Impossible d'empecher la suppression de Comptes d'ordinateurs

"BZP" <p.audonnet@gmail.com> a écrit dans le message de
news:1156444729.268968.50890@h48g2000cwc.googlegroups.com
| Bonjour,

Bonsoir,

| Je vous exeplique ma problématique.
| Je créé une OU que j'appelle : TestingOU.
| Je créé un USER dans cette OU : Bob
| Dans l'onglet sécurité , avancé, je donne a Bob le droit de créer
| un USER mais pas de le supprimer (avec un refus Explicite).
| Dans le meme endroit, je donne a Bob le droit de créer un COMPUTER
| mais pas de le supprimer (avec un refus Explicite.
| Je me log sous Bob, et tente les manip. Je peux créer un USER mais pas
| le supprimer. Je peux créer un COMPUTER mais la a ma grande surprise
| je peux le supprimer. Dans ces ACL il y a pourtant le refus explicite
| qui apparait.
|
| Ce comportement est-il normal ? SI NON, comment peut on faire pour
| oter ce droit ?
|
| Merci

Ce comportement est "by design" ;-) En effet, le créateur d'un objet
Computer possède par défaut le droit de suppression de l'objet (ce qui
n'est pas le cas pour l'objet User). Le créateur d'un objet Computer
aura donc toujours la possibilité de supprimer son objet même si une ACL
refuse explicitement sa suppression. Ceci explique pourquoi
l'utilisateur Bob ne peut pas supprimer l'objet User mais est en mesure
de supprimer l'objet Computer. Il est toutefois possible de modifier ce
fonctionnement en modifiant les ACL par défaut de la classe d'objet
Computer.

Les ACL appliquées par défaut sont stockées dans l'annuaire Active
Directory dans l'attribut defaultSecurityDescriptor de la classe
Computer. Ces ACL sont les suivantes (au format sddl) :

D:
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;AO)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPCRLCLORCSDDT;;;CO)
(OA;;WP;User-Account-Restrictions;;CO)
(A;;RPLCLORC;;;AU)
(OA;;CR;User-Change-Password;;WD)
(A;;CCDC;;;PS)
(OA;;CCDC;Printer;;PO)
(OA;;RPWP;Computer;;CA)
(OA;;SW;Validated-SPN;;PS)
(OA;;RPWP;Personal-Information;;PS)
(OA;;SW;Validated-DNS-Host-Name;;PS)
(OA;;SW;Validated-DNS-Host-Name;;CO)
(OA;;SW;Validated-SPN;;CO)
(OA;;WP;Sam-Account-Name;Computer;CO)
(OA;;WP;User-Logon-Information;Computer;CO)
(OA;;WP;Description;Computer;CO)
(OA;;WP;Display-name;Computer;CO)
(OA;;RP;Token-Group;;S-1-5-32-560)

Si vous souhaitez empêcher le créateur d'un objet Computer d'être en
mesure de supprimer l'objet sans lui avoir explicitement accordé le
droit alors :

** Procédure experimentale donnée à titre d'exemple
** Testée sur un contrôleur de domaine W2K3 SP1 sans réplica (maquette)

1-Remplacer l'ACE ci-dessous contenu dans l'attribut
defaultSecurityDescriptor de la classe Computer (CN=Computer) avec ADSI
Edit (adsiedit.msc) :
(A;;RPCRLCLORCSDDT;;;CO)
par
(A;;RPCRLCLORC;;;CO)

2- Recharger le schéma avec l'éditeur de schéma (schmmgmt.msc)
=>Cliquez-droit sur "Schéma Active Directory" puis "Recharger le schéma"

La prise en compte de cette modification ne nécessite pas de
redémarrage.

--
Gilles LAURENT
Me contacter : http://cerbermail.com/?zoTY7ZkLcD

Et bien que dire de plus sinon que ca marche nickel ?!
Merci !!!

"BZP" <p.audonnet@gmail.com> a écrit dans le message de
news:1156444729.268968.50890@h48g2000cwc.googlegroups.com
| Bonjour,

Bonsoir,

| Je vous exeplique ma problématique.
| Je créé une OU que j'appelle : TestingOU.
| Je créé un USER dans cette OU : Bob
| Dans l'onglet sécurité , avancé, je donne a Bob le droit de cré er
| un USER mais pas de le supprimer (avec un refus Explicite).
| Dans le meme endroit, je donne a Bob le droit de créer un COMPUTER
| mais pas de le supprimer (avec un refus Explicite.
| Je me log sous Bob, et tente les manip. Je peux créer un USER mais pas
| le supprimer. Je peux créer un COMPUTER mais la a ma grande surprise
| je peux le supprimer. Dans ces ACL il y a pourtant le refus explicite
| qui apparait.
|
| Ce comportement est-il normal ? SI NON, comment peut on faire pour
| oter ce droit ?
|
| Merci

Ce comportement est "by design" ;-) En effet, le créateur d'un objet
Computer possède par défaut le droit de suppression de l'objet (ce qui
n'est pas le cas pour l'objet User). Le créateur d'un objet Computer
aura donc toujours la possibilité de supprimer son objet même si une ACL
refuse explicitement sa suppression. Ceci explique pourquoi
l'utilisateur Bob ne peut pas supprimer l'objet User mais est en mesure
de supprimer l'objet Computer. Il est toutefois possible de modifier ce
fonctionnement en modifiant les ACL par défaut de la classe d'objet
Computer.

Les ACL appliquées par défaut sont stockées dans l'annuaire Active
Directory dans l'attribut defaultSecurityDescriptor de la classe
Computer. Ces ACL sont les suivantes (au format sddl) :

D:
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;AO)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPCRLCLORCSDDT;;;CO)
(OA;;WP;User-Account-Restrictions;;CO)
(A;;RPLCLORC;;;AU)
(OA;;CR;User-Change-Password;;WD)
(A;;CCDC;;;PS)
(OA;;CCDC;Printer;;PO)
(OA;;RPWP;Computer;;CA)
(OA;;SW;Validated-SPN;;PS)
(OA;;RPWP;Personal-Information;;PS)
(OA;;SW;Validated-DNS-Host-Name;;PS)
(OA;;SW;Validated-DNS-Host-Name;;CO)
(OA;;SW;Validated-SPN;;CO)
(OA;;WP;Sam-Account-Name;Computer;CO)
(OA;;WP;User-Logon-Information;Computer;CO)
(OA;;WP;Description;Computer;CO)
(OA;;WP;Display-name;Computer;CO)
(OA;;RP;Token-Group;;S-1-5-32-560)

Si vous souhaitez empêcher le créateur d'un objet Computer d'être en
mesure de supprimer l'objet sans lui avoir explicitement accordé le
droit alors :

** Procédure experimentale donnée à titre d'exemple
** Testée sur un contrôleur de domaine W2K3 SP1 sans réplica (maque tte)

1-Remplacer l'ACE ci-dessous contenu dans l'attribut
defaultSecurityDescriptor de la classe Computer (CN=Computer) avec ADSI
Edit (adsiedit.msc) :
(A;;RPCRLCLORCSDDT;;;CO)
par
(A;;RPCRLCLORC;;;CO)

2- Recharger le schéma avec l'éditeur de schéma (schmmgmt.msc)
=>Cliquez-droit sur "Schéma Active Directory" puis "Recharger le sch éma"

La prise en compte de cette modification ne nécessite pas de
redémarrage.

--
Gilles LAURENT
Me contacter : http://cerbermail.com/?zoTY7ZkLcD