Proposé comme réponse Jean-Yves TRARBACHMVP mercredi 16 septembre 2015 07:48
    • Marqué comme réponse Patrice O mercredi 16 septembre 2015 08:00
    • Non marqué comme réponse Patrice O mercredi 16 septembre 2015 09:06
    • Marqué comme réponse Patrice O jeudi 17 septembre 2015 10:04
    mercredi 16 septembre 2015 07:40

Toutes les réponses

  • Bonjour,

    • Les comptes locaux sont-ils nécessairement liés à des comptes AD ? Il me semble que oui (puisque sauf erreur de ma part, je ne peux pas créer un compte local sur le serveur qui ne soit pas déjà dans l'AD).

    Vous pouvez créer autant de compte locaux que vous voulez sur un serveur en domaine. Le seul serveur sur lequel vous ne pouvez pas est le controleur de domaine.

    • Si oui, comment trouver le lien ? J'ai sur ce serveur un compte local dont je ne trouve aucune trace dans l'AD.

    Vous avez la réponse au dessus.

    • Les comptes locaux sont utilisés pour faire de l'accès distant (remote desktop). Je me proposais de supprimer ces comptes locaux et d'ajouter les compte AD correspondants au groupe "Utilisateur du bureau à distance". Est-ce une bonne option ? Quels sont les avantage et inconvénients des deux approches ?

    Pour un maximum de sécurité, il vous faut utilisez des comptes de domaine nominatif. Dans le domaine vous pourrez gérer facilement les accès, les mots de passe, etc... et de manière centralisée. De manière général, il faut éviter les comptes locaux.

    • Quel est l'identifiant véritable d'un compte local ? D'un compte AD ? Peuvent-ils ne pas correspondre quand bien même il s'agirait du même compte ? J'observe que le nom d'ouverture de session n'est pas celui qui apparaît dans la liste des comptes dans la console d'administration AD.

    Il n'y a pas de raport entre les deux types de compte. Vous pouvez ajoutez par contre des compte de domaine dans un groupe local. 

    Cordialement


    S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution. Mon blog : http://Les2t.fr

    • Proposé comme réponse Jean-Yves TRARBACHMVP mercredi 16 septembre 2015 07:48
    • Marqué comme réponse Patrice O mercredi 16 septembre 2015 08:00
    • Non marqué comme réponse Patrice O mercredi 16 septembre 2015 09:06
    • Marqué comme réponse Patrice O jeudi 17 septembre 2015 10:04
    mercredi 16 septembre 2015 07:40
  • Merci beaucoup pour cette rapide réponse.

    Quelques précisions : Le serveur en question est bien un contrôleur de domaine (j'avais écrit improprement "serveur de domaine", j'ai corrigé).

    Or si j'ai bien compris, vous me dites que je ne peux pas créer de comptes locaux sur un contrôleur de domaine. Il en existe pourtant sur ce serveur et je peux en créer d'autres pour peu qu'ils existent déjà sur l'AD. Est-ce le comportement normal ?

    Ensuite les noms qui apparaissent dans la liste des utilisateurs locaux correspondent bien aux noms d'ouverture de session AD mais pas à ceux qui apparaissent dans la liste des comptes dans la console d'administration AD. Comme il y a un grand nombre de comptes, j'ai du mal à établir la correspondance entre les premiers et les seconds (je dois ouvrir chaque compte pour vérifier le nom d'ouverture de cession). J'imagine qu'il doit y avoir un script PowerShell pour faire ça, je vais chercher.

    Merci encore.


    Searching... wondering...




    • Modifié Patrice O mercredi 16 septembre 2015 08:12
    mercredi 16 septembre 2015 08:10