Publication de l'Access Management Console 4.5 avec GPO

Bonjour à tous,



Je vous soumets une solution ( je souhaite évidement qu’elle soit valider par vous et que Thinsfat ajoute sa griffe :wink: ).



Voici la problèmatique : Je souhaitais publier l’AMC 4.5 pour une population n’ayant pas de droits d’admin au sens Windows pour qu’ils effectuent des tâches (tuer un process, déconnexion, shadow, etc). Sur cette population s’applique une GPO avec une restriction sur la MMC. Et là, impossible que ces utilisateurs lancent l’AMC. Donc voici ma solution après quelques recherches dans le support Citrix :



Il faut autoriser les composants MMC de la console Citrix 4.5 en mettent les valeurs “Restrict_Run” de chaque Snapin/Extension (voir le fichier AMC.adm) à 0.

Après cela tout fonctionne correctement :slight_smile:



Donc voici ma question :

Comme je suis un peu bourrin, j’ai autorisé tous les Snapins/Extensions de la console. J’aimerais savoir que fait chaque composant pour affiner la GPO. par exemple, je sais que Citrix.CMI.CmiMmcInteract.ShimPrimarySnapin est la 1ere à être lancée. Et j’aimerais mettre un nom plus parlant.



Merci

Il y’a une autre méthode :

Créé un groupe d’utilisateurs avec des droits d’admins perso dans la console AMC.

Publie la aux utilisateurs de ce groupe.

les droits d’admin Citrix ou Windows.



Le problème c’est pas les droits Citrix. C’est le fait d’appliquer une GPO interdisant de lancer la MMC à ces utilisateurs (Restrict users to the explicitly permitted list of snap-ins), si tu actives cette option, les utilisateurs ayant cette GPO ne peuvent lancer l’AMC.

C’est pas faux …Je suis allé un peu vite en besogne. :-X

Cependant, si tu limite les droits d’accès dans l’AMC via les droits perso Citrix et que tu laisses l’accès à tous les composants mmc de la console, j’y vois pas trop d’inconvénient niveau sécurité, sachant que la limitation via les droits t’empêche d’accéder infine aux composants MMC.



Je suis clair ??? ::slight_smile:

Oui mais, je peux charger les autres snapin Windows

Users et computers, certificats, etc …



avec le fichier .adm on autorise que la console citrix , maintenant j’aimerais savoir que veut dire tous ces plugins …

bonne idée… je vais cependant devoir me plonger dessus