Scénario #32237
Modifier le compte eole-workstation-manager en compte User
Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
Version cible:
Début:
30/04/2021
Echéance:
04/06/2021
% réalisé:
100%
Points de scénarios:
2.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
Liens avec la release:
Auto
Description
Objectifs¶
Le compte eole-workstation-manager a trop de droits. Il faut le rendre utilisateur basique.
Il faut modifier les droits de délégation du CN Computer pour que ce compte puisse créer les Objets Computer au moment de la jonction.
Rappel procédure manuelle RSAT¶
- Dans ADUC
- Pour autoriser l'ajout d'ordinateurs dans l'CN "Computers", effectuez un clic droit dessus et cliquez sur "Delegate Control" (Délégation de contrôle)
- Ajoutez le compte utilisateur 'eole-workstation-manager' pour lequel vous souhaitez ajouter l'autorisation/délégation de droit.On peut utiliser un groupe de sécurité.
- Add
- Créer une délégation spécifique, choisissez "Create a custom task to delegate"
- Suivant
- Cochez la case "Only the following objectifs in the folder" pour autoriser uniquement la création d'objets de type "ordinateurs"
- Cochez "Computer objects"
- Cochez "Create selected objects in this folder" pour autoriser la création de objets de ce type
- Suivant
- Au niveau des permissions à déléguer, il est nécessaire de cocher
- - "General"
- - "Creation/deletion of specific child objects"
- - "Create All Child Objects"
- Suivant
- Finish
Equivalent script¶
- wbinfo --name-to-sid=eole-workstation-manager -> SID_ACCOUNT_JONCTION
- COMPUTER_OBJECT="{BF967A86-0DE6-11D0-A285-00AA003049E2}"
- APPLICATION_VERSION="ddc790ac-af4d-442a-8f0f-a1d4caa7dd92"
- samba-tool dsacl set --objectdn "CN=Computers,$BASEDN" --sddl "ARAI(OA;CIIO;CC;${APPLICATION_VERSION};${COMPUTER_OBJECT};${SID_ACCOUNT_JONCTION})(OA;CIIO;CC;;${COMPUTER_OBJECT};${SID_ACCOUNT_JONCTION})"
Pour vérifier¶
- Le compte eole-workstation-manager doit être un compte sans droits
- Démarrer un PC + renommage + ip dns
- Joindre au domain avec le compte eole-workstation-manager (et mdp /etc/eole/private/eole-workstation-manager.password)
- Je jonction se passe bien...
Documentations¶
Sous-tâches
Révisions associées
Gestion de la jonction au domain avec un compte non admins
REF #32237
Remove unwanted line instead of commenting
Ref: #32237
Suppress extra spaces at the end of lines
Ref: #32237
Remplace some CONTAINER_EXEC with CreoleRun
Ref: #32237
Dump of current DSACL is invalid because of quoting
- postservice/30-eole-workstation-manager: fix single/double quote in
command execution.
Ref: #32237
Historique
#1 Mis à jour par Daniel Dehennin il y a presque 3 ans
- Projet changé de Distribution EOLE à eole-workstation
J’ai créé une branche fix/remove-manager-from-admin qui pourra être fusionnée dans toutes les versions utilisant le compte eole-workstation-manager, c’est à dire >= 2.7.1.
#2 Mis à jour par Gilles Grandgérard il y a presque 3 ans
- Projet changé de eole-workstation à Distribution EOLE
- Description mis à jour (diff)
- Release
EOLE 2.8.1supprimé
#3 Mis à jour par Daniel Dehennin il y a presque 3 ans
- Projet changé de Distribution EOLE à eole-workstation
#4 Mis à jour par Daniel Dehennin il y a presque 3 ans
- Echéance mis à 14/05/2021
- Version cible mis à sprint 2021 17-19 Equipe MENSR
- Début mis à 26/04/2021
#5 Mis à jour par Joël Cuissinat il y a presque 3 ans
- Assigné à mis à Daniel Dehennin
- Release mis à EOLE 2.8.1
- Points de scénarios mis à 2.0
#6 Mis à jour par Gilles Grandgérard il y a presque 3 ans
- Statut changé de Nouveau à En cours
- Version cible changé de sprint 2021 17-19 Equipe MENSR à sprint 2021 20-22 Equipe MENSR
#7 Mis à jour par Joël Cuissinat il y a presque 3 ans
- Statut changé de En cours à Terminé (Sprint)