Je viens de m'apercevoir d'un gros problème de sécurité sur mon domaine
Windows 2000. Je suis fou !!
En effet, n'importe quel utilisateur peut ajouter un ordinateur au domaine.
Evidemment, aucun utilisateur final ne fait parti des groupes Opérateurs
de compte, Admins du domaine ou Administrateurs de l'entreprise dans
Active Directory. Il y a bien quelques délégations qui ont été faite
mais c'est pour un utilisateur donnée et une machine donnée.
Une petite précision, Les utilisateurs peuvent ajouter une machine qui
n'existe pas dans le domaine. A partir du moment où la machine a été
enregistrée, il ne peuvent pas la sortir puis la rentrer à nouveau.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Xyphos07
Ce n'est pas un problème de sécurité ! c'est entièrement normal. Dans un domaine windows 2000 natif l'utilisateur peut lui même mettre sa machine dans le domaine. Mais il ne peut pas l'enlever et tout le reste non plus
"Greg" a écrit dans le message de news:
Bonjour,
Je viens de m'apercevoir d'un gros problème de sécurité sur mon domaine Windows 2000. Je suis fou !!
En effet, n'importe quel utilisateur peut ajouter un ordinateur au domaine.
Evidemment, aucun utilisateur final ne fait parti des groupes Opérateurs de compte, Admins du domaine ou Administrateurs de l'entreprise dans Active Directory. Il y a bien quelques délégations qui ont été faite mais c'est pour un utilisateur donnée et une machine donnée.
Une petite précision, Les utilisateurs peuvent ajouter une machine qui n'existe pas dans le domaine. A partir du moment où la machine a été enregistrée, il ne peuvent pas la sortir puis la rentrer à nouveau.
help me, PLEASE !!
Ce n'est pas un problème de sécurité !
c'est entièrement normal.
Dans un domaine windows 2000 natif l'utilisateur peut lui même mettre sa
machine dans le domaine. Mais il ne peut pas l'enlever et tout le reste non
plus
"Greg" <grtou.nospam@hotmail.com> a écrit dans le message de
news:e9aUhDWWGHA.2080@TK2MSFTNGP05.phx.gbl...
Bonjour,
Je viens de m'apercevoir d'un gros problème de sécurité sur mon domaine
Windows 2000. Je suis fou !!
En effet, n'importe quel utilisateur peut ajouter un ordinateur au
domaine.
Evidemment, aucun utilisateur final ne fait parti des groupes Opérateurs
de compte, Admins du domaine ou Administrateurs de l'entreprise dans
Active Directory. Il y a bien quelques délégations qui ont été faite
mais c'est pour un utilisateur donnée et une machine donnée.
Une petite précision, Les utilisateurs peuvent ajouter une machine qui
n'existe pas dans le domaine. A partir du moment où la machine a été
enregistrée, il ne peuvent pas la sortir puis la rentrer à nouveau.
Ce n'est pas un problème de sécurité ! c'est entièrement normal. Dans un domaine windows 2000 natif l'utilisateur peut lui même mettre sa machine dans le domaine. Mais il ne peut pas l'enlever et tout le reste non plus
"Greg" a écrit dans le message de news:
Bonjour,
Je viens de m'apercevoir d'un gros problème de sécurité sur mon domaine Windows 2000. Je suis fou !!
En effet, n'importe quel utilisateur peut ajouter un ordinateur au domaine.
Evidemment, aucun utilisateur final ne fait parti des groupes Opérateurs de compte, Admins du domaine ou Administrateurs de l'entreprise dans Active Directory. Il y a bien quelques délégations qui ont été faite mais c'est pour un utilisateur donnée et une machine donnée.
Une petite précision, Les utilisateurs peuvent ajouter une machine qui n'existe pas dans le domaine. A partir du moment où la machine a été enregistrée, il ne peuvent pas la sortir puis la rentrer à nouveau.
help me, PLEASE !!
Greg
Ce n'est pas un problème de sécurité ! c'est entièrement normal. Dans un domaine windows 2000 natif l'utilisateur peut lui même mettre sa machine dans le domaine. Mais il ne peut pas l'enlever et tout le reste non plus
"Greg" a écrit dans le message de news:
Bonjour,
Je viens de m'apercevoir d'un gros problème de sécurité sur mon domaine Windows 2000. Je suis fou !!
En effet, n'importe quel utilisateur peut ajouter un ordinateur au domaine.
Evidemment, aucun utilisateur final ne fait parti des groupes Opérateurs de compte, Admins du domaine ou Administrateurs de l'entreprise dans Active Directory. Il y a bien quelques délégations qui ont été faite mais c'est pour un utilisateur donnée et une machine donnée.
Une petite précision, Les utilisateurs peuvent ajouter une machine qui n'existe pas dans le domaine. A partir du moment où la machine a été enregistrée, il ne peuvent pas la sortir puis la rentrer à nouveau.
help me, PLEASE !!
Il y malgré tout une handicap certain : Les utilisateurs peuvent renommer leur machine à volonté ce qui n'est pas trés pratique dans la gestion d'un parc informatique.
Je ne veux pas non plus que les utilisateurs puissent ajouter leur portable perso à volonté. Ensuite qu'advient-il du nombre de licences autorisées ?
Windows 2003 fonctionne-t-il de la même manière ? Je suppose que non : http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/942e6a8d-b9b1-47c3-921c-fb6b67f0d11c.mspx?mfr=true
Y a-t-il moyen sur un réseau natif 2000 d'empêcher ce fonctionnement ?
Ce n'est pas un problème de sécurité !
c'est entièrement normal.
Dans un domaine windows 2000 natif l'utilisateur peut lui même mettre sa
machine dans le domaine. Mais il ne peut pas l'enlever et tout le reste non
plus
"Greg" <grtou.nospam@hotmail.com> a écrit dans le message de
news:e9aUhDWWGHA.2080@TK2MSFTNGP05.phx.gbl...
Bonjour,
Je viens de m'apercevoir d'un gros problème de sécurité sur mon domaine
Windows 2000. Je suis fou !!
En effet, n'importe quel utilisateur peut ajouter un ordinateur au
domaine.
Evidemment, aucun utilisateur final ne fait parti des groupes Opérateurs
de compte, Admins du domaine ou Administrateurs de l'entreprise dans
Active Directory. Il y a bien quelques délégations qui ont été faite
mais c'est pour un utilisateur donnée et une machine donnée.
Une petite précision, Les utilisateurs peuvent ajouter une machine qui
n'existe pas dans le domaine. A partir du moment où la machine a été
enregistrée, il ne peuvent pas la sortir puis la rentrer à nouveau.
help me, PLEASE !!
Il y malgré tout une handicap certain : Les utilisateurs peuvent
renommer leur machine à volonté ce qui n'est pas trés pratique dans la
gestion d'un parc informatique.
Je ne veux pas non plus que les utilisateurs puissent ajouter leur
portable perso à volonté. Ensuite qu'advient-il du nombre de licences
autorisées ?
Windows 2003 fonctionne-t-il de la même manière ?
Je suppose que non :
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/942e6a8d-b9b1-47c3-921c-fb6b67f0d11c.mspx?mfr=true
Y a-t-il moyen sur un réseau natif 2000 d'empêcher ce fonctionnement ?
Ce n'est pas un problème de sécurité ! c'est entièrement normal. Dans un domaine windows 2000 natif l'utilisateur peut lui même mettre sa machine dans le domaine. Mais il ne peut pas l'enlever et tout le reste non plus
"Greg" a écrit dans le message de news:
Bonjour,
Je viens de m'apercevoir d'un gros problème de sécurité sur mon domaine Windows 2000. Je suis fou !!
En effet, n'importe quel utilisateur peut ajouter un ordinateur au domaine.
Evidemment, aucun utilisateur final ne fait parti des groupes Opérateurs de compte, Admins du domaine ou Administrateurs de l'entreprise dans Active Directory. Il y a bien quelques délégations qui ont été faite mais c'est pour un utilisateur donnée et une machine donnée.
Une petite précision, Les utilisateurs peuvent ajouter une machine qui n'existe pas dans le domaine. A partir du moment où la machine a été enregistrée, il ne peuvent pas la sortir puis la rentrer à nouveau.
help me, PLEASE !!
Il y malgré tout une handicap certain : Les utilisateurs peuvent renommer leur machine à volonté ce qui n'est pas trés pratique dans la gestion d'un parc informatique.
Je ne veux pas non plus que les utilisateurs puissent ajouter leur portable perso à volonté. Ensuite qu'advient-il du nombre de licences autorisées ?
Windows 2003 fonctionne-t-il de la même manière ? Je suppose que non : http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/942e6a8d-b9b1-47c3-921c-fb6b67f0d11c.mspx?mfr=true
Y a-t-il moyen sur un réseau natif 2000 d'empêcher ce fonctionnement ?
Jacques Barathon [MS]
"Greg" wrote in message news: <snip>
Windows 2003 fonctionne-t-il de la même manière ? Je suppose que non : http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/942e6a8d-b9b1-47c3-921c-fb6b67f0d11c.mspx?mfr=true
Le lien en question dit bien que par défaut les utilisateurs authentifiés peuvent ajouter jusqu'à 10 comptes ordinateurs.
Y a-t-il moyen sur un réseau natif 2000 d'empêcher ce fonctionnement ?
Qu'il s'agisse d'une forêt 2000 ou 2003 on peut modifier ce paramètre de sécurité: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/942e6a8d-b9b1-47c3-921c-fb6b67f0d11c.mspx?mfr=true
Jacques
"Greg" <grtou.nospam@hotmail.com> wrote in message
news:uRfW70lWGHA.3972@TK2MSFTNGP02.phx.gbl...
<snip>
Windows 2003 fonctionne-t-il de la même manière ?
Je suppose que non :
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/942e6a8d-b9b1-47c3-921c-fb6b67f0d11c.mspx?mfr=true
Le lien en question dit bien que par défaut les utilisateurs authentifiés
peuvent ajouter jusqu'à 10 comptes ordinateurs.
Y a-t-il moyen sur un réseau natif 2000 d'empêcher ce fonctionnement ?
Qu'il s'agisse d'une forêt 2000 ou 2003 on peut modifier ce paramètre de
sécurité:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/942e6a8d-b9b1-47c3-921c-fb6b67f0d11c.mspx?mfr=true
Windows 2003 fonctionne-t-il de la même manière ? Je suppose que non : http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/942e6a8d-b9b1-47c3-921c-fb6b67f0d11c.mspx?mfr=true
Le lien en question dit bien que par défaut les utilisateurs authentifiés peuvent ajouter jusqu'à 10 comptes ordinateurs.
Y a-t-il moyen sur un réseau natif 2000 d'empêcher ce fonctionnement ?
Qu'il s'agisse d'une forêt 2000 ou 2003 on peut modifier ce paramètre de sécurité: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/942e6a8d-b9b1-47c3-921c-fb6b67f0d11c.mspx?mfr=true
Jacques
F. Dunoyer [MVP]
Greg avait prétendu :
Il y malgré tout une handicap certain : Les utilisateurs peuvent renommer leur machine à volonté ce qui n'est pas trés pratique dans la gestion d'un parc informatique.
Pour renommer son poste il faut etre administrateur du poste
pour les portables perso ok tu as raison mais tu peux aussi jouer sur les GPO de l'OU par defaut non?
-- François Dunoyer [MVP Windows Server / Security] Des liens sur la sécurisation des systèmes Windows http://fds.mvps.org/ta/Liens.htm Site perso : http://www.fdunoyer.net
Greg avait prétendu :
Il y malgré tout une handicap certain : Les utilisateurs peuvent renommer
leur machine à volonté ce qui n'est pas trés pratique dans la gestion d'un
parc informatique.
Pour renommer son poste il faut etre administrateur du poste
pour les portables perso ok tu as raison
mais tu peux aussi jouer sur les GPO de l'OU par defaut non?
--
François Dunoyer [MVP Windows Server / Security]
Des liens sur la sécurisation des systèmes Windows
http://fds.mvps.org/ta/Liens.htm
Site perso : http://www.fdunoyer.net
Il y malgré tout une handicap certain : Les utilisateurs peuvent renommer leur machine à volonté ce qui n'est pas trés pratique dans la gestion d'un parc informatique.
Pour renommer son poste il faut etre administrateur du poste
pour les portables perso ok tu as raison mais tu peux aussi jouer sur les GPO de l'OU par defaut non?
-- François Dunoyer [MVP Windows Server / Security] Des liens sur la sécurisation des systèmes Windows http://fds.mvps.org/ta/Liens.htm Site perso : http://www.fdunoyer.net
Greg
Greg avait prétendu :
Il y malgré tout une handicap certain : Les utilisateurs peuvent renommer leur machine à volonté ce qui n'est pas trés pratique dans la gestion d'un parc informatique.
Pour renommer son poste il faut etre administrateur du poste
pour les portables perso ok tu as raison mais tu peux aussi jouer sur les GPO de l'OU par defaut non?
Merci pour vos conseils à tous les deux.
Les utilisateurs sont tous admin de leur poste. La politique est cool à ce niveau.
Mais pour garder le controle sur le domaine, j'ai donc supprimé la possibilité d'"ajouter des stations de travail au controleur de domaine" pour les utilisateurs authentifiés dans la stratégie de groupe du contrôleur de domaine.
++
Greg avait prétendu :
Il y malgré tout une handicap certain : Les utilisateurs peuvent
renommer leur machine à volonté ce qui n'est pas trés pratique dans la
gestion d'un parc informatique.
Pour renommer son poste il faut etre administrateur du poste
pour les portables perso ok tu as raison
mais tu peux aussi jouer sur les GPO de l'OU par defaut non?
Merci pour vos conseils à tous les deux.
Les utilisateurs sont tous admin de leur poste. La politique est cool à
ce niveau.
Mais pour garder le controle sur le domaine, j'ai donc supprimé la
possibilité d'"ajouter des stations de travail au controleur de domaine"
pour les utilisateurs authentifiés dans la stratégie de groupe du
contrôleur de domaine.
Il y malgré tout une handicap certain : Les utilisateurs peuvent renommer leur machine à volonté ce qui n'est pas trés pratique dans la gestion d'un parc informatique.
Pour renommer son poste il faut etre administrateur du poste
pour les portables perso ok tu as raison mais tu peux aussi jouer sur les GPO de l'OU par defaut non?
Merci pour vos conseils à tous les deux.
Les utilisateurs sont tous admin de leur poste. La politique est cool à ce niveau.
Mais pour garder le controle sur le domaine, j'ai donc supprimé la possibilité d'"ajouter des stations de travail au controleur de domaine" pour les utilisateurs authentifiés dans la stratégie de groupe du contrôleur de domaine.
