Ce forum Internet est fermé. Merci beaucoup pour vos contributions.

Remove From My Forums

Interdire la modification du paramètre Country d'un compte AD

Question
0

Connectez-vous pour voter
Bonjour,

J'aurai une question concernant les comptes AD et notamment les paramètres LDAP.

Par défaut, un utilisateur peut modifier la nationalité de son compte AD, en modifiant le paramètre LDAP "C" ou "Country". L'utilisation de la commande Powershell suivante lui permet par exemple:

Set-ADUser loginDuCompte –Country FRA

Savez-vous s'il existe un moyen d'interdire la modification de ce paramètre?

En vous remerciant,

Antoine
- Modifié propAganda52 jeudi 2 novembre 2017 10:53
jeudi 2 novembre 2017 10:53

Toutes les réponses

0

Connectez-vous pour voter

Bonjour,

Je pense que tu peux le faire depuis les ACL de ton domaine en refusant l'écriture sur cet attribut d'objet utilisateur (attention le droit refuser est prioritaire). Par contre attention au effet de bord (il faut que les comptes systèmes puissent faire la modification eux).

Cordialement.

jeudi 2 novembre 2017 16:29
0

Connectez-vous pour voter
Je vois deux bémols :

Pour effectuer cette opération, vous devez lancer PowerShell en mode administrateur. Ce ne devrait pas être possible pour un utilisateur standard.
Pour réaliser la commande, le module AD de PowerShell doit être installé sur le poste. Ce n'est pas le cas par défaut.

De plus, lorsque l'on regarde les ACLs, les utilisateurs du domaine (hors compte à privilège ou membre d'un groupe à privilège) ne peuvent pas modifier la propriété de leurs copains, uniquement la leur.

Par conséquent, une bonne hygiène des postes et des privilèges devraient résoudre votre problème. J'éviterai à votre place de modificer les ACLs de cet attribut qui, en soi, ne présente aucun risque.
vendredi 3 novembre 2017 05:52