Ce forum Internet est fermé. Merci beaucoup pour vos contributions.

Remove From My Forums

Droits d'intégration de PC dans un domaine Active Directory

Discussion générale
0

Connectez-vous pour voter
Bonjour,

Avant de poser ma question, je vous donne quelques informations :

Je suis administrateur du domaine AD de mon entreprise. Je n'ai pas mis en place l'infrastructure existante.

Après quelques tests, je constate qu'un compte utilisateur "basic" peut lui même intégrer un ordinateur dans le domaine.

Le compte est uniquement membre du groupe "Domain users"
J'ai créé un nouveau compte test.test sans aucun droit particulier, et je suis capable avec ce compte d'intégrer un pc dans le domaine, et même de le sortir du domaine.

J'ai fait un audit des droits sur le compte, affichant que le compte n'a pas le droit de créer d'objet computer.

Merci d'avance si vous avez une solution pour auditer cela et faire en sorte que seuls les administrateurs du domaines aient ce droit.

Cordialement,

JamBou
- Modifié JamBous mercredi 13 août 2014 13:11
- Type modifié Dan BajenaruMicrosoft employee lundi 18 août 2014 14:01 attente de feedback
mercredi 13 août 2014 12:56

Toutes les réponses

0

Connectez-vous pour voter

Bonjour,

Regardes au niveau de l'ou qui héberge les objets utilisateurs, tu dois avoir des autorisations spéciales dessus qui permettent au utilisateurs de rentrer et sortir un ordinateurs du domain.

Cordialement,

Lorcor

mercredi 13 août 2014 13:01
0

Connectez-vous pour voter
Merci du retour

Avec mon compte de test, et un audit dans l'OU :

http://hpics.li/becd9e8

Edit : Rien de particulier dans l'onglet "security" de l'OU...

Quand je fais un audit avec mon compte admin, le résultat est cohérent.
- Modifié JamBous mercredi 13 août 2014 13:18
mercredi 13 août 2014 13:16
0

Connectez-vous pour voter

Ton compte est membre de "Domain users" et domain users n'est pas membre d'un autre groupe qui a les droits ?

mercredi 13 août 2014 13:37
0

Connectez-vous pour voter
Le groupe Domain Users est :

membre du groupe Users, qui n'a pas les droits
membre du groupe CERTSVC_DCOM_ACCESS, qui n'a pas les droits

Ces groupes ne sont pas membre d'autres groupes...

J'ai du mal à comprendre, voilà pourquoi j'ai ouvert le topic :)
mercredi 13 août 2014 13:50
0

Connectez-vous pour voter

fais un gpresult avec ton compte de test est vérifie si il y a pas un truc qui cloche

mercredi 13 août 2014 14:32
0

Connectez-vous pour voter

Rien d'anormal selon moi. POur les groupes :

Adhérence du groupe de sécurité quand la stratégie de groupe a été appliquée

FR\Domain Users
Tout le monde
BUILTIN\Utilisateurs
AUTORITE NT\INTERACTIF
OUVERTURE DE SESSION DE CONSOLE
AUTORITE NT\Utilisateurs authentifiés
AUTORITE NT\Cette organisation
LOCAL
FR\Domain Users
FR\CERTSVC_DCOM_ACCESS
Étiquette obligatoire\Niveau obligatoire moyen

mercredi 13 août 2014 14:53
1

Connectez-vous pour voter

Bonjour,

Par défaut tous utilisateurs authentifiés ont le droit d'intégrer 10 machines dans un domaine.

Ce droit est configuré via le User Rights Assignement Add Workstation to domain qui est positionné sur les contrôleurs de domaine.

Cdt,

mercredi 13 août 2014 16:52
0

Connectez-vous pour voter

Bonjour,

Regarde la GPO "Default Domain Controllers Policy", c'est ici qu'est donné le droit de joindre des machines au domaine. Ton prédécesseur a peut-être fait des choses bizarres.
Blog
Scripts

mercredi 13 août 2014 17:16
0

Connectez-vous pour voter
Merci pour ces informations. C'est très intéressant de l'apprendre.

J'ai modifié le GPO de base avec succés. Je constate qu'un utilisateur lambda ne peut pas retirer un ordinateur du domaine, mais peut toujours l'intégrer.

Je ne parviens pas à modifier la police local du DC, l'option reste grisée.

Quelle valeur prédomine ? La GPO du domaine, ou la police local au DC ?
Ci-dessous quelques screenshots.

Merci

GPO Domain default policy : http://hpics.li/a134f1e
Local policy for the DC : http://hpics.li/2321a9e
jeudi 14 août 2014 08:34
1

Connectez-vous pour voter
Merci pour ces informations. C'est très intéressant de l'apprendre.

J'ai modifié le GPO de base avec succés. Je constate qu'un utilisateur lambda ne peut pas retirer un ordinateur du domaine, mais peut toujours l'intégrer.

Je ne parviens pas à modifier la police local du DC, l'option reste grisée.

Quelle valeur prédomine ? La GPO du domaine, ou la police local au DC ?
Ci-dessous quelques screenshots.

Merci

GPO Domain default policy : http://hpics.li/a134f1e
Local policy for the DC : http://hpics.li/2321a9e

Fait un "GpUpdate /force", et redémarres tes DC, un par un bien sur.
Blog
Scripts
jeudi 14 août 2014 08:49
0

Connectez-vous pour voter

OK, je le fais dès que possible...

Merci

jeudi 14 août 2014 10:05