none
Problème de droit avec un compte "Admin du domaine" RRS feed

  • Question

  • Bonjour,

    Je suis sur une petite infra (7 VM Windows Server 2019 et une 30aine de PC Windows 10).

    Dans l'AD, j'ai copié le compte Administrateur afin d'avoir un compte faisant parti du groupe "Admins du domaine".

    Sur les PC et serveurs, le groupe "Administrateurs" contient le compte administrateur local ainsi que le groupe "domaine\Admins du domaine".

    Je n'ai aucun problème de droit sur les PC, j'accède à tout et je peux écrire partout.

    Sur les serveurs, le compte m'a l'air d'être administrateur car je peux modifier des paramètres, mais en ce qui concerne le système de fichiers j'ai des droits de simple "utilisateur".

    Lorsque je fais "explorer.exe" pour l'ouvrir en tant qu'administrateur, je n'ai pas à m'authentifier de nouveau (donc le système me reconnait comme administrateur sinon j'aurai l'invite d'authentification) et je peux à ce moment écrire.

    J'ai regardé les droits, le groupe "Administrateurs" de la machine est bien présent en modification voir contrôle total, et ce groupe contient "Admins du domaine" qui contient ma session.

    C'est très gênant notamment pour le serveur de fichiers.

    Avez-vous une solution ou une bonne pratique ?
    Merci à vous

    Jeremy

    jeudi 28 janvier 2021 14:15

Réponses

  • Ce n'est pas très recommandé de désactiver l'UAC, d’autres problèmes ou console peuvent ne pas interagir correctement.

    Ce n'est pas une bonne habitude de copier des comptes tel qu’administrateur. Dans le principe du moindre privilège, il est préférable de créer des groupes spécifiques (en fonction des rôles) et mettre en place des délégations sur ses groupes. Il n'est pas recommandé de faire l'administration au quotidien avec un compte admins du domaine, ni d'ouvrir des sessions un peu partout sur les postes et serveurs membres avec un tel privilège. L'utilisation du groupe admins du domaine ne devrait se faire que sur certaines opérations spécifiques qui sont rarement quotidienne, et que sur un nombre limité de poste.

    Par exemple vous pouvez créer des groupes :

    « SDL-Admin-Account » : avec une délégation de permissions pour les utilisateurs, ordinateurs et groupe dans des OU spécifiques et pas sur les utilisateurs et groupes et conteneur par défaut.

    « SDL-Admin-File » : pour gérer les rôles serveurs de fichiers, en positionnant les permissions sur les fichiers et les autorisations sur le serveur, vous ne devriez pas être dérangé dans l'utilisation de l'UAC.

    « SDL-Admin-BDD » …

    Le compte que vous utilisez pour l’administration quotidienne peut être membre d’un groupe « SG-AdminIT » lui-même membre des différents groupes de sécurité local. A coté de cela vous travailler avec un compte utilisateur classique.

    Vous pouvez utiliser les GPO pour gérer les rôles de vos différents groupes, administrateur de BDD, etc …

    Le fait de créer est de positionner un groupe spécifique comme « SDL-Admin-File » sur votre serveur de fichier, vous permet de ne pas être gêner par l’UAC, puisqu’un droit explicite est positionné par exemple sur la racine des lecteurs pour « SDL-Admin-File ».


    samedi 30 janvier 2021 21:00

Toutes les réponses

  • Bonsoir,

    la désactivation de l'UAC permet de résoudre ce problème.

    Sinon, il faut savoir que le compte "administrateur" bénéficie d'une exclusion spécifique dont ne peuvent pas bénéficier les autres comptes membres du même groupe "domain admins".

    A+


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    jeudi 28 janvier 2021 23:14
  • Bonsoir,

    la désactivation de l'UAC permet de résoudre ce problème.

    Sinon, il faut savoir que le compte "administrateur" bénéficie d'une exclusion spécifique dont ne peuvent pas bénéficier les autres comptes membres du même groupe "domain admins".

    A+


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    Merci pour votre retour.

    La désactivation de l'UAC serait approuvé par les RSSI ?

    vendredi 29 janvier 2021 08:27
  • Bonjour Jstigrr

    L'UAC n'est pas un élément de sécurité en tant que tel. Cela a cependant le mérite d'éviter 95% des conner... oui, ces trop fameuses conner... qui sont situées entre la chaise et le clavier.

    Personnellement - et pour une fois je ne suis pas d'accord avec Thierry - je ne suis pas un chaud partisan de la désactivation de l'UAC. Au moins quand l'UAC "braille", ça a le mérite de faire se poser des questions à celui qui a appuyé sur le bouton. OK, c'est chi..., oui mais dans ce cas le Logon c'est chi... également ... allez zou tout le monde en auto-logon.Pô bien ... et les pbs vont commencer à pointer le bout de leur nez d'ici peu.

    Mais quel est ton pb exactement ? Quand tu navigues dans l'arborescence de fichiers tu as un "Access Denied" ? Je n'ai pas bien compris ou était le blocage.

    Si le groupe "Domain Admins" est  bien en permissions NTFS : full control, This folder, subfolders and file : il ne devrait pas y avoir de pb.

    Cependant, si toutefois un répertoire/fichier a été créé par un autre compte (il est donc créateur-propriétaire) quelquefois un autre compte disposant des permissions NTFS qui vont bien n'a pas le droit de voir lesdites permissions. Qu'à cela ne tienne, il suffit de se passer creator-owner et le tour est joué.

    Petite précision sur la spécificité du compte Administrateur (builtin) : C'est le seul compte disposant de privilèges admin (by-design) qui n'a pas l'UAC. C'est également le seul compte disposant de privilèges admin qui n'a pas à faire un "Run as Admin" pour effectuer certaines opérations. Bizarre ? Non, pas plus que dans les environnements Unix/Linux ou quand on est admin pour faire certaines opérations on est obligé de faire un SUDO root (root étant l'équivalent du compte administrateur builtin).

    @Jstigrr : Tu te loggues avec le compte Administrateur (builtin) ? Celui du domaine, celui qui non seulement est Domain Admins, mais également Schéma Admins, Entreprise Admins, and so on. C'est pô bien ça ! Non seulement tu ne respectes pas le principe du moindre privilège, mais de plus j'espère pour toi que tu es le seul admin, car sinon derrière Administrateur, on ne peut pas savoir si c'est Pierre ou Paul.

    Un compte nominatif, membre de Domain Admins est suffisant pour l'ensemble des opérations d'administration courantes.

    Quand au compte Administrateur (builtin), on met son mot de passe sur une feuille, qu'on met dans une enveloppe, qu'on met au coffre et on ne s'en sert ... que quand on en a réellement besoin (à savoir changer son mot de passe). Si tu as besoin que ton compte d'admin nominatif soit ponctuellement membre d'un autre groupe, tu te l'ajoutes avec ton compte, tu fermes ta session (pour récupérer un ticket kerberos réactualisé avec le nouveau groupe) et tu re-ouvres ta session.

    Cordialement

    Olivier

    vendredi 29 janvier 2021 13:53
  • Bonjour Olivier,

    - Si le groupe "Domain Admins" est  bien en permissions NTFS : full control, This folder, subfolders and file : il ne devrait pas y avoir de pb. => C'est bien le cas et pourtant, je ne peux accéder à ces fichiers et dossiers : acces denied.

    Pour répondre à tes questions : non, je ne me connecte pas avec le compte Administrateur builtin, j'ai mon propre compte administrateur qui a été copié du builtin en prenant le soin de l'enlever des groupes Schéma Admins et Entreprise Admins.

    Et justement, comme ce compte fait parti du groupe Admins Domaine et que ce groupe est en contrôle total sur les fichiers, je ne comprends pas pourquoi mon compte n'a pas accès à ces fichiers.

    - Un compte nominatif, membre de Domain Admins est suffisant pour l'ensemble des opérations d'administration courantes. => C'est exactement ce que j'ai comme compte et avec lequel j'ai des problèmes.

    - Quand au compte Administrateur (builtin), on met son mot de passe sur une feuille, qu'on met dans une enveloppe, qu'on met au coffre et on ne s'en sert ... que quand on en a réellement besoin (à savoir changer son mot de passe). Si tu as besoin que ton compte d'admin nominatif soit ponctuellement membre d'un autre groupe, tu te l'ajoutes avec ton compte, tu fermes ta session (pour récupérer un ticket kerberos réactualisé avec le nouveau groupe) et tu re-ouvres ta session. => C'est ainsi que je fonctionne, un coffre bien gardé

    Merci pour ta réponse.

    Cordialement,

    Jérémy

    vendredi 29 janvier 2021 14:51
  • Impec, ca rassure, mais bon ça ne résoud pas ton pb en attendant.

    Connais-tu le module PS NTFSSecurity ? Jouer 2 cmdlets de ce module Get-NTFSAccess et Get-NTFSOwner te permettraient de sortir rapidement les permissions et le owner (tel que tu le vois dans le mode advanced des permissions NTFS.

    Olivier

    vendredi 29 janvier 2021 16:38
  • Bonsoir,

    @Oliv, je n'ai pas dit que c'était ma préconisation de désactiver l'UAC, mais que c'est une vraie solution au problème! 

    Malheureusement, sur un serveur de fichier, j'ai constaté que les administrateurs (autres que les admins) ne pouvaient pas gérer correctement les permissions à partir du serveur sans réaliser cette modification.

    Pour le RSSI, cela peut être un problème. Mais, à partir du moment où seulement les administrateurs se connectent sur ce serveur, et qu'ils n'installent pas ou n'exécutent pas n'importe quoi, ce ne sont pas les mêmes risques que sur une station.

    On peut aussi apprendre aux administrateurs des partages à gérer les permissions à distance, sans se connecter sur le serveur.

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    samedi 30 janvier 2021 19:08
  • Ce n'est pas très recommandé de désactiver l'UAC, d’autres problèmes ou console peuvent ne pas interagir correctement.

    Ce n'est pas une bonne habitude de copier des comptes tel qu’administrateur. Dans le principe du moindre privilège, il est préférable de créer des groupes spécifiques (en fonction des rôles) et mettre en place des délégations sur ses groupes. Il n'est pas recommandé de faire l'administration au quotidien avec un compte admins du domaine, ni d'ouvrir des sessions un peu partout sur les postes et serveurs membres avec un tel privilège. L'utilisation du groupe admins du domaine ne devrait se faire que sur certaines opérations spécifiques qui sont rarement quotidienne, et que sur un nombre limité de poste.

    Par exemple vous pouvez créer des groupes :

    « SDL-Admin-Account » : avec une délégation de permissions pour les utilisateurs, ordinateurs et groupe dans des OU spécifiques et pas sur les utilisateurs et groupes et conteneur par défaut.

    « SDL-Admin-File » : pour gérer les rôles serveurs de fichiers, en positionnant les permissions sur les fichiers et les autorisations sur le serveur, vous ne devriez pas être dérangé dans l'utilisation de l'UAC.

    « SDL-Admin-BDD » …

    Le compte que vous utilisez pour l’administration quotidienne peut être membre d’un groupe « SG-AdminIT » lui-même membre des différents groupes de sécurité local. A coté de cela vous travailler avec un compte utilisateur classique.

    Vous pouvez utiliser les GPO pour gérer les rôles de vos différents groupes, administrateur de BDD, etc …

    Le fait de créer est de positionner un groupe spécifique comme « SDL-Admin-File » sur votre serveur de fichier, vous permet de ne pas être gêner par l’UAC, puisqu’un droit explicite est positionné par exemple sur la racine des lecteurs pour « SDL-Admin-File ».


    samedi 30 janvier 2021 21:00
  • Je confirme, le RSSI est contre la désactivation de l'UAC.

    Je vais essayer la méthode de Philippe en lisant son article.

    Juste un point avant d'aller effectuer quelques modifications par rapport à cette phrase :

    "Le fait de créer est de positionner un groupe spécifique comme « SDL-Admin-File » sur votre serveur de fichier, vous permet de ne pas être gêner par l’UAC, puisqu’un droit explicite est positionné par exemple sur la racine des lecteurs pour « SDL-Admin-File »."

    J'ai supprimé l'héritage sur mes dossiers partagés (qui d'ailleurs sont les seuls à me poser problèmes, les dossiers locaux je peux y entrer sans aucun problème). Le fait de rajouter ce groupe à la racine du lecteur diffusera les droits sur l'ensemble des dossiers ?

    Il me semble que non.

    Bien à vous,

    Jérémy

    lundi 1 février 2021 10:50
  • Le fait de rajouter ce groupe à la racine du lecteur diffusera les droits sur l'ensemble des dossiers ?

    Si l'héritage est coupé, non il faudra l'ajouter aux dossiers.

    lundi 1 février 2021 12:58
  • Bonjour,

    Pouvons-nous considérer que vous avez résolu votre problème avec les scénarios proposés? Si les conseils vous ont aidé, veuillez marquer comme réponses les contributions pertinentes qui ont conduit à la solution.
    Si vous avez trouvé une autre solution, partagez-la avec la communauté afin que d'autres utilisateurs avec le même problème puissent profiter de cette solution.

    Merci d'avance!

    Cordialement,

    Mihaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    jeudi 4 février 2021 11:57
  • Bonjour,

    Je n'ai pas encore eu le temps de mettre en place le système proposé par Philippe Barth, mais le fait de modifier les ACL devrait régler le problème.

    Je mets donc en "Résolu".

    Merci

    mardi 9 février 2021 08:11