Est-il vrai que les administrateurs d'un domaine "A" peuvent réinitialiser le mot de passe d'un utilisateur dans un autre domaine "B" au sein du même Forêt "out-of-the-box" ?
Je crois qu'il n'est pas possible pour un administrateur de domaine de gérer un autre domaine dans la Forêt comme ça. À moins qu'il n'utilise des utilitaires non standards, malveillants et des piratages.
Quelqu'un peut-il confirmer cela ?
Non, les administrateurs de domaine n'ont pas les droits pour administrer d'autres domaines dans la forêt.
Ce n'est pas un comportement "prêt à l'emploi", du moins pas pour le groupe "Administrateurs de domaine".
Si vous avez un domaine racine ad.mycompany.com, et un domaine enfant child.ad.mycompany.com, les administrateurs de domaine de l'un ou l'autre domaine ne devraient pas être en mesure d'administrer l'autre domaine. Cependant, les membres du groupe d'administrateurs d'entreprise pourront administrer le domaine enfant.
Cependant, mettre en place ce comportement ne serait pas forcément considéré comme malveillant si vous avez une faible séparation des rôles (par exemple, les administrateurs d'entreprise seraient les mêmes personnes que les administrateurs de domaine). De plus, il ne serait pas nécessaire d'utiliser des "utilitaires non standard et des astuces", car tout ce que vous auriez à faire pour autoriser cela serait d'ajouter le groupe Administrateurs de domaine du domaine parent au groupe Administrateurs d'entreprise.
Les membres du groupe d'administrateurs de domaine dans le domaine enfant n'auraient toujours pas les droits pour administrer le domaine parent.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
