none
Limiter les droits des utilisateurs sur le domaine RRS feed

  • Question

  • Bonjour tous,

    Un des controleurs de domaines est tombé en panne et je l'ai remplacé par un notre, J'avais deux l'un principal l'autre secondaite dans un même domaine.Celui qui est tombé était le principal, celui qui était secondaire je l'ai fait un principal et le nouveau secondaire.Malheureusement Certaines Group policies ont changé je ne sais pourquoi, maintenat tous les utilisateurs ont droit à tout sur leur postes clients alors qu'avant ils n'étaient que des utilisateurs standards qui ne peuvent rien changer .La sécurité devient compromise car seuls les administrateurs devaraient avoir des prévilèges élévés.Coment est ce que je peux faire pour que les utilisateurs dans un OU(unité organitionnel) aient seulement les droits d'utilisateurs standards sur le postes clients?

    Merci


    OBR SYSTEM ADMINISTRATOR

    mercredi 9 décembre 2015 09:37

Réponses

  • Salut,

    Par défaut un utilisateur n'a pas de permissions spéciales sur la machine, sauf s'il appartient à un groupe Administrateur local ou Power Users, ou administrateur du domaine etc..  donc il n'y a pas besoin de créer une GPO spécifique pour cela. (Après il y a peut-être une GPO existante qui ajoute automatiquement tes utilisateurs dans un de ces groupes avec privilèges, c'est plutôt ça qu'il faut déterminer)

    Il faut vérifier les groupes auxquels tes utilisateurs appartiennent ? (ex. commande "whoami /groups" depuis un poste client). Il doit y avoir un groupe auquel l'utilisateur n'a rien à y faire ?  Puis vérifier quelles sont les GPOs qui s'appliquent ( "Gpresult /h C:\temp\report.html /f") ?

    ++

    mercredi 9 décembre 2015 21:09
  • Soit par les groupes restreints soit parles préférences

    http://pbarth.fr/node/78

    mercredi 9 décembre 2015 21:11
    Modérateur

Toutes les réponses

  • Bonjour,

    1) Il n'y a pas de notion dc primaire et secondaire.

    2) Les GPO se repliquent entre DC hormis les admx téléchargé si on ne crée pas de magasin central donc cela veut dire qu'il y avait déjà un problème de réplication entre vos DC.

    3) Il est nécessaire de faire netdom query fsmo sur un des DC pour voir que les roles sont bien sur un DC fonctionnel.

    4) Vérifier le serveur de temps via l'utilitaire w32tm, tout le monde doit pointer vers le serveur emultateur PDC et le serveur emulateur PDC vers une source de temps externe.

    5) Pour votre problème, créer une GPO avec un groupe restreint pour que les droits actuels soient ecrase des l'application de la GPO ou apres reboot des postes.

    Cordialement

    mercredi 9 décembre 2015 09:43
  • Merci beaucoup de la réponse , par DC primaire je voulais en fait dire le DC qui avait tous les roles, celui qui est tombé en panne avait un problème matériel et n'est plus fonctionnel, avant la configuration du deuxième un nettoyage a été bien fait à ce niveau je n'ai pas de problème car les replications vont bon train.Même au niveau du serveur temps il n'y a pas de soucis,je voulais  juste en peu de détails sur l'edition de la GPO sur un OU pour effectivement restreindre les droits  des USERS.

    merci


    OBR SYSTEM ADMINISTRATOR

    mercredi 9 décembre 2015 12:56
  • Salut,

    Par défaut un utilisateur n'a pas de permissions spéciales sur la machine, sauf s'il appartient à un groupe Administrateur local ou Power Users, ou administrateur du domaine etc..  donc il n'y a pas besoin de créer une GPO spécifique pour cela. (Après il y a peut-être une GPO existante qui ajoute automatiquement tes utilisateurs dans un de ces groupes avec privilèges, c'est plutôt ça qu'il faut déterminer)

    Il faut vérifier les groupes auxquels tes utilisateurs appartiennent ? (ex. commande "whoami /groups" depuis un poste client). Il doit y avoir un groupe auquel l'utilisateur n'a rien à y faire ?  Puis vérifier quelles sont les GPOs qui s'appliquent ( "Gpresult /h C:\temp\report.html /f") ?

    ++

    mercredi 9 décembre 2015 21:09
  • Soit par les groupes restreints soit parles préférences

    http://pbarth.fr/node/78

    mercredi 9 décembre 2015 21:11
    Modérateur
  • Merci tous du support,

    ce qui me dérange le plus c'est qu' avant, les droits des utilisateurs sur le domaine étaient limités au Standard par défaut.Personne sur un poste authentifié sur le domaine ne pouvait installer quoi ce soit ou changer quoi que ce soit  sauf ceux du groupe IT qui avaient des droits d'administrateurs.D'un coup, tous les utilisateurs peuvent lancer des exécutables ou voir et changer les paramètres comme les DNS etc...... sur leur poste.Tout ce que j'avais changer était de créer un conteneur pour les utilisateurs de l a téléphonie IP et une unité Organizationnel pour le reste des USers.Comment est ce que je peux rétablir les droits standards aux utilisateurs  vu que la sécurité est mise en cause si n 'importe qui peut installer ou avoit accès à n'importe quoi sur son poste?

    Merci


    OBR SYSTEM ADMINISTRATOR

    mardi 15 décembre 2015 08:21
  • as-tu lu nos réponses ci-dessus ? Quels sont les points que tu as vérifié ?
    mardi 15 décembre 2015 12:26
  • Ci dessous les résultats après vérifications des GP

    Group Policy Objects
    Applied GPOs
    Name Link Location Revision
    CCMSetup obr.gov.bi AD (1), Sysvol (1)
    Default Domain Policy obr.gov.bi AD (2), Sysvol (2)
    Denied GPOs
    Name Link Location Reason Denied
    Local Group Policy Local Empty
    Kaspersky_AKb87ffcf2-c1d2-4b07-b22e-0bb7aa781f29 obr.gov.bi Access Denied (Security Filtering)
    Kaspersky_AK8d79cf2d-d3fe-457a-a69f-6100a934d405 obr.gov.bi Access Denied (Security Filtering)
    Kaspersky_AK2fc7cd7c-d17d-408d-9b1c-581ddc4520ca obr.gov.bi Access Denied (Security Filtering)
    obrusers obr.gov.bi Disabled GPO
    Windows Firewall obr.gov.bi Empty
    Configure Automatic Updates obr.gov.bi Empty
    Security Group Membership when Group Policy was applied
    OBR\Domain Users
    Everyone
    BUILTIN\Users
    BUILTIN\Administrators
    NT AUTHORITY\INTERACTIVE
    CONSOLE LOGON
    NT AUTHORITY\Authenticated Users
    NT AUTHORITY\This Organization
    LOCAL
    OBR\SHAREPOINT_USERS
    OBR\Domain Admins
    OBR\exchange_users
    OBR\Denied RODC Password Replication Group
    Mandatory Label\High Mandatory Level

    Comme vous l'avez dit , l'utilisateur appartient à des groupes dont il ne devait pas appartenir.Malheureusement je parviens à voir un GP qui l'a automatiquement mis là.


    OBR SYSTEM ADMINISTRATOR

    mardi 15 décembre 2015 13:25
  • Ils sont membres du groupe 'OBR\Domain Admins' c'est cela ?

    Ce n'est pas configuré dans l'une des 2 GPO appliquée ? :

    CCMSetup AD (1), Sysvol (1)

    Default Domain Policy

    Quand tu ouvres le groupe "Domain Admins" via la console AD, tu vois des comptes utilisateurs qui n'ont rien à y faire ?

    mardi 15 décembre 2015 15:14
  • Quand j'ouvre le Domains Admins group,il n' y a pas de comptes qui n'ont rien à y faire.Tous ceux qui y sont ont drots d'y être

    OBR SYSTEM ADMINISTRATOR

    mercredi 16 décembre 2015 09:38