1 votes

Utilisateur non enregistré avatar

Définition des autorisations sur les comptes d'utilisateurs

Demandé el 8 de Avril, 2010
Quand la question a-t-elle été
90 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous aimerions verrouiller quelques comptes pour empêcher même les administrateurs de domaine de réinitialiser le mot de passe sans connaître le mot de passe actuel. D'après ce que je peux voir dans les ensembles d'autorisations, cela semble possible. Tout ce que j'ai trouvé sur le sujet recommande de ne pas modifier les permissions par défaut, mais n'explique pas en détail pourquoi.

En supposant que l'administrateur du domaine conserve la capacité de réinitialiser les mots de passe sans connaître les mots de passe actuels, est-il raisonnable d'empêcher la réinitialisation des mots de passe sur le compte de l'administrateur du domaine et peut-être quelques autres ? Si non, pourquoi ?

Demandé el 8 de Avril, 2010 par Utilisateur non enregistré

Réponse

Trop de publicités?

3voto

jmbouffard avatar
jmbouffard Points 1916

Cela devrait être possible avec ADSI edit. (Je sais que vous le savez, mais : faites attention avec ADSI Edit).

Mais le véritable problème ici est que vous devez pouvoir faire confiance aux "administrateurs de domaine". Si vous ne pouvez pas leur faire confiance pour réinitialiser les mots de passe des comptes importants, comment pouvez-vous leur faire confiance pour ne pas formater les DCs ?

Si vous voulez garder certains comptes Spécial déplacez-les dans une OU et appelez-la "ImportantAccounts" et dites à tous les administrateurs de votre domaine de ne pas réinitialiser ces mots de passe !

Vous pouvez toutefois centraliser l'audit de sécurité et garder la trace de qui a réinitialisé tel ou tel mot de passe si vous souhaitez attribuer les responsabilités après coup.

Répondu el 8 de Avril, 2010 par jmbouffard (1916 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X