locked
Droits Admin sur un autre domaine ? RRS feed

  • Question

  • Bonjour,

     

    J'ai 2 domaines AD en Server 2003 SE SP2:

    Dmz.com et Topo.com

    Une relation d'approbation bidirectionnel entre les 2 domaines a été faite et validé.

    Sur le Domaine "Dmz.com" le compte "Admin" doit pouvoir avoir les droits admin du domaine sur Topo.com.

    Comment faire ?

    J'ai bien regarder au niveau des "Parametres de Sécurité du domaine" mais je n'ai rien vu qui puisse m'aider ds ma démarche :/

     

    Si vous avez une idée sur ce pb tout bete je pense, je suis preneur ^^

     

    Merci d'avance ;o)

    mercredi 14 avril 2010 11:39

Réponses

  • Bonjour,

     Les comptes auxquels vous accordez des droits d'administration au niveau du domaine ne doivent pas disposer de droits élevés dans une autre forêt, même s'il existe une relation d'approbation entre les forêts. Cette stratégie permet de limiter les dégâts si la sécurité d'une forêt gérée est menacée par un pirate. Pour se protéger contre l'élévation non autorisée des privilèges.

    Cordialement


    Anouar KETAT MCSA/MCSE Messaging & Security, MCDBA , MCTS / MCITP et MCT https://mcp.microsoft.com/authenticate/validatemcp.aspx (Transcript ID: 730218 Access Code: WelcomeMCP)
    mercredi 14 avril 2010 13:37
  • Bonjour,

    Afin d'attribuer des droits à un utilisateur, il faut passer par l'assistant de délégation (faire un clic droit sur l'OU sur laquelle vous voulez attribuer les droits, et sélectionner Délégation de contrôle...)

    En revanche, je suis d'accord avec Anouar : il ne faut pas attribuer des droits trop élevés à un utilisateur d'un autre domaine ! Il faut seulement attribuer les droits nécessaires à l'utilisateur en question!

    Cordialement


    Kevin PHELIPPO www.nelite.com
    mercredi 14 avril 2010 15:09
  • Bonjour,

    Etant donné que le group "Administrateurs du domaine" est de type "global", vous ne pourrez y ajouter de membres qui n'appartiennent pas au même domain.

    Il faut donc mettre en place une politique de délégation d'administration en parralèle.

    Concernant les opérations au niveau purement AD (gestion de comptes, de la réplication etc...), je vous renvois vers ce guide très détaillé:http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en

    Concernant l'accès administratif au serveurs membres, il vous est possible d'ajouter des groupes ou utilisateurs du domain dmz.com au groupes locaux des machines des domaines à administrer.

    Je rejoins les autres intervenants quant aux risques liés à l'utilisation de droits élevés.

     


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    vendredi 16 avril 2010 09:58

Toutes les réponses

  • Bonjour,

     Les comptes auxquels vous accordez des droits d'administration au niveau du domaine ne doivent pas disposer de droits élevés dans une autre forêt, même s'il existe une relation d'approbation entre les forêts. Cette stratégie permet de limiter les dégâts si la sécurité d'une forêt gérée est menacée par un pirate. Pour se protéger contre l'élévation non autorisée des privilèges.

    Cordialement


    Anouar KETAT MCSA/MCSE Messaging & Security, MCDBA , MCTS / MCITP et MCT https://mcp.microsoft.com/authenticate/validatemcp.aspx (Transcript ID: 730218 Access Code: WelcomeMCP)
    mercredi 14 avril 2010 13:37
  • Bonjour,

    Afin d'attribuer des droits à un utilisateur, il faut passer par l'assistant de délégation (faire un clic droit sur l'OU sur laquelle vous voulez attribuer les droits, et sélectionner Délégation de contrôle...)

    En revanche, je suis d'accord avec Anouar : il ne faut pas attribuer des droits trop élevés à un utilisateur d'un autre domaine ! Il faut seulement attribuer les droits nécessaires à l'utilisateur en question!

    Cordialement


    Kevin PHELIPPO www.nelite.com
    mercredi 14 avril 2010 15:09
  • En faite dans le domaine DMZ.com, il y a un serveur DSM qui est destiné à gérer plusieurs domaines.

    Comment faut t'il faire dans ce cas la pour que d'un compte du domaine DMZ on puisse installer neceraisse que les agents DSM ?

    mercredi 14 avril 2010 16:00
  • Bonjour,

    Etant donné que le group "Administrateurs du domaine" est de type "global", vous ne pourrez y ajouter de membres qui n'appartiennent pas au même domain.

    Il faut donc mettre en place une politique de délégation d'administration en parralèle.

    Concernant les opérations au niveau purement AD (gestion de comptes, de la réplication etc...), je vous renvois vers ce guide très détaillé:http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en

    Concernant l'accès administratif au serveurs membres, il vous est possible d'ajouter des groupes ou utilisateurs du domain dmz.com au groupes locaux des machines des domaines à administrer.

    Je rejoins les autres intervenants quant aux risques liés à l'utilisation de droits élevés.

     


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    vendredi 16 avril 2010 09:58