Partage sécurisé sous XP, je pete les plombs :-((((((((((

Thierry M. wrote:

../.. une grosse excitation :-)

Heu, moi, bêtement, pour accéder au disque d'un autre Pécé, je fais :

1. clic droit sur le poste de travail
2. "connecter un lecteur réseau"
3. clic sur "Ouvrir une session de stockage en ligne ou se connecter à
un serveur réseau"
4. démarrage de l'assistant "ajout d'un favori réseau"
5. clic sur "suivant"
6. clic sur "choisissez un autre emplacement réseau"
7. clic sur "parcourir"
8. clic sur "tout le réseau"
9. sélectionner le Pécé et le disque à accéder et roulmapoul.
10. la gestion des mots de passe se fait sur le pévé accédé (évidemment)

Où est le pb ?

D.

Didier Morandi <prenom.nom@freesurf.fr> écrivait:

Thierry M. wrote:

../.. une grosse excitation :-)

et c'est pas fini, mais je ne suis pas encore passé à l'acte (avec la batte
de base ball) sur mes bécanes :-)
jusqu'ici je m'en foutais, tant que c'était un partage temporaire (acces
fichiers ou jeux) mais la, je dois en avoir un permanent et internet en même
temps : ais je tort de ne pas vouloir tenter le diable (et de refuser cette
énormité de partage simplifié de XP ?)

Heu, moi, bêtement, pour accéder au disque d'un autre Pécé, je fais :

c'est pas ça le bleme, le bleme c'est de protéger un partage sous XP:
Comment faire pour donner un droit d'acces avec mot de passe pour protéger
le répertoire partagé §?
Quand on va dans la rubrique "autorisation", on ne trouve que l'ordi LOCAL
!!???
*** et d'ailleurs pourquoi on n'aurai pas le choix de juste protéger la
ressource avec mot de passe comme sous 98 ?***
=> sous 98, tu avais le choix : protéger la ressource ou donner des droits
d'acces :
perso, c'est la ressource qui m'importe, mais bon, XP veut pas ! il veut
donner des autorisations !? alors OK, mais COMMENT ?
je suis connecté de l'ordi client qui s'appelle TOTO, je peux pas accéder
avec un login/pass à ma ressource partagée ?
ou à la limite avec mon nom d'utilisateur, mais sans devoir en créer un
local sur le serveur !? (voir plus loin)

10. la gestion des mots de passe se fait sur le pévé accédé (évidemment)

Où est le pb ?

ben justement : LA !

La seule soluce trouvée et qui fonctionne, c'est d'ouvrir un compte
utilisateur (sur le serveur) de même nom que le compte utilisateur (sur le
client) a qui tu donnes le droit de venir sur ton répertoire partagé.
c'est completement con a mon sens, puisque ça va aussi plomber 'local
setting' avec un menu démarrer, etc etc ... (même un temporary internet file
tiens )
On demande une ouverture de droit pour aller dans un répertoire partagé,
sous réseau, pas d'ouvrir 500 comptes locaux personnalisés !? Or ya que ça
qui marche !?
Je dois donc donner une autorisation à
Machin/serveur et pouf miracle, ça autorise Machin/client ?!
et pourquoi je pourrais pas autoriser Machin/client directement sans créer
un compte utilisateur complet ? ou pourquoi je pourrai pas autoriser a tout
le monde ... qui aurait un mot de passe (voir un login/pass) ?
W98 le fait bien !?

Pire, une fois que c'est fait, un autre répertoire partagé mais acces à
"tout le monde" ((comme le dossier documents partagés de windows)) se voit à
ce moment avec acces mot de passe ... du compte autorisé du premier
répertoire ???? on nage en plein délire ... (à quoi ça sert alors de
personnaliser chaque partage ?)

rerepire : à quoi ça sert de définir des "emplacements", si le seul dispo
c'est l'ordi local ? l'ordi client n'apparaissant pas, je vois pas a quoi
sert cette liste a élément unique ?
ou même a quoi ça sert de définir plein d'exemples si la seule chose qu'on
peut faire c'est autoriser un compte ... local !? (apres l'avoir créé)

Ah que Grrr, j'ai peux être raté une marche ou tout l'escalier, mais si
c'est possible ... je fais comment ? (a part la soluce bidon trouvée qui
consiste a créer un compte local serveur de même nom que le compte local
client)

j'arrive pas a croire que des entreprises s'amusent à créer 500 comptes
utilisateurs sur le serveur, même a droit réduit, ça n'a aucun sens, donc
l'admin reseau doit bien donner des autorisations d'une autre maniere non ?

--
Thierry MARTIN
R. Parce que ça rompt le cours normal de la conversation !!!
Q. Pourquoi ne faut-il pas répondre au-dessus de la question ?

regardes ici la rubrique tweakUI


http://www.figer.com/Publications/xpsec.htm

azur



"Thierry M." <thry.PASDEPUB.martin@free.fr> a écrit dans le message de news:
%238xcLZYRFHA.2744@TK2MSFTNGP10.phx.gbl...

Didier Morandi <prenom.nom@freesurf.fr> écrivait:

Thierry M. wrote:

../.. une grosse excitation :-)

et c'est pas fini, mais je ne suis pas encore passé à l'acte (avec la
batte
de base ball) sur mes bécanes :-)
jusqu'ici je m'en foutais, tant que c'était un partage temporaire (acces
fichiers ou jeux) mais la, je dois en avoir un permanent et internet en
même
temps : ais je tort de ne pas vouloir tenter le diable (et de refuser
cette
énormité de partage simplifié de XP ?)

Heu, moi, bêtement, pour accéder au disque d'un autre Pécé, je fais :

c'est pas ça le bleme, le bleme c'est de protéger un partage sous XP:
Comment faire pour donner un droit d'acces avec mot de passe pour protéger
le répertoire partagé §?
Quand on va dans la rubrique "autorisation", on ne trouve que l'ordi LOCAL
!!???
*** et d'ailleurs pourquoi on n'aurai pas le choix de juste protéger la
ressource avec mot de passe comme sous 98 ?***
=> sous 98, tu avais le choix : protéger la ressource ou donner des droits
d'acces :
perso, c'est la ressource qui m'importe, mais bon, XP veut pas ! il veut
donner des autorisations !? alors OK, mais COMMENT ?
je suis connecté de l'ordi client qui s'appelle TOTO, je peux pas accéder
avec un login/pass à ma ressource partagée ?
ou à la limite avec mon nom d'utilisateur, mais sans devoir en créer un
local sur le serveur !? (voir plus loin)

10. la gestion des mots de passe se fait sur le pévé accédé (évidemment)

Où est le pb ?

ben justement : LA !

La seule soluce trouvée et qui fonctionne, c'est d'ouvrir un compte
utilisateur (sur le serveur) de même nom que le compte utilisateur (sur le
client) a qui tu donnes le droit de venir sur ton répertoire partagé.
c'est completement con a mon sens, puisque ça va aussi plomber 'local
setting' avec un menu démarrer, etc etc ... (même un temporary internet
file
tiens )
On demande une ouverture de droit pour aller dans un répertoire partagé,
sous réseau, pas d'ouvrir 500 comptes locaux personnalisés !? Or ya que ça
qui marche !?
Je dois donc donner une autorisation à
Machin/serveur et pouf miracle, ça autorise Machin/client ?!
et pourquoi je pourrais pas autoriser Machin/client directement sans créer
un compte utilisateur complet ? ou pourquoi je pourrai pas autoriser a
tout
le monde ... qui aurait un mot de passe (voir un login/pass) ?
W98 le fait bien !?

Pire, une fois que c'est fait, un autre répertoire partagé mais acces à
"tout le monde" ((comme le dossier documents partagés de windows)) se voit
à
ce moment avec acces mot de passe ... du compte autorisé du premier
répertoire ???? on nage en plein délire ... (à quoi ça sert alors de
personnaliser chaque partage ?)

rerepire : à quoi ça sert de définir des "emplacements", si le seul dispo
c'est l'ordi local ? l'ordi client n'apparaissant pas, je vois pas a quoi
sert cette liste a élément unique ?
ou même a quoi ça sert de définir plein d'exemples si la seule chose qu'on
peut faire c'est autoriser un compte ... local !? (apres l'avoir créé)

Ah que Grrr, j'ai peux être raté une marche ou tout l'escalier, mais si
c'est possible ... je fais comment ? (a part la soluce bidon trouvée qui
consiste a créer un compte local serveur de même nom que le compte local
client)

j'arrive pas a croire que des entreprises s'amusent à créer 500 comptes
utilisateurs sur le serveur, même a droit réduit, ça n'a aucun sens, donc
l'admin reseau doit bien donner des autorisations d'une autre maniere non
?

--
Thierry MARTIN
R. Parce que ça rompt le cours normal de la conversation !!!
Q. Pourquoi ne faut-il pas répondre au-dessus de la question ?

Dans le message news:%238xcLZYRFHA.2744@TK2MSFTNGP10.phx.gbl ,
Thierry M. <thry.PASDEPUB.martin@free.fr> s'est ainsi exprimé:

[...]
*** et d'ailleurs pourquoi on n'aurai pas le choix de juste protéger
la ressource avec mot de passe comme sous 98 ?***
Parce que tu n'es plus sous Win9x !

Parce que sous Win9x, la sécurité est NULLE !
Parce que SEUL le CONTRÔLE d'ACCÈS avec gestion de comptes, comme cela a
TOUJOURS été sous NT - depuis 1993 - est fiable.
Et ce système n'est pas propre à NT : sous UNIX et Linux, c'est pareil !

[...]

10. la gestion des mots de passe se fait sur le pévé accédé
(évidemment)

Où est le pb ?

ben justement : LA !

La seule soluce trouvée et qui fonctionne, c'est d'ouvrir un compte
utilisateur (sur le serveur) de même nom que le compte utilisateur
(sur le client) a qui tu donnes le droit de venir sur ton répertoire
partagé.
Et bien oui ! Ou est le problème ?

NB: cette nécessité d'avoir les comptes à l'identique n'est requise que dans
un environnement "workgroup".
Dans le cas d'un DOMAINE, ce n'est pas la peine, il suffit de créer UNE FOIS
pour toutes les comptes dans le domaine.

c'est completement con a mon sens, puisque ça va aussi plomber 'local
setting' avec un menu démarrer, etc etc ... (même un temporary
internet file tiens )
NON !

Car le profil (dossier "doc and set..<compte>") n'est créé que lors de la
1ère ouverture de session du compte en local.
On peut très bien avoir une machine en environnement "workgroup", servant de
serveur de fichiers p.ex, et avec AUCUN dossier (hormis "All users",
"default user" et "administrateur" créés à l'installation ) dans "doc and
set" !

On demande une ouverture de droit pour aller dans un répertoire
partagé, sous réseau, pas d'ouvrir 500 comptes locaux personnalisés
!? Or ya que ça qui marche !?
En environnement "workgroup" seulement ..

[...]
j'arrive pas a croire que des entreprises s'amusent à créer 500
comptes utilisateurs sur le serveur, même a droit réduit, ça n'a
aucun sens, donc l'admin reseau doit bien donner des autorisations
d'une autre maniere non ?
NON !

Mais il ne le fait QU'UNE SEULE FOIS !
Dans une entreprise où il y a 500 comptes (à partir de 10 çà vaut le coup
d'ailleurs), ces comptes et permissions n'ont été créés qu'une seule fois,
et il peut y avoir autant de stations que l'on veut, 500 ou 10000, peu
importe.
Quiconque ouvre une session sur une machine du domaine peut accéder (ou non)
à un fichier ou dossier d'une autre machine, serveur compris, en fonction de
ce qui a été décidé dans les droits...
Et pour regrouper les autorisations, il suffit de créer des .. groupes
d'utilisateurs, ou encore mieux, depuis Windows 2000 avec "Active
Directory", des "Unités organisationnelles" (OU), des sous-unités, .., et
c'est sur ces sous-ensembles que l'on va agir.
Ensuite, quand on crée un nouveau compte utilisateur, il suffit de le
déclarer comme appartenant à tel ou tel groupe, OU, ..., et il va "hériter"
autoamtiquement de tous les droits prévus pour ce groupe, unité, ...


Ce mécanisme, comme je l'ai déjà dit, existe depuis que la notion de DOMAINE
existe, c'est à dire même avant NT (cf. "Lan Manager"), et il s'est
réellement developpé avec NT4, soit en 1996 (çà fait donc 9 ans), et est
devenu très puissant à partir de Windows 2000 (février 2000) grâce à Active
Directory.


Ton problème, c'est que tu veux appliquer des mécanismes datant de Windows
3.11 for Workgroup (16 bits) à un OS tel que XP qui, lui, appartient à une
toute autre famille puisque c'est NT.
Je reconnais qu'à ce niveau Microsoft a TRÈS MAL COMMUNIQUÉ dans sa volonté
d'unification des OS "grand public" et "professionels" !


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Jean-Claude.Bellamy@wanadoo.fr * JC.Bellamy@free.fr

Jean-Claude BELLAMY <Jean-Claude.Bellamy@wanadoo.fr> écrivait:

Et bien oui ! Ou est le problème ?
NB: cette nécessité d'avoir les comptes à l'identique n'est requise que
dans un environnement "workgroup".
Dans le cas d'un DOMAINE, ce n'est pas la peine, il suffit de créer UNE
FOIS pour toutes les comptes dans le domaine.

heu ... comment je crée un domaine ? ou est-ce documenté ?
(workgroup : le nom n'est pas spécifique, c'est groupe de travail par défaut
mshome sous xp non ?)

Car le profil (dossier "doc and set..<compte>") n'est créé que lors de
la 1ère ouverture de session du compte en local.

Bon, alors OK

Ton problème, c'est que tu veux appliquer des mécanismes datant de Windows
3.11 for Workgroup (16 bits) à un OS tel que XP qui, lui, appartient à
une toute autre famille puisque c'est NT.
Je reconnais qu'à ce niveau Microsoft a TRÈS MAL COMMUNIQUÉ dans sa
volonté d'unification des OS "grand public" et "professionels" !

c'est le moins qu'on puisse dire ! puisque dans les pages web trouvées, on
note aussi un certain flou dans les explications ... ça sent plus la
tambouille apprise sur le tas qu'une réelle explication documentée ... dans
une page, il est même fait mention d'un manque de documentation ...
Pourtant c'est pas sorcier ... si c'est expliqué simplement (et surtout sans
jargon franglais)

Mon bleme, c'est que je vais poser un W98SE en client d'un XP Pro qui a
acces internet ... et comme c'est pour le boulot, pour une fois, je n'ai pas
envie d'improviser ...
bon, dejà j'ai trouvé qu'on pouvait cacher le partage ... j'ai donc créé un
utilisateur de même nom que celui du 98 SE ... mais j'aurai préféré un
login/pass, le nom d'utilisateur n'est pas un truc bien sécure ... reste que
le pass ...
Tu me dis "Domaine" moi je veux bien (je ne connais cette notion que sous
internet) mais en réseau ... tu as un / des liens ou me renvoyer ?

Autre chose : le fait qu'un répertoire partagé 'tout le monde' n'est
accessible qu'apres demande du mot de passe d'un autre répertoire partagé
mais sur un seul utilisateur ??????? c'est quoi ça ? encore un coup du 98
client ou du groupe de travail ? (note que ça ne m'ennui pas, mais c'est
quand même assez étrange ...)

merci de tes éclaircissements ...
au fait : ya peut être un groupe sur les réseaux XP plus spécifique ?
puisqu'il me semble qu'ici ça a pas l'air d'être la tasse de thé .... ?

--
Thierry MARTIN
R. Parce que ça rompt le cours normal de la conversation !!!
Q. Pourquoi ne faut-il pas répondre au-dessus de la question ?

Le partage sous XP se fait au niveau utilisateur, et non pas au niveau
ordinateur: puisque tu utilise le partage "avancé"
(non simple), tu peux autoriser l'utilisateur X à lire sans modification
possible le dossier TOTO, alors que l'utilisateur Y
pourra lire et écrire, tandis que Z ne pourra ni lire, ni écrire dans ton
répertoire.

Pour une gestion de ton partage, tu dois créer sur ton PC les utilisateur X
et Y, et enregistrer leur mot de passe de façon identique (nom + mt de
passe) aux PC distants...Ne pas oublier de te crérer un mot de passe, et de
faire la même
chose sur les PC distants.


"Thierry M." <thry.PASDEPUB.martin@free.fr> a écrit dans le message de news:
%23k2bB0QRFHA.2664@TK2MSFTNGP15.phx.gbl...

Je croyais avoir la soluce avec la décoche de :
_ activer le partage simple
(indisponible sous xp home, chapeau MS !!???)

mais rien du tout !!!!

Alors que 98 ne voulait pas me filer une lettre de lecteur pour un
répertoire (ce que le subst de cette antiquité finalement moderne de DOS
faisait) sans le petit freeware VDC, mais que enfin XP était capable de
faire, il avait au moins, LUI, un partage transparent:
non, lecture, complet, lecture mot de passe, complet mot de passe, les
deux
avec mot de passe différents.

Que fait XP ? ou sont les mots de passe ? ou est l'ordinateur réseau ?
quoique je fasse, il ne me propose que
* utilisateurs
* groupe
* acces sécurisé (? c'est quoi ?)

et comme origine que lui même !? rien a faire pour voir apparaitre
l'ordinateur connecté (qui bien sur apparait quand on demande de voir les
ordinateurs connecté au groupe de travail dans le menu sur les réseaux)

J'ai essayé dans administration systeme : dans absolument tous les cas,
seul
l'ordi ou je travaille est proposé : jamais un ordi du réseau ... Moi je
veux bien "autoriser" tout ce qu'on veut, mais du moment qu'on puisse le
proposer !?
Le plus débile, c'est que le plus logique aurait été de le prévoir dans
les
propriétés d'un orinateur réseau connecté : et la;, ya RIEN ! aucunes
options !?

mais c'est quoi ce bordel :-(

Je suis utilisateur lambda sur ordi machin, je veux accéder avec mot de
passe sur l'ordi Truc, au répertoire bidule, JE FAIS COMMENT ?????????
HELP
!

A part repasser sous 98 ou acheter un Mac ?
ou acheter une batte de base ball (enfin, non, ça coute trop cher :-)))

un sacher de cacahouette a qui me sortira du "fénoir" comme on dit cheu
nous
...

--
Thierry MARTIN
www://ardf.free.fr

Dans le message news:uOnk8RoRFHA.3444@tk2msftngp13.phx.gbl ,
Thierry M. <thry.PASDEPUB.martin@free.fr> s'est ainsi exprimé:

Jean-Claude BELLAMY <Jean-Claude.Bellamy@wanadoo.fr> écrivait:

Et bien oui ! Ou est le problème ?
NB: cette nécessité d'avoir les comptes à l'identique n'est requise
que dans un environnement "workgroup".
Dans le cas d'un DOMAINE, ce n'est pas la peine, il suffit de créer
UNE FOIS pour toutes les comptes dans le domaine.

heu ... comment je crée un domaine ?
Avec un OS SERVEUR !

Il te faut un PC sur lequel sera installé, au choix :
- NT4 Serveur
- Windows 2000 Serveur
- Windows 2003
- Linux (toute version) avec Samba
- NetWare

W2k ou W2K3 étant préférables car plus simples à gérer.

NB: dans le cas où il y a moins de 75 postes clients, il existe l'excellente
solution de "SBS 2003" (= Small Bussiness Server), qui contient W2K3, SQL
server, Exchange Server, SharePoint Server, ISA Server, tout çà pour le
10ème du prix de l'ensemble acheté à l'unité !
cf. : http://sbsfr.mvps.org/ et le NG news:microsoft.public.fr.sbs

ou est-ce documenté ?
Une fois que le domaine a été créé (sur le serveur), on indique sur chaque

client qu'il appartient à ce domaine
Panneau de config système / Nom de l'ordinateur / Modifier
"Membre de"
Cocher "Domaine" et indiquer le nom du domaine*
Il faudra alors saisir le nom et password d'un compte administrateur du
domaine.

(workgroup : le nom n'est pas spécifique, c'est groupe de travail par
défaut mshome sous xp non ?)
Oui, c'est ce que tu veux

Car le profil (dossier "doc and set..<compte>") n'est créé que
lors de la 1ère ouverture de session du compte en local.

Bon, alors OK

Ton problème, c'est que tu veux appliquer des mécanismes datant de
Windows 3.11 for Workgroup (16 bits) à un OS tel que XP qui, lui,
appartient à une toute autre famille puisque c'est NT.
Je reconnais qu'à ce niveau Microsoft a TRÈS MAL COMMUNIQUÉ dans sa
volonté d'unification des OS "grand public" et "professionels" !

c'est le moins qu'on puisse dire ! puisque dans les pages web
trouvées, on note aussi un certain flou dans les explications ... ça
sent plus la tambouille apprise sur le tas qu'une réelle explication
documentée ... dans une page, il est même fait mention d'un manque de
documentation ... Pourtant c'est pas sorcier ... si c'est expliqué
simplement (et surtout sans jargon franglais)

Ce que j'ai voulu dire, c'est que MS a mis en vente XP dans le domaine grand
public, or c'est un OS du "monde" NT.
Et MS a supposé implicitement (à tort) que cette clientèle avait les
connaissances et les "réflexes" de la clientèle de NT, laquelle est issue à
99% du milieu professionnel.

Mon bleme, c'est que je vais poser un W98SE en client d'un XP Pro qui
a acces internet ... et comme c'est pour le boulot, pour une fois, je
n'ai pas envie d'improviser ...
bon, dejà j'ai trouvé qu'on pouvait cacher le partage ... j'ai donc
créé un utilisateur de même nom que celui du 98 SE ... mais j'aurai
préféré un login/pass, le nom d'utilisateur n'est pas un truc bien
sécure ... reste que le pass ...

Tu me dis "Domaine" moi je veux bien (je ne connais cette notion que
sous internet) mais en réseau ... tu as un / des liens ou me renvoyer
?

Et c'est reparti pour un tour !
(copier-coller d'un message que j'ai posté les 13/05/04 , 24/06/04,
26/08/04, ..)
===================================================
Pour commencer, il faut distinguer
"Domaine Microsoft"
et
"Domaine Internet"!

Petits rappels :
1) Domaine Internet
-------------------
TOUTE machine connectée à Internet est identifiée par une adresse unique,
dite "adresse IP", sous la forme d'un nombre binaire codé sur 32 bits (ou
plus, cf. IP V6).
La manipulation de tels nombres n'étant pas pratique, on va donner à chaque
machine un nom symbolique, appelé "nom de domaine", beaucoup plus parlant et
facile à retenir par un interlocuteur humain, et c'est un "service
d'annuaire" qui effectuera la traduction nom symbolique-adresse.
Ce service, géré automatiquement par des serveurs dialoguant entre eux est
appelé "DNS" (Domain Name Service)
Par exemple :
Microsoft -> microsoft.com
l'Elysée -> elysee.fr
La CIA -> cia.gov
JCB -> bellamyjc.org (;+))
...
Chaque point, dans le nom symbolique, sépare ce qu'on appelle un "domaine"
d'un "sous-domaine".
L'arborescence doit être lue de droite à gauche.
Les domaines de 1er niveau (=les plus à droite) sont définis à l'échelle
mondiale par l'ICANN (Internet Corporation for Assigned Names and Numbers)
(.com, .edu, .net, ...) et de plus chaque pays possède son propre domaine
(.be, .ca, .ch, .fr, .ch, ...)
Le domaine de 2ème niveau définit l'entreprise (ou organisme, université,
.).
Par exemple ".edf", ".microsoft", ".bellamyjc" ,.
Les domaines de 3ème niveau et au-delà sont facultatifs, et sont gérés par
l'entreprise pour distinguer plusieurs serveurs éventuels.
Quand une entreprise (organisme, ..) décide de "déposer un nom de domaine",
elle s'adresse à un prestataire habilité pour le faire (dans son pays pour
les domaines "régionaux" OU aux USA pour les domaines "génériques"), qui va
vérifier si le nom n'existe pas déjà, et ensuite va lui attribuer une (ou
plusieurs) adresse(s) IP disponible(s).

Le couple domaine-adresse IP est ensuite communiqué à des serveurs DNS, tous
connectés à Internet, qui vont dialoguer entre eux pour "répliquer" (si
besoin est) cette mise à jour d'annuaire.


2) Domaine Microsoft
--------------------
Il n'a AUCUN rapport avec le précédent, MEME SI, depuis l'arrivée de Windows
2000 et d'Active Directory, les noms de domaine Internet et domaine
Microsoft peuvent se ressembler, voire être identiques (au point d'être
source de conflits et problèmes parfois difficiles à surmonter par les
administrateurs!!!)

Cela concerne l'ORGANISATION d'un réseau de machines utilisant des OS
Microsoft et la façon de gérer les comptes des utilisateurs de ces machines.

Un réseau de machines Microsoft peut être organisé de 2 façons différents :
"Groupe de travail" (Workgroup)
ou
"Domaine"

(j'ai éliminé le cas de machines totalement isolées, étant donné qu'il
serait absurde d'intégrer une machine dans un réseau alors qu'on ne veut pas
qu'elle communique avec d'autres!)

2.1) Workgroup :
----------------
Chaque machine est AUTONOME, et gère elle-même la liste des utilisateurs
autorisés à s'y connecter (nom et mot de passe), avec leurs droits
respectifs.

Donc si l'utilisateur "Duschmurz" de la machine "A", mot de passe "plops",
veut se connecter sur la machine "B" (montage d'une ressource partagée,
disque ou imprimante), il faudra qu'il existe également sur cette machine B
un compte identique ("Duschmurz"/"plops").
Si par hasard le compte n'existe pas sur "B", ou si le mot de passe est
différent, la connexion sera refusée (à moins de préciser qu'on veut, au
préalable, changer d'identification)

Ce système est SIMPLE, ne demande aucune architecture particulière, un
serveur n'est pas nécessaire.
Par contre si le nombre d'utilisateurs est important, cela devient vite
INGÉRABLE! (il faut modifier la liste de comptes sur chaque machine pour que
tout le monde puisse communiquer)

Un Workgroup est défini par un nom, totalement arbitraire, et il est fixé au
niveau de chaque machine.
P.ex. sous XP depuis le panneau de config système, onglet "Nom de
l'ordinateur", Modifier

Dans un même réseau, il peut y avoir plusieurs groupes distincts (à la
limite autant qu'il y a de machines!).
Mais le fait d'appartenir au même workgroup facilite l'exploration du réseau
et réduit les temps de recherche de machine, c'est tout.

TOUTE machine, quel que soit son OS, peut être membre d'un Workgroup (Win
3.11, Win9X/ME, NT4 WS et SRV, W2K PRO et SRV, XP HOME ET PRO, W2K3)


2.2) Domaine (Microsoft):
-------------------------
La gestion des comptes (et des machines) est CENTRALISÉEE sur un SERVEUR de
DOMAINE (NT4, W2K, W2K3, Netware, Linux+Samba). (il peut y avoir aussi des
serveurs auxiliaires, de sauvegarde,..)

Dans ce cas, lorsque l'utilisateur "Duschmurz" veut ouvrir une session sur
sa machine "A", l'identification "Duschmurz"/"plops" est transmise
(automatiquement, par diffusion) sur le réseau, pour aboutir à un serveur
responsable du domaine (le nom de ce domaine est indiqué dans la boite
dialogue de connexion).

Tout domaine est donc identifié par un NOM, arbitraire, qui a été défini une
fois pour toutes sur le SERVEUR principal.
P.ex. "COMMERCIAL", "RECHERCHE", ..., voire "personnel.glutzenbaum.com" dans
le cas de serveurs Netware ou W2k/W2K3 avec Active Directory (donc ayant la
même structure qu'un nom de domaine Internet, ce qui est parfois source de
conflits et/ou d'erreurs humaines comme je l'indiquais plus haut).

NB: pour qu'un utilisateur puisse se connecter depuis un poste de travail à
un domaine, il aura fallu au préalable que cette machine ait été déclarée"
dans le domaine (opération effectuée par un administrateur de domaine)

Le serveur de domaine va examiner cette requête, en vérifiant que :
- la machine "A" est autorisée
- le compte "Duschmurz" est autorisé
- que le mot de passe "plops" est correct

Il va retourner alors un "jeton" d'autorisation à "A", ce qui va permettre
l'ouverture de la session en local, et aussi autoriser les montages de
ressources éventuelles.
Si "Duschmurz" veut monter un partage de la machine "B", appartenant au même
domaine, c'est l'authentification effectuée par le serveur de domaine (et
non pas par "B") qui va autoriser (ou refuser) cette opération.

Le fonctionnement en domaine est donc très PUISSANT, car DYNAMIQUE.

Ainsi, dans le cas d'un nouvel utilisateur, il suffit de créer son compte
UNIQUEMENT sur le serveur. A partir de cet instant, il pourra se connecter
sur n'importe quelle machine du domaine, et accéder à n'importe quelle
ressource, sous réserve de droits suffisants alloués par l'administrateur.
De plus, si l'administrateur a prévu la gestion de "profils itinérants"
(stockés sur le serveur), l'utilisateur retrouvera, quelle que soit la
machine sur laquelle il se connecte, l'environnement de travail qui lui est
propre (fond d'écran, icônes, raccourcis, petites manies, ...)

Un domaine réalisé avec un serveur NT4 ne possède qu'un seul niveau
("glutzenbaum"), par contre avec Netware ou W2k(3)+Active Directory on peut
avoir une arborescence quasi infinie ("siege.glutzenbaum",
"commercial.glutzenbaum", "personnel.glutzenbaum",
"filiale-A.etudes.glutzenbaum",...) ce qui permet d'affiner les droits (les
utilisateurs appartenant à une filiale n'auront pas accès aux machines et
ressources du siège, ...)

NB: Sous W2K et W2K3, cette liste de comptes et machines est stockée dans un
annuaire LDAP, composant principal de "Active Directory" (n'existe pas sous
NT4)


Il est évident que la mise en place d'un domaine peut s'avérer très complexe
(dans de très grandes entreprises cela peut nécessiter plusieurs mois, car
il faut faire attention, en particulier, dans la définition de
l'arborescence!) et nécessite obligatoirement la présence
d'administrateur(s).

Toute machine, ***** SAUF CELLES QUI SONT sous XP HOME *****, peut être
membre d'un Domaine (Win9X/ME, NT4,W2K, XP PRO, W2K3)


NB: Domaine et WorkGroup peuvent cohabiter dans un même réseau physique
(même si ce n'est pas très rationnel!). Je l'ai fait chez moi, à des fins de
tests des 2 architectures.
Un utilisateur ayant ouvert une session sur un ordinateur d'un Workgroup
pourra se connecter sur une ressource d'un ordinateur d'un domaine pour
autant que son compte local (username/password) se retrouve à l'identique
dans la liste des comptes du domaine, et inversement.


----------------------------
PS: j'ai essayé de synthétiser au maximum, car cette question fait l'objet
de livres entiers!
===================================================

Autre chose : le fait qu'un répertoire partagé 'tout le monde' n'est
accessible qu'apres demande du mot de passe d'un autre répertoire
partagé mais sur un seul utilisateur ??????? c'est quoi ça ?
Peux-tu répéter ?

Car je n'ai strictement RIEN compris ! ;-)

encore
un coup du 98 client ou du groupe de travail ? (note que ça ne
m'ennui pas, mais c'est quand même assez étrange ...)

merci de tes éclaircissements ...
au fait : ya peut être un groupe sur les réseaux XP plus spécifique ?
puisqu'il me semble qu'ici ça a pas l'air d'être la tasse de thé ....

Tout ce qui "Domaine" concerne les serveurs avant tout, donc tu trouvera
davantage d'infos sur les NG consacrés aux ... serveurs !
news:microsoft.public.fr.sbs
news:microsoft.public.fr.windows.server.* (6 groupes)
news:microsoft.public.fr.windows2000server
news:microsoft.public.fr.windowsnt


--
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Jean-Claude.Bellamy@wanadoo.fr * JC.Bellamy@free.fr

Jean-Claude BELLAMY <Jean-Claude.Bellamy@wanadoo.fr> écrivait:

Et c'est reparti pour un tour !

merci :-)

--
Thierry MARTIN
R. Parce que ça rompt le cours normal de la conversation !!!
Q. Pourquoi ne faut-il pas répondre au-dessus de la question ?