Permissions de groupe sous W3K

Le
Eric - Lucifer
Bonjour à tous.

J'ai un pb de sécurité avec le partage de dossiers sur un serveur 2003. Mais
que je vous expose d'abord la config globale :

- Le réseau informatique de ma boite est monté autour d'un serveur de
domaine principal WinNT 4.0 (oui, je sais, on est à la bourre en techno mais
la migration est pour bientot !). Les comptes utilisateurs sont donc des
comptes NT.
- Outre des serveurs de domaine secondaires, des serveurs de messagerie,
nous utilisons des serveurs de fichiers dans ce domaine sous 2003.
- Sur ces 2003, nous partageons des dossiers au profit des utilisateurs de
la boite avec des permissions spécifiques pour chaque groupe.

Le problème c'est que n'importe quel utilisateur du domaine peut lire les
fichiers de tous les dossiers ainsi partagés pour peu qu'il déploie les
favoris réseau. Au début, nous ne comprenions pas et puis j'ai remarqué que
le groupe des utilisateurs locaux des serveurs de fichiers incluait
systématiquement le groupe des utilisateurs du domaine.

Pour être plus clair : le groupe Serveur2003/Utilisateurs contient comme
membre le groupe MonDomaine/Utilisateurs du domaine.

Et le groupe des utilisateurs locaux dispose systématiquement des
permissions de lecture-exécution sur tous les dossiers (même non partagés)
du serveur en question. Ce qui expliquerai le fait que les utilisateurs du
domaine aient les même permission.

Le premier point qui m'interpelle c'est justement le pourquoi de la présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?

Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible pour
les utilisateurs non expressément autorisés.

J'ai du savoir le pourquoi de ce phénomène par le passé mais impossible de
remettre la main dessus. Alors si vous voulez bien me rafraichir la
mémoire

Merci d'avance.

Cordialement,

Eric
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Eric - Lucifer
Le #745137
"Eric - Lucifer" 466d2b07$0$6607$
Bonjour à tous.

J'ai un pb de sécurité avec le partage de dossiers sur un serveur 2003.
Mais
que je vous expose d'abord la config globale :

- Le réseau informatique de ma boite est monté autour d'un serveur de
domaine principal WinNT 4.0 (oui, je sais, on est à la bourre en techno
mais
la migration est pour bientot !). Les comptes utilisateurs sont donc des
comptes NT.
- Outre des serveurs de domaine secondaires, des serveurs de messagerie,
nous utilisons des serveurs de fichiers dans ce domaine sous 2003.
- Sur ces 2003, nous partageons des dossiers au profit des utilisateurs de
la boite avec des permissions spécifiques pour chaque groupe.

Le problème c'est que n'importe quel utilisateur du domaine peut lire les
fichiers de tous les dossiers ainsi partagés pour peu qu'il déploie les
favoris réseau. Au début, nous ne comprenions pas et puis j'ai remarqué
que
le groupe des utilisateurs locaux des serveurs de fichiers incluait
systématiquement le groupe des utilisateurs du domaine.

Pour être plus clair : le groupe Serveur2003/Utilisateurs contient comme
membre le groupe MonDomaine/Utilisateurs du domaine.

Et le groupe des utilisateurs locaux dispose systématiquement des
permissions de lecture-exécution sur tous les dossiers (même non partagés)
du serveur en question. Ce qui expliquerai le fait que les utilisateurs du
domaine aient les même permission.

Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?

Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.

J'ai du savoir le pourquoi de ce phénomène par le passé mais impossible de
remettre la main dessus. Alors si vous voulez bien me rafraichir la
mémoire...

Merci d'avance.

Cordialement,

Eric



Personne pour répondre ? Me serais-je trompé de groupe ?

A l'origine, j'ai posté dans microsoft.public.fr.windows.server mais ce
groupe n'est pas très actif apparemment. Si j'ai fauté, merci de m'indiquer
le groupe le plus adapté à ma question.

Cordialement,

Eric

Jonathan BISMUTH
Le #745133
Bonjour Eric,

tu n'as pas fauté, mais tu dois comprendre que personne ici n'est payé pour
répondre, nous faisons ça bénévolement et pendant notre temps libre d'ou
parfois la lenteur des retours.

Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?



Car cela fait partie des bonnes pratiques MS!

Explication simplifiée :
- sur un domaine, tu crée des utilisateurs. Microsoft te déconseille de
leurs donner directement des droits (ex : ouverture d'une session locale)
- tu place tes utilisateurs dans des groupes GLOBAUX, et donne des droits
globaux sur le domaine à ce type de groupe (ex: lire le contenu de l'OU
TEST1)
- tu place ces groupes globaux dans des groupes LOCAUX à une machine à ce
type de groupe (ex: ouverture d'une session locale)
=> c'est globalement la méthode la plus fiable -et supportée- pour gérer les
accès.

Microsoft applique donc sa propre méthode en ajoutant utilisateurs du
domaine [global] dans utilisateurs [local].
A savoir que la stratégie de sécurité par défaut d'un poste ou serveur
autorise uniquement les membres de certains groupes locaux à ouvrir une
session localement sur une machine : Administrateurs, Invité, Opérateurs de
sauvegarde, Utilisateurs, utilisateurs avec pouvoir => pas utilisateurs du
domaine!

Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.



Bon réflexe! Toutefois, as-tu pensé a vérifier qui d'autre était membre
d'Utilisateurs, as-tu repéré Utilisateurs authentifiés?
Ce groupe comprends -aussi- tous les utilisateurs du domaine, mais pas
qu'eux ;) ce petit article t'interessera peut être si le sujet te trouble,
il date un peu mais ne change pas grand chose au concept éternel des
différents groupes utilisateurs par défaut :
http://www.windowsitpro.com/Articles/ArticleID/23581/23581.html?Ad=1

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Eric - Lucifer" 466ecdaa$0$18787$
"Eric - Lucifer" 466d2b07$0$6607$
Bonjour à tous.

J'ai un pb de sécurité avec le partage de dossiers sur un serveur 2003.
Mais
que je vous expose d'abord la config globale :

- Le réseau informatique de ma boite est monté autour d'un serveur de
domaine principal WinNT 4.0 (oui, je sais, on est à la bourre en techno
mais
la migration est pour bientot !). Les comptes utilisateurs sont donc des
comptes NT.
- Outre des serveurs de domaine secondaires, des serveurs de messagerie,
nous utilisons des serveurs de fichiers dans ce domaine sous 2003.
- Sur ces 2003, nous partageons des dossiers au profit des utilisateurs
de
la boite avec des permissions spécifiques pour chaque groupe.

Le problème c'est que n'importe quel utilisateur du domaine peut lire les
fichiers de tous les dossiers ainsi partagés pour peu qu'il déploie les
favoris réseau. Au début, nous ne comprenions pas et puis j'ai remarqué
que
le groupe des utilisateurs locaux des serveurs de fichiers incluait
systématiquement le groupe des utilisateurs du domaine.

Pour être plus clair : le groupe Serveur2003/Utilisateurs contient comme
membre le groupe MonDomaine/Utilisateurs du domaine.

Et le groupe des utilisateurs locaux dispose systématiquement des
permissions de lecture-exécution sur tous les dossiers (même non
partagés)
du serveur en question. Ce qui expliquerai le fait que les utilisateurs
du
domaine aient les même permission.

Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?

Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.

J'ai du savoir le pourquoi de ce phénomène par le passé mais impossible
de
remettre la main dessus. Alors si vous voulez bien me rafraichir la
mémoire...

Merci d'avance.

Cordialement,

Eric



Personne pour répondre ? Me serais-je trompé de groupe ?

A l'origine, j'ai posté dans microsoft.public.fr.windows.server mais ce
groupe n'est pas très actif apparemment. Si j'ai fauté, merci de
m'indiquer le groupe le plus adapté à ma question.

Cordialement,

Eric




Eric - Lucifer
Le #745128
"Jonathan BISMUTH"
Bonjour Eric,

tu n'as pas fauté, mais tu dois comprendre que personne ici n'est payé
pour répondre, nous faisons ça bénévolement et pendant notre temps libre
d'ou parfois la lenteur des retours.

Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?



Car cela fait partie des bonnes pratiques MS!

Explication simplifiée :
- sur un domaine, tu crée des utilisateurs. Microsoft te déconseille de
leurs donner directement des droits (ex : ouverture d'une session locale)
- tu place tes utilisateurs dans des groupes GLOBAUX, et donne des droits
globaux sur le domaine à ce type de groupe (ex: lire le contenu de l'OU
TEST1)
- tu place ces groupes globaux dans des groupes LOCAUX à une machine à ce
type de groupe (ex: ouverture d'une session locale)
=> c'est globalement la méthode la plus fiable -et supportée- pour gérer
les accès.

Microsoft applique donc sa propre méthode en ajoutant utilisateurs du
domaine [global] dans utilisateurs [local].
A savoir que la stratégie de sécurité par défaut d'un poste ou serveur
autorise uniquement les membres de certains groupes locaux à ouvrir une
session localement sur une machine : Administrateurs, Invité, Opérateurs
de sauvegarde, Utilisateurs, utilisateurs avec pouvoir => pas utilisateurs
du domaine!

Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.



Bon réflexe! Toutefois, as-tu pensé a vérifier qui d'autre était membre
d'Utilisateurs, as-tu repéré Utilisateurs authentifiés?
Ce groupe comprends -aussi- tous les utilisateurs du domaine, mais pas
qu'eux ;) ce petit article t'interessera peut être si le sujet te trouble,
il date un peu mais ne change pas grand chose au concept éternel des
différents groupes utilisateurs par défaut :
http://www.windowsitpro.com/Articles/ArticleID/23581/23581.html?Ad=1

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Eric - Lucifer" 466ecdaa$0$18787$
"Eric - Lucifer" 466d2b07$0$6607$
Bonjour à tous.

J'ai un pb de sécurité avec le partage de dossiers sur un serveur 2003.
Mais
que je vous expose d'abord la config globale :

- Le réseau informatique de ma boite est monté autour d'un serveur de
domaine principal WinNT 4.0 (oui, je sais, on est à la bourre en techno
mais
la migration est pour bientot !). Les comptes utilisateurs sont donc des
comptes NT.
- Outre des serveurs de domaine secondaires, des serveurs de messagerie,
nous utilisons des serveurs de fichiers dans ce domaine sous 2003.
- Sur ces 2003, nous partageons des dossiers au profit des utilisateurs
de
la boite avec des permissions spécifiques pour chaque groupe.

Le problème c'est que n'importe quel utilisateur du domaine peut lire
les
fichiers de tous les dossiers ainsi partagés pour peu qu'il déploie les
favoris réseau. Au début, nous ne comprenions pas et puis j'ai remarqué
que
le groupe des utilisateurs locaux des serveurs de fichiers incluait
systématiquement le groupe des utilisateurs du domaine.

Pour être plus clair : le groupe Serveur2003/Utilisateurs contient comme
membre le groupe MonDomaine/Utilisateurs du domaine.

Et le groupe des utilisateurs locaux dispose systématiquement des
permissions de lecture-exécution sur tous les dossiers (même non
partagés)
du serveur en question. Ce qui expliquerai le fait que les utilisateurs
du
domaine aient les même permission.

Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?

Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.

J'ai du savoir le pourquoi de ce phénomène par le passé mais impossible
de
remettre la main dessus. Alors si vous voulez bien me rafraichir la
mémoire...

Merci d'avance.

Cordialement,

Eric



Personne pour répondre ? Me serais-je trompé de groupe ?

A l'origine, j'ai posté dans microsoft.public.fr.windows.server mais ce
groupe n'est pas très actif apparemment. Si j'ai fauté, merci de
m'indiquer le groupe le plus adapté à ma question.

Cordialement,

Eric



Merci Jonathan.

Je suis bien conscient du caractère bénévole des intervenants ici. Je ne
voulais blesser personne. Je suis moi même intervenant sur d'autres
newsgroup et forum tout aussi bénévolement et je comprend très bien.

Je posais simplement la question de ma relance car j'avais un doute sur la
destination de mon post. Tu as levé ce doute et ta réponse a levé aussi le
voile sur mes interrogations concernant le sujet qui m'intéressait.

Merci beaucoup !

Eric



Publicité
Poster une réponse
Anonyme