CONNEXION
  • RetourJeux
    • Sorties
    • Hit Parade
    • Les + populaires
    • Les + attendus
    • Soluces
    • Tous les Jeux
    • Gaming
  • RetourActu Gaming
    • News
    • Astuces
    • Tests
    • Previews
    • Toute l'actu gaming
  • RetourBons plans
    • Bons plans
    • Bons plans Smartphone
    • Bons plans Hardware
    • Bons plans Image et Son
    • Bons plans Amazon
    • Bons plans Cdiscount
    • Bons plans Decathlon
    • Bons plans Fnac
    • Tous les Bons plans
  • RetourJVTech
    • Actus High-Tech
    • Intelligence Artificielle
    • Smartphones
    • Mobilité urbaine
    • Hardware
    • Image et son
    • Tutoriels
    • Tests produits High-Tech
    • Guides d'achat High-Tech
    • JVTech
  • RetourCulture
    • Actus Culture
    • Culture
  • RetourVidéos
    • A la une
    • Gaming Live
    • Vidéos Tests
    • Vidéos Previews
    • Gameplay
    • Trailers
    • Chroniques
    • Replay Web TV
    • Toutes les vidéos
  • RetourForums
    • Hardware PC
    • PS5
    • Switch 2
    • Xbox Series
    • Switch
    • Pokemon pocket
    • FC 25 Ultimate Team
    • League of Legends
    • Tous les Forums
  • PC
  • PS5
  • Xbox Series
  • Switch 2
  • PS4
  • One
  • Switch
  • iOS
  • Android
  • MMO
  • RPG
  • FPS
En ce moment Genshin Impact Valhalla Breath of the wild Animal Crossing GTA 5 Red dead 2
Liste des sujets

[Active Directory] Administration de poste.

ScarfOfJericho
ScarfOfJericho
Niveau 9
07 avril 2018 à 00:53:39

Bonjour,

J'ai quitté la mission de mon ancien boulot hier.

J'ai donc fait le ménage et j'ai supprimé les fichiers dont je n'avais plus besoin (dans Documents, sur le lecteur réseau perso etc...)

Le problème étant que j'ai oublié de supprimer tout ce qui est téléchargement par exemple.

Chaque compte AD est admin de son poste, il y a possibilité que la personne qui me remplace puisse accéder à mon ancien compte via le dossier Utilisateurs et puisse voir mes fichiers persos ou c'est pas possible ?

Je peux toujours m'arranger pour retourner sur mon ancien lieu de boulot au cas où et resupprimer le contenu du dossier mais si je pourrais ne pas le faire, ça m'arrangerait.

Merci :noel:

jehosha
jehosha
Niveau 9
07 avril 2018 à 09:46:18

Chaque compte AD est admin de son poste :ouch: ah ouais quand même !

ScarfOfJericho
ScarfOfJericho
Niveau 9
07 avril 2018 à 10:38:49

C'est surtout pour installer principalement des logiciels ou en lancer certains en admin dans la mission que je faisais.

gunrell
gunrell
Niveau 21
07 avril 2018 à 12:53:45

Chaque compte AD est admin de son poste, il y a possibilité que la personne qui me remplace puisse accéder à mon ancien compte via le dossier Utilisateurs et puisse voir mes fichiers persos ou c'est pas possible ?

C'est possible en effet.

NaturalDisaster
NaturalDisaster
Niveau 21
07 avril 2018 à 13:13:30

Le 07 avril 2018 à 12:53:45 gunrell a écrit :

Chaque compte AD est admin de son poste, il y a possibilité que la personne qui me remplace puisse accéder à mon ancien compte via le dossier Utilisateurs et puisse voir mes fichiers persos ou c'est pas possible ?

C'est possible en effet.

OK, je vais me pointer lundi pour vider tout ça, on sait jamais :noel:

jehosha
jehosha
Niveau 9
07 avril 2018 à 16:24:26

Bah C'est le chaque compte dans l'AD qui me fais peur! y compris tous les users "neophytes". Je veut pas être a la place du RSSI doit plus avoir de cheveux :gni:

Message édité le 07 avril 2018 à 16:25:00 par jehosha
Ajax007
Ajax007
Niveau 10
08 avril 2018 à 12:05:45

Effectivement, ce n'est pas une bonne pratique du tout de laisser chacun administrateur de son poste, ou alors il faut déployer des GPO très subtiles qui permettent de tout au moins "cacher" certains menus, ou encore de désactiver certains fonctionnalités (sauf pour le compte local Administrator bien sûr).

Il y a d'autres façons de laisser certains privilèges aux utilisateurs, sans pour autant les rendre administrateurs ; c'est même l'une des principales raisons d'être d'un annuaire comme AD et des GPO...

Pseudo supprimé
Pseudo supprimé 09 avril 2018 à 12:02:54

Je laisse mes 50 utilisateurs admin de leurs postes.
En 6 ans un seul indicent de la part de la seule personne qui se dit être experte en informatique.
Quand une personne pers une journée de boulot parce qu'elle a installées des cochonneries sur son poste ça lui passe l'envie future de le refaire.

Ajax007
Ajax007
Niveau 10
09 avril 2018 à 14:20:28

NB : l'application du principe du "moindre privilège" poursuit plusieurs objectifs... Pas uniquement la prévention des "maladresses" des utilisateurs.

:-)

Pseudo supprimé
Pseudo supprimé 09 avril 2018 à 15:40:03

Oui oui je sais.
Les sauvegardes sont faites sur un serveur Debian local, avec une clé SSH dont moi seul ai l'accès.
Je suis d'accord que dans l'absolu l'application du «moindre privilège» est une bonne chose.
Maintenant faut mettre ça en perspective avec l'usabilité et la pratique.

Pseudo supprimé
Pseudo supprimé 09 avril 2018 à 20:23:46

Le 09 avril 2018 à 19:41:40 EndlessTrip a écrit :

Le 09 avril 2018 à 12:02:54 gilari a écrit :
Je laisse mes 50 utilisateurs admin de leurs postes.
En 6 ans un seul indicent de la part de la seule personne qui se dit être experte en informatique.
Quand une personne pers une journée de boulot parce qu'elle a installées des cochonneries sur son poste ça lui passe l'envie future de le refaire.

C'est valable pour 50 en effet. Chez nous on est 500+, il y a encore pas si longtemps on avait 500 utilisateurs, je te laisse imaginer la fête au village :fou:

Imagine avec +50k dans le monde, répartis sur plusieurs AD :hap: mais certain utilisateurs sont admin pour l'utilisation de logiciel métier bien spécifique.. malheureusement microsoft ne permet aucunement une modélisation de ce droit

jehosha
jehosha
Niveau 9
10 avril 2018 à 07:57:12

2800 users grosso modo la ou je suis et pas de droit admin si pas de la dcsi ( meme la encore c'est pas systématique). Une appli metier qui a besoin de droit admin ( en soit deja c'est pas tellement normal je trouve) soit on applique un ct sur l'application pour l'utilisateur des fois ca passe, soit on lui met un runas tool.

Ajax007
Ajax007
Niveau 10
10 avril 2018 à 09:17:51

Le 09 avril 2018 à 20:23:46 bounss a écrit :

mais certain utilisateurs sont admin pour l'utilisation de logiciel métier bien spécifique.. malheureusement microsoft ne permet aucunement une modélisation de ce droit

Oh que si... Il suffit de s'y prendre correctement. En admettant que l'appli ait absolument besoin d'utiliser le compte Administrator, ou un compte réseau Admin, rien n'empêche de "pousser" un template administratif qui restreint certains droits, ou encore rend certains menus invisibles.

Pseudo supprimé
Pseudo supprimé 10 avril 2018 à 11:46:10

Oh que si... Il suffit de s'y prendre correctement. En admettant que l'appli ait absolument besoin d'utiliser le compte Administrator, ou un compte réseau Admin, rien n'empêche de "pousser" un template administratif qui restreint certains droits, ou encore rend certains menus invisibles.

Si tu es capable de donner les droits admin a une application qui utilise X chemin seulement pendant l'ouverture de ce dit programme fait péter .... on est tous la a t'écouter :)

Ajax007
Ajax007
Niveau 10
10 avril 2018 à 11:57:40

Le 10 avril 2018 à 11:46:10 bounss a écrit :

Si tu es capable de donner les droits admin a une application qui utilise X chemin seulement pendant l'ouverture de ce dit programme fait péter .... on est tous la a t'écouter :)

La demande n'est pas très claire, mais bon :

- utiliser un script d'authentification, lequel lance l'exécution du processus de connexion avec un compte déterminé, ne correspondant pas forcément au compte de la personne qui se connecte.

- le compte utilisé pour le processus de connexion peut disposer de très hauts privilèges sans pour autant être complètement Administrateur.

Exemple simple, pour ne pas dire simpliste ici : https://social.technet.microsoft.com/Forums/fr-FR/3c5fa952-1200-4826-89af-bd6248a4b2d4/active-directory-gpo-et-droits-administrateur?forum=windowsserver8fr

Documentation sur les GPO (article assez ancien il est vrai) : https://orabache.developpez.com/articles/gpo/

Pseudo supprimé
Pseudo supprimé 10 avril 2018 à 13:26:43

Exemple, tu as une application qui utilise des chemins créés pendant la session dans temps et system32 et d'autre dossier avant de se détruire, idem pour la base de registre. Liens générés avec un num de session non fix, utilisant un certificat mis a jours toutes les 24H et pouvant utiliser un VPN.

Je te rassure si meme des consultants chez microdaube n'ont pas eu de solution a nous donner ... je doute fortement avec respect, que tu puisses le faire :)

La solution la plus simple a été de mettre quelques utilisateurs admin local de leurs poste avec un balayage SCCM pour tracker l'activité des postes.

Mais l'idée pour des applications "simple" est du moins intéressante !

Ajax007
Ajax007
Niveau 10
10 avril 2018 à 13:34:51

C'est une application développée avec deux pieds gauches ou quoi ? :-)

C'est évident que la solution n'est pas administrative système, mais bien "développementale"...

De toutes façons, cela ne change rien au fait qu'AD et la bonne utilisation de GPO permet de diminuer la nécessité de l'utilisation de comptes à hauts privilèges.

Bravo pour la sécurité en tout cas.

Et pour terminer, ce n'est pas le nombre de postes qui conditionne les politiques administratives à mettre en oeuvre, mais bien la nature des données e.a. ; 50 postes qui utilisent des données sensibles pour le fonctionnement d'une Moyenne Entreprise en forte concurrence, ça mérite mieux qu'une sécurité pour PC de bricoleurs du dimanche.

Pseudo supprimé
Pseudo supprimé 10 avril 2018 à 14:31:00

C'est une application développée avec deux pieds gauches ou quoi ? :-)

C'est évident que la solution n'est pas administrative système, mais bien "développementale"...

Je dois ressortir ma phrase " ce n'est pas parce qu'on ne sait pas que c'est inexistant" ? :hap:

Bravo pour la sécurité en tout cas.

Tu veux sans doute parler de ITIL ? de mon vivant je n'ai jamais vu une entreprise qui n'avait par besoins, mis cette méthode de coter pour X raison :o))

Ajax007
Ajax007
Niveau 10
10 avril 2018 à 14:55:02

Le 10 avril 2018 à 14:31:00 bounss a écrit :

C'est une application développée avec deux pieds gauches ou quoi ? :-)

C'est évident que la solution n'est pas administrative système, mais bien "développementale"...

Je dois ressortir ma phrase " ce n'est pas parce qu'on ne sait pas que c'est inexistant" ? :hap:

Bravo pour la sécurité en tout cas.

Tu veux sans doute parler de ITIL ? de mon vivant je n'ai jamais vu une entreprise qui n'avait par besoins, mis cette méthode de coter pour X raison :o))

Tu dois surtout rester sympa, si tu veux bien. J'ai bien compris que ta solution existe, et ma réponse est à l'avenant... ;-)

NaturalDisaster
NaturalDisaster
Niveau 21
21 avril 2018 à 19:14:58

Bon, au final, j'ai supprimé les merdes de mon poste qui restaient, tout est OK :noel:

Mais après, si ils supprimaient mon compte AD, ça aurait conservé les données utilisateurs enregistrés sur la machine ? (genre si j'avais laissé un doc perso' qui trainait)

Sous forums
  • Aide à l'achat Mac
  • Macintosh
  • Création de Jeux
  • Programmation
  • Création de sites web
  • Linux
  • Internet
  • Steam Deck
  • Hardware
La vidéo du moment