EPFL > VPSI > IT > EXAPP - Site d'information: WinAD (Windows Active Directory)
 

  Affiche tous les articles

 Mode d'emploi du moteur de recherche  Rechercher : 
Moteur de recherche
Home page
Accréditation
Activation MS
AD c'est quoi ?
AD PowerShell
Authentifications
Autorisations DHCP
bugs
Conseils AD
DCs Sécurité
Délégations OUs
Domaine SC
Gaspar
GPO
· Group Policy Quick Link Tree
· Vista GPO
· Déléguer la gestion des services
· Présentation des stratégies de groupe
· Mise à jour éditeur GPO
· Outil pour check GPO = GPMC
· A Propos des deux GPOs par Défaut d'un domaine
Grp-Staff
KMS
Migrations
Outils
Procès verbaux
Profiles Itinérants
PWAD
Règles de nommage
Restaurations DC Fac
ServerAD2003
ServerAD2008
Seven
Students
synchro
toto1
Trucs et Astuces
Win 8.1
WinAD
Windows 10
Windows 8
Windows Server
Wins
Work Shop
  Afficher une version imprimable de ce document dans une nouvelle fenêtre
 
Déléguer la gestion des services
 
Dans le cadre de la supervision de ses serveurs, la WinTeam avait besoin de déléguer l'arrêt et le démarrage d'un service à un compte particulier, ne disposant pas d'autres privilèges. Sachant que tout service Windows a une ACL (Access Control List), il s'agissait de l'éditer afin de permettre à ce compte de gérer des services particuliers en réponse à des erreurs.
Le snap-in MMC Security Templates sert à définir des modèles de stratégies de sécurité. Il s'agit donc d'en créer un qui réponde à nos besoins. Prenons l'exemple du service MSSQLSERVER :
  1. Ouvrez la console MMC -> Start, Run, puis tapez mmc puis appuyez sur OK.
  2. Etendez Security Templates et cliquez sur C:\WINDOWS\security\templates
  3. Clic droit sur le même élément, puis New Template...
  4. Donnez un nom et une description à votre nouveau canevas
  5. Cliquez sur System Services et double-cliquez le service désiré (s'il n'existe pas, sélectionnez n'importe le quel, nous modifierons cela plus tard)
  6. Cochez l'option Define this policy setting in the template et ignorez les autres options de cette boîte de dialogue
  7. Cliquez alors sur Edit Security...
  8. Ajoutez le compte auquel vous désirez déléguer la gestion du service et donnez lui les permissions adéquates
  9. Validez 2 fois par OK.
  10. Vous aurez remarqué à l'étape 6 que Disabled était l'état par défaut du service, ce qui ne vous arrange pas. En effet, vous voudrez certainement éviter de forcer l'état du service et ne modifier que l'ACL. Notre fichier n'est pas encore sauvé, donc clic droit sur le nom de votre canevas, puis Save.
  11. Nous devons maintenant éditer notre canevas avec un éditeur de texte standard (notepad par exemple, pas un traitement de texte comme Wordpad, Word ... !!). Pour cela, ouvrez le fichier c:\windows\security\templates\mon_canevas.inf.
  12. Localisez la ligne commençant par le nom de votre service, puis supprimez le chiffre (4 si vous avez suivi mon conseil à l'étape 6) se trouvant après la première virgule de cette ligne. La ligne
    "MSSQLSERVER",4,...
    devient
    "MSSQLSERVER",,...
    puis sauvez le fichier en le fermant.
    Si le service dont vous désirez déléguer la gestion n'était pas présent à l'étape 5, remplacez maintenant le nom du service par le nom court du vôtre (vous pouvez trouver ce nom dans la console Services, dans les propriétés du service sous Service name).
  13. Notre canevas est maintenant terminé. Il faut donc l'importer dans une GPO (nouvelle ou existante). Pour cela, ouvrez la console MMC Group Policy Management (http://go.microsoft.com/fwlink/?linkid=21813) et choisissez votre GPO et ouvrez la pour édition.
  14. Etendez Computer Configuration et Windows Settings
  15. Clic droit sur Security Settings et Import Policy... puis sélectionnez le fichier contenant votre canevas.
  16. Moyennant que la machine sur laquelle tourne le service dont vous voulez déléguer la gestion soit sous l'emprise de votre GPO, le tour est joué !

Article N° 112, du 19.12.2005, par Thomas Becker
URL de cet article : http://winad.epfl.ch/?article=112

© 2017 VPSI - EXAPP - TC