1 votes

Oxwivi avatar

Gestion des comptes d'utilisateur sur les périphériques avant l'adhésion au domaine

Demandé el 19 de Septembre, 2015
Quand la question a-t-elle été
149 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Quelles sont les meilleures pratiques pour traiter les comptes, admin et user, créés avant l'adhésion au domaine du système ?

  • Seront-ils classés sous une OU ? Peuvent-ils être fusionnés avec les utilisateurs du domaine qui seront créés ?
  • Les utilisateurs de l'administration locale sur tous les appareils membres peuvent-ils être normalisés avec un nom d'utilisateur et un mot de passe identiques, etc.
  • Quelles sont les meilleures pratiques pour les comptes administrateurs nécessairement créés lors de l'installation du système d'exploitation sur des appareils neufs ?
  • Dans quelle mesure les administrateurs locaux peuvent-ils utiliser leur privilège d'administrateur pour des choses restreintes par les GPO (par exemple, si je limite l'installation de logiciels sur tous les appareils, ceux-ci peuvent-ils être installés lorsqu'ils sont exécutés en tant qu'administrateur local) ?
Demandé el 19 de Septembre, 2015 par Oxwivi

0 votes

Avatar de Rob Howard

J'en ferais des questions séparées plutôt que d'en regrouper plusieurs, certaines concernent le provisionnement, d'autres l'outil LAPS.

Commenté el 19 de Septembre, 2015 par Rob Howard

0 votes

Avatar de Oxwivi

@JimB, le LAPS fait-il partie du RSAT ?

Commenté el 19 de Septembre, 2015 par Oxwivi

0 votes

Avatar de Rob Howard

Non LAPS est un outil pour gérer les mots de passe de l'administrateur local. microsoft.com/fr/download/details.aspx?id=46899

Commenté el 19 de Septembre, 2015 par Rob Howard
Afficher 1 autres commentaires

Réponses

Trop de publicités?

1voto

stace avatar
stace Points 1

Je suppose que vous parlez des comptes sur les postes de travail des clients.

  • Étant donné qu'il s'agit de comptes locaux, ils n'apparaîtront dans aucun AD OU. Vous ne pouvez pas les fusionner mais vous pouvez utiliser des outils tels que Assistant de profil utilisateur Forensit pour tout transférer d'un compte local à un compte de domaine.

  • Vous ne pouvez pas standardiser les administrateurs existants, mais vous pouvez créer de nouveaux comptes administrateurs locaux pour tous les clients et désactiver l'administrateur intégré via GPO : http://www.dannyeckes.com/create-local-admin-group-policy-gpo/

  • En ce qui concerne les PC nouvellement installés, nous définissons le même mot de passe administrateur intégré (un mot de passe très complexe) pour toutes les machines.

  • les administrateurs locaux sont toujours des administrateurs. Vous pouvez essayer d'activer Désactiver le programme d'installation de Windows y Interdire les installations d'utilisateurs sous Configuration de l'ordinateur \Administrative Modèles \Windows Installer GPO, mais il ne fonctionnera que sur les éléments qui utilisent Windows Installer.

Répondu el 19 de Septembre, 2015 par stace (1 Points )

0 votes

Avatar de Oxwivi

Plutôt que d'interdire uniquement les installateurs Windows, n'y a-t-il pas moyen de désactiver l'exécution de tout binaire autre que ceux déjà disponibles sur le système (c'est-à-dire mis à disposition par l'administrateur par le biais de l'installation, etc) ?

Commenté el 19 de Septembre, 2015 par Oxwivi

0 votes

Avatar de stace

Pas pour l'administration locale, il n'y en a pas. Un utilisateur avisé avec des droits d'administrateur local peut même contourner les GPOs. Vous pouvez cependant sécuriser le groupe des administrateurs locaux comme décrit ici : windowsecurity.com/articles-tutoriels/windows_os_security/ Et si vous devez vérifier les membres de l'administration sur tous les clients, utilisez ce script très pratique : briandesmond.com/blog/

Commenté el 19 de Septembre, 2015 par stace

0 votes

Avatar de Oxwivi

Non, je ne parle pas de restreindre les administrateurs locaux (je les supprimerai carrément après avoir rejoint le domaine), mais simplement d'une politique informatique pour bloquer toute tentative d'exécution de binaires étrangers.

Commenté el 19 de Septembre, 2015 par Oxwivi
Afficher 2 autres commentaires

1voto

Errol avatar
Errol Points 19

Seront-ils classés sous une OU ? Peuvent-ils être fusionnés avec les utilisateurs du domaine qui seront créés ?

Les comptes locaux ne reviennent jamais dans AD, en fait, vous ne pourrez pas accéder à quoi que ce soit concernant le côté utilisateurs des GPOs lorsque vous êtes connecté en tant qu'utilisateur local. Les paramètres des GPO côté ordinateur seront toujours appliqués.

Les utilisateurs de l'administration locale sur tous les appareils membres peuvent-ils être normalisés avec un nom d'utilisateur et un mot de passe identiques, etc.

Cela a un peu changé au cours des dernières années, vous aviez l'habitude de pouvoir imposer un mot de passe administrateur relativement facilement à travers les GPOs, mais depuis la mise à jour MS14-025 . Vous ne pouvez plus faire respecter les mots de passe sans un shim tiers.

Quelles sont les meilleures pratiques pour les comptes administrateurs nécessairement créés lors de l'installation du système d'exploitation sur des appareils neufs ?

Dans notre environnement, nous avons défini un mot de passe administrateur complexe, principalement pour les techniciens qui doivent résoudre les problèmes sur le terrain. Certaines personnes désactivent complètement le compte administrateur et se fient aux groupes restreints AD.

Dans quelle mesure les administrateurs locaux peuvent-ils utiliser leur privilège d'administrateur pour des choses restreintes par les GPO (par exemple, si je limite l'installation de logiciels sur tous les appareils, ceux-ci peuvent-ils être installés lorsqu'ils sont exécutés en tant qu'administrateur local) ?

Une fois que vous donnez à quelqu'un un compte d'administrateur sur une boîte, il n'y a rien qu'il ne puisse faire (en fonction de son niveau de compétence). En tant qu'administrateur, même si des GPO sont appliquées qui peuvent empêcher certaines choses, il est toujours possible de les contourner si la personne le souhaite vraiment. Se référer à pourquoi vous ne devez pas vous exécuter en tant qu'administrateur .

Répondu el 19 de Septembre, 2015 par Errol (19 Points )

0 votes

Avatar de Oxwivi

Le dernier point n'a pas été fait en considération de donner l'accès d'administrateur local à n'importe qui. Mais en ce qui concerne les GPO spécifiques à l'ordinateur et à l'utilisateur, savez-vous laquelle a la priorité en cas de conflit ?

Commenté el 19 de Septembre, 2015 par Oxwivi

0 votes

Avatar de Errol

Je ne suis pas sûr à 100%, mais le côté ordinateur se produit au démarrage et le côté utilisateur se produit à la connexion (à l'exception de la mise à jour continue), donc je suppose que si vous définissez des politiques opposées, le côté utilisateur aura la priorité. Ceci en supposant que vous vous connectez avec un compte AD. Dans certaines circonstances, vous pouvez vouloir des politiques différentes si vous vous connectez sous un compte local, ou si vous étendez les GPO à des utilisateurs/groupes spécifiques.

Commenté el 19 de Septembre, 2015 par Errol

0 votes

Avatar de Oxwivi

Non, je ne veux pas de comptes locaux. En fait, j'ai décidé de supprimer les administrateurs locaux en utilisant les panneaux de contrôle du domaine.

Commenté el 19 de Septembre, 2015 par Oxwivi

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X