locked
Interdire la modification du paramètre Country d'un compte AD RRS feed

  • Question

  • Bonjour,

    J'aurai une question concernant les comptes AD et notamment les paramètres LDAP.

    Par défaut, un utilisateur peut modifier la nationalité de son compte AD, en modifiant le paramètre LDAP "C" ou "Country". L'utilisation de la commande Powershell suivante lui permet par exemple:

    Set-ADUser loginDuCompte –Country FRA

    Savez-vous s'il existe un moyen d'interdire la modification de ce paramètre?

    En vous remerciant,

    Antoine


    jeudi 2 novembre 2017 10:53

Toutes les réponses

  • Bonjour,

    Je pense que tu peux le faire depuis les ACL de ton domaine en refusant l'écriture sur cet attribut d'objet utilisateur (attention le droit refuser est prioritaire). Par contre attention au effet de bord (il faut que les comptes systèmes puissent faire la modification eux).

    Cordialement.

    jeudi 2 novembre 2017 16:29
  • Je vois deux bémols :

    1. Pour effectuer cette opération, vous devez lancer PowerShell en mode administrateur. Ce ne devrait pas être possible pour un utilisateur standard.
    2. Pour réaliser la commande, le module AD de PowerShell doit être installé sur le poste. Ce n'est pas le cas par défaut.

    De plus, lorsque l'on regarde les ACLs, les utilisateurs du domaine (hors compte à privilège ou membre d'un groupe à privilège) ne peuvent pas modifier la propriété de leurs copains, uniquement la leur.

    Par conséquent, une bonne hygiène des postes et des privilèges devraient résoudre votre problème. J'éviterai à votre place de modificer les ACLs de cet attribut qui, en soi, ne présente aucun risque.

    vendredi 3 novembre 2017 05:52