Administrateur et dossiers confidentiels

Le
Bonjour à tous,

La question qui m'amene concerne, sur un domaine w2003 avec 30 clients, la
protection d'un dossier auquel seule une personne peut avoir accès.

On peut très bien mettre les droits d'accès à ce dossier seulement à cette
personne, qui en serait propriétaire.

En principe l'administrateur du domaine n'aurait pas accès à ce dossier.

Mais rien n'empecherait l'administrateur de devenir propriétaire de ce
dossier et de modifier les autorisations.

Ceci veut dire que la personne chargée de l'administration du domaine a
potentiellement la possibilité de tout voir, meme ce qui est confidentiel.

Il y a surement une ou des methodes permettant d'eviter cela. avez vous une
piste ?

Bonne journée,
Loutox.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jonathan BISMUTH
Le #733838
Bonjour Loutox,

Ceci veut dire que la personne chargée de l'administration du domaine a
potentiellement la possibilité de tout voir, même ce qui est confidentiel.


absolument

Il y a surement une ou des methodes permettant d'eviter cela. avez vous
une piste ?
Aucune méthode, l'administrateur à D.ieu comme deuxième prénom.

A part embaucher quelqu'un de confiance et utiliser des méthodes hors OS qui
permettraient à l'utilisateur de crypter ses données par lui même, il n'y a
pas de solution native pour empêcher l'accès aux données

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

<loutox> a écrit dans le message de news:
463b058c$0$15026$
Bonjour à tous,

La question qui m'amene concerne, sur un domaine w2003 avec 30 clients, la
protection d'un dossier auquel seule une personne peut avoir accès.

On peut très bien mettre les droits d'accès à ce dossier seulement à cette
personne, qui en serait propriétaire.

En principe l'administrateur du domaine n'aurait pas accès à ce dossier.

Mais rien n'empecherait l'administrateur de devenir propriétaire de ce
dossier et de modifier les autorisations.

Ceci veut dire que la personne chargée de l'administration du domaine a
potentiellement la possibilité de tout voir, meme ce qui est confidentiel.

Il y a surement une ou des methodes permettant d'eviter cela. avez vous
une piste ?

Bonne journée,
Loutox.





Thierry DEMAN [MVP]
Le #733837
Bonjour,

non, il n'y a pas de méthode ! L'idée générale est que si l'on ne fait pas
confiance à son administrateur, il faut le changer (ou le devenir).

Le point important est que si l'administrateur devient propriétaire, il ne
peut pas (de manière simple) remettre l'utilisateur propriétaire sauf s'il a
le mot de passe de cet utilisateur.
Il peut donner tous les droits à l'utilisateur, ce qui lui permet de
redevenir propriétaire. Mais, l'utilisateur "peut voir" que son nom n'est
plus indiqué comme propriétaire. L'administrateur doit alors justifier son
passage.
On peut aussi "auditer" les dossiers de ce type, mais l'administrateur
pourrait désactiver cet Audit. L'administrateur devra alors justifier le
changement d'Audit.

Donc, rien de parfait, mais avec un peu de bonnes pratiques et de
surveillance.

A bientôt,
--
Thierry DEMAN-BARCELÒ
MVP Exchange, SQL/Server
http://base.faqexchange.info http://www.faqexchange.info
http://ISAFirewalls.org
<loutox> a écrit dans le message de
news:463b058c$0$15026$
Bonjour à tous,

La question qui m'amene concerne, sur un domaine w2003 avec 30 clients, la
protection d'un dossier auquel seule une personne peut avoir accès.

On peut très bien mettre les droits d'accès à ce dossier seulement à cette
personne, qui en serait propriétaire.

En principe l'administrateur du domaine n'aurait pas accès à ce dossier.

Mais rien n'empecherait l'administrateur de devenir propriétaire de ce
dossier et de modifier les autorisations.

Ceci veut dire que la personne chargée de l'administration du domaine a
potentiellement la possibilité de tout voir, meme ce qui est confidentiel.

Il y a surement une ou des methodes permettant d'eviter cela. avez vous
une piste ?

Bonne journée,
Loutox.





Le #733833
Jonathan et Thierry, merci pour vos réponses.

Bon Week-end

Loutox


<loutox> a écrit dans le message de news:
463b058c$0$15026$
Bonjour à tous,

La question qui m'amene concerne, sur un domaine w2003 avec 30 clients, la
protection d'un dossier auquel seule une personne peut avoir accès.

On peut très bien mettre les droits d'accès à ce dossier seulement à cette
personne, qui en serait propriétaire.

En principe l'administrateur du domaine n'aurait pas accès à ce dossier.

Mais rien n'empecherait l'administrateur de devenir propriétaire de ce
dossier et de modifier les autorisations.

Ceci veut dire que la personne chargée de l'administration du domaine a
potentiellement la possibilité de tout voir, meme ce qui est confidentiel.

Il y a surement une ou des methodes permettant d'eviter cela. avez vous
une piste ?

Bonne journée,
Loutox.





Nina Popravka
Le #733832
On Fri, 4 May 2007 12:06:05 +0200, <loutox> wrote:

Il y a surement une ou des methodes permettant d'eviter cela. avez vous une
piste ?


Non.
Et :
1 - si on n'a pas confiance en son admin, on en change
2 - l'admin se fout des données à un point que vous soupçonnez
difficilement...
--
Nina

Zigoto
Le #741455
Bonjour,

il existe un moyen de proteger les données confidentielles avec un mdp.
un logiciel à installer sur les postes demandant d'etre protégé.
"My private folder": http://www.laboratoire-microsoft.org/n/21308/
il fonctionne tres bien

"Nina Popravka"
On Fri, 4 May 2007 12:06:05 +0200, <loutox> wrote:

Il y a surement une ou des methodes permettant d'eviter cela. avez vous
une
piste ?


Non.
Et :
1 - si on n'a pas confiance en son admin, on en change
2 - l'admin se fout des données à un point que vous soupçonnez
difficilement...
--
Nina



Nina Popravka
Le #741454
On Sun, 6 May 2007 11:00:34 +0200, "Zigoto"
il existe un moyen de proteger les données confidentielles avec un mdp.
un logiciel à installer sur les postes demandant d'etre protégé.
"My private folder": http://www.laboratoire-microsoft.org/n/21308/
il fonctionne tres bien


Retiré du téléchargement par MS, si mes souvenirs sont exacts.
A cause des hurlements des clients, qui ont parfaitement raison, car
c'est parfaitement impensable qu'un utilisateur puisse protéger des
données professionnelles à l'insu de tout le monde et avec un pass
connu de lui seul.
--
Nina

Eric Blin
Le #736026
Bonjour,
"Nina Popravka"
On Fri, 4 May 2007 12:06:05 +0200, <loutox> wrote:

Il y a surement une ou des methodes permettant d'eviter cela. avez vous
une
piste ?


Non.
Et :
1 - si on n'a pas confiance en son admin, on en change
Tout à fait ...

2 - l'admin se fout des données à un point que vous soupçonnez
difficilement...
Ca je suis entierement d'accord avec toi. Je fais "joujou" avec les serveurs

avec le but de sécuriser le réseau. Effectivement en tant qu'admin nous
avons "pleins pouvoirs" et alors pour en faire quoi ??? Ce sont les
utilisateurs qui m'étonnent : certains me disent "à j'aimerais bien être à
ta place au moins on peut tout voir" ce à quoi je leur répond "et alors tu
en ferais quoi ?" et la c'est le style " ba je ne sais pas mais on peut tout
voir".

Le pire sur n réseau ce ne sont pas les gens qui ont acces aux espaces
sécurisés mais les autres. ;)

Pour en revenir à la question de départ : ici j'ai ce type de dossier.
L'administrateur est propriétaire du dossier mais seulement certaines
personnes y ont acces. Le principal étant que je puisse sauvegarder les
données le reste je m'en contrefiche. Maintenant ils me font confiance point
à la ligne.

Sur ce ...

@+

Eric
--
Nina



Nina Popravka
Le #736024
On Wed, 16 May 2007 16:16:34 +0200, "Eric Blin" wrote:

Le pire sur n réseau ce ne sont pas les gens qui ont acces aux espaces
sécurisés mais les autres. ;)


Yep. En général celui qui te fait chier avec ses documents
hyperconfidentiels qu'il a vachement peur que tu les voies et que
surtout tu dois pas avoir les droits dessus, c'est le chieur patenté
qui n'a en général aucune responsabilité professionnelle. Et ses
documents hypersecrets, ce sont ses courriers pour ses procès avec son
bailleur, son assurance, sa famille, ses voisins... ;->
Le DAF, il sait très bien que tu peux aller voir tous les contrats de
travail et salaires si tu veux, et il te fait confiance.
Je hais les chieurs.
--
Nina

Eric Blin
Le #749134
"Nina Popravka"
On Wed, 16 May 2007 16:16:34 +0200, "Eric Blin" wrote:

Le pire sur n réseau ce ne sont pas les gens qui ont acces aux espaces
sécurisés mais les autres. ;)


Yep. En général celui qui te fait chier avec ses documents
hyperconfidentiels qu'il a vachement peur que tu les voies et que
surtout tu dois pas avoir les droits dessus, c'est le chieur patenté
qui n'a en général aucune responsabilité professionnelle. Et ses
documents hypersecrets, ce sont ses courriers pour ses procès avec son
bailleur, son assurance, sa famille, ses voisins... ;->
Le DAF, il sait très bien que tu peux aller voir tous les contrats de
travail et salaires si tu veux, et il te fait confiance.
Exactement ;)


Tiens l'autre jour j'avais besoin d'accéder pour un paramétrage au poste de
mon PDG .... je lui ai dit que j'allais lui mettre un mot de passe
temporaire ce à quoi il m'a répondu "tiens voila mon mot de passe", j'aime
pas ça mais il a certainement plus de chose confidentiel que le zozo du coin
qui cache crypte ces photos de vacancesou sa lettre d'insulte anonyme.



Je hais les chieurs.
heu ... pareil c'est bizarre.

--
Nina
Eric



Publicité
Poster une réponse
Anonyme