none
Délégation FSMGMT.msc RRS feed

  • Question

  • Bonjour,

    Dans une forêt Active Directory composé notamment de plusieurs serveur (2012, 2016 et 2019) je possède quelques serveurs de fichiers.

    Certains serveur de fichiers sont uniquement serveur de fichier, mais j'en ai une majorité qui sont également DC.

    Je souhaite que certains utilisateurs de l'assistance téléphonique puisse accéder au moins en lecture à la console FSMGMT.msc.

    L'idée est de créé comme une délégation qui permettra à des techniciens de s'authentifier avec un compte d'administration (les comptes sont uniquement admin local de certains poste du domaine).

    Merci pour votre aide.

    mardi 4 janvier 2022 05:32

Toutes les réponses

  • Bonjour Christophe,

    La solution la plus simple à mon sens :

    • Tu créés un groupe de sécurité dans l'AD (ex. SD-Print)
    • Tu peuples ce groupe avec les comptes des personnes du SD concernés.
    • Tu vas ensuite sur chaque serveur d'impression et tu rajoutes ce groupe (Console PrinterServer, onglet sécurité) avec soit les droits "Gérer les documents" ou "gérer les imprimantes" selon le besoin.

    Fini pour les actions sur les serveurs et services d'impression.

    Sur les postes de travail des personnes du SD, tu installes le RSAT (Remote Server Admin Tools) en tout ou partie (au moins les PrintServices puisque c'est ce que recherché). De toutes façons, même si tous les composants RSAT étaient installés, les utilisateurs des dites machines ne pourraient utiliser que ce pour quoi ils ont les droits (AD Users&Computers en lecture, PrintService selon ce qu'accordé, DNS Non, DHCP non ....).

    en pratique :

    # Pour identifier le (ou les) composant à installer

    Get-WindowsCapability -Online -Name rsat*

    (Personnellement je ferais un simple Get-WindowsCapability -Online -Name rsat* | Add-WindowsCapability -Online)

    Cordialement

    Olivier

    Edit : A lancer en RunAsAdmin bien entendu sur les postes
    mardi 4 janvier 2022 12:00
  • Bonjour Oliv,

    D'abord merci d'avoir pris le temps de me faire une réponse complète. Cependant, ce n'est pas la délégation des serveurs d'impression qui m'intéresse (c'est déjà en place).

    Ce que je souhaite c'est que les personnes du SD puissent afficher la console fsmgmt.msc.

    Cette console permet sur les serveur de fichier de lister les partages, voir les sessions en cours et lister les fichiers qui sont ouvert sur le serveur.

    La partie qui m'intéresse est surtout de donner accès à la liste des partages + chemin des dossiers.

    Merci par avance.

    mercredi 5 janvier 2022 22:54
  • Certains serveur de fichiers sont uniquement serveur de fichier, mais j'en ai une majorité qui sont également DC.

    Un DC ne devrait pas être un serveur de fichier ...

    Tu as essayé en utilisant la console  FSMGMT.msc depuis le poste puis "se connecter à un autre ordinateur"


    jeudi 6 janvier 2022 18:14
  • Bonjour,

    Lorsqu'on tente de se connecter à un autre ordinateur :



    jeudi 6 janvier 2022 22:43
  • Bonjour Christophe,

    La copie d'écran parle d'elle-même : pas les droits.

    De plus tu écris dans ton premier message "les comptes sont uniquement admin local de certains poste du domaine". Un compte local, même admin local, ne dispose d'aucun droit sur une machine distante (du domaine ou hors domaine).

    Pour pouvoir utiliser les outils d'administration vers une machine distante, il faut avoir les privilèges nécessaires pour ce faire. Pour certains, comme AD Users&Computers, un simple compte de domaine suffit. Pour d'autres, la majorité, il faut avoir des privilèges d'administration sur la machine distante (membre du groupe Administrateurs local le plus souvent). Quand la machine distante est un DC, cela peut être encore plus important.

    Quand on dit qu'un contrôleur de domaine doit être DC/DNS uniquement, et que tout autre rôle doit être installé sur un serveur membre, ce n'est pas pour embêter le monde, c'est pour éviter des problèmes. Est-ce qu'il est raisonnable que les personnes d'un Service Desk soit Domain Admins ? Non, en aucun cas ! (Principe du moindre privilège oblige et RACI oblige).

    Il faudrait déjà que :

    • les personnes du Service Desk utilisent un compte de domaine
    • Que ces comptes disposent des privilèges nécessaires et suffisants pour faire ce qu'ils doivent faire à distance (Cela s'appelle du Remote management ou administration à distance pour les outils d'administration ou du RemoteShell pour la même chose en ligne de commande). Nota : On ne donne pas des droits à des comptes, mais à des groupes.
    • Si c'est un compte qui dispose de privilèges sur le domaine, ledit compte doit être nominatif, à des fins de traçabilité (que le premier qui utilise un compte générique - le pire étant le compte Administrateur (builtin) du domaine - soit pendu haut et court jusqu'à ce que mort s'en suive). Ce n'est pas qu'un joke, mais une précaution du base.

    J'ai déjà mis à disposition des outils du RSAT ou des scripts pour des personnes de Service Desk en respectant les principes de base de sécurité et cela se fait sans trop de difficultés. Dans ton cas, chaque personne du SD utilise un compte local - qui plus est doit être surement un compte générique - donc c'est "no way" avec ce compte. Certes, il y a bien des possibilités de faire des "Run as..." avec un autre compte, mais quel compte ? Un compte générique ? il ne respecterait pas les principes de base de sécurité. Un compte nominatif ? Dans ce cas pourquoi ne pas de loguer directement avec ce dernier ?

    Tu pars de loin et tu n'es pas sorti de l'auberge. Bon courage

    Olivier

    vendredi 7 janvier 2022 07:27
  • Bonjour Oliv',

    Je ne part pas de loin car tout cela est deja en place dans mon organisation. :-)
    Les techniciens, hotliner, etc... disposent de comptes d'administration nominatifs.
    Je gère avec les groupes AD, tout un tas de délégation très finement : certificat, admin local des postes, gestionnaire de l'impression, dhcp, etc... 
    Tout est déjà millimétré sur le principe du moindre privilège que je connais bien depuis des années.

    La question que je posais à la base c'est juste de savoir OU mettre les droits pour donner l'accès à Share de FSMGMT.MSC.
    mardi 11 janvier 2022 23:59