Bonjour,
Je dois laisser entrer à distance, sur un petit serveur 2003 unique
controleur AD, deux techniciens d'entreprises différentes pour les
installations, le paramétrage et les mises à jours de leurs applications.
Auriez-vous un lien ou quelques infos sur la manière de donner des droits
suffisants en restant dans une approche "best practices" Microsoft.
Merci d'avance
Fred.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jonathan BISMUTH
Bonjour Fred,
on va faire court pour les Best practices Microsoft :
- PAS d'applications sur un DC - PAS de DC unique dans l'entreprise - PAS d'administrateurs trop nombreux et ne communiquant pas entre eux - PAS d'accès vers l'exterieur.
Maintenant pour la porcherie -qui ne m'engage même pas moi même, donc à fortiori pas MS...- :
- ferme tous les port autres qu'AD, TS (si c'est la solution distante choisie) et applicatifs - utilise des comptes spécifiques pour lesquels tu bride leur bureau par GPO, de sorte qu'ils ne puissent jamais voir les outils AD, et n'aient que les icônes qui les concernes - refuse leur le droit de redémarrer la machine - Refuse leur le droit de se loguer ailleurs que sur le DC, afin qu'ils ne puissent pas installer un adminpack ailleurs - éventuellement, pose un Windows media encoder en mode screen capture, qui enregistre en temps réel leurs actions [bien entendu, notifie les de l'enregistrement] afin de pouvoir tracer les problèmes éventuels
Cordialement, -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net
"TjDAc" a écrit dans le message de news: 46ee1f9b$0$5082$
Bonjour, Je dois laisser entrer à distance, sur un petit serveur 2003 unique controleur AD, deux techniciens d'entreprises différentes pour les installations, le paramétrage et les mises à jours de leurs applications. Auriez-vous un lien ou quelques infos sur la manière de donner des droits suffisants en restant dans une approche "best practices" Microsoft. Merci d'avance Fred.
Bonjour Fred,
on va faire court pour les Best practices Microsoft :
- PAS d'applications sur un DC
- PAS de DC unique dans l'entreprise
- PAS d'administrateurs trop nombreux et ne communiquant pas entre eux
- PAS d'accès vers l'exterieur.
Maintenant pour la porcherie -qui ne m'engage même pas moi même, donc à
fortiori pas MS...- :
- ferme tous les port autres qu'AD, TS (si c'est la solution distante
choisie) et applicatifs
- utilise des comptes spécifiques pour lesquels tu bride leur bureau par
GPO, de sorte qu'ils ne puissent jamais voir les outils AD, et n'aient que
les icônes qui les concernes
- refuse leur le droit de redémarrer la machine
- Refuse leur le droit de se loguer ailleurs que sur le DC, afin qu'ils ne
puissent pas installer un adminpack ailleurs
- éventuellement, pose un Windows media encoder en mode screen capture, qui
enregistre en temps réel leurs actions [bien entendu, notifie les de
l'enregistrement] afin de pouvoir tracer les problèmes éventuels
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"TjDAc" <fred.alt2@wanadoo.fr> a écrit dans le message de news:
46ee1f9b$0$5082$ba4acef3@news.orange.fr...
Bonjour,
Je dois laisser entrer à distance, sur un petit serveur 2003 unique
controleur AD, deux techniciens d'entreprises différentes pour les
installations, le paramétrage et les mises à jours de leurs applications.
Auriez-vous un lien ou quelques infos sur la manière de donner des droits
suffisants en restant dans une approche "best practices" Microsoft.
Merci d'avance
Fred.
on va faire court pour les Best practices Microsoft :
- PAS d'applications sur un DC - PAS de DC unique dans l'entreprise - PAS d'administrateurs trop nombreux et ne communiquant pas entre eux - PAS d'accès vers l'exterieur.
Maintenant pour la porcherie -qui ne m'engage même pas moi même, donc à fortiori pas MS...- :
- ferme tous les port autres qu'AD, TS (si c'est la solution distante choisie) et applicatifs - utilise des comptes spécifiques pour lesquels tu bride leur bureau par GPO, de sorte qu'ils ne puissent jamais voir les outils AD, et n'aient que les icônes qui les concernes - refuse leur le droit de redémarrer la machine - Refuse leur le droit de se loguer ailleurs que sur le DC, afin qu'ils ne puissent pas installer un adminpack ailleurs - éventuellement, pose un Windows media encoder en mode screen capture, qui enregistre en temps réel leurs actions [bien entendu, notifie les de l'enregistrement] afin de pouvoir tracer les problèmes éventuels
Cordialement, -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net
"TjDAc" a écrit dans le message de news: 46ee1f9b$0$5082$
Bonjour, Je dois laisser entrer à distance, sur un petit serveur 2003 unique controleur AD, deux techniciens d'entreprises différentes pour les installations, le paramétrage et les mises à jours de leurs applications. Auriez-vous un lien ou quelques infos sur la manière de donner des droits suffisants en restant dans une approche "best practices" Microsoft. Merci d'avance Fred.
Mathieu CHATEAU
Bonjour,
le fait d'utiliser un un DC pour héberger des applications ne respecte déjà pas vraiment les best Practices...
Une chose est sûre, ils ne doivent pas être domain admins, ce qui va être difficile s'ils doivent pouvoir installer des applications. S'agit-il de setup ou de simple copier/coller de binaires & co ?
Bonjour, Je dois laisser entrer à distance, sur un petit serveur 2003 unique controleur AD, deux techniciens d'entreprises différentes pour les installations, le paramétrage et les mises à jours de leurs applications. Auriez-vous un lien ou quelques infos sur la manière de donner des droits suffisants en restant dans une approche "best practices" Microsoft. Merci d'avance Fred.
Bonjour,
le fait d'utiliser un un DC pour héberger des applications ne respecte déjà
pas vraiment les best Practices...
Une chose est sûre, ils ne doivent pas être domain admins, ce qui va être
difficile s'ils doivent pouvoir installer des applications. S'agit-il de
setup ou de simple copier/coller de binaires & co ?
"TjDAc" <fred.alt2@wanadoo.fr> wrote in message
news:46ee1f9b$0$5082$ba4acef3@news.orange.fr...
Bonjour,
Je dois laisser entrer à distance, sur un petit serveur 2003 unique
controleur AD, deux techniciens d'entreprises différentes pour les
installations, le paramétrage et les mises à jours de leurs applications.
Auriez-vous un lien ou quelques infos sur la manière de donner des droits
suffisants en restant dans une approche "best practices" Microsoft.
Merci d'avance
Fred.
le fait d'utiliser un un DC pour héberger des applications ne respecte déjà pas vraiment les best Practices...
Une chose est sûre, ils ne doivent pas être domain admins, ce qui va être difficile s'ils doivent pouvoir installer des applications. S'agit-il de setup ou de simple copier/coller de binaires & co ?
Bonjour, Je dois laisser entrer à distance, sur un petit serveur 2003 unique controleur AD, deux techniciens d'entreprises différentes pour les installations, le paramétrage et les mises à jours de leurs applications. Auriez-vous un lien ou quelques infos sur la manière de donner des droits suffisants en restant dans une approche "best practices" Microsoft. Merci d'avance Fred.
TjDAc
Merci Jonathan, Mathieu, Effectivement, ça part mal, je crois que je vais être obligé de m'éloigner un peu des best practices ! Les techniciens doivent pouvoir lancer un setup. Une des appli est une suite de gestion SAGE ligne 100. Je vais m'inspirer de vos conseils mais il faut que je creuse un peu la mise en oeuvre je n'y vois pas assez clair. Je vais monter un maquette pour tester ça. Fred
"TjDAc" a écrit dans le message de news:46ee1f9b$0$5082$
Bonjour, Je dois laisser entrer à distance, sur un petit serveur 2003 unique controleur AD, deux techniciens d'entreprises différentes pour les installations, le paramétrage et les mises à jours de leurs applications. Auriez-vous un lien ou quelques infos sur la manière de donner des droits suffisants en restant dans une approche "best practices" Microsoft. Merci d'avance Fred.
Merci Jonathan, Mathieu,
Effectivement, ça part mal, je crois que je vais être obligé de m'éloigner
un peu des best practices !
Les techniciens doivent pouvoir lancer un setup.
Une des appli est une suite de gestion SAGE ligne 100.
Je vais m'inspirer de vos conseils mais il faut que je creuse un peu la mise
en oeuvre je n'y vois pas assez clair. Je vais monter un maquette pour
tester ça.
Fred
"TjDAc" <fred.alt2@wanadoo.fr> a écrit dans le message de
news:46ee1f9b$0$5082$ba4acef3@news.orange.fr...
Bonjour,
Je dois laisser entrer à distance, sur un petit serveur 2003 unique
controleur AD, deux techniciens d'entreprises différentes pour les
installations, le paramétrage et les mises à jours de leurs applications.
Auriez-vous un lien ou quelques infos sur la manière de donner des droits
suffisants en restant dans une approche "best practices" Microsoft.
Merci d'avance
Fred.
Merci Jonathan, Mathieu, Effectivement, ça part mal, je crois que je vais être obligé de m'éloigner un peu des best practices ! Les techniciens doivent pouvoir lancer un setup. Une des appli est une suite de gestion SAGE ligne 100. Je vais m'inspirer de vos conseils mais il faut que je creuse un peu la mise en oeuvre je n'y vois pas assez clair. Je vais monter un maquette pour tester ça. Fred
"TjDAc" a écrit dans le message de news:46ee1f9b$0$5082$
Bonjour, Je dois laisser entrer à distance, sur un petit serveur 2003 unique controleur AD, deux techniciens d'entreprises différentes pour les installations, le paramétrage et les mises à jours de leurs applications. Auriez-vous un lien ou quelques infos sur la manière de donner des droits suffisants en restant dans une approche "best practices" Microsoft. Merci d'avance Fred.
