Forum Tranquil IT

Hello, je fais un paquet pour notre flotte de PC de pret, pour donner les droits admin à l'utilisateur courrant.
Quand je lance le session-setup, je me prend un accès refusé. Le session setup n'est pas lancé avec le compte system?
Julien

En session setup ce n'est pas surprenant qu'un utilisateur ne puisse pas s'ajouter lui même au compte administrateurs

En install vous cherchez a utiliser
Mais bon dans votre cas je suppose que ça reviens a ajouter le groupe "'tout le monde" au groupe administrateurs ...

Hello, oui effectivement je n'avais pas compris que le session setup n'utilisait pas le compte system, c'était pas marqué explicitement sur la Doc.
Il y a aucun moyen de passer une commande en compte system avec un session setup ? ( Pour un usage quelconque)
Julien

Bonjour jdziadek

Voudriez vous nous expliquer votre cas d'usage car il semblerait que vous souhaitiez mettre en place un genre de PAM (Privileged Access Management) en utilisant WAPT ?

Vos PC de prêt sont-ils attribués nominativement ?

Quelles sont les actions que vos utilisateurs doivent pouvoir faire avec un compte admin sur leurs PC de prêt ?

Merci.

Bonjour,
Pour faire simple, on a une flotte de 20 à 30PC de prêt, prêté pour une durée de 2 mois maximum, soit à des élèves, soit à du personnel. Nous aimerions juste que les utilisateurs puissent installer les logiciels qu'ils veulent. Nous sommes au tout début de notre infra WAPT et donc la liste des paquets n'est pas encore assez poussée pour tout les usagers.
Une fois le PC récupéré par le service de gestion des prêts, on réinstalle la machine via WADS.
C'est sur que rajouter " tout le monde" dans le groupe admin fonctionne, mais on préfère quelque chose de moins radical
Julien

jdziadek a écrit : ↑26 mai 2023 - 18:32 Il y a aucun moyen de passer une commande en compte system avec un session setup ? ( Pour un usage quelconque)

C'est particulièrement dangereux ça signifierai qu'un utilisateur sans droit peu demander a wapt d'exécuter du code pour lui.

Une astuce par contre c'est qu'un utilisateur peu demander un audit en session setup:
Mais bon comme que je le disais ça reviens au même que de mettre tout le monde dans le groupe administrateurs ... ça ne change rien a la finalité.

Quels sont les logiciels qui vous manquent pour passer vos utilisateur en droits restreints et leur proposer l’installation de leurs logiciels en mode self-service ?

Pouvons nous collaborer pour atteindre cet objectif ?

vcardon a écrit : ↑30 mai 2023 - 23:02 Quels sont les logiciels qui vous manquent pour passer vos utilisateur en droits restreints et leur proposer l’installation de leurs logiciels en mode self-service ?

Pouvons nous collaborer pour atteindre cet objectif ?

Le soucis c'est qu'on ne sait pas du tout, nous avons beaucoup d'enseignants chercheurs qui font des tests de logiciel pour voir si ca peut correspondre à un besoin, donc ils vont peut être avoir besoin du logiciel pour le tester et possiblement ne jamais revenir dessus.

Bonjour,
Problème similaire dans notre lycée pro. Les entreprises demandent aux stagiaire de venir avec un PC, soit pour utiliser nos licences Education Autodesk/Solidworks etc.., soit pour y installer leurs logiciels métiers. Parfois ces PC se retrouvent même joints au domaine de l'entreprise qui accueille le stagiaire. Ils doivent donc être admins du poste.
La solution la plus rapide que j'ai trouvée c'est de faire un master de ces postes avec nos logiciels installés via WAPT, mais je le laisse hors domaine. Je ne crée qu'un seul utilisateur "eleve" qui est admin Windows. Quand le PC revient, je refait son image.

Bonjour Julien,

jdziadek a écrit : ↑31 mai 2023 - 10:12

vcardon a écrit : ↑30 mai 2023 - 23:02 Quels sont les logiciels qui vous manquent pour passer vos utilisateur en droits restreints et leur proposer l’installation de leurs logiciels en mode self-service ?

Pouvons nous collaborer pour atteindre cet objectif ?

Le soucis c'est qu'on ne sait pas du tout, nous avons beaucoup d'enseignants chercheurs qui font des tests de logiciel pour voir si ca peut correspondre à un besoin, donc ils vont peut être avoir besoin du logiciel pour le tester et possiblement ne jamais revenir dessus.

Il n'est peut être pas possible de retirer les droits local admin à tous les enseignants chercheurs, mais on a vu d'autres école qui ont réussi à les supprimer sur la très grande majorité avec un self-service bien rempli. En fait en expliquant les risques associés à ce compte, notamment l'augmentation du risque lié au ransomware), et le bénéfice limité si le selfservice est bien rempli, ça permet de faire accepter le changement à pas mal de monde.

Au delà du passage en local admin, d'un point de vu de sécurité il est préférable d'éviter que le compte de l'utilisateur nominatif soit local admin, mais de créer un autre compte local au poste qui pourra être utilisé ponctuellement pour des installations, mais pas au quotidien. Si le compte est local et qu'il n'a pas accès aux ressources réseaux, etc. ça permet d'éviter que les utilisateurs l'utilise au quotidien, et donc privilégier leur comptes à droit restreint.

Cordialement,

Denis