Fire597
commented
1 month ago Hello, Je ne suis pas sûr de comprendre le soucis. Le point "vuln1_privileged_members_perm" correspond au fait que le groupe admins du domaine contient trop de membres quelque soit le type de compte concernés.
Un compte gMSA ne nécessite pas forcément les droits admins du domaine pour fonctionner. Pour toute utilisation, il s'agit de se poser la question si le compte nécessite réellement les droits admins du domaine ou non. La meilleure approche étant d'affiner ses droits.
- Le compte a besoin d'être admin pour executer des services sur un serveur alors il serait plus judicieux de le mettre uniquement admin local de cette machine.
- Le compte a besoin de venir peupler des OU dans l'AD. Alors il serait plus judicieux de créer une délégation pour un groupe dont il est membre et de lui permettre de créer des objets sur cette OU uniquement.
La plupart des comptes fonctionnent sur le même principe. On cherche à ce que le plus de comptes soient utilisateurs standard et si besoin, que certains aient des privilèges affinés.
J'espère avoir répondu à la question,
clpnsk-59
007fabien007
jbgalet
Bonjour pourquoi depuis la dernière version les comptes GMSA sont ils indiqués en tant que "vuln1_privileged_members_perm" ? alors qu'ils doivent etre admins du domaine pour fonctionner et que ce sont des comptes a mot de passe robustes et modifiés tous les 10 jours automatiquement par l'AD? je ne comprend pas l'erreur merci