Ouvrir droits admin sur un seul serveur AD mais pas sur le domaine
6 réponses
Jean François
Bonjour à tous,
Sur un réseau local W2003, je voudrais qu'un utilisateur aie les droits
d'administrateur un seul des serveurs Active Directory mais pas les droits
d'administrateur de domaine. Or je n'ai plus de comptes locaux depuis le
passage sous AD.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Dominique A.
Bonsoir,
Peux-tu nous dire ce que tu souhaite faire exactement ? Car tu peux ajouter des utilisateurs dans les groupes "built-in" du DC par exemple...
"Jean François" wrote in message news:%23e%
Bonjour à tous,
Sur un réseau local W2003, je voudrais qu'un utilisateur aie les droits d'administrateur un seul des serveurs Active Directory mais pas les droits d'administrateur de domaine. Or je n'ai plus de comptes locaux depuis le passage sous AD.
Comment m'en sortir ?
Merci d'avance. Jean François
Bonsoir,
Peux-tu nous dire ce que tu souhaite faire exactement ?
Car tu peux ajouter des utilisateurs dans les groupes "built-in" du DC par
exemple...
"Jean François" <arouman@ifrance.com> wrote in message
news:%23e%231fcI4FHA.3592@TK2MSFTNGP12.phx.gbl...
Bonjour à tous,
Sur un réseau local W2003, je voudrais qu'un utilisateur aie les droits
d'administrateur un seul des serveurs Active Directory mais pas les droits
d'administrateur de domaine. Or je n'ai plus de comptes locaux depuis le
passage sous AD.
Peux-tu nous dire ce que tu souhaite faire exactement ? Car tu peux ajouter des utilisateurs dans les groupes "built-in" du DC par exemple...
"Jean François" wrote in message news:%23e%
Bonjour à tous,
Sur un réseau local W2003, je voudrais qu'un utilisateur aie les droits d'administrateur un seul des serveurs Active Directory mais pas les droits d'administrateur de domaine. Or je n'ai plus de comptes locaux depuis le passage sous AD.
Comment m'en sortir ?
Merci d'avance. Jean François
Jacques Barathon [MS]
Ce n'est pas possible. Un compte administrateur d'un contrôleur de domaine aura forcément des droits d'administration dans le domaine. Autrement dit, seuls les administrateurs du domaine peuvent administrer les contrôleurs du même domaine.
Jacques
"Jean François" wrote in message news:%23e%
Bonjour à tous,
Sur un réseau local W2003, je voudrais qu'un utilisateur aie les droits d'administrateur un seul des serveurs Active Directory mais pas les droits d'administrateur de domaine. Or je n'ai plus de comptes locaux depuis le passage sous AD.
Comment m'en sortir ?
Merci d'avance. Jean François
Ce n'est pas possible. Un compte administrateur d'un contrôleur de domaine
aura forcément des droits d'administration dans le domaine. Autrement dit,
seuls les administrateurs du domaine peuvent administrer les contrôleurs du
même domaine.
Jacques
"Jean François" <arouman@ifrance.com> wrote in message
news:%23e%231fcI4FHA.3592@TK2MSFTNGP12.phx.gbl...
Bonjour à tous,
Sur un réseau local W2003, je voudrais qu'un utilisateur aie les droits
d'administrateur un seul des serveurs Active Directory mais pas les droits
d'administrateur de domaine. Or je n'ai plus de comptes locaux depuis le
passage sous AD.
Ce n'est pas possible. Un compte administrateur d'un contrôleur de domaine aura forcément des droits d'administration dans le domaine. Autrement dit, seuls les administrateurs du domaine peuvent administrer les contrôleurs du même domaine.
Jacques
"Jean François" wrote in message news:%23e%
Bonjour à tous,
Sur un réseau local W2003, je voudrais qu'un utilisateur aie les droits d'administrateur un seul des serveurs Active Directory mais pas les droits d'administrateur de domaine. Or je n'ai plus de comptes locaux depuis le passage sous AD.
Comment m'en sortir ?
Merci d'avance. Jean François
Jean François
Bonjour Dominique,
Je voudrais déléguer l'administration d'un seul serveur à un prestataire extérieur sans que ce dernier n'aie la main sur les autres machines du domaine. Or ce serveur Win 2003 est l'un des contrôleurs Active Directory donc je ne peux pas (ne sais pas) comment créer des comptes locaux.
Merci pour ton aide. Cordialement. Jean François
"Dominique A." a écrit dans le message de news:
Bonsoir,
Peux-tu nous dire ce que tu souhaite faire exactement ? Car tu peux ajouter des utilisateurs dans les groupes "built-in" du DC par exemple...
"Jean François" wrote in message news:%23e%
Bonjour à tous, Sur un réseau local W2003, je voudrais qu'un utilisateur aie les droits d'administrateur un seul des serveurs Active Directory mais pas les droits d'administrateur de domaine. Or je n'ai plus de comptes locaux depuis le passage sous AD. Comment m'en sortir ? Merci d'avance. Jean François
Bonjour Dominique,
Je voudrais déléguer l'administration d'un seul serveur à un prestataire
extérieur sans que ce dernier n'aie la main sur les autres machines du
domaine. Or ce serveur Win 2003 est l'un des contrôleurs Active Directory
donc je ne peux pas (ne sais pas) comment créer des comptes locaux.
Merci pour ton aide.
Cordialement.
Jean François
"Dominique A." <domanni_nospam@freenospam.fr> a écrit dans le message de
news: e8TMzXM4FHA.252@TK2MSFTNGP15.phx.gbl...
Bonsoir,
Peux-tu nous dire ce que tu souhaite faire exactement ?
Car tu peux ajouter des utilisateurs dans les groupes "built-in" du DC par
exemple...
"Jean François" <arouman@ifrance.com> wrote in message
news:%23e%231fcI4FHA.3592@TK2MSFTNGP12.phx.gbl...
Bonjour à tous,
Sur un réseau local W2003, je voudrais qu'un utilisateur aie les droits
d'administrateur un seul des serveurs Active Directory mais pas les
droits d'administrateur de domaine. Or je n'ai plus de comptes locaux
depuis le passage sous AD.
Comment m'en sortir ?
Merci d'avance.
Jean François
Je voudrais déléguer l'administration d'un seul serveur à un prestataire extérieur sans que ce dernier n'aie la main sur les autres machines du domaine. Or ce serveur Win 2003 est l'un des contrôleurs Active Directory donc je ne peux pas (ne sais pas) comment créer des comptes locaux.
Merci pour ton aide. Cordialement. Jean François
"Dominique A." a écrit dans le message de news:
Bonsoir,
Peux-tu nous dire ce que tu souhaite faire exactement ? Car tu peux ajouter des utilisateurs dans les groupes "built-in" du DC par exemple...
"Jean François" wrote in message news:%23e%
Bonjour à tous, Sur un réseau local W2003, je voudrais qu'un utilisateur aie les droits d'administrateur un seul des serveurs Active Directory mais pas les droits d'administrateur de domaine. Or je n'ai plus de comptes locaux depuis le passage sous AD. Comment m'en sortir ? Merci d'avance. Jean François
Jean François
Bonjour Jacques,
Merci pour ton aide.
Le serveur en question héberge un ERP. Le prestataire extérieur qui a installé l'ERP doit intervenir régulièrement sur le serveur pour les paramétrages et autres patches de MàJ du programme. Il a demandé pour cela les droits d'administration et je suis un peu réticent pour le mettre dans le groupe des admins du domaine.
Y a t'il une solution dans mon cas ?
Merci d'avance à tous ceux qui pourront m'aider. Jean François
"Jacques Barathon [MS]" a écrit dans le message de news:
Ce n'est pas possible. Un compte administrateur d'un contrôleur de domaine aura forcément des droits d'administration dans le domaine. Autrement dit, seuls les administrateurs du domaine peuvent administrer les contrôleurs du même domaine.
Jacques
"Jean François" wrote in message news:%23e%
Bonjour à tous,
Sur un réseau local W2003, je voudrais qu'un utilisateur aie les droits d'administrateur un seul des serveurs Active Directory mais pas les droits d'administrateur de domaine. Or je n'ai plus de comptes locaux depuis le passage sous AD.
Comment m'en sortir ?
Merci d'avance. Jean François
Bonjour Jacques,
Merci pour ton aide.
Le serveur en question héberge un ERP. Le prestataire extérieur qui a
installé l'ERP doit intervenir régulièrement sur le serveur pour les
paramétrages et autres patches de MàJ du programme. Il a demandé pour cela
les droits d'administration et je suis un peu réticent pour le mettre dans
le groupe des admins du domaine.
Y a t'il une solution dans mon cas ?
Merci d'avance à tous ceux qui pourront m'aider.
Jean François
"Jacques Barathon [MS]" <jbaratho@online.microsoft.com> a écrit dans le
message de news: ubw1kZM4FHA.2432@TK2MSFTNGP10.phx.gbl...
Ce n'est pas possible. Un compte administrateur d'un contrôleur de domaine
aura forcément des droits d'administration dans le domaine. Autrement dit,
seuls les administrateurs du domaine peuvent administrer les contrôleurs
du même domaine.
Jacques
"Jean François" <arouman@ifrance.com> wrote in message
news:%23e%231fcI4FHA.3592@TK2MSFTNGP12.phx.gbl...
Bonjour à tous,
Sur un réseau local W2003, je voudrais qu'un utilisateur aie les droits
d'administrateur un seul des serveurs Active Directory mais pas les
droits d'administrateur de domaine. Or je n'ai plus de comptes locaux
depuis le passage sous AD.
Le serveur en question héberge un ERP. Le prestataire extérieur qui a installé l'ERP doit intervenir régulièrement sur le serveur pour les paramétrages et autres patches de MàJ du programme. Il a demandé pour cela les droits d'administration et je suis un peu réticent pour le mettre dans le groupe des admins du domaine.
Y a t'il une solution dans mon cas ?
Merci d'avance à tous ceux qui pourront m'aider. Jean François
"Jacques Barathon [MS]" a écrit dans le message de news:
Ce n'est pas possible. Un compte administrateur d'un contrôleur de domaine aura forcément des droits d'administration dans le domaine. Autrement dit, seuls les administrateurs du domaine peuvent administrer les contrôleurs du même domaine.
Jacques
"Jean François" wrote in message news:%23e%
Bonjour à tous,
Sur un réseau local W2003, je voudrais qu'un utilisateur aie les droits d'administrateur un seul des serveurs Active Directory mais pas les droits d'administrateur de domaine. Or je n'ai plus de comptes locaux depuis le passage sous AD.
Comment m'en sortir ?
Merci d'avance. Jean François
Jacques Barathon [MS]
"Jean François" wrote in message news:O%
Bonjour Jacques,
Merci pour ton aide.
Le serveur en question héberge un ERP. Le prestataire extérieur qui a installé l'ERP doit intervenir régulièrement sur le serveur pour les paramétrages et autres patches de MàJ du programme. Il a demandé pour cela les droits d'administration et je suis un peu réticent pour le mettre dans le groupe des admins du domaine.
Y a t'il une solution dans mon cas ?
Si tu ne peux pas obtenir d'installer toi-même les patches, la seule solution que je vois consistera à "border" chaque intervention de ce prestataire extérieur, par exemple en prévoyant les tâches suivantes:
Une fois pour toutes: - création d'un compte particulier pour le prestataire, attribution de droits minimaux (groupe Utilisateurs du domaine)
Avant chaque intervention: - backup de l'AD - changement du mot de passe du compte - attribution de droits d'admin du domaine à ce compte - activation des audits (voir secpol.msc sur un contrôleur du domaine, stratégie d'audit) - note les paramètres par défaut pour pouvoir les restaurer plus tard
Après chaque intervention: - vérification des logs sécurité, système et application de ton contrôleur pour t'assurer qu'aucune manip anormale n'a été effectuée - restauration des paramètres antérieurs de la stratégie d'audit - changement du mot du passe du compte du prestataire - retrait des droits d'admin à ce compte
Je sais, c'est un peu lourd, et ce n'est même pas sûr à 100% mais le contexte que tu décris est très particulier. C'est notamment pour éviter ce genre de situation que Microsoft déconseille d'utiliser un contrôleur de domaine en serveur d'applications.
D'autres auront peut-être des idées différentes?
Jacques
"Jean François" <arouman@ifrance.com> wrote in message
news:O%23MPv6T4FHA.3740@TK2MSFTNGP12.phx.gbl...
Bonjour Jacques,
Merci pour ton aide.
Le serveur en question héberge un ERP. Le prestataire extérieur qui a
installé l'ERP doit intervenir régulièrement sur le serveur pour les
paramétrages et autres patches de MàJ du programme. Il a demandé pour cela
les droits d'administration et je suis un peu réticent pour le mettre dans
le groupe des admins du domaine.
Y a t'il une solution dans mon cas ?
Si tu ne peux pas obtenir d'installer toi-même les patches, la seule
solution que je vois consistera à "border" chaque intervention de ce
prestataire extérieur, par exemple en prévoyant les tâches suivantes:
Une fois pour toutes:
- création d'un compte particulier pour le prestataire, attribution de
droits minimaux (groupe Utilisateurs du domaine)
Avant chaque intervention:
- backup de l'AD
- changement du mot de passe du compte
- attribution de droits d'admin du domaine à ce compte
- activation des audits (voir secpol.msc sur un contrôleur du domaine,
stratégie d'audit) - note les paramètres par défaut pour pouvoir les
restaurer plus tard
Après chaque intervention:
- vérification des logs sécurité, système et application de ton contrôleur
pour t'assurer qu'aucune manip anormale n'a été effectuée
- restauration des paramètres antérieurs de la stratégie d'audit
- changement du mot du passe du compte du prestataire
- retrait des droits d'admin à ce compte
Je sais, c'est un peu lourd, et ce n'est même pas sûr à 100% mais le
contexte que tu décris est très particulier. C'est notamment pour éviter ce
genre de situation que Microsoft déconseille d'utiliser un contrôleur de
domaine en serveur d'applications.
Le serveur en question héberge un ERP. Le prestataire extérieur qui a installé l'ERP doit intervenir régulièrement sur le serveur pour les paramétrages et autres patches de MàJ du programme. Il a demandé pour cela les droits d'administration et je suis un peu réticent pour le mettre dans le groupe des admins du domaine.
Y a t'il une solution dans mon cas ?
Si tu ne peux pas obtenir d'installer toi-même les patches, la seule solution que je vois consistera à "border" chaque intervention de ce prestataire extérieur, par exemple en prévoyant les tâches suivantes:
Une fois pour toutes: - création d'un compte particulier pour le prestataire, attribution de droits minimaux (groupe Utilisateurs du domaine)
Avant chaque intervention: - backup de l'AD - changement du mot de passe du compte - attribution de droits d'admin du domaine à ce compte - activation des audits (voir secpol.msc sur un contrôleur du domaine, stratégie d'audit) - note les paramètres par défaut pour pouvoir les restaurer plus tard
Après chaque intervention: - vérification des logs sécurité, système et application de ton contrôleur pour t'assurer qu'aucune manip anormale n'a été effectuée - restauration des paramètres antérieurs de la stratégie d'audit - changement du mot du passe du compte du prestataire - retrait des droits d'admin à ce compte
Je sais, c'est un peu lourd, et ce n'est même pas sûr à 100% mais le contexte que tu décris est très particulier. C'est notamment pour éviter ce genre de situation que Microsoft déconseille d'utiliser un contrôleur de domaine en serveur d'applications.
D'autres auront peut-être des idées différentes?
Jacques
Dominique A.
Bonsoir,
Effectivement il aurait fallut installé l'application sur un serveur membre...
Bonne soirée !
"Jacques Barathon [MS]" wrote in message news:
"Jean François" wrote in message news:O%
Bonjour Jacques,
Merci pour ton aide.
Le serveur en question héberge un ERP. Le prestataire extérieur qui a installé l'ERP doit intervenir régulièrement sur le serveur pour les paramétrages et autres patches de MàJ du programme. Il a demandé pour cela les droits d'administration et je suis un peu réticent pour le mettre dans le groupe des admins du domaine.
Y a t'il une solution dans mon cas ?
Si tu ne peux pas obtenir d'installer toi-même les patches, la seule solution que je vois consistera à "border" chaque intervention de ce prestataire extérieur, par exemple en prévoyant les tâches suivantes:
Une fois pour toutes: - création d'un compte particulier pour le prestataire, attribution de droits minimaux (groupe Utilisateurs du domaine)
Avant chaque intervention: - backup de l'AD - changement du mot de passe du compte - attribution de droits d'admin du domaine à ce compte - activation des audits (voir secpol.msc sur un contrôleur du domaine, stratégie d'audit) - note les paramètres par défaut pour pouvoir les restaurer plus tard
Après chaque intervention: - vérification des logs sécurité, système et application de ton contrôleur pour t'assurer qu'aucune manip anormale n'a été effectuée - restauration des paramètres antérieurs de la stratégie d'audit - changement du mot du passe du compte du prestataire - retrait des droits d'admin à ce compte
Je sais, c'est un peu lourd, et ce n'est même pas sûr à 100% mais le contexte que tu décris est très particulier. C'est notamment pour éviter ce genre de situation que Microsoft déconseille d'utiliser un contrôleur de domaine en serveur d'applications.
D'autres auront peut-être des idées différentes?
Jacques
Bonsoir,
Effectivement il aurait fallut installé l'application sur un serveur
membre...
Bonne soirée !
"Jacques Barathon [MS]" <jbaratho@online.microsoft.com> wrote in message
news:OZooDuV4FHA.3292@tk2msftngp13.phx.gbl...
"Jean François" <arouman@ifrance.com> wrote in message
news:O%23MPv6T4FHA.3740@TK2MSFTNGP12.phx.gbl...
Bonjour Jacques,
Merci pour ton aide.
Le serveur en question héberge un ERP. Le prestataire extérieur qui a
installé l'ERP doit intervenir régulièrement sur le serveur pour les
paramétrages et autres patches de MàJ du programme. Il a demandé pour
cela les droits d'administration et je suis un peu réticent pour le
mettre dans le groupe des admins du domaine.
Y a t'il une solution dans mon cas ?
Si tu ne peux pas obtenir d'installer toi-même les patches, la seule
solution que je vois consistera à "border" chaque intervention de ce
prestataire extérieur, par exemple en prévoyant les tâches suivantes:
Une fois pour toutes:
- création d'un compte particulier pour le prestataire, attribution de
droits minimaux (groupe Utilisateurs du domaine)
Avant chaque intervention:
- backup de l'AD
- changement du mot de passe du compte
- attribution de droits d'admin du domaine à ce compte
- activation des audits (voir secpol.msc sur un contrôleur du domaine,
stratégie d'audit) - note les paramètres par défaut pour pouvoir les
restaurer plus tard
Après chaque intervention:
- vérification des logs sécurité, système et application de ton contrôleur
pour t'assurer qu'aucune manip anormale n'a été effectuée
- restauration des paramètres antérieurs de la stratégie d'audit
- changement du mot du passe du compte du prestataire
- retrait des droits d'admin à ce compte
Je sais, c'est un peu lourd, et ce n'est même pas sûr à 100% mais le
contexte que tu décris est très particulier. C'est notamment pour éviter
ce genre de situation que Microsoft déconseille d'utiliser un contrôleur
de domaine en serveur d'applications.
Effectivement il aurait fallut installé l'application sur un serveur membre...
Bonne soirée !
"Jacques Barathon [MS]" wrote in message news:
"Jean François" wrote in message news:O%
Bonjour Jacques,
Merci pour ton aide.
Le serveur en question héberge un ERP. Le prestataire extérieur qui a installé l'ERP doit intervenir régulièrement sur le serveur pour les paramétrages et autres patches de MàJ du programme. Il a demandé pour cela les droits d'administration et je suis un peu réticent pour le mettre dans le groupe des admins du domaine.
Y a t'il une solution dans mon cas ?
Si tu ne peux pas obtenir d'installer toi-même les patches, la seule solution que je vois consistera à "border" chaque intervention de ce prestataire extérieur, par exemple en prévoyant les tâches suivantes:
Une fois pour toutes: - création d'un compte particulier pour le prestataire, attribution de droits minimaux (groupe Utilisateurs du domaine)
Avant chaque intervention: - backup de l'AD - changement du mot de passe du compte - attribution de droits d'admin du domaine à ce compte - activation des audits (voir secpol.msc sur un contrôleur du domaine, stratégie d'audit) - note les paramètres par défaut pour pouvoir les restaurer plus tard
Après chaque intervention: - vérification des logs sécurité, système et application de ton contrôleur pour t'assurer qu'aucune manip anormale n'a été effectuée - restauration des paramètres antérieurs de la stratégie d'audit - changement du mot du passe du compte du prestataire - retrait des droits d'admin à ce compte
Je sais, c'est un peu lourd, et ce n'est même pas sûr à 100% mais le contexte que tu décris est très particulier. C'est notamment pour éviter ce genre de situation que Microsoft déconseille d'utiliser un contrôleur de domaine en serveur d'applications.
