none
Créer un utilisateur qui doit juste pouvoir lire l'AD RRS feed

  • Question

  • Bonjour,

    j'ai besoin de créer pour une application tierce un utilisateur dans l'AD qui doit pouvoir juste lire l'AD.

    Pour des raisons de sécurité je veux qu'il puisse juste faire ça et rien d'autre. Je ne veux pas notamment qu'il puisse accéder aux partages de fichiers ou à mon server SQL.

    Je sais que tout utilisateur membre du groupe utilisateurs de domaine peut accéder à l'AD mais pour moi ce type d'utilisateur a trop de droits. Comment faire pour créer un compte de ce type ?

    Merci d'avance.

    Anthony A.

     

    lundi 25 juin 2018 12:41

Réponses

Toutes les réponses

  • Tout les utilisateurs par défaut ont le droit de lecture sur l'annuaire AD. Cela ne leur donne pas de droits sur les autres éléments comme les partages.


    lundi 25 juin 2018 13:52
    Modérateur
  • Bonjour et merci pour votre aide.

    Les membres du groupe utilisateurs par domaine ont accès par défaut chez moi à certains partages donc cela veut dire qu'il faut que je rajoute ce nouvel utilisateur en deny sur tous ces partages.

    De plus il pourra aussi tenter d'accéder à mon serveur SQL.

    Cordialement,

    A. ANDRIEUX

    lundi 25 juin 2018 13:58
  • Oui mais cela n'a pas de lien avec le droit en lecture sur l'AD :

    j'ai besoin de créer pour une application tierce un utilisateur dans l'AD qui doit pouvoir juste lire l'AD.

    Il est préférable de revoir sa politique de droit plutôt que de commencer à mettre des refus explicite dans tous les sens, ce qui donne en générale des galères pas possibles.

    Ces une mauvaises pratiques que de configurer les droits d'accés sur le groupe standard "utilisateur du domaine". Il y a des méthodes comme AGDLP  ( à adapter à l'environnement) qui permette de suivre et maintenir la gestion des accès. 

    On peut toujours tenter de se connecter au SQL, mais si les droits sont bien configurés seul les comptes autorisés y arrivent.

    lundi 25 juin 2018 14:17
    Modérateur
  • En fait pour être plus précis voilà la situation aujourd'hui :

    Mon réseau ne permet pas de connexion depuis l'extérieur excepté à mon serveur Exchange (et encore uniquement pour quelques utilisateurs) et bien sûr sauf si quelqu'un arrive à pirater un de mes postes. 

    J'ai besoin de mettre en place une option de gestion de la quarantaine pour les mails récupérés chez mon FAI et pour cela il me demande de lui créer un user qui peut accéder en lecture seule à l'AD.

    Du coup si le fait de créer cet utilisateur fait que la sécurité est moins bonne je préfère autant me passer de cette option. En effet aujourd'hui si je prends l'exemple de mon serveur SQL même si j'ai bien sûr un mot de passe personne ne peut essayer de s'y connecter de l'extérieur. Demain quelqu'un pourra potentiellement essayer de se connecter à mon serveur SQL.

    Merci quand même pour votre aide. 

    lundi 25 juin 2018 14:28
  • il me demande de lui créer un user qui peut accéder en lecture seule à l'AD

    Il suffit de créer un utilisateur sans droit sur le domaine .

    si j'ai bien sûr un mot de passe personne ne peut essayer de s'y connecter de l'extérieur. 

    le fait d'avoir un mot de passe n'empêche pas d'essayer, mais de réussir...

    Ton serveur SQL est exposé depuis l'extérieur ? Nat ?

    Protégé ton serveur SQL de l'extérieur c'est le rôle d'un routeur / Firewall pas celui d'un mot de passe.

    lundi 25 juin 2018 14:35
    Modérateur
  • Bonjour,

    Vous pouvez "pour renforcer la sécurité" interdire le logon interactif pour cet utilisateur

    http://www.alexheer.co.uk/it-blog/deny-interactive-logon-for-service-accounts


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    mardi 26 juin 2018 07:01