locked
Relations d'approbations et délégation de la gestion AD RRS feed

  • Question

  • Bonjour à tous,

    Voici le contexte :

    Un domaine AD de production contenant les utilisateurs de mon domaine de prod. => domain1.home
    J'ai installé un controleur de domaine, d'une nouvelle foret indépendante du 1er et placé en DMZ => domain2.home

    J'ai mis en place une relation d'approbation unilatéral qui autorise les utilisateurs du domaine1 à s'authentifier sur le domaine 2.
    De plus, j'ai configuré les droits attribués aux users bénéficiants de la relation d'approbation, en mode sécurisé (je dois définir moi même à quelles ressources ils peuvent accéder) => test de login sur un serveur spécifié ok, sans autorisations cela ne fonctionne pas , test validé !

    Maintenant ce que je souhaites faire c'est permettre à un groupe d'utilisateurs (groupeTEST) du domaine 2 (Groupe de sécurity de niveau domain local contenant les users du domain1 à qui je souhaites donner des droits => ok ça marche) :
    - de créer, changer le mot de passe et de supprimer des comptes dans l'AD du domaine 2.

    J'ai attribué à ce groupe le droit full control sur l'AD via l'onglet sécurité sur le domain2.home (Full control mis pour test car ça ne marchait pas).

    La GPO de domain2 est de base, jamais modifiée.
    J'ai ajouté les droits suivants au groupeTEST dans la stratégie de sécurité du controlleur de domaine :
    - Acces this computer from the network
    - Add workstations to domain
    - allow log on locally

    Dans un premier temps je voudrais qu'il puisse accéder en console MMC à l'ensemble de la console AD du domain2, je ferais mes restrictions par la suite; et tout ceci en utilisant leur login user@domain1.home

    Lorsque je crée la mmc "User et computer AD", la console AD du domain1 apparait, normal, donc je fais add domain, je tape domain2.home et le message suivant apparait :

    "Windows cannot connect the new domain because :
    Logon failure : The machine you are login onto is protected by an authentification firewall.the specified account is not allowed to authenticate to the machine."

    J'ai également essayer d'ajouter mon groupe au groupe 'domain2\domain users' mais ce n'est pas possible et on ne peut pas changer le mode de ce groupe en domain local par ex

    Je ne sais plus trop à quel niveau lui accorder des droits ! Une idée ?


    Merci de votre aide !!!!
    • Déplacé swapnilpBanned jeudi 4 février 2010 01:21 Forum Consolidation (Origine :Windows Server 2003 – Services d’Annuaire)
    jeudi 18 janvier 2007 15:43

Toutes les réponses

  •  

    Bon la réponse était :

     

    Il faut aller sur le compte d'ordinateur de la machine cible et cocher la case "allow to authenticate" pour les users auquels nous souhaitions leur donner accès.

     

    Tout ceci etait dans le cadre d'une relation d'approbation en mode "selective", il fallait donc donner les droit sur la machine cible au niveau du compte d'ordinateur et non de la machine.

     

    Voila pour le feedback,

     

    PS : j'ai changé de pseudo au passage Smile

    mardi 29 janvier 2008 13:18