Exercice sur les autorisations et Groupes locaux de domaine

Consulter la première partie d'exercice ICI

Exercice 5: Etude des autorisations Active Directory

  1. Par défaut, le menu propriétés des unités d'organisations est en mode simplifié. Pour faire apparaître les onglets manquants, sélectionner le mode d'affichage avancé dans le menu affichage.
  2. L'onglet sécurité des propriétés des unités d'organisations indique les droits qu'ont les utilisateurs sur l'unité. Consultez les ACL de l'unité d'organisation Departement.
  3. L'utilisateur ayant le droit de réinitialiser les mots de passe apparaît mais son ACE est vide. Pourquoi ?

Audit



Il faut cliquer sur « Avancé » pour voir le détail des autorisations qu'à l'utilisateur.

Exercice 6: Groupes locaux de domaine

  1. A l'intérieur d'un domaine windows 2000, les groupes locaux de domaines sont très polyvalents: on les gère sur le contrôleur de domaine et ils sont utilisable sur tous les ordinateurs du domaine. Dans un domaine en mode mixte, il n'en est pas de même : lesgroupes locaux de domaine ne sont utilisables que sur les contrôleurs de domaine. Vérifiez que votre domaine est en mode natif en consultant les propriétés du domaine dans << utilisateurs et ordinateurs active directory >>.
  2. Créez les utilisateurs ad1, ad2, ad3 et ad4 sur le domaine. {sidebar id=1}
  3. On souhaite que certains utilisateurs du domaine (ad1, ad2 et ad3) soient administrateurs des stations de travail du domaine. Pour cela, créez un groupe local de domaine nommé SECURITE et incluez-y ad1, ad2 et ad3.
Le groupe est créé dans le domaine en utilisant la MMC « utilisateurs et ordinateurs Active Directory ».
  1. Sur les stations de travail, incluez le groupe MAIN dans le groupe des administrateurs de la station de travail.
  2. Ouvrez une session sur la station de travail en tant qu'ad1, ad2 ou ad3 pour vérifier qu'ils ont bien les droits d'administration sur la station.

La création d'un nouveau compte utilisateur sur la station de travail est une bonne vérification.



3. Nous souhaitons retirer ce droit à ad3 et le donner à ad4. Comment doit-on procéder ?

On ôte ad3 du groupe MAINT et on y ajoute ad4. Cette action a été faite depuis le domaine sans intervention sur les stations de travail du domaine.

4. Citez d'autres façon de donner les droits d'administration sur les stations de travail et comparez les à celle que nous avons appliqué.

On peut inclure les utilisateurs directement dans le groupe des administrateurs des stations mais toute modification doit se faire sur les stations ce qui n'est pas vialbe si on gère un parc important.