Délégation de droits

Le
TjDAc
Bonjour,
Je dois laisser entrer à distance, sur un petit serveur 2003 unique
controleur AD, deux techniciens d'entreprises différentes pour les
installations, le paramétrage et les mises à jours de leurs applications.
Auriez-vous un lien ou quelques infos sur la manière de donner des droits
suffisants en restant dans une approche "best practices" Microsoft.
Merci d'avance
Fred.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jonathan BISMUTH
Le #675229
Bonjour Fred,

on va faire court pour les Best practices Microsoft :

- PAS d'applications sur un DC
- PAS de DC unique dans l'entreprise
- PAS d'administrateurs trop nombreux et ne communiquant pas entre eux
- PAS d'accès vers l'exterieur.

Maintenant pour la porcherie -qui ne m'engage même pas moi même, donc à
fortiori pas MS...- :

- ferme tous les port autres qu'AD, TS (si c'est la solution distante
choisie) et applicatifs
- utilise des comptes spécifiques pour lesquels tu bride leur bureau par
GPO, de sorte qu'ils ne puissent jamais voir les outils AD, et n'aient que
les icônes qui les concernes
- refuse leur le droit de redémarrer la machine
- Refuse leur le droit de se loguer ailleurs que sur le DC, afin qu'ils ne
puissent pas installer un adminpack ailleurs
- éventuellement, pose un Windows media encoder en mode screen capture, qui
enregistre en temps réel leurs actions [bien entendu, notifie les de
l'enregistrement] afin de pouvoir tracer les problèmes éventuels

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"TjDAc" 46ee1f9b$0$5082$
Bonjour,
Je dois laisser entrer à distance, sur un petit serveur 2003 unique
controleur AD, deux techniciens d'entreprises différentes pour les
installations, le paramétrage et les mises à jours de leurs applications.
Auriez-vous un lien ou quelques infos sur la manière de donner des droits
suffisants en restant dans une approche "best practices" Microsoft.
Merci d'avance
Fred.


Mathieu CHATEAU
Le #674974
Bonjour,

le fait d'utiliser un un DC pour héberger des applications ne respecte déjà
pas vraiment les best Practices...

Une chose est sûre, ils ne doivent pas être domain admins, ce qui va être
difficile s'ils doivent pouvoir installer des applications. S'agit-il de
setup ou de simple copier/coller de binaires & co ?


--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"TjDAc" news:46ee1f9b$0$5082$
Bonjour,
Je dois laisser entrer à distance, sur un petit serveur 2003 unique
controleur AD, deux techniciens d'entreprises différentes pour les
installations, le paramétrage et les mises à jours de leurs applications.
Auriez-vous un lien ou quelques infos sur la manière de donner des droits
suffisants en restant dans une approche "best practices" Microsoft.
Merci d'avance
Fred.


TjDAc
Le #674967
Merci Jonathan, Mathieu,
Effectivement, ça part mal, je crois que je vais être obligé de m'éloigner
un peu des best practices !
Les techniciens doivent pouvoir lancer un setup.
Une des appli est une suite de gestion SAGE ligne 100.
Je vais m'inspirer de vos conseils mais il faut que je creuse un peu la mise
en oeuvre je n'y vois pas assez clair. Je vais monter un maquette pour
tester ça.
Fred

"TjDAc" news:46ee1f9b$0$5082$
Bonjour,
Je dois laisser entrer à distance, sur un petit serveur 2003 unique
controleur AD, deux techniciens d'entreprises différentes pour les
installations, le paramétrage et les mises à jours de leurs applications.
Auriez-vous un lien ou quelques infos sur la manière de donner des droits
suffisants en restant dans une approche "best practices" Microsoft.
Merci d'avance
Fred.


Publicité
Poster une réponse
Anonyme