Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1657 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  [AD] : interdire connexion en local des sessions locales admin-xx

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[AD] : interdire connexion en local des sessions locales admin-xx

n°172410
sterua
senbozakura kageiyoshi shikai
Posté le 07-01-2021 à 11:41:41  profilanswer
 

Bonjour à tous.
Nous (mes collègues et moi) sommes en train de mettre en place active directory dans notre structure. Je ne suis donc pas encore un expert, et j’espère donc ne pas poser de question trop bête ^^
Je me posais la question : peut-on interdire l’ouverture de session locale de type admin-xx mais que les utilisateurs puissent tout de même utiliser ce type de login pour l’installation d’un programme (ex : admin-toto ne peut pas ouvrir de session, mais, depuis la session toto, si toto veut installer Acrobat Pro, il peut faire un clic droit sur le .exe, exécuter en tant que admin-toto) ? Si on peut mettre cela en place, autre question qui en découle, peut-on interdire les sessions admin-xx mais pas la session infoadm par exemple (au début je pensais interdire l’ouverture aux session administrateur locaux, mais, premièrement je ne sais pas comment, deuxièmement, en cas de problème réseau, ou de non connexion à l’active directory depuis trop longtemps, c’est bien que le service informatique garde la possibilité d’aller sur une session admin locale…) ?
Je vous remercie pour votre future aide, ou vos futurs conseils :D

mood
Publicité
Posté le 07-01-2021 à 11:41:41  profilanswer
 

n°172416
Je@nb
Modérateur
Kindly give dime
Posté le 07-01-2021 à 13:52:07  profilanswer
 

Non tu as pas ça.
C'est un pb plus organisationnel que technique
Après tu as pas mal de contournements :
- remplacer le shell de ces users par logoff.exe comme ça dès qu'ils se loguent pouf logoff
- tache planifiée qui pareil, check si compte admin-xx puis va faire un logoff
- si tu as un SIEM tu remontes des alertes qui vont alerter le mec et son manager ou l'équipe sécu, et tu verras bien que le mec après une remontrance va arrêter de jouer au con
 
bref faut jouer :D

n°172448
petit pede​stre
Dont 1 au pancréas.
Posté le 08-01-2021 à 17:56:44  profilanswer
 

super le coup du shell :D

n°172454
skoizer
tripoux et tête de veau
Posté le 08-01-2021 à 21:12:21  profilanswer
 

si tu parles admin-xx les comptes admin locaux
alors met l'outil laps
le mot de passe de l'admin  local est stocké sur AD et tu peux lui dire de changer tous les X jours.
doc : https://www.it-connect.fr/securite- [...] avec-laps/
préconisation de sécurité : seul le service informatique doit pouvoir installé des logiciels dument validé.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°172460
Lanstack
Posté le 09-01-2021 à 11:31:42  profilanswer
 

Un conseil : Ne jamais laisser le droit d'administrateur à un utilisateur. Il va installer tout et n'importe quoi.


---------------
« Mais j'vous jure, y'a dix minutes, ça marchait très bien... »  
n°172461
ShonGail
En phase de calmitude ...
Posté le 09-01-2021 à 13:28:43  profilanswer
 

sterua a écrit :

Bonjour à tous.
Nous (mes collègues et moi) sommes en train de mettre en place active directory dans notre structure. Je ne suis donc pas encore un expert, et j’espère donc ne pas poser de question trop bête ^^
Je me posais la question : peut-on interdire l’ouverture de session locale de type admin-xx mais que les utilisateurs puissent tout de même utiliser ce type de login pour l’installation d’un programme (ex : admin-toto ne peut pas ouvrir de session, mais, depuis la session toto, si toto veut installer Acrobat Pro, il peut faire un clic droit sur le .exe, exécuter en tant que admin-toto) ? Si on peut mettre cela en place, autre question qui en découle, peut-on interdire les sessions admin-xx mais pas la session infoadm par exemple (au début je pensais interdire l’ouverture aux session administrateur locaux, mais, premièrement je ne sais pas comment, deuxièmement, en cas de problème réseau, ou de non connexion à l’active directory depuis trop longtemps, c’est bien que le service informatique garde la possibilité d’aller sur une session admin locale…) ?
Je vous remercie pour votre future aide, ou vos futurs conseils :D


 
A mon sens :
 
1. ne laisser aucun compte admin local. Désactiver le compte administrateur.
2. placer dans le groupe des administrateurs locaux un compte du domaine dédié au service informatique.
3. les utilisateurs ouvrent leurs sessions avec leur compte du domaine. Compte non admin local.
4. Installer les logiciels, soit par le service info, soit en les poussant via GPO ou solutions de gestion à distance (parfois inclus dans les solutions antivirus).
5. si poste KO par rapport au domaine, booter dessus via LiveCD ou autre hack pour réactivation compte administrateur local.

n°172463
Je@nb
Modérateur
Kindly give dime
Posté le 09-01-2021 à 13:46:08  profilanswer
 

Euh bof
Point 1 : il vaut mieux avoir un compte local géré par LAPS
Point 2 : non les comptes doivent être nominatif, pas un "compte du domaine dédié au service informatique"
Point 4: le déploiement de soft par GPO, en plus d'être crade a trop de contraintes. A voir son nb d'user mais ça vaut peut être pas le coup d'investir dans un soft de distribution d'appli et le packaging à faire à chaque fois, mais dans l'idéal oui c'est ce qu'il faudrait
Point 5 : c'est vraiment se faire chier pour rien, chercher des hack and co, non pas vraiment une bonne idée, voir point 1

n°172464
benos
petit poney___
Posté le 09-01-2021 à 14:39:04  profilanswer
 

Wapt c’est gratos et tu peux autoriser le setup aux non admins, et le packaging est relativement simple :)


---------------
:o
n°172509
sterua
senbozakura kageiyoshi shikai
Posté le 13-01-2021 à 12:18:23  profilanswer
 

Merci à tous pour ces réponses, je vais faire plusieurs tests et voir lequel correspond le mieux à mes besoins.
Pour le coup des droits admin aux utilisateurs, je suis bien d'accord avec, il faudrait pas... le seul problème, c'est que je travaille dans un laboratoire de recherche public où le directeur est nommé par les chercheurs et il refuse que lui et ses collègues n'est pas les droits admin... du coup quand ton dg te dit non, bah, même si tu veux oui, ben c'est non quand même... mais bon, on a des parades : toutes installation de logiciel non payé -> droit admin supprimer, en cas de vérolage de l'ordinateur -> formatage directe sans sauvegarde des données avant, non respect de la charte de co-administration ou non respect des règles de sécurité (pas de hot-spot, antivirus autre que celui qu'on installe ou pas mise à jour, pas de mise à jour winodws, ou pas de chiffrage du poste via veracrypt) -> plus d'accès ni internet ni intranet.

n°172546
skoizer
tripoux et tête de veau
Posté le 15-01-2021 à 20:56:28  profilanswer
 

Wapt a changé de status..
version gratuite max 300pc :(
https://www.tranquil.it/wapt-commun [...] eurs-2021/


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
mood
Publicité
Posté le 15-01-2021 à 20:56:28  profilanswer
 

n°172556
Dave2003
Posté le 17-01-2021 à 19:25:29  profilanswer
 

Je m'incruste.
Je ne connais pas Wapt, j'ai parcouru vite fait leur site.
Ça a l'air pas mal. Français en plus ?!
Je suis justement en train de chercher une solution d'installation de logiciels sur les postes clients.
J'avais commencé à faire ça aussi par GPO, mais vous me confirmez que c'est "sale" ? Que recommande Microsoft d'ailleurs ?
Les experts, vous recommandez Wapt ?
Y a topic unique sur cette solution ?

n°172557
Je@nb
Modérateur
Kindly give dime
Posté le 17-01-2021 à 21:56:32  profilanswer
 

Ms bah vend intune et endpoint manager (anciennement sccm)
Wapt perso j'ai jamais vu ça chez mes clients mais j'imagine que dans les p'tites boîtes ça doit faire le job.
Plutôt du altiris, landesk etc. En concurrent.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  [AD] : interdire connexion en local des sessions locales admin-xx

 

Sujets relatifs
2 Routeurs sur le même réseau localLister utilisateur AD windows chaque PC
Décocher Enregistrer les adresses de cette connexion .... DNSManagement OU dans l'AD avec plusieurs sites
DHCP publié et non publié dans l'ADcompte admin local via GPO demande
Ignorer les sessions BGP Active sur un FortigateAD: Incohérence de version AD / SysVol
Plus de sujets relatifs à : [AD] : interdire connexion en local des sessions locales admin-xx


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR