Bonjour à tous,  
 
J'ai un problème à résoudre.
Nous avons racheté une société qui dispose de ses propres admins IT.
Le truc c'est que nous sommes les "maitres" et notre domaine est la référence.
 
Ils sont obligés de migrer leurs postes dans notre AD.
 
Jusque là pas de problème. Là où ça commence à merder, c'est que ces admins veulent garder une autonomie donc il va falloir leur donner des droits sur notre AD pour qu'ils puissent faire certaines choses.
Le vécu avec eux nous indique clairement qu'il ne sont pas super capable. Leur admins windows/AD étant parti juste après le rachat, leur chef de service a recomposé une équipe de bras cassés.
 
De ce fait, nous voulons leur donner des droits (via délégation) pour qu'ils puissent faire certaines choses mais à une condition obligatoire:
- Nous fonctionnons par BU (qui sont des OU) et hors de question qu'ils puissent voir les autres OU ni leur contenu en faisant des recherches.
 
J'ai testé une console personnalisée. Mais ca reste bidon car il leur suffit de lancer une dsa.msc et hop, tout l'AD est visible mais seulement leur partie est accessible avec les droits qu'ils auront.
J'ai aussi testé en refusant la lecture sur les autres OU. Ca fonctionne en partie. Les OU sont cachées mais le contenu est accessible en lecture via la recherche.
 
Donc, avez vous une idée?

Par défaut l'AD est disponible en lecture pour tout le monde. Il n'a pas été conçu pour être segmenté. Tu peux changer ça via les ACL comme tu l'as fait mais tu prends les risques d'effets de bord divers et variés.

Oui justement, je sais bien.  
Je pense que je ne vais pas avoir le choix
Après s'ils n'ont aucun droits sur les autres OU, ça reste de la lecture, à la limite moi je m'en bats les steaks, c'est surtout mon ancien chef qui faisait chier la dessus.

Bonjour,
 
Je plussoie sur le fait que le résultat de ces restrictions risque d'être pour le moins ... incertain. Surtout que le droit de lecture n'est qu'un droit de lecture donc est-ce vraiment si génant qu'il puissent voir le contenu des autres OU ?

Pour moi non, mais on va dire que notre architecte aime pas ça
 
Bon, je vais mettre ces idées dans le documents que je suis en train de rédiger mais avec de gros warning pour dire que ça sert à rien et que c'est dangerous baby !
Je vais me limiter aux délégations de droits sur les OU nécessaires et basta.

Déjà, règle n°1, ne pas donner de droits admins, même limités à des gens à qui tu ne fais pas confiance  
 
Ensuite je comprends pas trop en quoi ton architecte rechigne, après tout n'importe quel utilisateur aura accès aux mêmes infos.
 
Par contre il faut insister sur les process qu'ils doivent respecter - compte d'administration obligatoire, machine d'administration fortement recommandée, gestion des changes etc...et leur notifier par écrit.

On n'a pas confiance dans le fait qu'ils font un peu à leur sauce alors qu'ils doivent faire comme nous l'avons défini.
 
Je pense partir sur une charte qu'il devront signer en mettant en jeu leur responsabilité et je vais limiter fortement les droits.
 
Car le truc c'est qu'ils nous demandent les droits d'admins.
On dit OK mais pour faire quoi de plus que ce qu'ils peuvent déjà faire ? (il sont simplement admins locaux des postes, rien sur notre AD pour l'instant)
 
Et ils répondent... bah en fait ils savent pas

Le tout c'est de bien fixer ce qui doit rentrer dans leur champ de compétence, et à partir de la une délégation de contrôle qui leur donne les droits (genre rentrer des machines dans l'ad). Chez nous par exemple nous avons des correspondants sur des sites distants, on leur donne juste le droit de modifier les passwords des users / rentrer des machines dans l'ad, et on les met admin locaux des machines par GPO .  

Bah formalise leur demande de besoins. S'ils en n'ont pas, alors il n'y a pas besoin de change par la suite point barre. On dirait qu'ils testent juste la solidité de votre DSI.

 
+1 avec ça.
Le plus simple, c'est de leur dire que si les besoins ne sont pas définis, dès qu'ils ont un blocage sur une manip', ils vous contactent et vous voyez le message d'erreur etc...
Y'a rien de mieux qu'un cas concret, surtout que leur méthode de fonctionnement pourrait être différente de votre fonctionnement.
Il va falloir uniformiser tout ca et déjà ça va prendre du temps mais aussi de l'information sur vos "bonnes" pratiques.
 
bon courage !!
PS : évitez de démarrer une "guéguerre puérile" si c'est possible, j'ai vécu, je sais comment ça se passe... ;D

"PS : évitez de démarrer une "guéguerre puérile" si c'est possible, j'ai vécu, je sais comment ça se passe... ;D"
 
Effectivement ça semble bien partie dans ce sens malheureusement, en gros il y a une déjà une équipe qui juge l'autre incompétente et à mon avis, les autres le voient très bien ... forcément ça ne plait pas. Et c'est vrai que quand tu es admin IT, ce voir refuser des droits sur l'AD, ça reviens à redevenir N1 super quoi.