Restrictions sur serveurs et sur postes pour un admin du domaine

Restrictions sur serveurs et sur postes pour un admin du domaine - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 28-02-2013 à 09:58:49    

Bonjour à tous, me voici repartis dans de nouvelles aventures avec mon ami le Server 2003.
 
Voila la mise en place des utilisateurs, des responsables, des OU et des GPO sont en place. Tout va bien sur les postes utilisateurs.
 
Cependant sur le serveur AD je me pose quelques questions:
 
Est ce possible de restreindre les droits des responsables (qui sont "admins du domaine" ) sur le serveur afin qu'il ne fasse pas n'importe quoi. J'aimerais  qu'il puissent faire ou ne pas faire les choses suivantes lorsqu'ils se connectent sur le serveur:
 
Sur le serveur ils peuvent:
 
- créer des nouveaux utilisateurs dans la base AD
- ajouter des documents (utilitaires, docs, etc) dans les dossiers partagés créés aux préalables par l'admin local.
 
 
 
Sur le serveur ils ne peuvent pas:
 
-modifier le tree de l'AD (bloquer la création d'OU et de GPO principalement).
-modifier le serveur (interdire l'accès au panneau  de config, IP, Firewall,etc).
-créer de nouveaux dossiers partagés.
-installer de logiciel directement sur le serveur.
 
 
Les créations de d'utilisateurs et l'ajout de documents dans les dossiers partagés ça c'est OK
Par contre les restrictions...
Voila je ne vois pas tellement par ou commencer. Ni comment assurer ces interdiction afin de bien contrôler mon serveur.
 
Si vous avez des idées, des conseils, ou même d'autre chose qu'il serait intéressante d'interdire, je suis tout ouïe ;)
 
Cordialement,
 
Nckd


Message édité par nckd le 08-03-2013 à 10:15:03
Reply

Marsh Posté le 28-02-2013 à 09:58:49   

Reply

Marsh Posté le 28-02-2013 à 10:35:38    

Tu les enlèves du groupe admins du domaine pour commencer.
 
Puis tu créés une délégation avec les accès et les outils qui vont bien.

Reply

Marsh Posté le 28-02-2013 à 11:00:28    

Je test ça dès que j'ai 5 min. Je les laisses dans le groupe "utilisateurs du domaine" quand même ?
 
Merci pour l'info, pourquoi n'y ais-je pas pensé plus tôt...  
Je te tiens au jus

Reply

Marsh Posté le 28-02-2013 à 11:06:12    

Ils sont utilisateurs du domaine ?
Si oui alors c'est comme le port salut, c'est écrit dessus !

Reply

Marsh Posté le 28-02-2013 à 12:00:58    

oui les Responsables sont actuellement utilisateurs du domaine et admins du domaine.
 
Je vais donc les retirer de ce dernier, et créer une délégation de contrôle. Je sais plus trop comment ça marche ça fait belle lurette que je n'y ai pas touché.
 
J'ai tenté a l'instant, et je ne sais pas si tout cela est fonctionnel.  
 
pause bouffe et je continue ensuite ;)

Reply

Marsh Posté le 01-03-2013 à 09:19:42    

Me revoilà, alors j'ai mis en place la délégation de contrôle pour les responsables. Bien
Par contre je ne peux pas me connecter à distance sur le serveur avec les compte responsable.  
Ils sont dans les groupes "utilisateurs du domaine" et "utilisateurs du bureau a distance".
That strange...

Reply

Marsh Posté le 01-03-2013 à 10:46:19    

HOLA STOP !
 
tu veux que des users se connectent en bureau à distance sur le DC ?
NON !
Personne d'autre que l'admin du domaine n'ouvre de session RDP sur le DC.
 
Tu dois installer sur leur poste les outils d'administration pour gérer AD.

Reply

Marsh Posté le 01-03-2013 à 14:09:57    

En faite voila, en gros j'ai 3 profils.

 

Administrateur qui gère le serveur.
Responsable qui peuvent créer des users dans l'ad
et Utilisateurs qui font office de pigeons du réseau.

 

edit de cette phrase : Je vais tenter de trouver comment installer les outils sur le poste du responsable et je te tiens au jus. Merci pour le tuyau ;)


Message édité par nckd le 01-03-2013 à 14:20:26
Reply

Marsh Posté le 01-03-2013 à 14:44:59    

Bon j'ai réussi a mettre les outils d'administration mais, pour interagir avec le serveur je ne trouve rien...

 

En faite c'est l'installation de l'AdminPack présent sur le cd Windows Server 2k3 ? C'est ça que je dois installer sur mon poste ?


Message édité par nckd le 01-03-2013 à 15:30:58
Reply

Marsh Posté le 01-03-2013 à 20:19:26    

Si ils ont XP oui tu installes ça (enfin tu prends la version sur le site de microsoft, surement plus récente), si ils sont en windows vista ou windows 7 il faut installer les RSAT (remote server administration tools) de la version correspondante au client.

Reply

Marsh Posté le 01-03-2013 à 20:19:26   

Reply

Marsh Posté le 04-03-2013 à 09:03:55    

Merci pour l'info Jeanb. Je ne connaissais pas.  
ça commence bien pour un lundi matin ;)

Reply

Marsh Posté le 06-03-2013 à 13:00:14    

nckd a écrit :

Me revoilà, alors j'ai mis en place la délégation de contrôle pour les responsables. Bien
Par contre je ne peux pas me connecter à distance sur le serveur avec les compte responsable.
Ils sont dans les groupes "utilisateurs du domaine" et "utilisateurs du bureau a distance".
That strange...


Juste pour être sur :)

 

Tu n'as pas donné des droit en création etc, au groupe "utilisateur du domaine" hein ? Tu as bien créé un groupe de sécurité "Responsable" ?

 

Non parce que je connais des pigeons (comme tu le dis 2 post plus loin) qui on bien plus de pouvoir que tu ne crois sur l'AD :)


Message édité par ChaTTon2 le 06-03-2013 à 13:00:35

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 06-03-2013 à 16:27:33    

Ha me voila enfin de-ban. Le site des télétubies sa va 5min.  
 
@Chatton2 : Non je n'ai pas donné de droit au groupe "utilisateur du domaine".
Je n'ai pas créer de groupe de sécurité pour les Responsables. Les utilisateurs quand a eu sont dans une OU et n’ont aucun accès au serveur.
 
J'ai la contrainte supplémentaire à prendre en compte :
 
Les responsables doivent pouvoir réaliser les choses suivantes sur les postes utilisateurs :
 
- modifier les paramètres réseaux.
- avoir un accès a la base AD avec RSAT
- ne pas avoir d'autorisation d'accès au bureau a distance
- Avoir le droit d'installation de logiciels sur le poste
- Avoir accès au pare feu Windows.  
 
 
Donc pour résumer au moment ou je vous parle, j'en suis au point suivant:
 
Responsable dans le groupe "admins du domaine"
 
Bien
- il peut installer des logiciels sur les postes utilisateurs.
- il peut modifier les paramètres réseaux.
- il peut gérer le firewall Windows.
 
Pas bien
-il a accès au serveur via le bureau a distance.
-il peut dépasser le quota des dossiers partagés puisqu'il est dans le groupe admins.
 
 
Responsable dans le groupe "Opérateur de comptes"
 
Bien
- Il n'a pas accès au serveur via le bureau a distance, mais peut quand même gérer les comptes.
- Il est soumis au quota.
- Il ne peut pas modifier les paramètres du serveur.
- Il ne peut pas installer de logiciel sur le serveur
 
Pas bien
- Il ne peut pas installer de logiciels sur les postes utilisateurs
- Il ne peut pas modifier les paramètres réseaux
 
 
Je ne maitrise pas tellement les délégations de contrôle, mais je ne vois pas en quoi elles me seraient utiles pour réalisé des autorisations sur les poste utilisateurs.


Message édité par nckd le 06-03-2013 à 16:41:58
Reply

Marsh Posté le 06-03-2013 à 16:44:50    

Pour qu'un user du domaine puisse avoir les droits d'un administrateur sur les postes clients du domaine, il suffit de placer son compte dans le groupe "administrateurs" de chaque poste client.
 
Alors on peut le faire à la mano sur chaque poste ou bien sûr se servir d'une GPO sur les groupes restreints :
http://www.labo-microsoft.org/arti [...] estreints/

Reply

Marsh Posté le 06-03-2013 à 16:55:03    

Bonne solution en effet.  
Néanmoins j'ai une autre exigence sur les postes utilisateurs.
 
Seul l'administrateur doit pouvoir créer des comptes locaux sur les machines. Les responsables ne doivent pas pouvoir créer de comptes.
 
On est pas loin de la solution parfaite. Un vrai casse tête chinois...

Reply

Marsh Posté le 06-03-2013 à 17:10:09    

Les délégations par défaut ne correspondent pas à ce que tu veux (et donnent des privilèges bien trop importants), il faut créer des délégations personnalisées.
Comme tu n'en a jamais fait il faut te faire aider, on ne pourra pas détailler entièrement ça sur un forum.
 
De plus il y a des conflits dans les droits que tu veux attribuer, tu ne peux pas avoir tous les droits locaux que tu mentionnes sans être admin de la machine, donc il va falloir faire des choix.

Reply

Marsh Posté le 06-03-2013 à 17:25:06    

En effet.
Bon et bien, je pense que je vais laisser ce problème de coter pour le moment. C'est la seul tache dans le tableau ce qui n'est pas trop mal (à mon gout).
Je vais continuer ma batterie de tests afin de prendre les problèmes avant qu'il ne me fasse ch*** lors de la mise en place finale.

 

Je reviendrai pour le problème restant durant la semaine prochaine.

 

Merci beaucoup aux personnes qui ont participés au topic qui par ailleurs m'a appris pas mal de choses.
Et merci a Wolfman, pour avoir m'avoir fait perdre 2 jours d'aide sur le forum (le site des Télétubies est pas top coté "Entraide Informatique" ) ;)

 


A+ tard les gens. Et encore un grand merci à vous.
 


Message édité par nckd le 06-03-2013 à 17:25:56
Reply

Marsh Posté le 08-03-2013 à 09:44:25    

Re tous le monde.
On s'était quitté sur un problème:
La création de comptes locaux par le responsable. Responsable qui, je le rappelle, à tout les droits sur les postes utilisateurs, excepté celui de créer des comptes locaux.

 

J'ai retenté ce matin, et magie, il ne peut pas créer de compte... Alors qu'il est dans le groupe local "Administrateurs".
Aucune délégation de contrôle n'est mis en place sur les comptes responsable de l'AD.
Autrement dit, le problème est résolu.
Ma question est, pourquoi ? x)

 

Edit: Fausse alerte, en fin de compte il peut toujours créer des comptes. Via un script.bat exécuter en tant que...  Par contre en passant par clic droit sur ordinateur > gérer > utilisateurs et groupe locaux > utilisateurs    Il ne peux rien faire.

 

J'ai remarqué également qu'en passant par panneau de configuration > comptes utilisateurs > gérer les comptes utilisateurs. Le responsable peut ajouter un utilisateur de base (de l'AD) dans le groupe "Administrateurs" du poste, en local donc.

 

2 failles visibles... comment les corrigés... délégation de contrôle ? oui mais comment restreindre un utilisateur qui a tout les droits sur un poste, de ne pas créer de comptes... Est ce possible de caché/bloqué l'accès à "Comptes utilisateurs" dans le panneau de configuration ?  

 

Amicalement votre.

Message cité 1 fois
Message édité par nckd le 08-03-2013 à 10:05:11
Reply

Marsh Posté le 08-03-2013 à 10:57:14    

nckd a écrit :

Re tous le monde.  
On s'était quitté sur un problème:
La création de comptes locaux par le responsable. Responsable qui, je le rappelle, à tout les droits sur les postes utilisateurs, excepté celui de créer des comptes locaux.
 
J'ai retenté ce matin, et magie, il ne peut pas créer de compte... Alors qu'il est dans le groupe local "Administrateurs".  
Aucune délégation de contrôle n'est mis en place sur les comptes responsable de l'AD.
Autrement dit, le problème est résolu.  
Ma question est, pourquoi ? x)
 
Edit: Fausse alerte, en fin de compte il peut toujours créer des comptes. Via un script.bat exécuter en tant que...  Par contre en passant par clic droit sur ordinateur > gérer > utilisateurs et groupe locaux > utilisateurs    Il ne peux rien faire.
 
J'ai remarqué également qu'en passant par panneau de configuration > comptes utilisateurs > gérer les comptes utilisateurs. Le responsable peut ajouter un utilisateur de base (de l'AD) dans le groupe "Administrateurs" du poste, en local donc.  
 
2 failles visibles... comment les corrigés... délégation de contrôle ? oui mais comment restreindre un utilisateur qui a tout les droits sur un poste, de ne pas créer de comptes... Est ce possible de caché/bloqué l'accès à "Comptes utilisateurs" dans le panneau de configuration ?  
 
Amicalement votre.


Simple question ... Quand tu dis qu'il ne peut pas créer de compte en local via la MMC mais seulement en script ... il est bien connecter sur la machine en question avec son compte réseau ? Si non ... Alors c'est normal :)


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 08-03-2013 à 11:05:26    

Il est bien connecter sur le poste avec son compte AD. Il n'a pas de compte Local.

Reply

Marsh Posté le 08-03-2013 à 11:45:03    

nckd a écrit :

Il est bien connecter sur le poste avec son compte AD. Il n'a pas de compte Local.


Tiens et ca ne marche pas par la mmc ... Etonnant ... Tu pourrais vérifier qu'il est bien dans le groupe admin du poste ? Tu le redescends dans le groupe par GPO ?


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 08-03-2013 à 14:37:03    

Le responsable est bien dans le groupe "Administrateurs" sur le poste. Non je ne redescends aucune gpo.  

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed