Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y a
un domaine 2003 dont le niveau fonctionnel est au plus haut.
Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==>
B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du
domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jonathan Bismuth
Bonjour Stephane,
tu ne peux pas faire ça du fait de la portée d'un groupe global tel que admins. du domaine. Tu pourra en revanche ajouter toto dans le groupe "administrateurs" de B. Quels sont précisément les raisons pour lesquels tu souhaite effectuer ceci?
Cordialement, -- Jonathan BISMUTH NET2S Group MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Stephane" a écrit dans le message de news:
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y a un domaine 2003 dont le niveau fonctionnel est au plus haut. Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==> B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
Merci pour votre réponse.
Cordialement, Stéphane
Bonjour Stephane,
tu ne peux pas faire ça du fait de la portée d'un groupe global tel que
admins. du domaine. Tu pourra en revanche ajouter toto dans le groupe
"administrateurs" de B.
Quels sont précisément les raisons pour lesquels tu souhaite effectuer ceci?
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Stephane" <Stephane@discussions.microsoft.com> a écrit dans le message de
news: C630491E-2681-4805-B366-50647D21DC7B@microsoft.com...
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y
a
un domaine 2003 dont le niveau fonctionnel est au plus haut.
Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==>
B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du
domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
tu ne peux pas faire ça du fait de la portée d'un groupe global tel que admins. du domaine. Tu pourra en revanche ajouter toto dans le groupe "administrateurs" de B. Quels sont précisément les raisons pour lesquels tu souhaite effectuer ceci?
Cordialement, -- Jonathan BISMUTH NET2S Group MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Stephane" a écrit dans le message de news:
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y a un domaine 2003 dont le niveau fonctionnel est au plus haut. Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==> B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
Merci pour votre réponse.
Cordialement, Stéphane
Ludovik DOPIERALA
Admin du Domaine est groupe Global ! Pour rappel un groupe global est visible vers tout les domaines, mais il ne peut avoir des memebre appartenant qu'au domaine dans lequel il est créé -- Ludovik DOPIERALA http://www.c2points.com MCSE, MCT Microsoft MVP Windows System - Infrastructure Architect CCEA Citrix Metaframe
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y a un domaine 2003 dont le niveau fonctionnel est au plus haut. Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==> B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
Merci pour votre réponse.
Cordialement, Stéphane
Admin du Domaine est groupe Global ! Pour rappel
un groupe global est visible vers tout les domaines, mais il ne peut avoir
des memebre appartenant qu'au domaine dans lequel il est créé
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y a
un domaine 2003 dont le niveau fonctionnel est au plus haut.
Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==>
B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du
domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
Admin du Domaine est groupe Global ! Pour rappel un groupe global est visible vers tout les domaines, mais il ne peut avoir des memebre appartenant qu'au domaine dans lequel il est créé -- Ludovik DOPIERALA http://www.c2points.com MCSE, MCT Microsoft MVP Windows System - Infrastructure Architect CCEA Citrix Metaframe
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y a un domaine 2003 dont le niveau fonctionnel est au plus haut. Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==> B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
Merci pour votre réponse.
Cordialement, Stéphane
Stephane
Les raisons sont les suivantes:
L'utilisateur toto qui est admin du domaine A souhaite pouvoir accéder à toutes les ressources de l'autre domaine B sans avoir à se délogger de son PC et se relogger avec un compte admin du domaine B.
J'ai essayé d'ajouter le user dans le groupe admin du domaine B hors il refuse d'ajouter un membre d'un autre domaine dans ce groupe.
Je m'interrogeai sur la possibilité d'utiliser un groupe de sécurité global, mais apparemment cela ne semble pas être possible….
Il doit certainement y avoir une solution.
Cordialement, Stéphane
Bonjour Stephane,
tu ne peux pas faire ça du fait de la portée d'un groupe global tel que admins. du domaine. Tu pourra en revanche ajouter toto dans le groupe "administrateurs" de B. Quels sont précisément les raisons pour lesquels tu souhaite effectuer ceci?
Cordialement, -- Jonathan BISMUTH NET2S Group MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Stephane" a écrit dans le message de news:
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y a un domaine 2003 dont le niveau fonctionnel est au plus haut. Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==> B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
Merci pour votre réponse.
Cordialement, Stéphane
Les raisons sont les suivantes:
L'utilisateur toto qui est admin du domaine A souhaite pouvoir accéder à
toutes les ressources de l'autre domaine B sans avoir à se délogger de son
PC et se relogger avec un compte admin du domaine B.
J'ai essayé d'ajouter le user dans le groupe admin du domaine B hors il
refuse d'ajouter un membre d'un autre domaine dans ce groupe.
Je m'interrogeai sur la possibilité d'utiliser un groupe de sécurité global,
mais apparemment cela ne semble pas être possible….
Il doit certainement y avoir une solution.
Cordialement,
Stéphane
Bonjour Stephane,
tu ne peux pas faire ça du fait de la portée d'un groupe global tel que
admins. du domaine. Tu pourra en revanche ajouter toto dans le groupe
"administrateurs" de B.
Quels sont précisément les raisons pour lesquels tu souhaite effectuer ceci?
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Stephane" <Stephane@discussions.microsoft.com> a écrit dans le message de
news: C630491E-2681-4805-B366-50647D21DC7B@microsoft.com...
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y
a
un domaine 2003 dont le niveau fonctionnel est au plus haut.
Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==>
B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du
domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
L'utilisateur toto qui est admin du domaine A souhaite pouvoir accéder à toutes les ressources de l'autre domaine B sans avoir à se délogger de son PC et se relogger avec un compte admin du domaine B.
J'ai essayé d'ajouter le user dans le groupe admin du domaine B hors il refuse d'ajouter un membre d'un autre domaine dans ce groupe.
Je m'interrogeai sur la possibilité d'utiliser un groupe de sécurité global, mais apparemment cela ne semble pas être possible….
Il doit certainement y avoir une solution.
Cordialement, Stéphane
Bonjour Stephane,
tu ne peux pas faire ça du fait de la portée d'un groupe global tel que admins. du domaine. Tu pourra en revanche ajouter toto dans le groupe "administrateurs" de B. Quels sont précisément les raisons pour lesquels tu souhaite effectuer ceci?
Cordialement, -- Jonathan BISMUTH NET2S Group MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Stephane" a écrit dans le message de news:
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y a un domaine 2003 dont le niveau fonctionnel est au plus haut. Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==> B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
Merci pour votre réponse.
Cordialement, Stéphane
Stephane
Bonjour Ludovik et merci pour ta réponse.
J'ai bien compris maintenant la portée des groupes globaux. Mais n'y aurait-il pas un moyen d'obtenir le résultat demandé autrement ?
Groupe universel ?? ou peut être par délégation ??
Cordialement, Stéphane
Admin du Domaine est groupe Global ! Pour rappel un groupe global est visible vers tout les domaines, mais il ne peut avoir des memebre appartenant qu'au domaine dans lequel il est créé -- Ludovik DOPIERALA http://www.c2points.com MCSE, MCT Microsoft MVP Windows System - Infrastructure Architect CCEA Citrix Metaframe
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y a un domaine 2003 dont le niveau fonctionnel est au plus haut. Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==> B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
Merci pour votre réponse.
Cordialement, Stéphane
Bonjour Ludovik et merci pour ta réponse.
J'ai bien compris maintenant la portée des groupes globaux. Mais n'y
aurait-il pas un moyen d'obtenir le résultat demandé autrement ?
Groupe universel ?? ou peut être par délégation ??
Cordialement,
Stéphane
Admin du Domaine est groupe Global ! Pour rappel
un groupe global est visible vers tout les domaines, mais il ne peut avoir
des memebre appartenant qu'au domaine dans lequel il est créé
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y a
un domaine 2003 dont le niveau fonctionnel est au plus haut.
Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==>
B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du
domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
J'ai bien compris maintenant la portée des groupes globaux. Mais n'y aurait-il pas un moyen d'obtenir le résultat demandé autrement ?
Groupe universel ?? ou peut être par délégation ??
Cordialement, Stéphane
Admin du Domaine est groupe Global ! Pour rappel un groupe global est visible vers tout les domaines, mais il ne peut avoir des memebre appartenant qu'au domaine dans lequel il est créé -- Ludovik DOPIERALA http://www.c2points.com MCSE, MCT Microsoft MVP Windows System - Infrastructure Architect CCEA Citrix Metaframe
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y a un domaine 2003 dont le niveau fonctionnel est au plus haut. Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==> B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
Merci pour votre réponse.
Cordialement, Stéphane
Jonathan Bismuth
Re Stephane,
bien que tu ne puisse pas jouer sur les groupes globaux, tu peux en revanche l'ajouter dans le groupe Administrateurs du domaine (ce qui lui donne pas mal de droits tout de même!) et éventuellement, l'ajouter par script ou GPO de groupes restreints au groupe administrateurs local des postes.
Cela dit, d'un point de vue sécurité (et bon sens!), il ne me paraît pas être réaliste d'avoir un compte qui soit administrateur de 2 domaines différents, particulièrement si celui ci est amené à être compromis. Tout ça pour la flemme de retaper un mot de passe.. De plus rien n'empêche l'autre admin de faire un "exécuter en tant que" pour ne pas avoir à se délogguer...
Cordialement,
-- Jonathan BISMUTH NET2S Group MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Stephane" a écrit dans le message de news:
Les raisons sont les suivantes:
L'utilisateur toto qui est admin du domaine A souhaite pouvoir accéder à toutes les ressources de l'autre domaine B sans avoir à se délogger de son PC et se relogger avec un compte admin du domaine B.
J'ai essayé d'ajouter le user dans le groupe admin du domaine B hors il refuse d'ajouter un membre d'un autre domaine dans ce groupe.
Je m'interrogeai sur la possibilité d'utiliser un groupe de sécurité global, mais apparemment cela ne semble pas être possible..
Il doit certainement y avoir une solution.
Cordialement, Stéphane
Bonjour Stephane,
tu ne peux pas faire ça du fait de la portée d'un groupe global tel que admins. du domaine. Tu pourra en revanche ajouter toto dans le groupe "administrateurs" de B. Quels sont précisément les raisons pour lesquels tu souhaite effectuer ceci?
Cordialement, -- Jonathan BISMUTH NET2S Group MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Stephane" a écrit dans le message de news:
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y a un domaine 2003 dont le niveau fonctionnel est au plus haut. Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==> B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
Merci pour votre réponse.
Cordialement, Stéphane
Re Stephane,
bien que tu ne puisse pas jouer sur les groupes globaux, tu peux en revanche
l'ajouter dans le groupe Administrateurs du domaine (ce qui lui donne pas
mal de droits tout de même!) et éventuellement, l'ajouter par script ou GPO
de groupes restreints au groupe administrateurs local des postes.
Cela dit, d'un point de vue sécurité (et bon sens!), il ne me paraît pas
être réaliste d'avoir un compte qui soit administrateur de 2 domaines
différents, particulièrement si celui ci est amené à être compromis. Tout ça
pour la flemme de retaper un mot de passe.. De plus rien n'empêche l'autre
admin de faire un "exécuter en tant que" pour ne pas avoir à se délogguer...
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Stephane" <Stephane@discussions.microsoft.com> a écrit dans le message de
news: CD896F39-4425-4AB1-9B24-EB919CDDD822@microsoft.com...
Les raisons sont les suivantes:
L'utilisateur toto qui est admin du domaine A souhaite pouvoir accéder à
toutes les ressources de l'autre domaine B sans avoir à se délogger de
son
PC et se relogger avec un compte admin du domaine B.
J'ai essayé d'ajouter le user dans le groupe admin du domaine B hors il
refuse d'ajouter un membre d'un autre domaine dans ce groupe.
Je m'interrogeai sur la possibilité d'utiliser un groupe de sécurité
global,
mais apparemment cela ne semble pas être possible..
Il doit certainement y avoir une solution.
Cordialement,
Stéphane
Bonjour Stephane,
tu ne peux pas faire ça du fait de la portée d'un groupe global tel que
admins. du domaine. Tu pourra en revanche ajouter toto dans le groupe
"administrateurs" de B.
Quels sont précisément les raisons pour lesquels tu souhaite effectuer
ceci?
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Stephane" <Stephane@discussions.microsoft.com> a écrit dans le message
de
news: C630491E-2681-4805-B366-50647D21DC7B@microsoft.com...
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets
il y
a
un domaine 2003 dont le niveau fonctionnel est au plus haut.
Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A
==>
B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine"
du
domaine A soit également dans le groupe "admins du domaine" du domaine
B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.
bien que tu ne puisse pas jouer sur les groupes globaux, tu peux en revanche l'ajouter dans le groupe Administrateurs du domaine (ce qui lui donne pas mal de droits tout de même!) et éventuellement, l'ajouter par script ou GPO de groupes restreints au groupe administrateurs local des postes.
Cela dit, d'un point de vue sécurité (et bon sens!), il ne me paraît pas être réaliste d'avoir un compte qui soit administrateur de 2 domaines différents, particulièrement si celui ci est amené à être compromis. Tout ça pour la flemme de retaper un mot de passe.. De plus rien n'empêche l'autre admin de faire un "exécuter en tant que" pour ne pas avoir à se délogguer...
Cordialement,
-- Jonathan BISMUTH NET2S Group MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Stephane" a écrit dans le message de news:
Les raisons sont les suivantes:
L'utilisateur toto qui est admin du domaine A souhaite pouvoir accéder à toutes les ressources de l'autre domaine B sans avoir à se délogger de son PC et se relogger avec un compte admin du domaine B.
J'ai essayé d'ajouter le user dans le groupe admin du domaine B hors il refuse d'ajouter un membre d'un autre domaine dans ce groupe.
Je m'interrogeai sur la possibilité d'utiliser un groupe de sécurité global, mais apparemment cela ne semble pas être possible..
Il doit certainement y avoir une solution.
Cordialement, Stéphane
Bonjour Stephane,
tu ne peux pas faire ça du fait de la portée d'un groupe global tel que admins. du domaine. Tu pourra en revanche ajouter toto dans le groupe "administrateurs" de B. Quels sont précisément les raisons pour lesquels tu souhaite effectuer ceci?
Cordialement, -- Jonathan BISMUTH NET2S Group MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Stephane" a écrit dans le message de news:
Bonjour,
Voila ma problématique. J'ai 2 forêts A et B. Dans chacune des forets il y a un domaine 2003 dont le niveau fonctionnel est au plus haut. Il y a un relation d'approbation bidrectionnelle entre les 2 forets (A ==> B, B ==>A).
Je voudrais qu'un user toto faisant parti du groupe "admins du domaine" du domaine A soit également dans le groupe "admins du domaine" du domaine B.
Est-ce possible ? Si oui comment, parce que je n'y arrive pas.