Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
783 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Droits admin sur Windows 2012 R2

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Droits admin sur Windows 2012 R2

n°3133320
jackseg198​0
Posté le 18-07-2014 à 19:50:11  profilanswer
 

Bonsoir,
 
J'ai un problème sur un Windows 2012 R2 dont je ne comprends pas le principe.
Ce serveur est un AD, je pense que c'est important à savoir.
 
Il y a donc le compte "administrator" local qui fait partie du groupe "administrators".
Avec ce compte, aucun soucis, je peux tout faire.
 
Maintenant, j'ai 3 autres administrateurs qui font partie du groupe "Domain Admin", qui fait partie du groupe "administrators" et c'est là que je ne comprends plus.
http://img11.hostingpics.net/pics/726467Capture.jpg
 
J'ai des répertoires ou j'ai mis ces droits:
http://img11.hostingpics.net/pics/674374Capture2.jpg
 
Donc tous ceux qui font partie du groupe "Administrators" doivent avoir l'accès complet à ce répertoire.
Quand je me connecte avec un compte admin autre que "administrator", je reçois ce message si je veux accéder au répertoire ci-dessus:
http://img11.hostingpics.net/pics/780026Capture3.jpg
 
Si je clique sur "continuer", il me rajoute le compte admin dans la sécurité NTFS (Admin Jacques dans cet exemple), ce que je ne veut évidement pas vu qu'il devrait avoir accès via le groupe "administrators" qui à tous les droits.
http://img11.hostingpics.net/pics/951121Capture4.jpg
 
Avez-vous une idée du pourquoi du comment de cette situation ? Y a-t-il un lien avec le fait que le serveur soit un AD ?
 
Merci d'avance pour votre aide.
Jack


---------------
youplà boum...
mood
Publicité
Posté le 18-07-2014 à 19:50:11  profilanswer
 

n°3133321
nnwldx
Posté le 18-07-2014 à 20:12:00  profilanswer
 

Le compte administrator "local" n'est pas le compte admin local, c'est le compte administrateur du domaine.
Vois dans ton groupe administrators, les droits sur l'ad et le groupe admin du domaine, les droits sur le domaine entier.
Tu dois surement avoir des problèmes de droits mais avec avec les screenshot rayés de partout, on ne voit pas grand chose.

n°3133322
jackseg198​0
Posté le 18-07-2014 à 20:34:51  profilanswer
 

nnwldx a écrit :

Le compte administrator "local" n'est pas le compte admin local, c'est le compte administrateur du domaine.
Vois dans ton groupe administrators, les droits sur l'ad et le groupe admin du domaine, les droits sur le domaine entier.
Tu dois surement avoir des problèmes de droits mais avec avec les screenshot rayés de partout, on ne voit pas grand chose.


Désolé pour les traits fait à l'arrache mais je ne peux pas afficher le nom de l'entreprise et des clients.
Le seul truc à voir sur les screenshots c'est que le groupe administrators à les full access et que, autant administator que admin xxx font partie de ce groupe et donc devraient avoir accès.
Oui, c'est bien l'admin du domaine et quand je retrace le cheminement des groupes de sécurité, je ne comprends pas pourquoi ca me fait ça.
 
Par exemple, le compte "administrator" fait partie du groupe "domain admin" qui fait partie du groupe "administrators".
Exactement comme mes admin qui ne fonctionnent pas de la même façon.
 
J'ai essayé de mettre exactement les mêmes groupes à mes admin que administrators, c'est à dire:
 
- administrators
- domain admin
- domain users
- enterprise admin
- group policies creator owner
- schema admins
 
Mais c'est toujours le même problème :??:


Message édité par jackseg1980 le 18-07-2014 à 21:06:03

---------------
youplà boum...
n°3133325
nnwldx
Posté le 18-07-2014 à 21:13:38  profilanswer
 

Je ne pense pas que le problème vienne de l'AD, la configuration que tu donnes semble correcte.
Essaye avec d'autres dossiers pour voir si tu peux bien y accéder.
Je pense qu'il y a peut être un problème de propagation des droits, essaye de les reforcer et de reprendre la propriété dessus.
Vérifie au niveau des partages s'il n'y aurait pas quelque chose qui bloquerait.

n°3133330
jackseg198​0
Posté le 18-07-2014 à 23:45:52  profilanswer
 

Tu as certainement raison mais je dois être idiot, je ne trouve pas.
 
En fait, ce répertoire est fait automatiquement par script avec ces commandes pour les droits:
 

icacls %rep_on_D% /inheritance:d /T
icacls %rep_on_D% /remove users /T
icacls %rep_on_D% /grant Domain\Domain-%1W:(OI)(CI)M Domain\Domain-%1R:(OI)(CI)R


 
En résumé:
 
1) Je désactive l'héritage et je copie les droits hérités (donc avec le groupe administrators dedans)
2) J'enlève le groupe Users des droits
3) J'ajoute des groupes en lecture et écriture
 
Voyez-vous quelque chose de faux dans ce procédé ?
 
Les partages sont pour tout le monde en contrôle total, je ne gère pas la sécurité via ce biais.
 
Salutation.


---------------
youplà boum...
n°3133346
nnwldx
Posté le 19-07-2014 à 10:46:37  profilanswer
 

Regarde au niveau du propriétaire du dossier.

n°3133371
Je@nb
Modérateur
Kindly give dime
Posté le 19-07-2014 à 16:07:49  profilanswer
 

c'est juste l'UAC. Par défaut avec les comptes membres du groupe administrateurs tu perds ce privilège pour les opérations courantes.

n°3133378
jackseg198​0
Posté le 19-07-2014 à 16:56:45  profilanswer
 

Bonjour,
 
J'avais déjà testé avec divers proprio de dossier, ca ne change rien.
Pour l'UAC, j'y avais pensé et je l'ai d'ailleurs désactivé pour tester mais ca ne fonctionne pas.
Est-ce qu'il y a autre chose à faire ?
 
Le gag, c'est que si je mets les full access à domain users ou n'importe quel groupe de sécurtié par exemple, ca fonctionne mais impossible avec domain admin -> administrators


---------------
youplà boum...
n°3133381
Je@nb
Modérateur
Kindly give dime
Posté le 19-07-2014 à 17:11:34  profilanswer
 

oui c'est normal, c'est le principe de l'uac. Tu dégager de ton token d'autorisation les droits du groupe administrateur (tu le vois bien en faisant un whoami /groups que le groupe est en "Group used for deny only"
 
Après je sais pas comment tu as viré l'UAC, mais apparemment pas pareil

n°3133383
jackseg198​0
Posté le 19-07-2014 à 17:23:50  profilanswer
 

Merci, c'est effectivement ca.
 
Ou je faisais faux c'est que je désactivais l'UAC via l'interface graphique mais en fait, il reste, c'est juste les messages de l'UAC qui sont désactivés.
J'ai trouvé le même problème ici: http://social.technet.microsoft.co [...] inserverDS
 
et pour désactiver complètement l'UAC: http://www.nimbo.com/blog/how-to-d [...] rver-2012/
 
Mais comme expliqué en dessous, ce n'est pas conseillé par Microsoft et surtout pas supporté mais je n'ai pas d'autres solutions si ce n'est lancer l'explorateur en run as avec le compte administrator (un peu con pour un admin qui est censé avoir le même niveau et qui n'a pas a avoir le mot de passe).
 
Problème résolu pour moi.
Merci.


Message édité par jackseg1980 le 19-07-2014 à 17:27:43

---------------
youplà boum...
mood
Publicité
Posté le 19-07-2014 à 17:23:50  profilanswer
 

n°3133385
Je@nb
Modérateur
Kindly give dime
Posté le 19-07-2014 à 17:40:17  profilanswer
 

Tu es plutôt censé ajouter un autre groupe et donner des droits à cet autre groupe.

n°3133387
jackseg198​0
Posté le 19-07-2014 à 17:53:01  profilanswer
 

Ha ok, donc un groupe admin normal et ca passe logiquement.
 
Je n'ai pas tout saisi sur l'histoire des jetons, je vais me renseigner.


---------------
youplà boum...

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Droits admin sur Windows 2012 R2

 

Sujets relatifs
Reinstallation de windows (quelle partition?)Passer de Windows8 à Windows 8.1
Windows à redémarré après un arrêt non planifiéHELP ! Installation de windows 8.1 à partir du BIOS
DELL, Windows 8 et changement de HDDWindows
Windows 8.1 SST ??wanadoo et windows 8
BOOT MGR absent - réinstallation de windows 7 impossibleinstaller Windows 8 sur un nouveau pc
Plus de sujets relatifs à : Droits admin sur Windows 2012 R2


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR