locked
AD: délégation de droit RRS feed

  • Question

  • Bonjour à tous,

    je souhaiterais autoriser certains membres de mon organisation à effectuer des tâches d'administrations.

    Je m'explique, je voudrais permettre à mes chefs de services d'ajouter ou de supprimer des membres dans certains groupes (domaine local). Ce qui leur permettrais d'ajouter ou de retirer les autorisations NTFS qui vont avec.

    Malheureusement mes recherches sur le sujet ne m'ont pas permis d'y arriver et je doute que l'on peut être aussi précis dans la délégation de droit. Car je ne souhaite pas que l'ajout et la suppression de groupe se fasse sur l'ensemble de mon Active Directory.

    Qu'en pensez-vous ?

    Merci d'avance

    Matthieu


    • Modifié Matthieu.L vendredi 19 septembre 2014 08:36
    vendredi 19 septembre 2014 08:34

Réponses

  • Si vous n'avez pas confiance dans ce qu'ils font, le plus simple et de développer une interface personnalisé dans laquelle leur action est limité.

    Par exemple sous powershell ... une page graphique affichant la ressource qu'il gère avec la possibilité de gérer que les utilisateurs dans son services. Il est possible d'extraire facilement ces listes en fonction du service par requète LDAP en organisant les OU .

    • Marqué comme réponse Matthieu.L vendredi 19 septembre 2014 11:05
    vendredi 19 septembre 2014 09:51

Toutes les réponses

  • Bonjour,

    Vous pouvez créer des Unités organisationnelles, et déléguer des droits sur ces UO.

     

    A+



    L’information n’a de valeur que si elle est partagée!! AK

    vendredi 19 septembre 2014 09:10
  • oui ça c'est pas un problème, mais si dedans j'ai un groupe DL. Mon utilisateur pourra y mettre n'importe quoi comme groupe ou utilisateur dedans.

    Ce que je voudrais c'est lui limiter la liste.

    Car en effet je compte ranger mes DL dans des OU pour reproduire mon arborescence de fichiers.

    Donc chaque chef de service n'aurait accès qu'à ses DL propre à son/ses répertoires.

    Par contre je veux pouvoir limiter au maximum les erreurs.

    Je sais pas si je me fais bien comprendre :s

    Merci quand même

    • Modifié Matthieu.L vendredi 19 septembre 2014 09:14
    vendredi 19 septembre 2014 09:13
  • L'organisation des OU est justement faites pour en optimiser l'administration et la délégation de droits.

    Il est possible avec l'assistant d'utiliser un modèle déja établi ou de modifier des sécurité de manière détaillé sur les attributs utilisateur.

    Vous trouvez par exemple des modèles : modifier l'appartenance à un groupe, réinitialiser le mot de passe, sinon vous pouvez choisir personnaliser ...

    vendredi 19 septembre 2014 09:40
  • Si vous n'avez pas confiance dans ce qu'ils font, le plus simple et de développer une interface personnalisé dans laquelle leur action est limité.

    Par exemple sous powershell ... une page graphique affichant la ressource qu'il gère avec la possibilité de gérer que les utilisateurs dans son services. Il est possible d'extraire facilement ces listes en fonction du service par requète LDAP en organisant les OU .

    • Marqué comme réponse Matthieu.L vendredi 19 septembre 2014 11:05
    vendredi 19 septembre 2014 09:51
  • Merci pour vos réponses.

    En effet sur papier la solution powershell semble la bonne.

    Je vais donc étudier cette piste.

    Je vous marque comme réponse.

    Merci pour l'aide

    vendredi 19 septembre 2014 11:05