1) J'ai une forêt toto.lcl de la société TOTO, cette forêt (toto.lcl) est
administratée par une société TITI qui possede la forêt titi.lcl
2) Il y a une relation d'app. de forêt entre toto.lcl et titi.lcl.
3) Les administrateurs possèdent un compte utilisateur dans la forêt TITI.LCL
4) Ces comptes d'utilisateurs sont membre du Groupe Global Adminsystem qui
se trouvent aussi dans la forêt TITI.LCL.
5)le groupe global Adminsystem de la forêt TITI.LCL est membre des groupes
"Admins du domaine" et "Administrateurs de l'entreprise" de la forêt TOTO.LCL
Je veux que le compte "Administrateur" de la forêt TOTO.LCL soit déplacer
dans une OU "Admin TOTO"
Ma question.
Comment faire pour empecher l'acces à l'OU "Admin TOTO"à toute autre
personne à part le compte "Administrateur" de la forêt TOTO.
Il ne faut pas qu'une personne de la forêt TITI.LCL puisse prendre
possession de l'OU "Admin TOTO" et par la meme occasion modifier le mdp du
compte Administrateur.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Emmanuel Dreux
Administrateur = GOD.
Tu n'as pas d'autre choix que de lui faire confiance et tu ne peux pas l'empêcher d'accéder à la ressource ( objet AD, ressource NTFS....) de son choix.
Même si tu lui retires les permissions d'accès, un admin aura toujours la possibilité de prendre possession de l'objet ( take ownership en anglais dans le texte ) et de se repositionner les permissions de son choix.
Si tu veux interdire l'accès à des ressources à des membres de la forêt titi, ceux ci ne doivent pas être admin de toto. Une solution serait de leur déléguer des tâches. ( tu les mets dans un groupe de toto, et tu délègues des taches d'administration à ce groupe ).
"Nicolas STROUPPE" a écrit dans le message de news:
Bonjour,
Je suis face à un problème de sécurité.
1) J'ai une forêt toto.lcl de la société TOTO, cette forêt (toto.lcl) est administratée par une société TITI qui possede la forêt titi.lcl 2) Il y a une relation d'app. de forêt entre toto.lcl et titi.lcl. 3) Les administrateurs possèdent un compte utilisateur dans la forêt TITI.LCL 4) Ces comptes d'utilisateurs sont membre du Groupe Global Adminsystem qui se trouvent aussi dans la forêt TITI.LCL. 5)le groupe global Adminsystem de la forêt TITI.LCL est membre des groupes "Admins du domaine" et "Administrateurs de l'entreprise" de la forêt TOTO.LCL
Je veux que le compte "Administrateur" de la forêt TOTO.LCL soit déplacer dans une OU "Admin TOTO"
Ma question.
Comment faire pour empecher l'acces à l'OU "Admin TOTO"à toute autre personne à part le compte "Administrateur" de la forêt TOTO. Il ne faut pas qu'une personne de la forêt TITI.LCL puisse prendre possession de l'OU "Admin TOTO" et par la meme occasion modifier le mdp du compte Administrateur.
Merci déja d'avoir lu ma question
Merci de vos lumieres
Administrateur = GOD.
Tu n'as pas d'autre choix que de lui faire confiance et tu ne peux pas
l'empêcher d'accéder à la ressource ( objet AD, ressource NTFS....) de son
choix.
Même si tu lui retires les permissions d'accès, un admin aura toujours la
possibilité de prendre possession de l'objet ( take ownership en anglais
dans le texte ) et de se repositionner les permissions de son choix.
Si tu veux interdire l'accès à des ressources à des membres de la forêt
titi, ceux ci ne doivent pas être admin de toto.
Une solution serait de leur déléguer des tâches. ( tu les mets dans un
groupe de toto, et tu délègues des taches d'administration à ce groupe ).
"Nicolas STROUPPE" <NicolasSTROUPPE@discussions.microsoft.com> a écrit dans
le message de news: 0E7F634B-56A6-429C-A9F9-344AC332F6B8@microsoft.com...
Bonjour,
Je suis face à un problème de sécurité.
1) J'ai une forêt toto.lcl de la société TOTO, cette forêt (toto.lcl) est
administratée par une société TITI qui possede la forêt titi.lcl
2) Il y a une relation d'app. de forêt entre toto.lcl et titi.lcl.
3) Les administrateurs possèdent un compte utilisateur dans la forêt
TITI.LCL
4) Ces comptes d'utilisateurs sont membre du Groupe Global Adminsystem qui
se trouvent aussi dans la forêt TITI.LCL.
5)le groupe global Adminsystem de la forêt TITI.LCL est membre des groupes
"Admins du domaine" et "Administrateurs de l'entreprise" de la forêt
TOTO.LCL
Je veux que le compte "Administrateur" de la forêt TOTO.LCL soit déplacer
dans une OU "Admin TOTO"
Ma question.
Comment faire pour empecher l'acces à l'OU "Admin TOTO"à toute autre
personne à part le compte "Administrateur" de la forêt TOTO.
Il ne faut pas qu'une personne de la forêt TITI.LCL puisse prendre
possession de l'OU "Admin TOTO" et par la meme occasion modifier le mdp du
compte Administrateur.
Tu n'as pas d'autre choix que de lui faire confiance et tu ne peux pas l'empêcher d'accéder à la ressource ( objet AD, ressource NTFS....) de son choix.
Même si tu lui retires les permissions d'accès, un admin aura toujours la possibilité de prendre possession de l'objet ( take ownership en anglais dans le texte ) et de se repositionner les permissions de son choix.
Si tu veux interdire l'accès à des ressources à des membres de la forêt titi, ceux ci ne doivent pas être admin de toto. Une solution serait de leur déléguer des tâches. ( tu les mets dans un groupe de toto, et tu délègues des taches d'administration à ce groupe ).
"Nicolas STROUPPE" a écrit dans le message de news:
Bonjour,
Je suis face à un problème de sécurité.
1) J'ai une forêt toto.lcl de la société TOTO, cette forêt (toto.lcl) est administratée par une société TITI qui possede la forêt titi.lcl 2) Il y a une relation d'app. de forêt entre toto.lcl et titi.lcl. 3) Les administrateurs possèdent un compte utilisateur dans la forêt TITI.LCL 4) Ces comptes d'utilisateurs sont membre du Groupe Global Adminsystem qui se trouvent aussi dans la forêt TITI.LCL. 5)le groupe global Adminsystem de la forêt TITI.LCL est membre des groupes "Admins du domaine" et "Administrateurs de l'entreprise" de la forêt TOTO.LCL
Je veux que le compte "Administrateur" de la forêt TOTO.LCL soit déplacer dans une OU "Admin TOTO"
Ma question.
Comment faire pour empecher l'acces à l'OU "Admin TOTO"à toute autre personne à part le compte "Administrateur" de la forêt TOTO. Il ne faut pas qu'une personne de la forêt TITI.LCL puisse prendre possession de l'OU "Admin TOTO" et par la meme occasion modifier le mdp du compte Administrateur.
Merci déja d'avoir lu ma question
Merci de vos lumieres
Nicolas STROUPPE
Merci,,
Je connais tous ces principes mais vu qu'en info rien n'est impossible (presque rien) on sait jamais, ca a peut etre traversé l'esprit de quelqu'un.
Encore merci de ta réponse.
Administrateur = GOD.
Tu n'as pas d'autre choix que de lui faire confiance et tu ne peux pas l'empêcher d'accéder à la ressource ( objet AD, ressource NTFS....) de son choix.
Même si tu lui retires les permissions d'accès, un admin aura toujours la possibilité de prendre possession de l'objet ( take ownership en anglais dans le texte ) et de se repositionner les permissions de son choix.
Si tu veux interdire l'accès à des ressources à des membres de la forêt titi, ceux ci ne doivent pas être admin de toto. Une solution serait de leur déléguer des tâches. ( tu les mets dans un groupe de toto, et tu délègues des taches d'administration à ce groupe ).
"Nicolas STROUPPE" a écrit dans le message de news:
Bonjour,
Je suis face à un problème de sécurité.
1) J'ai une forêt toto.lcl de la société TOTO, cette forêt (toto.lcl) est administratée par une société TITI qui possede la forêt titi.lcl 2) Il y a une relation d'app. de forêt entre toto.lcl et titi.lcl. 3) Les administrateurs possèdent un compte utilisateur dans la forêt TITI.LCL 4) Ces comptes d'utilisateurs sont membre du Groupe Global Adminsystem qui se trouvent aussi dans la forêt TITI.LCL. 5)le groupe global Adminsystem de la forêt TITI.LCL est membre des groupes "Admins du domaine" et "Administrateurs de l'entreprise" de la forêt TOTO.LCL
Je veux que le compte "Administrateur" de la forêt TOTO.LCL soit déplacer dans une OU "Admin TOTO"
Ma question.
Comment faire pour empecher l'acces à l'OU "Admin TOTO"à toute autre personne à part le compte "Administrateur" de la forêt TOTO. Il ne faut pas qu'une personne de la forêt TITI.LCL puisse prendre possession de l'OU "Admin TOTO" et par la meme occasion modifier le mdp du compte Administrateur.
Merci déja d'avoir lu ma question
Merci de vos lumieres
Merci,,
Je connais tous ces principes mais vu qu'en info rien n'est impossible
(presque rien) on sait jamais, ca a peut etre traversé l'esprit de quelqu'un.
Encore merci de ta réponse.
Administrateur = GOD.
Tu n'as pas d'autre choix que de lui faire confiance et tu ne peux pas
l'empêcher d'accéder à la ressource ( objet AD, ressource NTFS....) de son
choix.
Même si tu lui retires les permissions d'accès, un admin aura toujours la
possibilité de prendre possession de l'objet ( take ownership en anglais
dans le texte ) et de se repositionner les permissions de son choix.
Si tu veux interdire l'accès à des ressources à des membres de la forêt
titi, ceux ci ne doivent pas être admin de toto.
Une solution serait de leur déléguer des tâches. ( tu les mets dans un
groupe de toto, et tu délègues des taches d'administration à ce groupe ).
"Nicolas STROUPPE" <NicolasSTROUPPE@discussions.microsoft.com> a écrit dans
le message de news: 0E7F634B-56A6-429C-A9F9-344AC332F6B8@microsoft.com...
Bonjour,
Je suis face à un problème de sécurité.
1) J'ai une forêt toto.lcl de la société TOTO, cette forêt (toto.lcl) est
administratée par une société TITI qui possede la forêt titi.lcl
2) Il y a une relation d'app. de forêt entre toto.lcl et titi.lcl.
3) Les administrateurs possèdent un compte utilisateur dans la forêt
TITI.LCL
4) Ces comptes d'utilisateurs sont membre du Groupe Global Adminsystem qui
se trouvent aussi dans la forêt TITI.LCL.
5)le groupe global Adminsystem de la forêt TITI.LCL est membre des groupes
"Admins du domaine" et "Administrateurs de l'entreprise" de la forêt
TOTO.LCL
Je veux que le compte "Administrateur" de la forêt TOTO.LCL soit déplacer
dans une OU "Admin TOTO"
Ma question.
Comment faire pour empecher l'acces à l'OU "Admin TOTO"à toute autre
personne à part le compte "Administrateur" de la forêt TOTO.
Il ne faut pas qu'une personne de la forêt TITI.LCL puisse prendre
possession de l'OU "Admin TOTO" et par la meme occasion modifier le mdp du
compte Administrateur.
Je connais tous ces principes mais vu qu'en info rien n'est impossible (presque rien) on sait jamais, ca a peut etre traversé l'esprit de quelqu'un.
Encore merci de ta réponse.
Administrateur = GOD.
Tu n'as pas d'autre choix que de lui faire confiance et tu ne peux pas l'empêcher d'accéder à la ressource ( objet AD, ressource NTFS....) de son choix.
Même si tu lui retires les permissions d'accès, un admin aura toujours la possibilité de prendre possession de l'objet ( take ownership en anglais dans le texte ) et de se repositionner les permissions de son choix.
Si tu veux interdire l'accès à des ressources à des membres de la forêt titi, ceux ci ne doivent pas être admin de toto. Une solution serait de leur déléguer des tâches. ( tu les mets dans un groupe de toto, et tu délègues des taches d'administration à ce groupe ).
"Nicolas STROUPPE" a écrit dans le message de news:
Bonjour,
Je suis face à un problème de sécurité.
1) J'ai une forêt toto.lcl de la société TOTO, cette forêt (toto.lcl) est administratée par une société TITI qui possede la forêt titi.lcl 2) Il y a une relation d'app. de forêt entre toto.lcl et titi.lcl. 3) Les administrateurs possèdent un compte utilisateur dans la forêt TITI.LCL 4) Ces comptes d'utilisateurs sont membre du Groupe Global Adminsystem qui se trouvent aussi dans la forêt TITI.LCL. 5)le groupe global Adminsystem de la forêt TITI.LCL est membre des groupes "Admins du domaine" et "Administrateurs de l'entreprise" de la forêt TOTO.LCL
Je veux que le compte "Administrateur" de la forêt TOTO.LCL soit déplacer dans une OU "Admin TOTO"
Ma question.
Comment faire pour empecher l'acces à l'OU "Admin TOTO"à toute autre personne à part le compte "Administrateur" de la forêt TOTO. Il ne faut pas qu'une personne de la forêt TITI.LCL puisse prendre possession de l'OU "Admin TOTO" et par la meme occasion modifier le mdp du compte Administrateur.
Merci déja d'avoir lu ma question
Merci de vos lumieres
Jonathan Bismuth
Bonjour Nicolas,
comme te l'as dit Emmanuel, vu comme ça il est impossible de ne limiter l'accès d'Admin TOTO qu'à l'administrateur de toto.
à ta place, je procèderais de la façon suivante sur chaque domaine de la forêt TOTO, en jouant sur les groupes restreints :
- crée une OU admTITI (administré par TITI) dans laquelle tu rajoute tous les objets du domaine sauf ceux qui les objets prédéfinis (admins. du domaine, administrateurs....) - lie à cette OU une GPO dans laquelle tu configure le paramètre groupe restreint. Dans celui-ci, ajoute le groupe global Global Adminsystem de TITI dans le groupe local "administrateurs"
Les de TITI peuvent maintenant gérer les ressources users, computers (....) de TOTO, c'est à dire tous les objets sauf ceux qui sont prédéfinis, ainsi que les stratégies par défaut : default domain, default domain controller
Cordialement, -- Jonathan BISMUTH MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Nicolas STROUPPE" a écrit dans le message de news:
Bonjour,
Je suis face à un problème de sécurité.
1) J'ai une forêt toto.lcl de la société TOTO, cette forêt (toto.lcl) est administratée par une société TITI qui possede la forêt titi.lcl 2) Il y a une relation d'app. de forêt entre toto.lcl et titi.lcl. 3) Les administrateurs possèdent un compte utilisateur dans la forêt TITI.LCL 4) Ces comptes d'utilisateurs sont membre du Groupe Global Adminsystem qui se trouvent aussi dans la forêt TITI.LCL. 5)le groupe global Adminsystem de la forêt TITI.LCL est membre des groupes "Admins du domaine" et "Administrateurs de l'entreprise" de la forêt TOTO.LCL
Je veux que le compte "Administrateur" de la forêt TOTO.LCL soit déplacer dans une OU "Admin TOTO"
Ma question.
Comment faire pour empecher l'acces à l'OU "Admin TOTO"à toute autre personne à part le compte "Administrateur" de la forêt TOTO. Il ne faut pas qu'une personne de la forêt TITI.LCL puisse prendre possession de l'OU "Admin TOTO" et par la meme occasion modifier le mdp du compte Administrateur.
Merci déja d'avoir lu ma question
Merci de vos lumieres
Bonjour Nicolas,
comme te l'as dit Emmanuel, vu comme ça il est impossible de ne limiter
l'accès d'Admin TOTO qu'à l'administrateur de toto.
à ta place, je procèderais de la façon suivante sur chaque domaine de la
forêt TOTO, en jouant sur les groupes restreints :
- crée une OU admTITI (administré par TITI) dans laquelle tu rajoute tous
les objets du domaine sauf ceux qui les objets prédéfinis (admins. du
domaine, administrateurs....)
- lie à cette OU une GPO dans laquelle tu configure le paramètre groupe
restreint. Dans celui-ci, ajoute le groupe global Global Adminsystem de TITI
dans le groupe local "administrateurs"
Les de TITI peuvent maintenant gérer les ressources users, computers (....)
de TOTO, c'est à dire tous les objets sauf ceux qui sont prédéfinis, ainsi
que les stratégies par défaut : default domain, default domain controller
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Nicolas STROUPPE" <NicolasSTROUPPE@discussions.microsoft.com> a écrit dans
le message de news: 0E7F634B-56A6-429C-A9F9-344AC332F6B8@microsoft.com...
Bonjour,
Je suis face à un problème de sécurité.
1) J'ai une forêt toto.lcl de la société TOTO, cette forêt (toto.lcl) est
administratée par une société TITI qui possede la forêt titi.lcl
2) Il y a une relation d'app. de forêt entre toto.lcl et titi.lcl.
3) Les administrateurs possèdent un compte utilisateur dans la forêt
TITI.LCL
4) Ces comptes d'utilisateurs sont membre du Groupe Global Adminsystem qui
se trouvent aussi dans la forêt TITI.LCL.
5)le groupe global Adminsystem de la forêt TITI.LCL est membre des groupes
"Admins du domaine" et "Administrateurs de l'entreprise" de la forêt
TOTO.LCL
Je veux que le compte "Administrateur" de la forêt TOTO.LCL soit déplacer
dans une OU "Admin TOTO"
Ma question.
Comment faire pour empecher l'acces à l'OU "Admin TOTO"à toute autre
personne à part le compte "Administrateur" de la forêt TOTO.
Il ne faut pas qu'une personne de la forêt TITI.LCL puisse prendre
possession de l'OU "Admin TOTO" et par la meme occasion modifier le mdp du
compte Administrateur.
comme te l'as dit Emmanuel, vu comme ça il est impossible de ne limiter l'accès d'Admin TOTO qu'à l'administrateur de toto.
à ta place, je procèderais de la façon suivante sur chaque domaine de la forêt TOTO, en jouant sur les groupes restreints :
- crée une OU admTITI (administré par TITI) dans laquelle tu rajoute tous les objets du domaine sauf ceux qui les objets prédéfinis (admins. du domaine, administrateurs....) - lie à cette OU une GPO dans laquelle tu configure le paramètre groupe restreint. Dans celui-ci, ajoute le groupe global Global Adminsystem de TITI dans le groupe local "administrateurs"
Les de TITI peuvent maintenant gérer les ressources users, computers (....) de TOTO, c'est à dire tous les objets sauf ceux qui sont prédéfinis, ainsi que les stratégies par défaut : default domain, default domain controller
Cordialement, -- Jonathan BISMUTH MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Nicolas STROUPPE" a écrit dans le message de news:
Bonjour,
Je suis face à un problème de sécurité.
1) J'ai une forêt toto.lcl de la société TOTO, cette forêt (toto.lcl) est administratée par une société TITI qui possede la forêt titi.lcl 2) Il y a une relation d'app. de forêt entre toto.lcl et titi.lcl. 3) Les administrateurs possèdent un compte utilisateur dans la forêt TITI.LCL 4) Ces comptes d'utilisateurs sont membre du Groupe Global Adminsystem qui se trouvent aussi dans la forêt TITI.LCL. 5)le groupe global Adminsystem de la forêt TITI.LCL est membre des groupes "Admins du domaine" et "Administrateurs de l'entreprise" de la forêt TOTO.LCL
Je veux que le compte "Administrateur" de la forêt TOTO.LCL soit déplacer dans une OU "Admin TOTO"
Ma question.
Comment faire pour empecher l'acces à l'OU "Admin TOTO"à toute autre personne à part le compte "Administrateur" de la forêt TOTO. Il ne faut pas qu'une personne de la forêt TITI.LCL puisse prendre possession de l'OU "Admin TOTO" et par la meme occasion modifier le mdp du compte Administrateur.
