AD - Niveau d'autorites pour certains utilisateurs

[Now_mo]

J'ai un reseau Windows 2003 AD... PC XP .... il'y une application qui requiert le niveau d'administrator comme niveau d'autorite.

Maintenant comment pourrait-on configurer le reseau pour permettre a ces utilisateurs d'utiliser cette appli sans leurs donnnees ce niveau sur le reseau.

Merci de votre aide

[fleib]

Quelles recherches as tu effectuées?

As tu déjà exploré certaines pistes? Quelles sont elles?

[jdh]

Je peux imaginer que le dit programme est prévu pour être installé sur une machine donnée.
Si cette machine n'est pas un serveur Windows de type contrôleur de domaine, elle dispose de sa propre base d'utilisateurs mais permet de se connecter avec un compte ActiveDir.
On peut donc penser qu'il faut créer un compte administrateur local sur cette machine, et installer, sous ce compte, l'application.
Le défaut de la démarche, c'est que cet utilisateur local n'a normalement pas accès aux partages réseaux des serveurs du domaine, sauf à définir attentivement les partages et droits NTFS ...

[Now_mo]

Je dois preciser qu'il s'agit d'une appplication client-serveur qui doit etre installe sur plusieurs clients.

Ma premiere demarche etait de creer un groupe dans AD pour ces utilisateurs et rattacher ce groupe a "administors group" ce qui fait que tous ces utilisateurs seraient des admins.... et c'est ce que je ne veux pas....

merci encore

[Franck78]

C'est vraiment boiteux ces explications. En 2011, il n'y a plus d'applis qui requiert des privilèges d'admins (local ou de domaine) pour s'exécuter. Pendant l'install oui peut être. Mais pas après.
Ensuite client - serveur : quel rapport avec les privilèges ? Aucun lien ....

[jdh]

Il est à exclure totalement de mettre des utilisateurs dans le groupe d'administrateur de domaine : ce n'est même pas à faire pour un informaticien !

Je ne peux que plusser Franck78 : je ne vois pas une application nécessiter des privilèges d'administrateur.
Si tel était le cas, c'est qu'elle est à réécrire !

En tant qu'administrateur, je refuserai la mise en place d'une telle application ! Puisque je serais dans l'incapacité, ensuite, d'assurer la sécurité !
Pour l'expliquer au patron, il suffit juste d'expliquer que les utilisateurs auraient ensuite TOUS les droits, y compris d'aller voir n'importe quel document du service RH, par exemple !

Forcément, les concepteurs de l'application ont été confrontés à ce problème ! S'ils sont incapables de donner le remède, de changer ce système de droit totalement aberrant, il faut les fuir ...

De plus une application conçue en mode client-serveur est justement dans un droit fil de gestion utilisateurs cohérente !
Par exemple, sur un serveur, un SQL server sait gérer une base utilisateurs distincte de l'AD.
Et, sur un client, on créé un DSN de type soit "machine" (=lié à la machine) soit "utilisateur" (=lié au compte utilisateur qui ouvre la session) !