none
Accès NETLOGON RRS feed

  • Question

  • Bonjour,

    J'ai dans mon infrastructure 4 Contrôleurs de domaine , 1 CD Global , 1 CD secondaire et deux autres dans dans un second site et un site de réplication .

     chaque IT possède son propre admin membre de Admins du domaine et Administrateurs de l'entreprise , le problème qui se produit chez tous les admins qu'ils n'ont pas le droit de mettre un script(.bat ou .ps1)  sous  \\Mondomaine\NETLOGON\

    Juste je voulais ajouté que l'accès directe sur le dossier NETLOGON est bien fonctionnel sauf que lorsque je veux mettre un script dedans il m'affiche un message des droits.

    Ci-dessous des droit de mon compte admin:

    Cordialement;




    jeudi 29 septembre 2022 12:32

Réponses

  • Bonjour Mohamed,

    Un test simple à faire.

    • tu te loggues sur un DC avec un compte admin.
    • Explorateur, et tu vas dans le Netlogon via un path local (C:\Windows\Sysvol\...\scripts
    • tu colles un fichier texte bidon
    • Tu es admin, les permissions NTFS t'autoriseront.
    • 2nd explorateur et là tu fais \\TOnServeur\NetLogon (tu vas arriver au même endroit mais à travers un path réseau).
    • Essaies de coller un fichier. Si tu as un "Access Denied" (ce que tu constates),
    • Reprend ton explorateur sur le path local et regardes les droits sur le partage. Tu devrais avoir (par défaut) Utilisateurs Authentifiés - Lecture. 
    • Ajoutes alors ton groupe d'administration qui va bien (Admins du domaine dans ton cas), avec les droits Contrôle total.
    • Reprends ton explorateur avec ton path réseau, ajoutes un fichier, ... et la magie opère :-)

    Explications : Entre les droits sur le partage et les permissions NTFS, c'est le plus restrictif des 2 qui gagne.

    Nota concernant ta copie d'écran : Ton compte admin - j'espère qu'il est nominatif, sinon ce n'est pas bien du tout - est membre des groupes Administrateurs du schéma et Administrateurs de l'Entreprise. Ce n'est pas une bonne pratique ! Tu n'as pas besoin pour faire des gestes d'administration courant d'être membre de ces groupes (Principe du moindre privilège). Tu as besoin de faire une modification du schéma, tu t'ajoutes dans le groupe qui va bien, tu te reconnectes (les droits sont acquis lors de l'authen.), tu fais ce que tu as à faire, ... et ensuite tu te supprimes dudit groupe. Seule le compte Administrateur (Builtin) devrait être membre permanent de ces groupes ... et ce compte ne devrait être utilisé qu'en dernier recours. Principe du moindre privilège oblige !

    Cordialement
    vendredi 30 septembre 2022 17:38