utilisateur de consultation du LDAP AD (2008)

Le
Eric Kosh
Bonjour,
J’ai crée un utilisateur, je voudrais que cet utilisateur n’ai qu’un
droit de consultation du ldap de AD (2008).
Cette utilisateur me sert a faire des requêtes sur le ldap pour des
machine hors domaine. Pour l’instant cette technique marche mais je
voudrais un peu plus sécurisé cette méthode.
A l’heure actuelle il s’agit d’un « bête » utilisateur de domaine, il
peut donc ouvrir une session, …
Je souhaite qu’il n’ait uniquement un droit en lecture sur le ldap. J’ai
trouve la possibilité d’interdire l’ouverture d’une session local (gpo
=> local policies =>user rights). Est-ce suffisant, a-t-il moyens de
faire plus ?

Merci
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jonathan BISMUTH [Bis IT]
Le #19884371
Bonjour Eric,

Amusant comme question, ça a été un sujet de discution entre Marc et moi en
début d'année 2009 (nostalgie).
Ce que l'on en avait conclu :

- créer la GPO de refus d'ouverture locale ainsi que l'ouverture de session
par Terminal Server au plus haut niveau du domaine
- refuser la lecture de celle ci au groupe "contrôleurs de domaine" (Groupe
ordinateur par défaut où sont tous les DC d'un domaine AD) par filtrage NTFS
(c'est à dire cocher la case "lecture" et décocher la case "appliquer cette
stratégie)
- Créer une GPO équivalente au niveau du conteneur Domain Controllers et y
ajouter activer le paramètre "Accéder à cet ordinateur depuis le réseau"
situé au même emplacement que les paramètres de refus.

Amuse toi bien :)

Cordialement,
--
Jonathan BISMUTH
Bis IT
MVP Windows Server - Directory Services
http://www.bis-it.fr
http://blog.portail-mcse.net

"Eric Kosh" O$
Bonjour,
J’ai crée un utilisateur, je voudrais que cet utilisateur n’ai qu’un droit
de consultation du ldap de AD (2008).
Cette utilisateur me sert a faire des requêtes sur le ldap pour des
machine hors domaine. Pour l’instant cette technique marche mais je
voudrais un peu plus sécurisé cette méthode.
A l’heure actuelle il s’agit d’un « bête » utilisateur de domaine, il peut
donc ouvrir une session, …
Je souhaite qu’il n’ait uniquement un droit en lecture sur le ldap. J’ai
trouve la possibilité d’interdire l’ouverture d’une session local (gpo =>
local policies =>user rights). Est-ce suffisant, a-t-il moyens de faire
plus ?

Merci


Eric Kosh
Le #19891601
Bonjour,
et merci pour ta réponse
je suis d'accord avec le premier point, par contre je ne vois pas trop
la pertinence des 2 autres

pour le 2eme point je ne comprend pas trop ce que je dois faire et donc
le résultat.

pour le 3eme point je ne comprend pourquoi je dois absolument crée la
permission d'accéder depuis le réseau puisque cela marche déjà ... et si
je lit bien la gpo de refus le fait d'active cela ne perturbe en rien le
fait de venir par le réseau


peut-tu m'éclaire un peu plus?

Merci
Eric

Jonathan BISMUTH [Bis IT] a écrit :
Bonjour Eric,

Amusant comme question, ça a été un sujet de discution entre Marc et moi en
début d'année 2009 (nostalgie).
Ce que l'on en avait conclu :

- créer la GPO de refus d'ouverture locale ainsi que l'ouverture de session
par Terminal Server au plus haut niveau du domaine
- refuser la lecture de celle ci au groupe "contrôleurs de domaine" (Groupe
ordinateur par défaut où sont tous les DC d'un domaine AD) par filtrage NTFS
(c'est à dire cocher la case "lecture" et décocher la case "appliquer cette
stratégie)
- Créer une GPO équivalente au niveau du conteneur Domain Controllers et y
ajouter activer le paramètre "Accéder à cet ordinateur depuis le réseau"
situé au même emplacement que les paramètres de refus.

Amuse toi bien :)

Cordialement,


Publicité
Poster une réponse
Anonyme