Laboratoire Microsoft |  CertifExpress 
 Le Forum de Réfèrence sur les Technologies Microsoft - http://www.forum-microsoft.org

Pb de droits locaux pour un utilisateur admin du domaine TOPIC_SOLVED

Modérateurs : Modérateurs, Modérateurs_Systèmes

Pb de droits locaux pour un utilisateur admin du domaine  TOPIC_SOLVED

Message par FMJ » Ven 19 Mai 2017, 10:34

Bonjour,

Je me résous à poser cette question un peu bête mais qui me chiffonne depuis un moment.
Je viens de configurer un Windows Server 2016 avec un rôle AD. J'ai fait toute la config avec l'utilisateur Administrateur, puis lui ai assigné un mot de passe très fort (pour la conserver en backup) et l'ai copié sur un utilisateur gestionad pour une exploitation courante. Donc cet utilisateur est membre des mêmes groupes de sécurité AD que Administrateur (dont "Administrateurs").
Jusqu'à là aucun souci, pour les tâches d'administration AD cet utilisateur convient parfaitement.

J'en viens au sujet de la question. Le serveur dispose de deux volumes : C et D. C porte le système et D des données.
Question sécurité, les "Utilisateurs du domaine" ont droit d'accès à C. Quant à D, ce sont les membres du Groupe "Administrateurs" (du domaine) qui peuvent y accéder (hérité sur tout le volume).
En étant connecté localement (ou à distance, c'est pareil) sur la machine, ce que je ne comprends pas :
> L'utilisateur gestionad accède sans pb aux fichiers de C (normal c'est un utilisateur du domaine)
> Mais il a un accès refusé sur D, quelque que soit le fichier ou le répertoire. Or c'est bien un membre de "Administrateurs" (vérifié avec "net user /domain gestionad")
Message : "Emplacement non disponible - D:\ n'est pas accessible - Accès refusé"
Par contre, si j'ajoute le groupe "Utilisateurs du domaine" dans la sécurité de D, l'utilisateur gestionad y a désormais bien sûr accès !

Donc je sèche. C'est certainement très bête mais je ne vois pas quelle est la raison à l'origine de cet accès refusé. Merci pour vos lumières.
FMJ
Junior
Junior
 
Message(s) : 48
Inscription : Ven 12 Sep 2008, 11:47

Re: Pb de droits locaux pour un utilisateur admin du domaine

Message par Timil » Ven 19 Mai 2017, 10:51

Bonjour,

De quel groupe parlez vous?
1. Administrators (du domaine ou juste local au serveur de fichier)
2. Domain Admins
3. Enterprise Administrators

Attention, les serveurs AD ne sont pas de bonnes cibles pour être serveur de fichiers...
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 17138
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: Pb de droits locaux pour un utilisateur admin du domaine

Message par FMJ » Ven 19 Mai 2017, 11:05

Bonjour
Tu peux me tutoyer, ça me rajeunira :p
Je parle bien de Administrators (du domaine) = Administrateurs sur un Windows francisé.
Il n'y a pas de groupe "Administrateurs" local sur serveur AD.
Mais comme j'ai copié tous les groupes, il est également membre de "Admin du domaine", "Admin de l'entreprise", etc..

Oui pour les best practices, je sais que si l'on écoute MS, il faudrait avoir une instance Windows par rôle !
Mais comme le serveur est utilisé sur une petite PME et qu'il n'y a qu'une poignée de machines et d'utilisateurs, la VM qui porte l'AD porte également un certain nombre d'autres rôles (fichiers, WSUS, plus d'autres petits services applicatifs). Mais vu que le serveur est suffisamment dimensionné, il n'y a vraiment aucun souci de perf (et en plus un SQL Server tourne sur une autre VM).

Pour finir, je n'ai pas vraiment de souci au niveau serveur de fichiers : je n'utilise pas gestionad pour y accéder à distance, et les groupes utilisés dans la config du partage ne posent pas de pb pour les autres utilisateurs.
C'est juste cet utilisateur qui est sensé est être un administrateur avec tous les droits mais qui ne l'est pas dans les faits qui m'interpelle !!!!
En fait si je pose la question, c'est que je me demande s'il ne s'agirait pas d'un nouveau mécanisme de sécurité propre à Win2016 ?
Merci
FMJ
Junior
Junior
 
Message(s) : 48
Inscription : Ven 12 Sep 2008, 11:47

Re: Pb de droits locaux pour un utilisateur admin du domaine

Message par Timil » Ven 19 Mai 2017, 11:36

Salut toi (merde c'est moi qui prend le coup de vieux)

C'est juste cet utilisateur qui est sensé est être un administrateur avec tous les droits mais qui ne l'est pas dans les faits qui m'interpelle !!!!
Oui, on appel cela UAC depuis Windows Vista.
Si tu lances un powershell ou un CMD en privilège élevés (executer en tant qu'administrateur), tu devrais parcourir le disque sans soucis :)

Explorer.exe est par contre difficile/incapable de faire tourner en privilège élevé...

Pour le disque D, il n'y a aucun refus explicite, que des implicites c'est bien cela?
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 17138
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: Pb de droits locaux pour un utilisateur admin du domaine

Message par FMJ » Ven 19 Mai 2017, 12:26

En fait je ne suis pas sûr qu'il s'agisse de l'UAC car j'avais testé en le désactivant, avec le même résultat.

Mais tu as raison concernant l'élévation de privilège de explorer.exe. J'ai essayé avec cmd en mode admin et là effectivement ça passe.
Pourtant j'avais essayé de l'exécuter en tant qu'admin. Mais j'ai vu que depuis Win 10 il y a une tâche planifiée qui tourne en permanence pour dégrader toute élévation de privilège de explorer.exe (CreateExplorerShellUnelevatedTask).
C'était effectivement tout bête.
Merci !
FMJ
Junior
Junior
 
Message(s) : 48
Inscription : Ven 12 Sep 2008, 11:47

Re: Pb de droits locaux pour un utilisateur admin du domaine

Message par FMJ » Mer 24 Mai 2017, 18:16

Par contre je me demandais pourquoi il y a une différence de traitement au niveau UAC entre l'administrateur local/domaine et un membre du groupe Administrateurs (locaux/domaine) ?
A savoir, il n'est pas nécessaire d'ouvrir explorer.exe en mode administrateur pour que l'administrateur ait accès à des répertoires autorisés pour les seuls membres Administrateurs. J'imagine qu'il l'ouvre par défaut en privilège admin, mais pourquoi cette exception ? Simplement parce que l'on n'est pas censé utiliser couramment ce compte ?
FMJ
Junior
Junior
 
Message(s) : 48
Inscription : Ven 12 Sep 2008, 11:47


Retour vers Gestion des Utilisateurs (et autres objets AD)

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 4 invité(s)



Accueil | News | Articles | Tips | Outils | Certification | Easters Eggs
Essentiels | Glossaire | Vidos | Whitepapers | Essentiels | Bote Scripts
Conditions d'utilisation & Copyright | Respect de la vie prive