Active Directory : sécuriser la jonction au domaine aux Admins du domaine


Windows Server 2012R2 Windows Server 2016 Windows Server 2019 Windows Server 2022

Dans ce tutoriel, nous allons aborder un point sécurité sur un environnement Active Directory, qui est la jonction au domaine des ordinateurs.

Ce qu’il faut savoir (certains administrateurs ne le savent pas), tous les utilisateurs du domaine peuvent joindre un ordinateur un domaine, ils peuvent même joindre jusqu’à 10 ordinateurs.

Les administrateurs du domaine n’ont pas de limite ainsi quand une délégation est créée.

Comme on peut le voir sur la capture ci-dessous, qui présente les paramètres de la stratégie de groupe : Default Domain Controller Policy, le paramètres Ajouter des stations de travail au domaine est configuré sur AUTORITE NT\Utilisateurs authentifiés.

Vous savez maintenant pourquoi, tous les utilisateurs peuvent joindre un ordinateur au domaine, on va maintenant voir comment corriger « ce problème » de façon à limiter la jonction au domaine aux utilisateurs membre du groupe Admins du domaine.

Modification de la stratégie : Default Domain Controller Policy

1. Sur un contrôleur de domaine, ouvrir la console Gestion de stratégie de groupe.

2. Aller sur l’OU Domain Controllers 1 puis faire un clic droit sur l’objet stratégie de groupe Default Domain Controller Policy 2 et cliquer sur Modifier 3.

3. Aller à l’emplacement : Configuration Ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Stratégie locale / Attribution des droits utilisateur 1.

4. Ouvrir le paramètre Ajouter des stations de travail au domaine 1.

5. Cliquer sur le bouton Ajouter un utilisateur ou un groupe 1.

6. Entrer le nom du groupe 1, ici Admins du domaine et cliquer sur OK 2.

7. Le groupe est ajouté 1.

8. Sélectionner Utilisateurs authentifiés 1 et cliquer sur Supprimer 2.

9. Une fois le groupe supprimé, sauvegarder les paramètres en cliquant sur le bouton Appliquer 1 et OK 2.

Une fois la stratégie de groupe appliquée sur les contrôleurs de domaine, seul les membres du groupe Admins du domaine pourront joindre des ordinateurs au domaine Active Directory.



Start the discussion at community.rdr-it.io