[XP Pro] Partage de fichiers

Le
Pat
Bonjour,

Quelques questions sur le partage de fichiers en WORKGROUP :

- Le groupe "Tout le monde" est il indispensable pour faire fonctionner
le partage de fichiers/répertoires en réseau local ? Supprimer ce groupe
est-il le seul moyen de forcer l'identification ?
- Posséder un compte identique (login & pass) sur les PC du réseau est
il nécessaire pour s'identifier ?
- Comment utiliser le groupe des "Utilisateurs authentifiés" ?

@+ :-)

--
Pat
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
~Jean-Marc~ [MVP]
Le #17932381
Salut Pat,
tu nous disais :
Bonjour,

Quelques questions sur le partage de fichiers en WORKGROUP :

- Le groupe "Tout le monde" est il indispensable pour faire
fonctionner le partage de fichiers/répertoires en réseau local ?
Supprimer ce groupe est-il le seul moyen de forcer l'identification ?
- Posséder un compte identique (login & pass) sur les PC du réseau est
il nécessaire pour s'identifier ?
- Comment utiliser le groupe des "Utilisateurs authentifiés" ?



Regarde cette page et les suivantes :
http://docxp.mvps.org/Partage_2.htm

@+

--
~Jean-Marc~ MVP Windows Desktop Experience Fr
( Vista x86 Ultimate FR)
- http://msmvps.com/blogs/docxp/ -
- http://docxp.mvps.org -
Pat
Le #17935671
"~Jean-Marc~ [MVP]" message de news: %
Salut Pat,
tu nous disais :
Quelques questions sur le partage de fichiers en WORKGROUP :

- Le groupe "Tout le monde" est il indispensable pour faire
fonctionner le partage de fichiers/répertoires en réseau local ?
Supprimer ce groupe est-il le seul moyen de forcer l'identification ?
- Posséder un compte identique (login & pass) sur les PC du réseau
est il nécessaire pour s'identifier ?
- Comment utiliser le groupe des "Utilisateurs authentifiés" ?



Regarde cette page et les suivantes :
http://docxp.mvps.org/Partage_2.htm



Ok, c'est utile merci ! Cependant, j'ai 2 questions :-)
- 1) Un utilisateur anonyme est-ce une personne qui accède à une
ressource sur un PC, mais sans y posséder un compte local ?
- 2) Que signifie le groupe des "Utilisateurs authentifiés" ?

@+

--
Pat
Jean-Claude BELLAMY
Le #17936031
"Pat" news:

Quelques questions sur le partage de fichiers en WORKGROUP :

- Le groupe "Tout le monde" est il indispensable pour faire fonctionner
le partage de fichiers/répertoires en réseau local ?


NON !
Sauf si tu y tiens, en ouvrant une brèche béante de sécurité sur tes
machines !

Chez moi, aucune permission n'est accordée à "Tout le monde".
Seuls quelques partages (imprimante p.ex) sont accordés à "Tout le monde"
(et dans ce cas, c'est uniquement avec des droits en lecture seule)
J'ai des partitions (NTFS) qui sont partagées, mais "Tout le monde" a été
retiré ausisi bien des permissions que des partage

"Tout le monde" = tous les utilisateurs + les invités

ATTENTION !!!!!!!!! :
J'ai bien écrit avoir RETIRÉ "Tout le monde".
Par contre, je N'AI PAS REFUSÉ l'accès à "tout le monde" !
En effet, les administrateurs, p.ex. font partie de "Tout le monde"
Donc si on REFUSE l'accès à "Tout le monde", on va aussi le refuser, par
transitivité, à tous les administrateurs !
Car il faut pas oublier que dans les mécanismes de sécurité de Windows,
lrosqu'une intrediatcion et une autorisation sont contradictoires,
l'interdiction l'emporte TOUJOURS!


Supprimer ce groupe est-il le seul moyen de forcer l'identification ?


Qu'entends tu par "supprimer ce groupe" ?
Le retirer de la liste de contrôle d'accès à l'objet concerné (fichier,
répertoire, imprimante,...) ?


- Posséder un compte identique (login & pass) sur les PC du réseau est
il nécessaire pour s'identifier ?



Ta question est TRÈS MAL FORMULÉE !

Pour ouvrir une session sur une machine distante, il faut :
- soit se déclarer en tant qu'INVITÉ à la condition que
ce pseudo-compte soit autorisé (par défaut, il est désactivé
et c'est très bien comme çà !)

- soit utiliser un compte (login & pass) qui fasse partie de la liste
des comptes de la machine distante.
Ce compte peut ou non exister sur la machine locale.
S'il existe et si c'est le compte qui a servi à ouvrir la session
locale,
la connexion vers la machine distante se fait "silencieusement".
Dans tous les autres cas, il faudra saisir dans une boite de dialogue
le login et le pass.

- Comment utiliser le groupe des "Utilisateurs authentifiés" ?



Comme son nom l'indique, ce groupe concerne tous les utilisateurs
authentifiés par un username/password.

Cela signifie que ce groupe exclut :
- les invités
- les comptes "virtuels" du système,
p.ex. "LocalService", "NetworkService", ...
Lorsque 2 ordinateurs doivent dialoguer entre eux
AVANT qu'une session distante soit ouverte,
ils communiquent via une session dite "nulle" ou "anonyme"
dans laquelle le 1er va transmettre à l'autre p.ex.
ses identifiants en cours. Durant cette phase il y a
une "présession" ouverte avec un utilisateur "non authentifié"


Je te conseille la lecture de ces 2 articles :
"Différences entre Groupe de travail et Domaine"
http://www.bellamyjc.org/fr/windowsnt.html#wrkgrp-dom

"Différences entre partages et permissions"
http://www.bellamyjc.org/fr/windowsnt.html#partages-permissions

Ainsi que :
"Local System Account and Null Sessions in Windows NT"t
http://support.microsoft.com/default.aspx?scid=kb;en-us;q132679

"Restricting Information Available to Anonymous Logon Users"
http://support.microsoft.com/default.aspx?scid=kb;en-us;q143474

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Pat
Le #17940811
"Jean-Claude BELLAMY" message de news:
"Pat" news:

Quelques questions sur le partage de fichiers en WORKGROUP :

- Le groupe "Tout le monde" est il indispensable pour faire
fonctionner le partage de fichiers/répertoires en réseau local ?


NON !
Sauf si tu y tiens, en ouvrant une brèche béante de sécurité sur tes
machines !

Chez moi, aucune permission n'est accordée à "Tout le monde".
Seuls quelques partages (imprimante p.ex) sont accordés à "Tout le
monde" (et dans ce cas, c'est uniquement avec des droits en lecture
seule). J'ai des partitions (NTFS) qui sont partagées, mais "Tout le
monde" a été retiré aussi bien des permissions que des partages.

"Tout le monde" = tous les utilisateurs + les invités

ATTENTION !!!!!!!!! :
J'ai bien écrit avoir RETIRÉ "Tout le monde".
Par contre, je N'AI PAS REFUSÉ l'accès à "tout le monde" !



Tu veux dire décocher toutes les permissions et authorisations => ne
veux pas dire REFUSÉ l'accès à "tout le monde" ?

En effet, les administrateurs, p.ex. font partie de "Tout le monde".
Donc si on REFUSE l'accès à "Tout le monde", on va aussi le refuser,
par transitivité, à tous les administrateurs !
Car il faut pas oublier que dans les mécanismes de sécurité de
Windows, lrosqu'une intrediatcion et une autorisation sont
contradictoires, l'interdiction l'emporte TOUJOURS!

Supprimer ce groupe est-il le seul moyen de forcer l'identification ?


Qu'entends tu par "supprimer ce groupe" ?
Le retirer de la liste de contrôle d'accès à l'objet concerné
(fichier, répertoire, imprimante,...) ?



Oui, le supprimer des permissions NTFS et des authorisations de partage,
mais il est possible de le conserver et de tout décocher, maintenant que
je le sais :-)

- Posséder un compte identique (login & pass) sur les PC du réseau
est il nécessaire pour s'identifier ?



Ta question est TRÈS MAL FORMULÉE !

Pour ouvrir une session sur une machine distante, il faut :
- soit se déclarer en tant qu'INVITÉ à la condition que
ce pseudo-compte soit autorisé (par défaut, il est désactivé
et c'est très bien comme çà !)

- soit utiliser un compte (login & pass) qui fasse partie de la
liste des comptes de la machine distante.
Ce compte peut ou non exister sur la machine locale.



Veux tu dire qu'il n'a pas d'existence dans "documents and settings" ?
Il est possible de créer un compte masqué et non ouvert, dédié
uniquement au partage ?

S'il existe et si c'est le compte qui a servi à ouvrir la session
locale, la connexion vers la machine distante se fait
"silencieusement".



Uniquement dans le cas ou le couple (login & pass) est identique sur le
PC distant ?

Dans tous les autres cas, il faudra saisir dans une boite de
dialogue le login et le pass.

- Comment utiliser le groupe des "Utilisateurs authentifiés" ?



Comme son nom l'indique, ce groupe concerne tous les utilisateurs
authentifiés par un username/password.



Ce sont uniquement ceux qui possèdent un compte local (actif ou non),
parce que pour moi authentifié c'est le couple login et pass ?

Cela signifie que ce groupe exclut :
- les invités
- les comptes "virtuels" du système,
p.ex. "LocalService", "NetworkService", ...
Lorsque 2 ordinateurs doivent dialoguer entre eux
AVANT qu'une session distante soit ouverte,
ils communiquent via une session dite "nulle" ou "anonyme"
dans laquelle le 1er va transmettre à l'autre p.ex.
ses identifiants en cours. Durant cette phase il y a
une "présession" ouverte avec un utilisateur "non authentifié"

Je te conseille la lecture de ces 2 articles :
"Différences entre Groupe de travail et Domaine"
http://www.bellamyjc.org/fr/windowsnt.html#wrkgrp-dom

"Différences entre partages et permissions"
http://www.bellamyjc.org/fr/windowsnt.html#partages-permissions



On apprend beaucoup de choses...

Ainsi que :
"Local System Account and Null Sessions in Windows NT"t
http://support.microsoft.com/default.aspx?scid=kb;en-us;q132679

"Restricting Information Available to Anonymous Logon Users"
http://support.microsoft.com/default.aspx?scid=kb;en-us;q143474



Merci pour tes réponses !

@+

--
Pat
Jean-Claude BELLAMY
Le #17942901
"Pat" news:%
"Jean-Claude BELLAMY" message de news:
"Pat" news:

Quelques questions sur le partage de fichiers en WORKGROUP :




[...]
Tu veux dire décocher toutes les permissions et authorisations => ne
veux pas dire REFUSÉ l'accès à "tout le monde" ?


Exactement !
C'est peut-être pour toi (et d'autres !!!) une subtilité linguistique ou de
logique, mais
"NE PAS AUTORISER (explicitement)"
est différent de
"REFUSER"
!

Je m'explique en énumérant les cas de figure possibles :
1) Présence de "AUTORISATION à tout le monde" :
-> Tout le monde (= tous les utilisateurs "nommés" + tous les invités)
a le droit de ...

2) Absence de "AUTORISATION à tout le monde" :
-> Seuls les comptes et groupes explicitement présents dans la
liste de contrôle d'accès ont le droit de ...

3) Présence de "REFUS à tout le monde" :
-> Personne (= tous les utilisateurs "nommés" + tous les invités)
n'a le droit de ..., même s'il est autorisé explicitement

[...]
Pour ouvrir une session sur une machine distante, il faut :
- soit se déclarer en tant qu'INVITÉ à la condition que
ce pseudo-compte soit autorisé (par défaut, il est désactivé
et c'est très bien comme çà !)

- soit utiliser un compte (login & pass) qui fasse partie de la
liste des comptes de la machine distante.
Ce compte peut ou non exister sur la machine locale.



Veux tu dire qu'il n'a pas d'existence dans "documents and settings" ?



Bien sûr !
Quand depuis une machine "A" tu veux te connecter à une machine distante
"B", le couple "username/password" utilisé pour cette connexion doit
correspondre à un compte présent dans la base SAM (Security Access Manager)
de la machine DISTANTE ("B") , et non pas de la machine locale ("A")
'!!!!!!!!!
Le seul intérêt qu'il soit ÉGALEMENT sur "A", c'est que çà facilite la
connexion, qui se fait alors silencieusement, sans boite de dialogue
d'authentification.

RAPPEL IMPORTANT :
Le dossier "Documents and settings" (ou "Users" sous Vista) ne contient le
sous-dossier lié à un compte qu'à partir du moment où le dit compte a ouvert
au moins une fois une session interactive (= LOCALEMENT) sur la machine
concernée.

Quand on crée p.ex. un compte "HOMER" password "Dohhhh" sur une machine,
cela ne crée pas de dossier "Documents and settingsHOMER"!
Mais cette absence n'empêchera pas, depuis une machine distante, de se
connecter en utilisant le couple "HOMER"/"Dohhhh".
Le dossier "Documents and settingsHOMER" sera créé lorsque l'utilisateur
"HOMER" ouvrira une session locale la 1ère fois.

Donc, pour en revenir à la machine "A" depuis laquelle on veut se connecter
vers "B", le couple "HOMER"/"Dohhhh" ne concerne que "B", et peut être
totalement absent de la SAM et a fortiori de "Documents and settings" de
"A".

Il est possible de créer un compte masqué et non ouvert, dédié
uniquement au partage ?


OUI, si on le souhaite, on peut effectivement créer un compte qui ne servira
JAMAIS à ouvrir de session LOCALE, mais sera utilisé uniquement depuis des
machines distantes (avec son nom et mot de passe) pour se connecter à une
ressource partagée.

Et on pourra effectivement masquer ce compte dans l'écran de logon en jouant
sur la clef
HKLMSoftwareMicrosoftWindows
NTCurrentVersionWinlogonSpecialAccountsUserList
Pour plus d'infos cf.
http://www.bellamyjc.org/fr/windowsxp2003.html#displaylogon


S'il existe et si c'est le compte qui a servi à ouvrir la session
locale, la connexion vers la machine distante se fait
"silencieusement".



Uniquement dans le cas ou le couple (login & pass) est identique sur le
PC distant ?


Oui, mais à condition de RECTIFIER ta phrase:
"... dans le cas ou le couple (login & pass) est PRÉSENT dans la liste des
comptes du PC distant."
En effet, on peut très bien se connecter à un PC avec le couple
"HOMER/Dohhhh" alors qu'au même moment sur ce PC, au choix, :
- aucune session interactive n'est ouverte
- une session sous le compte "BART/Caramba" est ouverte
- une session sous le compte "HOMER/Dohhhh" est ouverte

Ce qui compte UNIQUEMENT, c'est que le compte "HOMER", avec le password
"Dohhhh", existe sur le PC distant, mais on se fiche totalement que HOMER
ait ouvert une session locale ou non.


- Comment utiliser le groupe des "Utilisateurs authentifiés" ?



Comme son nom l'indique, ce groupe concerne tous les utilisateurs
authentifiés par un username/password.



Ce sont uniquement ceux qui possèdent un compte local (actif ou non),
parce que pour moi authentifié c'est le couple login et pass ?


OUI, c'est la même chose.

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Pat
Le #17946361
"Jean-Claude BELLAMY" message de news:
"Pat" news:%
"Jean-Claude BELLAMY" le message de news:
"Pat" news:

Quelques questions sur le partage de fichiers en WORKGROUP :




[...]
Tu veux dire décocher toutes les permissions et authorisations => ne
veux pas dire REFUSÉ l'accès à "tout le monde" ?


Exactement !
C'est peut-être pour toi (et d'autres !!!) une subtilité linguistique
ou de logique, mais
"NE PAS AUTORISER (explicitement)"
est différent de
"REFUSER" !

Je m'explique en énumérant les cas de figure possibles :
1) Présence de "AUTORISATION à tout le monde" :
-> Tout le monde (= tous les utilisateurs "nommés" + tous les
invités) a le droit de ...

2) Absence de "AUTORISATION à tout le monde" :
-> Seuls les comptes et groupes explicitement présents dans la
liste de contrôle d'accès ont le droit de ...

3) Présence de "REFUS à tout le monde" :
-> Personne (= tous les utilisateurs "nommés" + tous les invités)
n'a le droit de ..., même s'il est autorisé explicitement



Merci c'est très clair ainsi.

[...]
Pour ouvrir une session sur une machine distante, il faut :
- soit se déclarer en tant qu'INVITÉ à la condition que
ce pseudo-compte soit autorisé (par défaut, il est désactivé
et c'est très bien comme çà !)

- soit utiliser un compte (login & pass) qui fasse partie de la
liste des comptes de la machine distante.
Ce compte peut ou non exister sur la machine locale.



Veux tu dire qu'il n'a pas d'existence dans "documents and settings"
?



Bien sûr !
Quand depuis une machine "A" tu veux te connecter à une machine
distante "B", le couple "username/password" utilisé pour cette
connexion doit correspondre à un compte présent dans la base SAM
(Security Access Manager) de la machine DISTANTE ("B") , et non pas de
la machine locale ("A") !!!!!!
Le seul intérêt qu'il soit ÉGALEMENT sur "A", c'est que çà facilite la
connexion, qui se fait alors silencieusement, sans boite de dialogue
d'authentification.

RAPPEL IMPORTANT :
Le dossier "Documents and settings" (ou "Users" sous Vista) ne
contient le sous-dossier lié à un compte qu'à partir du moment où le
dit compte a ouvert au moins une fois une session interactive ( > LOCALEMENT) sur la machine concernée.

Quand on crée p.ex. un compte "HOMER" password "Dohhhh" sur une
machine, cela ne crée pas de dossier "Documents and settingsHOMER"!
Mais cette absence n'empêchera pas, depuis une machine distante, de se
connecter en utilisant le couple "HOMER"/"Dohhhh".
Le dossier "Documents and settingsHOMER" sera créé lorsque
l'utilisateur "HOMER" ouvrira une session locale la 1ère fois.

Donc, pour en revenir à la machine "A" depuis laquelle on veut se
connecter vers "B", le couple "HOMER"/"Dohhhh" ne concerne que "B",
et peut être totalement absent de la SAM et a fortiori de "Documents
and settings" de "A".

Il est possible de créer un compte masqué et non ouvert, dédié
uniquement au partage ?


OUI, si on le souhaite, on peut effectivement créer un compte qui ne
servira JAMAIS à ouvrir de session LOCALE, mais sera utilisé
uniquement depuis des machines distantes (avec son nom et mot de
passe) pour se connecter à une ressource partagée.



Mais j'y pense "Administrateur" est un compte local ET masqué !

Et on pourra effectivement masquer ce compte dans l'écran de logon en
jouant sur la clef
HKLMSoftwareMicrosoftWindows
NTCurrentVersionWinlogonSpecialAccountsUserList
Pour plus d'infos cf.
http://www.bellamyjc.org/fr/windowsxp2003.html#displaylogon



Il n'existe pas de GPO ?

S'il existe et si c'est le compte qui a servi à ouvrir la
session locale, la connexion vers la machine distante se fait
"silencieusement".



Uniquement dans le cas ou le couple (login & pass) est identique sur
le PC distant ?


Oui, mais à condition de RECTIFIER ta phrase:
"... dans le cas ou le couple (login & pass) est PRÉSENT dans la liste
des comptes du PC distant."
En effet, on peut très bien se connecter à un PC avec le couple
"HOMER/Dohhhh" alors qu'au même moment sur ce PC, au choix, :
- aucune session interactive n'est ouverte
- une session sous le compte "BART/Caramba" est ouverte
- une session sous le compte "HOMER/Dohhhh" est ouverte

Ce qui compte UNIQUEMENT, c'est que le compte "HOMER", avec le
password "Dohhhh", existe sur le PC distant, mais on se fiche
totalement que HOMER ait ouvert une session locale ou non.



La possibilité d'enregistrer des informations d'identification Réseau
sur la machine LOCALE comme dans "Gérer mes mots de passe réseau" :
http://cjoint.com/?lypApSvJr8
Nous évite d'avoir à répondre à une fenêtre d'identification en
fournissant "silencieusement" le couple (login & pass) à la machine
DISTANTE ?

@+

--
Pat
Publicité
Poster une réponse
Anonyme