Bonjour,
J’ai crée un utilisateur, je voudrais que cet utilisateur n’ai qu’un
droit de consultation du ldap de AD (2008).
Cette utilisateur me sert a faire des requêtes sur le ldap pour des
machine hors domaine. Pour l’instant cette technique marche mais je
voudrais un peu plus sécurisé cette méthode.
A l’heure actuelle il s’agit d’un « bête » utilisateur de domaine, il
peut donc ouvrir une session, …
Je souhaite qu’il n’ait uniquement un droit en lecture sur le ldap. J’ai
trouve la possibilité d’interdire l’ouverture d’une session local (gpo
=> local policies =>user rights). Est-ce suffisant, a-t-il moyens de
faire plus ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jonathan BISMUTH [Bis IT]
Bonjour Eric,
Amusant comme question, ça a été un sujet de discution entre Marc et moi en début d'année 2009 (nostalgie). Ce que l'on en avait conclu :
- créer la GPO de refus d'ouverture locale ainsi que l'ouverture de session par Terminal Server au plus haut niveau du domaine - refuser la lecture de celle ci au groupe "contrôleurs de domaine" (Groupe ordinateur par défaut où sont tous les DC d'un domaine AD) par filtrage NTFS (c'est à dire cocher la case "lecture" et décocher la case "appliquer cette stratégie) - Créer une GPO équivalente au niveau du conteneur Domain Controllers et y ajouter activer le paramètre "Accéder à cet ordinateur depuis le réseau" situé au même emplacement que les paramètres de refus.
Amuse toi bien :)
Cordialement, -- Jonathan BISMUTH Bis IT MVP Windows Server - Directory Services http://www.bis-it.fr http://blog.portail-mcse.net
"Eric Kosh" a écrit dans le message de news: O$
Bonjour, J’ai crée un utilisateur, je voudrais que cet utilisateur n’ai qu’un droit de consultation du ldap de AD (2008). Cette utilisateur me sert a faire des requêtes sur le ldap pour des machine hors domaine. Pour l’instant cette technique marche mais je voudrais un peu plus sécurisé cette méthode. A l’heure actuelle il s’agit d’un « bête » utilisateur de domaine, il peut donc ouvrir une session, … Je souhaite qu’il n’ait uniquement un droit en lecture sur le ldap. J’ai trouve la possibilité d’interdire l’ouverture d’une session local (gpo => local policies =>user rights). Est-ce suffisant, a-t-il moyens de faire plus ?
Merci
Bonjour Eric,
Amusant comme question, ça a été un sujet de discution entre Marc et moi en
début d'année 2009 (nostalgie).
Ce que l'on en avait conclu :
- créer la GPO de refus d'ouverture locale ainsi que l'ouverture de session
par Terminal Server au plus haut niveau du domaine
- refuser la lecture de celle ci au groupe "contrôleurs de domaine" (Groupe
ordinateur par défaut où sont tous les DC d'un domaine AD) par filtrage NTFS
(c'est à dire cocher la case "lecture" et décocher la case "appliquer cette
stratégie)
- Créer une GPO équivalente au niveau du conteneur Domain Controllers et y
ajouter activer le paramètre "Accéder à cet ordinateur depuis le réseau"
situé au même emplacement que les paramètres de refus.
Amuse toi bien :)
Cordialement,
--
Jonathan BISMUTH
Bis IT
MVP Windows Server - Directory Services
http://www.bis-it.fr
http://blog.portail-mcse.net
"Eric Kosh" <eric_kosh@hotmail.com.del> a écrit dans le message de news:
O$rGtfEFKHA.5916@TK2MSFTNGP03.phx.gbl...
Bonjour,
J’ai crée un utilisateur, je voudrais que cet utilisateur n’ai qu’un droit
de consultation du ldap de AD (2008).
Cette utilisateur me sert a faire des requêtes sur le ldap pour des
machine hors domaine. Pour l’instant cette technique marche mais je
voudrais un peu plus sécurisé cette méthode.
A l’heure actuelle il s’agit d’un « bête » utilisateur de domaine, il peut
donc ouvrir une session, …
Je souhaite qu’il n’ait uniquement un droit en lecture sur le ldap. J’ai
trouve la possibilité d’interdire l’ouverture d’une session local (gpo =>
local policies =>user rights). Est-ce suffisant, a-t-il moyens de faire
plus ?
Amusant comme question, ça a été un sujet de discution entre Marc et moi en début d'année 2009 (nostalgie). Ce que l'on en avait conclu :
- créer la GPO de refus d'ouverture locale ainsi que l'ouverture de session par Terminal Server au plus haut niveau du domaine - refuser la lecture de celle ci au groupe "contrôleurs de domaine" (Groupe ordinateur par défaut où sont tous les DC d'un domaine AD) par filtrage NTFS (c'est à dire cocher la case "lecture" et décocher la case "appliquer cette stratégie) - Créer une GPO équivalente au niveau du conteneur Domain Controllers et y ajouter activer le paramètre "Accéder à cet ordinateur depuis le réseau" situé au même emplacement que les paramètres de refus.
Amuse toi bien :)
Cordialement, -- Jonathan BISMUTH Bis IT MVP Windows Server - Directory Services http://www.bis-it.fr http://blog.portail-mcse.net
"Eric Kosh" a écrit dans le message de news: O$
Bonjour, J’ai crée un utilisateur, je voudrais que cet utilisateur n’ai qu’un droit de consultation du ldap de AD (2008). Cette utilisateur me sert a faire des requêtes sur le ldap pour des machine hors domaine. Pour l’instant cette technique marche mais je voudrais un peu plus sécurisé cette méthode. A l’heure actuelle il s’agit d’un « bête » utilisateur de domaine, il peut donc ouvrir une session, … Je souhaite qu’il n’ait uniquement un droit en lecture sur le ldap. J’ai trouve la possibilité d’interdire l’ouverture d’une session local (gpo => local policies =>user rights). Est-ce suffisant, a-t-il moyens de faire plus ?
Merci
Eric Kosh
Bonjour, et merci pour ta réponse je suis d'accord avec le premier point, par contre je ne vois pas trop la pertinence des 2 autres
pour le 2eme point je ne comprend pas trop ce que je dois faire et donc le résultat.
pour le 3eme point je ne comprend pourquoi je dois absolument crée la permission d'accéder depuis le réseau puisque cela marche déjà ... et si je lit bien la gpo de refus le fait d'active cela ne perturbe en rien le fait de venir par le réseau
peut-tu m'éclaire un peu plus?
Merci Eric
Jonathan BISMUTH [Bis IT] a écrit :
Bonjour Eric,
Amusant comme question, ça a été un sujet de discution entre Marc et moi en début d'année 2009 (nostalgie). Ce que l'on en avait conclu :
- créer la GPO de refus d'ouverture locale ainsi que l'ouverture de session par Terminal Server au plus haut niveau du domaine - refuser la lecture de celle ci au groupe "contrôleurs de domaine" (Groupe ordinateur par défaut où sont tous les DC d'un domaine AD) par filtrage NTFS (c'est à dire cocher la case "lecture" et décocher la case "appliquer cette stratégie) - Créer une GPO équivalente au niveau du conteneur Domain Controllers et y ajouter activer le paramètre "Accéder à cet ordinateur depuis le réseau" situé au même emplacement que les paramètres de refus.
Amuse toi bien :)
Cordialement,
Bonjour,
et merci pour ta réponse
je suis d'accord avec le premier point, par contre je ne vois pas trop
la pertinence des 2 autres
pour le 2eme point je ne comprend pas trop ce que je dois faire et donc
le résultat.
pour le 3eme point je ne comprend pourquoi je dois absolument crée la
permission d'accéder depuis le réseau puisque cela marche déjà ... et si
je lit bien la gpo de refus le fait d'active cela ne perturbe en rien le
fait de venir par le réseau
peut-tu m'éclaire un peu plus?
Merci
Eric
Jonathan BISMUTH [Bis IT] a écrit :
Bonjour Eric,
Amusant comme question, ça a été un sujet de discution entre Marc et moi en
début d'année 2009 (nostalgie).
Ce que l'on en avait conclu :
- créer la GPO de refus d'ouverture locale ainsi que l'ouverture de session
par Terminal Server au plus haut niveau du domaine
- refuser la lecture de celle ci au groupe "contrôleurs de domaine" (Groupe
ordinateur par défaut où sont tous les DC d'un domaine AD) par filtrage NTFS
(c'est à dire cocher la case "lecture" et décocher la case "appliquer cette
stratégie)
- Créer une GPO équivalente au niveau du conteneur Domain Controllers et y
ajouter activer le paramètre "Accéder à cet ordinateur depuis le réseau"
situé au même emplacement que les paramètres de refus.
Bonjour, et merci pour ta réponse je suis d'accord avec le premier point, par contre je ne vois pas trop la pertinence des 2 autres
pour le 2eme point je ne comprend pas trop ce que je dois faire et donc le résultat.
pour le 3eme point je ne comprend pourquoi je dois absolument crée la permission d'accéder depuis le réseau puisque cela marche déjà ... et si je lit bien la gpo de refus le fait d'active cela ne perturbe en rien le fait de venir par le réseau
peut-tu m'éclaire un peu plus?
Merci Eric
Jonathan BISMUTH [Bis IT] a écrit :
Bonjour Eric,
Amusant comme question, ça a été un sujet de discution entre Marc et moi en début d'année 2009 (nostalgie). Ce que l'on en avait conclu :
- créer la GPO de refus d'ouverture locale ainsi que l'ouverture de session par Terminal Server au plus haut niveau du domaine - refuser la lecture de celle ci au groupe "contrôleurs de domaine" (Groupe ordinateur par défaut où sont tous les DC d'un domaine AD) par filtrage NTFS (c'est à dire cocher la case "lecture" et décocher la case "appliquer cette stratégie) - Créer une GPO équivalente au niveau du conteneur Domain Controllers et y ajouter activer le paramètre "Accéder à cet ordinateur depuis le réseau" situé au même emplacement que les paramètres de refus.
