Remove From My Forums

Base Active Directory en lecture seule

Question
0

Connectez-vous pour voter

Bonjour,

Je dois rendre accessible en lecture seule ma base Active Directory pour une application. Ce serveur devra également être capable de faire de l'authentification utilisateur. Je penche plutôt pour ADLDS mais je me pose encore quelques questions :

- La synchronisation entre un ADLDS et un contrôleur de domaine est-elle automatique ?

- ADLDS est-il capable de faire de authentification tout comme un contrôleur de domaine classique ?

- Un RODC pourrait -il faire l'affaire dans le cas présent ?

Cordialement,

mercredi 23 janvier 2013 14:53

Réponses

2

Connectez-vous pour voter
Bonjour,

tu as RODC (read-only domain controller) qui a été exactement pensé pour ce que tu souhaites faire.

http://technet.microsoft.com/fr-fr/library/cc753223(v=ws.10).aspx

http://technet.microsoft.com/fr-fr/library/cc755058(v=ws.10).aspx

http://technet.microsoft.com/fr-fr/library/cc772234(v=ws.10).aspx

A bientôt

Freddy ELMALEH - Active IT (Active IT)
Consultant Freelance (Architecte AD, Infrastructure, Audit de sécurité, audit de sites web, tests d'intrusion, etc.)
MVP Windows Server - Directory Services
MCITP Enterprise Administrator (2008) - MCSE 2000/2003 Security - MCSA Messaging 2000/2003
Bibliographie (Administration avancée sous Windows 2008 R2, La sécurité sous Windows 7, etc.)
- Modifié Freddy ELMALEH mercredi 23 janvier 2013 14:59
- Proposé comme réponse Thameur BOURBITAMVP, Editor mercredi 23 janvier 2013 15:27
- Modifié Dan BajenaruMicrosoft employee lundi 28 janvier 2013 10:37 mise en page
- Marqué comme réponse Dan BajenaruMicrosoft employee mercredi 6 février 2013 08:55
mercredi 23 janvier 2013 14:58
0

Connectez-vous pour voter
Je pense que ta problématique est plus la gestion des droits. Il te faut un compte qui permet seulement de lire le contenu d'une OU dans l'AD. Quand tu parle d'authentifier ? Il vont devoir rentrer leur utilisateur mot de passe dans l'appli ? Dans ce cas est ce que tu peux pas faire un requete LDAP pour authentifier tes utilisateurs.

Cordialement Denis ECHE, Ingénieur Système-Réseaux. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.
- Proposé comme réponse Thierry DEMAN-BARCELÒMVP mercredi 23 janvier 2013 22:32
- Marqué comme réponse Florin Ciuca mercredi 30 janvier 2013 08:50
mercredi 23 janvier 2013 20:44
0

Connectez-vous pour voter
Bonjour,

Merci de consulter les liens suivants:

Assign, change, or remove permissions on Active Directory objects or attributes;

How to View or Delete Active Directory Delegated Permissions;

Appendix G: Active Directory Delegation Tools;

Controlling Object Visibility;

Cordialement,

Dan
Dan BAJENARU, MSFT Votez! Appel à la contribution
Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.
- Marqué comme réponse Florin Ciuca mercredi 30 janvier 2013 08:50
lundi 28 janvier 2013 11:25

Toutes les réponses

2

Connectez-vous pour voter
Bonjour,

tu as RODC (read-only domain controller) qui a été exactement pensé pour ce que tu souhaites faire.

http://technet.microsoft.com/fr-fr/library/cc753223(v=ws.10).aspx

http://technet.microsoft.com/fr-fr/library/cc755058(v=ws.10).aspx

http://technet.microsoft.com/fr-fr/library/cc772234(v=ws.10).aspx

A bientôt

Freddy ELMALEH - Active IT (Active IT)
Consultant Freelance (Architecte AD, Infrastructure, Audit de sécurité, audit de sites web, tests d'intrusion, etc.)
MVP Windows Server - Directory Services
MCITP Enterprise Administrator (2008) - MCSE 2000/2003 Security - MCSA Messaging 2000/2003
Bibliographie (Administration avancée sous Windows 2008 R2, La sécurité sous Windows 7, etc.)
- Modifié Freddy ELMALEH mercredi 23 janvier 2013 14:59
- Proposé comme réponse Thameur BOURBITAMVP, Editor mercredi 23 janvier 2013 15:27
- Modifié Dan BajenaruMicrosoft employee lundi 28 janvier 2013 10:37 mise en page
- Marqué comme réponse Dan BajenaruMicrosoft employee mercredi 6 février 2013 08:55
mercredi 23 janvier 2013 14:58
0

Connectez-vous pour voter

Quand tu parle d'une "application" est ce qu'elle est située en interne sur ton réseau ou c'est un service cloud ?

Si c'est un service cloud tu peux regarder au niveau d'ADFS. Après faut que ton application puisse gérer le protocole saml 2.0.
Tout dépend comment tu veux identifier au niveau de ton application et le protocole que tu veux utiliser.

Pour RODC il me semble que le principe et de mettre un DC en lecture seule pour un bureau distant. Je vois pas l'interet de mettre ça sur le même réseau juste pour avoir un controleur en lecture seule...

Cordialement Denis ECHE, Ingénieur Système-Réseaux. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.

mercredi 23 janvier 2013 15:42
0

Connectez-vous pour voter
Bonjour,

Mon application dans mon entreprise dans une zone accessible de l’extérieure (une sorte de DMZ). Je souhaite que celle-ci puisse lister les utilisateurs de mon AD et s'authentifier sans avoir la possibilité d'écrire sur mon AD. De plus cette application ne sait pas gérer saml 2.0. L'authentification devra se faire sur du TLS.

Cordialement,
- Modifié Benjamin Cornet mercredi 23 janvier 2013 16:52
mercredi 23 janvier 2013 16:48
0

Connectez-vous pour voter
Je pense que ta problématique est plus la gestion des droits. Il te faut un compte qui permet seulement de lire le contenu d'une OU dans l'AD. Quand tu parle d'authentifier ? Il vont devoir rentrer leur utilisateur mot de passe dans l'appli ? Dans ce cas est ce que tu peux pas faire un requete LDAP pour authentifier tes utilisateurs.

Cordialement Denis ECHE, Ingénieur Système-Réseaux. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.
- Proposé comme réponse Thierry DEMAN-BARCELÒMVP mercredi 23 janvier 2013 22:32
- Marqué comme réponse Florin Ciuca mercredi 30 janvier 2013 08:50
mercredi 23 janvier 2013 20:44
1

Connectez-vous pour voter

Bonsoir,

comme le propose Denis, je pense que ni le RODC, ni ADLDS ne sont adaptés au problème.

La plupart des outils se contentent de LDAP, LDAPS, voire un service Radius, pour valider l'authentification des utilisateurs.

Il suffit d'indiquer un compte, pas forcément administrateur, qui sera utilisé pour réaliser les requêtes.

A+
Thierry DEMAN. Exchange MVP. MCSA Windows Server 2012 (73 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

mercredi 23 janvier 2013 22:36
0

Connectez-vous pour voter
Bonjour,

Effectivement cette solution semble être la meilleure, pourriez-vous me communiquer la marche à suivre afin de créer un compte qui aurait une visibilité restreinte au niveau d'une OU en lecture seule et qui permettrait de faire de l'authentification. Merci beaucoup.

Cordialement,
- Modifié Benjamin Cornet jeudi 24 janvier 2013 09:21
jeudi 24 janvier 2013 09:17
0

Connectez-vous pour voter
Bonjour,

Merci de consulter les liens suivants:

Assign, change, or remove permissions on Active Directory objects or attributes;

How to View or Delete Active Directory Delegated Permissions;

Appendix G: Active Directory Delegation Tools;

Controlling Object Visibility;

Cordialement,

Dan
Dan BAJENARU, MSFT Votez! Appel à la contribution
Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.
- Marqué comme réponse Florin Ciuca mercredi 30 janvier 2013 08:50
lundi 28 janvier 2013 11:25

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

Base Active Directory en lecture seule

Question

Réponses

Toutes les réponses