none
Active Directory - Utilisateur de service pour SSO

    Question

  • Bonjour,

    J'ai créé un utilisateur de "service" pour faire des interrogation Active Directory (ldap).

    J'ai constaté que cela ne fonctionnait pas.

    Si je prend un utilisateur avec des droits administrateurs du domaine, cela fonctionne.

    J'ai forcé le droit de lecture sur la racine de l'AD (du domaine) et cela ne fonctionne toujours pas.


    Quelqu'un aurait une idée ?

    lundi 16 octobre 2017 08:42

Réponses

Toutes les réponses

  • Ce n'est pas logique : tous les utilisateurs ont un accès en lecture sur l'annuaire. Seule exception: la mise en œuvre volontaire de restriction de lecture pour protéger les zones sensibles (comme l'administration). vous devriez vous retourner vers votre équipe IT et voie avec eux si des restrictions ont été mises en œuvre.

    lundi 16 octobre 2017 10:22
  • Justement, est-ce qu'il faut un droit "member of" ou un autre droit de délégation ?

    C'est moi l'équipe IT. :)

    lundi 16 octobre 2017 11:36
  • pour lire l'AD, il faut au moins être membre du groupe "utilisateurs du domaine" de son domaine. Vous ne tentez pas de taper sur un domaine différent à tout hasard ? 
    lundi 16 octobre 2017 11:49
  • Bonjour,

    A noter qu'il ne faut surtout pas mettre l'utilisateur utilisé dans le groupe "invités" !

    Comme l'indique Loic, tout utilisateur créé "normalement" a accès en lecture à AD par LDAP. Surtout, ne rien ajouter (ou retirer...).

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    lundi 16 octobre 2017 12:58
  • Bon...

    Après maintes recherches(Local Policy, AD Security permission, Attributs de l'objet AD, GPO,...), je n'ai pas trouvé ce qui bloquait cet utilisateur, mais un utilisateur "neuf" sans droits fonctionne très bien.
    Si on spécifie dans les propriété de l'utilisateur "Log on to : " avec un ordinateur spécifique, il perd les droits d'interrogation du contrôleur de domaine (si on met un autre ordinateur que le contrôleur de domaine).

    J'ai trouvé le liens suivant qui stipule comment créer un utilisateur AD limité pour faire des interrogations AD :

    https://social.technet.microsoft.com/Forums/office/en-US/f70ec4ba-2c09-4e7f-bfbf-a9d553d7e1db/create-a-limited-user-just-for-ldap-connection?forum=winservergen



    • Marqué comme réponse IT_VBO mercredi 25 octobre 2017 05:08
    • Modifié IT_VBO mercredi 25 octobre 2017 05:09
    mercredi 25 octobre 2017 05:06