Partage
  • Partager sur Facebook
  • Partager sur Twitter

Active Directory:problème de droits sur délégation

Sujet résolu
    12 juin 2024 à 7:50:43

    Bonjour,

    Sur notre domaine AD la majorité de nos administrateurs ont des permissions via délégation plutôt que d’être directement membre du groupe administrateur (pour des raisons de sécurité). Sur les OU sur lesquelles les délégations sont en place, ils ont un contrôle total sur les postes, utilisateurs et groupes… Mais depuis peu, deux opérations ne sont plus possibles :

    • retirer "le mot de passe doit être changé"
    • ajouter "le mot de passe n'expire jamais"

    Ce sont les seules actions bloquées, et uniquement dans ce sens. C’est-à-dire qu’ils peuvent cocher « le mot de passe doit être changé » et « décocher le mot de passe n’expire jamais ». Il y a dû avoir un changement quelque part, mais je ne trouve pas lequel.

    Voici tout ce que j'ai testé, pour le moment sans succès :

    • Les comptes dans le groupe Administrateur peuvent modifier ces propriétés,
    • La délégation est fonctionnelle, et donne tous les droits possibles sur les objets. En faisant un test « accès effectif » sur les propriétés de sécurité d’un utilisateur, les comptes admin ont tous les droits possibles listés,
    • Le problème est agnostique de l’outil utilisé (même constat en RSAT et en PowerShell),
    • La modification de la variable userAccountControl directement n’est pas possible,
    • Il est tout de même possible d'activer/désactiver un utilisateur (ce qui change la valeur de userAccountControl),
    • La modification de propriétés telles que « l’utilisateur ne peut pas changer de mot de passe » fonctionne sans problème,
    • Les comptes administrateurs ont été retirés du groupe « protected user », sans résultat,
    • La délégation a été refaite totalement, sans résultat ;

    J'imagine qu'il y a quelque chose en dehors de la délégation qui bloque ces modifications spécifiquement, est-ce que quelqu'un aurait une idée ?

    Merci d'avance, toute suggestion est bienvenue :).

    Bonne continuation,

    Pascal

    EDIT : J'ai trouvé la solution à mon problème... Si d'autres personnes rencontrent le même cas, c'était LAPS qui posait problème.

    -
    Edité par Pascal.B 12 juin 2024 à 14:13:31

    • Partager sur Facebook
    • Partager sur Twitter
    Ideas worth spreading

    Active Directory:problème de droits sur délégation

    × Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
    • Editeur
    • Markdown