se faire passer pour un autre utilisateur (su -)

Le
J.delmas
Bonjour à tous, j'aimerais savoir si quand on est admin il y a possibilité
de se faire passer pour un autre utilisateur (comme sous unix avec la
commande su -).
Actuellement on est soit obligé de demander son mdp à l'utilisateur, soit
qu'il soit là pour pouvoir faire des modifs sur son compte (edition de
profils, modification de droits dont le propriétaire est l'utilisateur et ou
les admins n'ont pas accès).

Merci beaucoup.

J.Delmas
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jacques Barathon [MS]
Le #529928
"J.delmas" news:%
Bonjour à tous, j'aimerais savoir si quand on est admin il y a possibilité
de se faire passer pour un autre utilisateur (comme sous unix avec la
commande su -).
Actuellement on est soit obligé de demander son mdp à l'utilisateur, soit
qu'il soit là pour pouvoir faire des modifs sur son compte (edition de
profils, modification de droits dont le propriétaire est l'utilisateur et
ou les admins n'ont pas accès).


Il faut forcément connaître le mot de passe du compte que l'on souhaite
utiliser, quelle que soit la technique. Ca me paraît être le B.A.BA de la
sécurité, sur Windows comme sur tout autre système.

Evidemment, en tant qu'administrateur tu as toujours la possibilité de
changer le mot de passe des autres comptes, et donc de pouvoir ensuite les
utiliser. Mais il faudra communiquer ce changement aux comptes concernés
puisque leurs utilisateurs s'en apercevront en constatant que leur mot de
passe ne marche plus.

Pour ce qui est des tâches d'administration dont tu parles:

- A ma connaissance, l'édition d'un profil nécessite bien son ouverture par
le compte en question. Tu peux éventuellement programmer certaines tâches à
l'ouverture de session (que ce soit par un script d'ouverture de session ou
par l'application d'une stratégie). Il existe peut-être des techniques
d'importation/exportation d'un profil qui permettent sa modification depuis
un autre compte, mais je n'ai pas d'info à ce sujet.

- Pour ce qui est des fichiers auxquels les administrateurs n'ont pas accès,
ce n'est pas une très bonne pratique car cela ne protège en rien
l'utilisateur mais ça complique la tâche aux administrateurs lorsqu'il faut
intervenir sur un répertoire pour une raison ou pour une autre. La solution
la plus simple consiste à reprendre possession des fichiers (tu trouveras
notamment cette option dans les options avancées de l'onglet sécurité des
fichiers ou répertoires concernés), puis à se redonner les permissions
d'accès qui vont bien.

Jacques

J.delmas
Le #529706
Merci beaucoup pour cette réponse et pour votre rapidité.

Jacques D.


"Jacques Barathon [MS]" message de news:
"J.delmas" news:%
Bonjour à tous, j'aimerais savoir si quand on est admin il y a
possibilité de se faire passer pour un autre utilisateur (comme sous unix
avec la commande su -).
Actuellement on est soit obligé de demander son mdp à l'utilisateur, soit
qu'il soit là pour pouvoir faire des modifs sur son compte (edition de
profils, modification de droits dont le propriétaire est l'utilisateur et
ou les admins n'ont pas accès).


Il faut forcément connaître le mot de passe du compte que l'on souhaite
utiliser, quelle que soit la technique. Ca me paraît être le B.A.BA de la
sécurité, sur Windows comme sur tout autre système.

Evidemment, en tant qu'administrateur tu as toujours la possibilité de
changer le mot de passe des autres comptes, et donc de pouvoir ensuite les
utiliser. Mais il faudra communiquer ce changement aux comptes concernés
puisque leurs utilisateurs s'en apercevront en constatant que leur mot de
passe ne marche plus.

Pour ce qui est des tâches d'administration dont tu parles:

- A ma connaissance, l'édition d'un profil nécessite bien son ouverture
par le compte en question. Tu peux éventuellement programmer certaines
tâches à l'ouverture de session (que ce soit par un script d'ouverture de
session ou par l'application d'une stratégie). Il existe peut-être des
techniques d'importation/exportation d'un profil qui permettent sa
modification depuis un autre compte, mais je n'ai pas d'info à ce sujet.

- Pour ce qui est des fichiers auxquels les administrateurs n'ont pas
accès, ce n'est pas une très bonne pratique car cela ne protège en rien
l'utilisateur mais ça complique la tâche aux administrateurs lorsqu'il
faut intervenir sur un répertoire pour une raison ou pour une autre. La
solution la plus simple consiste à reprendre possession des fichiers (tu
trouveras notamment cette option dans les options avancées de l'onglet
sécurité des fichiers ou répertoires concernés), puis à se redonner les
permissions d'accès qui vont bien.

Jacques



Glenn Gagné
Le #529699
La manière de gérer un réseau Windows est de toute évidence différente de
Linux (ou encore de Novell ou Mac...)

C'est comme on pourrait dire:

Toute les routes mène à Rome (Chaque solution est différente, mais en bout
ligne elle permet de donner le même résultat... différement bien sûr).

-------------------------------------------

Étant Admin. de réseau Linux et Windows, j'avoue qu'un "su nom_user" en
Linux est super sympa !!!! Mais avec Microsoft ça n'existe pas.

La méthode pour gérer la configuration des utilisateurs se fait généralement
avec la GPO (Stratégies de groupes) et les scripts WSH (VBS et JavaScript)
que tu peux faire lancer au démarage de la session. Et enfin avec les
stratégies de groupe, tu peux appliquer des choix forcés dans le registre de
Windows afin que l'utilisateur puisse ou ne puisse pas faire tel chose et
pour les autre programmes non-Microsoft tu peux utiliser les scripts pour
lancer un "regedit" afin de fusionner dans le registre un fichier de
configuration de ce programme. C'est pour ça que la plupart des programmes
utilisent le registre de Windows pour stocker ses paramètres !

Et je suis sur que tu n'auras pas trop de difficultés à apprendre le
VBScript si tu travailles déjà pas mal en Linux et la ligne de commande.

Il y a évidemment aussi d'autres applications avec Windows qui permettent de
faire des actions spécifiques, comme par exemple schtasks.exe (pour lancer
des tâches planifiées sur d'autres ordis avec un compte spécifique) un peu
comme CRON.

----------------------------------------------

N'hésite pas à poser d'autres questions

Glenn Gagné
Technicien MCP/TI


"J.delmas" news:%
Bonjour à tous, j'aimerais savoir si quand on est admin il y a possibilité
de se faire passer pour un autre utilisateur (comme sous unix avec la
commande su -).
Actuellement on est soit obligé de demander son mdp à l'utilisateur, soit
qu'il soit là pour pouvoir faire des modifs sur son compte (edition de
profils, modification de droits dont le propriétaire est l'utilisateur et
ou

les admins n'ont pas accès).

Merci beaucoup.

J.Delmas




Jacques Barathon [MS]
Le #529490
"Glenn Gagné" news:u%
La manière de gérer un réseau Windows est de toute évidence différente de
Linux (ou encore de Novell ou Mac...)

C'est comme on pourrait dire:

Toute les routes mène à Rome (Chaque solution est différente, mais en bout
ligne elle permet de donner le même résultat... différement bien sûr).

-------------------------------------------

Étant Admin. de réseau Linux et Windows, j'avoue qu'un "su nom_user" en
Linux est super sympa !!!! Mais avec Microsoft ça n'existe pas.


Tu veux dire que sur une plateforme Linux, à partir du moment où tu es
administrateur (ou root), tu peux exécuter une tâche en tant qu'utilisateur
lambda sans connaître son mot de passe?

Jacques

Glenn Gagné
Le #529487
Oui, tu peux ouvrir une session en tant que l'utilisateur (en mode console)
sans taper son mot de passe lorsque tu es ouvert avec le compte root de
cette manière:

su nom_usager

--------------------

Glenn


"Jacques Barathon [MS]" message de news:%
"Glenn Gagné" news:u%
La manière de gérer un réseau Windows est de toute évidence différente
de


Linux (ou encore de Novell ou Mac...)

C'est comme on pourrait dire:

Toute les routes mène à Rome (Chaque solution est différente, mais en
bout


ligne elle permet de donner le même résultat... différement bien sûr).

-------------------------------------------

Étant Admin. de réseau Linux et Windows, j'avoue qu'un "su nom_user" en
Linux est super sympa !!!! Mais avec Microsoft ça n'existe pas.


Tu veux dire que sur une plateforme Linux, à partir du moment où tu es
administrateur (ou root), tu peux exécuter une tâche en tant
qu'utilisateur

lambda sans connaître son mot de passe?

Jacques




Jacques Barathon [MS]
Le #529484
"Glenn Gagné" news:
Oui, tu peux ouvrir une session en tant que l'utilisateur (en mode
console)
sans taper son mot de passe lorsque tu es ouvert avec le compte root de
cette manière:

su nom_usager



Ben... Intéressant, mais pas terrible côté intégrité de l'identité...

Jacques

Glenn Gagné
Le #529256
C'est sur que le compte "root" sur un système Linux ne doit pas être remis à
n'importe qui... comme "Administrateur" sous Windows.

Comme on sait, on ne devrait jamais utiliser le compte root, ni
Administrateur en temps normal, mais un autre compte ayant les droits
administratifs pour léguer les droits administratifs aux gestionnaires du
système.

Mais encore là on sait très bien que ce n'est pas toujours le cas et que
c'est quand même assez facile à contourner... mais c'est aussi possible de
surveilleur ces actions :o)




"Jacques Barathon [MS]" message de news:
"Glenn Gagné" news:
Oui, tu peux ouvrir une session en tant que l'utilisateur (en mode
console)
sans taper son mot de passe lorsque tu es ouvert avec le compte root de
cette manière:

su nom_usager



Ben... Intéressant, mais pas terrible côté intégrité de l'identité...

Jacques




heinquoi
Le #532493
Bonjour à tous, j'aimerais savoir si quand on est admin il y a possibilité
de se faire passer pour un autre utilisateur (comme sous unix avec la
commande su -).
Actuellement on est soit obligé de demander son mdp à l'utilisateur, soit
qu'il soit là pour pouvoir faire des modifs sur son compte (edition de
profils, modification de droits dont le propriétaire est l'utilisateur et ou
les admins n'ont pas accès).

Merci beaucoup.

J.Delmas




bien, en console, il y a:
- su.exe dans le Resource Kit de NT4
- et a partir de W2000 runas.exe

qui permettent de changer d'utilisateur et qui devrait d'ailleurs etre
utilisé en permanence pour l'administration... comme pour Unix.

Mais vu le nombre de personnes qui t'as répondu en se sens...elles
semblent peu utilisé. c'est dommage, elles évitent bien des catastrophes.
--
cordialment,

Franck Charpentier

diplômé DPCT informatique du CNAM et en école d'ingenieur informatique
au CNAM.
Certifié MCSA Windows 2003 malgré son penchant bien connu pour Linux :-)

Glenn Gagné
Le #532287
L'application runas.exe nécessite le mot de passe de l'utilisateur.

et J. Delmas a dit:

Actuellement on est soit obligé de demander son mdp à l'utilisateur, soit
qu'il soit là pour pouvoir faire des modifs sur son compte (edition de
profils, modification de droits dont le propriétaire est l'utilisateur et ou
les admins n'ont pas accès).



Glenn

news:eIwQO%
Bonjour à tous, j'aimerais savoir si quand on est admin il y a
possibilité


de se faire passer pour un autre utilisateur (comme sous unix avec la
commande su -).
Actuellement on est soit obligé de demander son mdp à l'utilisateur,
soit


qu'il soit là pour pouvoir faire des modifs sur son compte (edition de
profils, modification de droits dont le propriétaire est l'utilisateur
et ou


les admins n'ont pas accès).

Merci beaucoup.

J.Delmas




bien, en console, il y a:
- su.exe dans le Resource Kit de NT4
- et a partir de W2000 runas.exe

qui permettent de changer d'utilisateur et qui devrait d'ailleurs etre
utilisé en permanence pour l'administration... comme pour Unix.

Mais vu le nombre de personnes qui t'as répondu en se sens...elles
semblent peu utilisé. c'est dommage, elles évitent bien des catastrophes.
--
cordialment,

Franck Charpentier

diplômé DPCT informatique du CNAM et en école d'ingenieur informatique
au CNAM.
Certifié MCSA Windows 2003 malgré son penchant bien connu pour Linux :-)



Publicité
Poster une réponse
Anonyme