locked
Droits d'intégration de PC dans un domaine Active Directory RRS feed

  • Discussion générale

  • Bonjour,

    Avant de poser ma question, je vous donne quelques informations :

    Je suis administrateur du domaine AD de mon entreprise. Je n'ai pas mis en place l'infrastructure existante.

    Après quelques tests, je constate qu'un compte utilisateur "basic" peut lui même intégrer un ordinateur dans le domaine.

    Le compte est uniquement membre du groupe "Domain users"
    J'ai créé un nouveau compte test.test sans aucun droit particulier, et je suis capable avec ce compte d'intégrer un pc dans le domaine, et même de le sortir du domaine.

    J'ai fait un audit des droits sur le compte, affichant que le compte n'a pas le droit de créer d'objet computer.

    Merci d'avance si vous avez une solution pour auditer cela et faire en sorte que seuls les administrateurs du domaines aient ce droit.

    Cordialement,

    JamBou

    mercredi 13 août 2014 12:56

Toutes les réponses

  • Bonjour,

    Regardes au niveau de l'ou qui héberge les objets utilisateurs, tu dois avoir des autorisations spéciales dessus qui permettent au utilisateurs de rentrer et sortir un ordinateurs du domain.

    Cordialement,

    Lorcor 

    mercredi 13 août 2014 13:01
  • Merci du retour

    Avec mon compte de test, et un audit dans l'OU :

    http://hpics.li/becd9e8

    Edit : Rien de particulier dans l'onglet "security" de l'OU...

    Quand je fais un audit avec mon compte admin, le résultat est cohérent.

    • Modifié JamBous mercredi 13 août 2014 13:18
    mercredi 13 août 2014 13:16
  • Ton compte est membre de  "Domain users" et domain users n'est pas membre d'un autre groupe qui a les droits ?
    mercredi 13 août 2014 13:37
  • Le groupe Domain Users est :

    • membre du groupe Users, qui n'a pas les droits
    • membre du groupe CERTSVC_DCOM_ACCESS, qui n'a pas les droits

    Ces groupes ne sont pas membre d'autres groupes...

    J'ai du mal à comprendre, voilà pourquoi j'ai ouvert le topic :)

    mercredi 13 août 2014 13:50
  • fais un gpresult avec ton compte de test est vérifie si il y a pas un truc qui cloche
    mercredi 13 août 2014 14:32
  • Rien d'anormal selon moi. POur les groupes :

    Adhérence du groupe de sécurité quand la stratégie de groupe a été appliquée

    FR\Domain Users
    Tout le monde
    BUILTIN\Utilisateurs
    AUTORITE NT\INTERACTIF
    OUVERTURE DE SESSION DE CONSOLE
    AUTORITE NT\Utilisateurs authentifiés
    AUTORITE NT\Cette organisation
    LOCAL
    FR\Domain Users
    FR\CERTSVC_DCOM_ACCESS
    Étiquette obligatoire\Niveau obligatoire moyen

    mercredi 13 août 2014 14:53
  • Bonjour,

    Par défaut tous utilisateurs authentifiés ont le droit d'intégrer 10 machines dans un domaine.

    Ce droit est configuré via le User Rights Assignement Add Workstation to domain qui est positionné sur les contrôleurs de domaine.

    Cdt,

    mercredi 13 août 2014 16:52
  • Bonjour,

    Regarde la GPO "Default Domain Controllers Policy", c'est ici qu'est donné le droit de joindre des machines au domaine. Ton prédécesseur a peut-être fait des choses bizarres.


    Blog
    Scripts

    mercredi 13 août 2014 17:16
  • Merci pour ces informations. C'est très intéressant de l'apprendre.

    J'ai modifié le GPO de base avec succés. Je constate qu'un utilisateur lambda ne peut pas retirer un ordinateur du domaine, mais peut toujours l'intégrer.

    Je ne parviens pas à modifier la police local du DC, l'option reste grisée.

    Quelle valeur prédomine ? La GPO du domaine, ou la police local au DC ?
    Ci-dessous quelques screenshots.

    Merci

    • GPO Domain default policy : http://hpics.li/a134f1e
    • Local policy for the DC : http://hpics.li/2321a9e
    jeudi 14 août 2014 08:34
  • Merci pour ces informations. C'est très intéressant de l'apprendre.

    J'ai modifié le GPO de base avec succés. Je constate qu'un utilisateur lambda ne peut pas retirer un ordinateur du domaine, mais peut toujours l'intégrer.

    Je ne parviens pas à modifier la police local du DC, l'option reste grisée.

    Quelle valeur prédomine ? La GPO du domaine, ou la police local au DC ?
    Ci-dessous quelques screenshots.

    Merci

    • GPO Domain default policy : http://hpics.li/a134f1e
    • Local policy for the DC : http://hpics.li/2321a9e

    Fait un "GpUpdate /force", et redémarres tes DC, un par un bien sur.

    Blog
    Scripts

    jeudi 14 août 2014 08:49
  • OK, je le fais dès que possible...

    Merci

    jeudi 14 août 2014 10:05