Autoriser un groupe à intégrer/modifier des machines dans l'AD
1 réponse
Alain84
Bonjour.
Je souhaiterais mettre en place des autorisations pour un groupe AdmMachines
(groupe qui n'a aucun droit particulier par ailleurs) afin que les membres
de ce groupe puissent intégrer des machines dans l'AD, puis ensuite déplacer
ces machines pour les mettre dans une autre OU et modifier des infos
relatives aux machines (description par exemple).
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jonathan BISMUTH
Bonjour Alain,
pour ce faire, tu peux par exemple :
- dans l'onglet sécurité du conteneur "computers", accéder aux paramètres avancés - ajouter le groupe de ton choix (ex: G_Add_CMP) - lui donner les droits : => cet objet et tous les objets enfant / créer / supprimer des objets Ordinateur => [onglet Objet] Objets ordinateurs / Contrôle total o => Spécifique à la description (aucun autre droit) [onglet Propriétés] Objets ordinateurs / Lire / Écrire Description
de ce fait, les membres du groupe G_Add_CMP peut ajouter des ordinateurs dans le conteneur computers (là où se trouvent par défaut, les machines ajouter au domaine) et en modifier les paramètres. Tous si contrôle total, uniquement Description sinon.
Tu peux appliquer les mêmes droits sur l'OU destination de ton choix pour que le groupe puisse les déplacer dedans. Je suppose que tu peux aussi appliquer ces droits directement au domaine, mais le risque est grand d'une escalade par une personne mal attentionnée.
-- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net
"Alain84" a écrit dans le message de news: %
Bonjour.
Je souhaiterais mettre en place des autorisations pour un groupe AdmMachines (groupe qui n'a aucun droit particulier par ailleurs) afin que les membres de ce groupe puissent intégrer des machines dans l'AD, puis ensuite déplacer ces machines pour les mettre dans une autre OU et modifier des infos relatives aux machines (description par exemple).
Merci pour votre aide.
Bonjour Alain,
pour ce faire, tu peux par exemple :
- dans l'onglet sécurité du conteneur "computers", accéder aux paramètres
avancés
- ajouter le groupe de ton choix (ex: G_Add_CMP)
- lui donner les droits :
=> cet objet et tous les objets enfant / créer / supprimer des
objets Ordinateur
=> [onglet Objet] Objets ordinateurs / Contrôle total o
=> Spécifique à la description (aucun autre droit) [onglet
Propriétés] Objets ordinateurs / Lire / Écrire Description
de ce fait, les membres du groupe G_Add_CMP peut ajouter des ordinateurs
dans le conteneur computers (là où se trouvent par défaut, les machines
ajouter au domaine) et en modifier les paramètres. Tous si contrôle total,
uniquement Description sinon.
Tu peux appliquer les mêmes droits sur l'OU destination de ton choix pour
que le groupe puisse les déplacer dedans.
Je suppose que tu peux aussi appliquer ces droits directement au domaine,
mais le risque est grand d'une escalade par une personne mal attentionnée.
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"Alain84" <toto@toto.com> a écrit dans le message de news:
%23uxZ5SeyHHA.4800@TK2MSFTNGP05.phx.gbl...
Bonjour.
Je souhaiterais mettre en place des autorisations pour un groupe
AdmMachines (groupe qui n'a aucun droit particulier par ailleurs) afin que
les membres de ce groupe puissent intégrer des machines dans l'AD, puis
ensuite déplacer ces machines pour les mettre dans une autre OU et
modifier des infos relatives aux machines (description par exemple).
- dans l'onglet sécurité du conteneur "computers", accéder aux paramètres avancés - ajouter le groupe de ton choix (ex: G_Add_CMP) - lui donner les droits : => cet objet et tous les objets enfant / créer / supprimer des objets Ordinateur => [onglet Objet] Objets ordinateurs / Contrôle total o => Spécifique à la description (aucun autre droit) [onglet Propriétés] Objets ordinateurs / Lire / Écrire Description
de ce fait, les membres du groupe G_Add_CMP peut ajouter des ordinateurs dans le conteneur computers (là où se trouvent par défaut, les machines ajouter au domaine) et en modifier les paramètres. Tous si contrôle total, uniquement Description sinon.
Tu peux appliquer les mêmes droits sur l'OU destination de ton choix pour que le groupe puisse les déplacer dedans. Je suppose que tu peux aussi appliquer ces droits directement au domaine, mais le risque est grand d'une escalade par une personne mal attentionnée.
-- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net
"Alain84" a écrit dans le message de news: %
Bonjour.
Je souhaiterais mettre en place des autorisations pour un groupe AdmMachines (groupe qui n'a aucun droit particulier par ailleurs) afin que les membres de ce groupe puissent intégrer des machines dans l'AD, puis ensuite déplacer ces machines pour les mettre dans une autre OU et modifier des infos relatives aux machines (description par exemple).