Scribd Logo
Upload

Welcome to Scribd!

  • Atelier G

    Uploaded by

    strideworld
    25 views5 pages

    Original Title

    Atelier_G

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    DOC, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as DOC, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    25 views5 pages

    Atelier G

    Uploaded by

    strideworld

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as DOC, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 5

    ATELIER G : délégation de contrôle

    Objectifs :
    - Voir les autorisations Active Directory
    - Déléguer le contrôle de la gestion des utilisateurs d’une UO.

    Conditions préalables :
    Autoriser Windows1 à ouvrir une session localement sur le contrôleur de domaine
    - stratégie du contrôleur de domaine
    o forcer la mise à jour par secedit /refreshpolicy machine_policy

    Exercice 1 : Vérification des autorisations sur UO Windows


    Durée : 5 minutes

    Scénario
    Avant de déléguer l’administration, on vérifie la liste des autorisations.

    Tâches
    - Lancer la console Utilisateurs et Ordinateurs Active Directory
    - Dans le menu Affichage, cliquez sur Fonctionnalités avancées
    - Sélectionner avec le bouton droit UO Systeme et l’option propriétés
    - Vérification des autorisations sur UO Windows
    - On observe les autorisations des groupes standards
    - On observe ensuite les autorisations « Avancé »

    Exercice 2 : délégation du contrôle pour créer, supprimer et gérer les


    comptes
    Durée : 15 minutes
    Un assistant permet de déléguer le contrôle sur les objets Active Directory ; un administrateur
    averti pourra directement déléguer l’administration : attention aux interférences en fonction des
    autorisations accordées.

    Scénario
    L’utilisateur Windows1 est désigné comme responsable des comptes de l’UO Windows.
    Il doit pouvoir créer, supprimer et gérer les comptes.

    Tâches
    - Sur le premier contrôleur du domaine
    - Lancer la console Utilisateurs et Ordinateurs Active Directory
    - Cliquez sur Windows, puis sur Délégation de contrôle : l’assistant est lancé.
    - Dans la page Utilisateurs ou groupes, cliquez sur Ajouter
    - Sélectionner l’utilisateur Windows1
    - Dans la page Tâches à déléguer, cliquez sur l’option Crée, supprime et gère les
    comptes d’utilisateurs.

    23244509.doc Page 1 sur 5


    - Cliquez sur Suivant : la liste de contrôles délégués apparaît :

    NOTA : Il est très conseillé d’enregistrer la nature des contrôles délégués ; il est en effet très
    difficile de retrouver à qui et quels contrôles sont délégués sur quel UO.
    On peut par exemple , sélectionner le contenu de la fenêtre et le copier dans un fichier
    texte.

    Vous avez choisi de déléguer le contrôle des objets


    dans le dossier Active Directory suivant :

    def.fr/Systeme/Windows

    Les groupes, utilisateurs ou ordinateurs auxquels


    vous avez délégué le contrôle sont :

    windows1 (windows1@def.fr)

    Vous avez choisi de déléguer les tâches suivantes :

    Crée, supprime et gère les comptes d'utilisateurs

    23244509.doc Page 2 sur 5


    - Ouvrir une session en tant que Windows1
    - Lancer la console Utilisateurs et ordinateurs Active Directory
    - L’utilisateur peut gérer les utilisateurs de l’UO Windows mais pas ceux de l’UO
    Unix ni des autres UO.

    - On peut vérifier les autorisations accordées à windows1 ; on ouvre donc une


    session en tant qu’administrateur et l’on observe les autorisations accordées
    (Console Utilisateurs et Ordinateurs Active Directory/UO
    Windows/Propriétés/Sécurité/Avancé) :

    NOTA : il est fortement déconseillé de modifier les autorisations directement dans cette
    console ; l’impact des autorisations n’est pas facilement identifiable.

    23244509.doc Page 3 sur 5


    Exercice 3 : délégation du contrôle pour modifier les adresses des
    utilisateurs
    Durée : 5 minutes
    .

    Scénario
    L’utilisateur Unix1 est responsable de la mise à jour des adresses des utilisateurs de l’UO Unix.

    Tâches
    - Sur le deuxième contrôleur du domaine
    - Lancer la console Utilisateurs et Ordinateurs Active Directory
    - Cliquez sur Unix, puis sur Délégation de contrôle : l’assistant est lancé.
    - Dans la page Utilisateurs ou groupes, cliquez sur Ajouter
    - Sélectionner l’utilisateur unix1
    - Dans la page Tâches à déléguer, cliquez sur l’option Créer une tâche personnalisée.

    - Dans le fenêtre suivante, sélectionner l’objet Utilisateur

    23244509.doc Page 4 sur 5


    - Dans le fenêtre suivante, sélectionner les options :

    NOTA : Il est très conseillé d’enregistrer la nature des contrôles délégués.

    Vous avez choisi de déléguer le contrôle des objets


    dans le dossier Active Directory suivant :
    def.fr/Systeme/Unix
    Les groupes, utilisateurs ou ordinateurs auxquels
    vous avez délégué le contrôle sont :
    unix1 (unix1@def.fr)
    Ils ont les autorisations suivantes :
    Lire Adresse domicile
    Écrire Adresse domicile
    Lire Adresse postale
    Écrire Adresse postale
    pour les types d'objets suivants :
    Utilisateur

    Conclusion
    Il est difficile de supprimer la délégation accordée à un utilisateur ; il existe en faite 2 solutions :
    - supprimer son compte de la DACL de l’UO concernée : même si l’on rajoute cet
    utilisateur dans la liste DACL, la délégation n’aur pas lieu ; il faut à nouveau utiliser
    l’assitant de délégation.
    - Déléguer les tâches à un groupe : il suffit ensuite d’insérer ou retirer l’utilisateur du
    groupe concerné.
    On aura tout intérêt à utiliser les groupes pour accorder la délégation.

    On peut ajouter des tâches déléguées à un utilisateur auquel on a déjà déléguer l’administration ;
    cependant, ce ou ces utilisateurs n’apparaissent pas dans une liste quelconque.
    Les utilisateurs windows1 et unix1 peuvent gérer, dans une certaine mesure, les comptes des UO
    Windows ou Unix.
    Cependant, il doivent ouvrir une session sur le contrôleur du domaine pour effectuer cette
    administration : ceci est inacceptable.

    On doit dont donc mettre à disposition des utilisateurs spéciaux un outil dédié : c’est la console.

    23244509.doc Page 5 sur 5

    You might also like