empécher les utilisateurs d'installer des polices.
6 réponses
kurtz_le_pirate
bonjour,
un peu long le titre mais au moins c'est explicite. donc je voudrais
empécher les users d'installer des polices. voila ce que je compte faire :
sur tout les dossiers fonts, laisser r/w pour l'admin et r pour tout les
autres :
*/fonts : drwxr-xr-.
pensez-vous que cette méthode soit viable et efficasse ?
merci de vos avis
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
laurent.pertois
kurtz_le_pirate wrote:
pensez-vous que cette méthode soit viable et efficasse ?
Ben, il y a un ~/Library/Fonts. Tu peux interdire d'y écrire mais il faudra le refaire à chaque fois que tu vas créer un utilisateur. Ne te contente pas de changer les droits, change aussi le propriétaire car sinon l'utilisateur pourra remettre des droits lui permettant d'écrire.
De plus, un utilisateur non admin ne peut installer de fontes dans /Library/Fonts. Quant à /System/Library/Fonts, personne ne peut ni ne doit y écrire.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
kurtz_le_pirate <kurtzlepirate@yahoo.fr> wrote:
pensez-vous que cette méthode soit viable et efficasse ?
Ben, il y a un ~/Library/Fonts. Tu peux interdire d'y écrire mais il
faudra le refaire à chaque fois que tu vas créer un utilisateur. Ne te
contente pas de changer les droits, change aussi le propriétaire car
sinon l'utilisateur pourra remettre des droits lui permettant d'écrire.
De plus, un utilisateur non admin ne peut installer de fontes dans
/Library/Fonts. Quant à /System/Library/Fonts, personne ne peut ni ne
doit y écrire.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
pensez-vous que cette méthode soit viable et efficasse ?
Ben, il y a un ~/Library/Fonts. Tu peux interdire d'y écrire mais il faudra le refaire à chaque fois que tu vas créer un utilisateur. Ne te contente pas de changer les droits, change aussi le propriétaire car sinon l'utilisateur pourra remettre des droits lui permettant d'écrire.
De plus, un utilisateur non admin ne peut installer de fontes dans /Library/Fonts. Quant à /System/Library/Fonts, personne ne peut ni ne doit y écrire.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
pdorange
kurtz_le_pirate wrote:
un peu long le titre mais au moins c'est explicite. donc je voudrais empécher les users d'installer des polices. voila ce que je compte faire : sur tout les dossiers fonts, laisser r/w pour l'admin et r pour tout les autres : */fonts : drwxr-xr-.
pensez-vous que cette méthode soit viable et efficasse ?
Efficace : oui (si tu changes le proprio comme l'indique laurent) Viable : bof, lors d'une grosse réinstall faudra que tu refasses la config manuel, risques d'oublis donc.
Perso je suis plus pour la (petite) responsabilisation des utilisateurs.
Chaque poste a un compte Admin dont je suis le seul a avoir accès (en tant que responsable réseau). L'utilisateur a un compte normal, il ne peut donc ni installer de polices ou de logiciels hors de son propre compte. J'ajoute un compte invité, uniquement pour l'accès web et logiciels de bureautique pour un besoin ponctuel.
Chaque utilisateur a une note lui indiquant qu'il ne peut installer de logiciels ou de polices sur l'ordinateur. Si toutefois il le fait (dans son compte), c'est de sa seule responsabilité et si il rencontre des problèmes, le service informatique ne sera pas tenu responsable de l'immobilisation de son poste.
Voilà.
Avec ça, j'ai 3 types d'utilisateurs (c'était vrai aussi avant ou sur PC) :
- le basique qui n'installe rien et qui faisait déjà de même sous OS9
- l'évolué qui installe quelques petits trucs dans son compte mais fort raisonnablement et eventuellement me demande mon avis. Dans ce cas je lui demande pourquoi il a besoins de ça et lui rappelle qu'en cas de problèmes c'est lui le responsable. Si la demande devient récurente pour un logiciel, j'envisage son déploiement en administrateur.
- le fou furieux, qui installe pleins de trucs. C'est bien évidemment avec lui que j'ai le plus de problèmes. Bien évidemment je le dépanne (c'est mon boulot) mais a chaque fois je lui dit clairement que c'est lui qui a mis le bordel avec ces ajouts (si c'est justifié) et je nettoie tout les ajouts systématiquement. Si il est vraiment trop pénible, je ne le metr pas prioritaire dans les interventions et il a droit a un email de rappel concernant le non installation de suppléments avec si il faut copie au chef de service.
-- Pierre-Alain Dorange
Vidéo, DV et QuickTime <http://alcazar.xbecom.com/videogarage/> Clarus, the DogCow <http://clarus.chez.tiscali.fr/>
kurtz_le_pirate <kurtzlepirate@yahoo.fr> wrote:
un peu long le titre mais au moins c'est explicite. donc je voudrais
empécher les users d'installer des polices. voila ce que je compte faire :
sur tout les dossiers fonts, laisser r/w pour l'admin et r pour tout les
autres :
*/fonts : drwxr-xr-.
pensez-vous que cette méthode soit viable et efficasse ?
Efficace : oui (si tu changes le proprio comme l'indique laurent)
Viable : bof, lors d'une grosse réinstall faudra que tu refasses la
config manuel, risques d'oublis donc.
Perso je suis plus pour la (petite) responsabilisation des utilisateurs.
Chaque poste a un compte Admin dont je suis le seul a avoir accès (en
tant que responsable réseau).
L'utilisateur a un compte normal, il ne peut donc ni installer de
polices ou de logiciels hors de son propre compte.
J'ajoute un compte invité, uniquement pour l'accès web et logiciels de
bureautique pour un besoin ponctuel.
Chaque utilisateur a une note lui indiquant qu'il ne peut installer de
logiciels ou de polices sur l'ordinateur.
Si toutefois il le fait (dans son compte), c'est de sa seule
responsabilité et si il rencontre des problèmes, le service informatique
ne sera pas tenu responsable de l'immobilisation de son poste.
Voilà.
Avec ça, j'ai 3 types d'utilisateurs (c'était vrai aussi avant ou sur
PC) :
- le basique qui n'installe rien et qui faisait déjà de même sous OS9
- l'évolué qui installe quelques petits trucs dans son compte mais fort
raisonnablement et eventuellement me demande mon avis. Dans ce cas je
lui demande pourquoi il a besoins de ça et lui rappelle qu'en cas de
problèmes c'est lui le responsable.
Si la demande devient récurente pour un logiciel, j'envisage son
déploiement en administrateur.
- le fou furieux, qui installe pleins de trucs.
C'est bien évidemment avec lui que j'ai le plus de problèmes.
Bien évidemment je le dépanne (c'est mon boulot) mais a chaque fois je
lui dit clairement que c'est lui qui a mis le bordel avec ces ajouts (si
c'est justifié) et je nettoie tout les ajouts systématiquement.
Si il est vraiment trop pénible, je ne le metr pas prioritaire dans les
interventions et il a droit a un email de rappel concernant le non
installation de suppléments avec si il faut copie au chef de service.
--
Pierre-Alain Dorange
Vidéo, DV et QuickTime <http://alcazar.xbecom.com/videogarage/>
Clarus, the DogCow <http://clarus.chez.tiscali.fr/>
un peu long le titre mais au moins c'est explicite. donc je voudrais empécher les users d'installer des polices. voila ce que je compte faire : sur tout les dossiers fonts, laisser r/w pour l'admin et r pour tout les autres : */fonts : drwxr-xr-.
pensez-vous que cette méthode soit viable et efficasse ?
Efficace : oui (si tu changes le proprio comme l'indique laurent) Viable : bof, lors d'une grosse réinstall faudra que tu refasses la config manuel, risques d'oublis donc.
Perso je suis plus pour la (petite) responsabilisation des utilisateurs.
Chaque poste a un compte Admin dont je suis le seul a avoir accès (en tant que responsable réseau). L'utilisateur a un compte normal, il ne peut donc ni installer de polices ou de logiciels hors de son propre compte. J'ajoute un compte invité, uniquement pour l'accès web et logiciels de bureautique pour un besoin ponctuel.
Chaque utilisateur a une note lui indiquant qu'il ne peut installer de logiciels ou de polices sur l'ordinateur. Si toutefois il le fait (dans son compte), c'est de sa seule responsabilité et si il rencontre des problèmes, le service informatique ne sera pas tenu responsable de l'immobilisation de son poste.
Voilà.
Avec ça, j'ai 3 types d'utilisateurs (c'était vrai aussi avant ou sur PC) :
- le basique qui n'installe rien et qui faisait déjà de même sous OS9
- l'évolué qui installe quelques petits trucs dans son compte mais fort raisonnablement et eventuellement me demande mon avis. Dans ce cas je lui demande pourquoi il a besoins de ça et lui rappelle qu'en cas de problèmes c'est lui le responsable. Si la demande devient récurente pour un logiciel, j'envisage son déploiement en administrateur.
- le fou furieux, qui installe pleins de trucs. C'est bien évidemment avec lui que j'ai le plus de problèmes. Bien évidemment je le dépanne (c'est mon boulot) mais a chaque fois je lui dit clairement que c'est lui qui a mis le bordel avec ces ajouts (si c'est justifié) et je nettoie tout les ajouts systématiquement. Si il est vraiment trop pénible, je ne le metr pas prioritaire dans les interventions et il a droit a un email de rappel concernant le non installation de suppléments avec si il faut copie au chef de service.
-- Pierre-Alain Dorange
Vidéo, DV et QuickTime <http://alcazar.xbecom.com/videogarage/> Clarus, the DogCow <http://clarus.chez.tiscali.fr/>
karim
Matt wrote:
Tiens je me demandais si tu avais testé la chose suivante; changer les permissions directement depuis "/System/Library/User Template".
ben le contenu des dossiers .lproj appartient à root/wheel. Lorsque tu créés un nouveau user tous les attributs changent en fonction du user nouvellement créé (uig, gid, droits...).
Pas sûr que le fait de changer "à la source" les droits soit efficace : ça peut même foutre le souc, non ?
Matt <sbehzf@syrius.org> wrote:
Tiens je me demandais si tu avais testé la chose suivante; changer les
permissions directement depuis "/System/Library/User Template".
ben le contenu des dossiers .lproj appartient à root/wheel. Lorsque tu
créés un nouveau user tous les attributs changent en fonction du user
nouvellement créé (uig, gid, droits...).
Pas sûr que le fait de changer "à la source" les droits soit efficace :
ça peut même foutre le souc, non ?
Tiens je me demandais si tu avais testé la chose suivante; changer les permissions directement depuis "/System/Library/User Template".
ben le contenu des dossiers .lproj appartient à root/wheel. Lorsque tu créés un nouveau user tous les attributs changent en fonction du user nouvellement créé (uig, gid, droits...).
Pas sûr que le fait de changer "à la source" les droits soit efficace : ça peut même foutre le souc, non ?
karim
Pierre-Alain Dorange wrote:
Si il est vraiment trop pénible, je ne le metr pas prioritaire dans les interventions et il a droit a un email de rappel concernant le non installation de suppléments avec si il faut copie au chef de service.
je vois qu'on a presque les mêmes :-)
Perso, ils sont tous en mode "géré" et je n'installe un soft qu'a la demande avec effectivement un déploiement si le besoin devient récurrent (voire pertinent). Et comme de toutes les façons c'est moi qui anticipe leurs besoins presque tout est déjà planqué qq part dans /Applications.
En fait, je les ai bien éduqués : c'est eux qui me demandent comment "faire ci" ou comment "faire ça" et avec quoi :-)
Pour le reste, j'ai qq PowerUser qui ont une bonne dose de saine curiosité.
A celà je n'ai pas eu le c½ur de les "brider" : ils ont les droits d'admin (mais pas MON compte admin qui lui est planqué) pour pouvoir explorer ce sympathique MacOS X.
Ceci dit, ils font tout seuls acte de contrition extrême quand ils viennent me voir parce qu'ils ont cassé leur MacOS X :-D
Si il est vraiment trop pénible, je ne le metr pas prioritaire dans les
interventions et il a droit a un email de rappel concernant le non
installation de suppléments avec si il faut copie au chef de service.
je vois qu'on a presque les mêmes :-)
Perso, ils sont tous en mode "géré" et je n'installe un soft qu'a la
demande avec effectivement un déploiement si le besoin devient récurrent
(voire pertinent). Et comme de toutes les façons c'est moi qui anticipe
leurs besoins presque tout est déjà planqué qq part dans /Applications.
En fait, je les ai bien éduqués : c'est eux qui me demandent comment
"faire ci" ou comment "faire ça" et avec quoi :-)
Pour le reste, j'ai qq PowerUser qui ont une bonne dose de saine
curiosité.
A celà je n'ai pas eu le c½ur de les "brider" : ils ont les droits
d'admin (mais pas MON compte admin qui lui est planqué) pour pouvoir
explorer ce sympathique MacOS X.
Ceci dit, ils font tout seuls acte de contrition extrême quand ils
viennent me voir parce qu'ils ont cassé leur MacOS X :-D
Si il est vraiment trop pénible, je ne le metr pas prioritaire dans les interventions et il a droit a un email de rappel concernant le non installation de suppléments avec si il faut copie au chef de service.
je vois qu'on a presque les mêmes :-)
Perso, ils sont tous en mode "géré" et je n'installe un soft qu'a la demande avec effectivement un déploiement si le besoin devient récurrent (voire pertinent). Et comme de toutes les façons c'est moi qui anticipe leurs besoins presque tout est déjà planqué qq part dans /Applications.
En fait, je les ai bien éduqués : c'est eux qui me demandent comment "faire ci" ou comment "faire ça" et avec quoi :-)
Pour le reste, j'ai qq PowerUser qui ont une bonne dose de saine curiosité.
A celà je n'ai pas eu le c½ur de les "brider" : ils ont les droits d'admin (mais pas MON compte admin qui lui est planqué) pour pouvoir explorer ce sympathique MacOS X.
Ceci dit, ils font tout seuls acte de contrition extrême quand ils viennent me voir parce qu'ils ont cassé leur MacOS X :-D
laurent.pertois
Matt wrote:
Tiens je me demandais si tu avais testé la chose suivante; changer les permissions directement depuis "/System/Library/User Template".
Ben, il change le proprio récursivement quand il copier le template pour faire le dossier utilisateur, donc l'utilisateur pourra ensuite changer les droits à son bon vouloir.
Sinon un cronjob pour vérifier si les permissions désirées sont toujours ok.
Mouais, entre deux tests on peut se retrouver avec des polices installées quand même.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Matt <sbehzf@syrius.org> wrote:
Tiens je me demandais si tu avais testé la chose suivante; changer les
permissions directement depuis "/System/Library/User Template".
Ben, il change le proprio récursivement quand il copier le template pour
faire le dossier utilisateur, donc l'utilisateur pourra ensuite changer
les droits à son bon vouloir.
Sinon un cronjob pour vérifier si les permissions désirées sont toujours
ok.
Mouais, entre deux tests on peut se retrouver avec des polices
installées quand même.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Tiens je me demandais si tu avais testé la chose suivante; changer les permissions directement depuis "/System/Library/User Template".
Ben, il change le proprio récursivement quand il copier le template pour faire le dossier utilisateur, donc l'utilisateur pourra ensuite changer les droits à son bon vouloir.
Sinon un cronjob pour vérifier si les permissions désirées sont toujours ok.
Mouais, entre deux tests on peut se retrouver avec des polices installées quand même.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
laurent.pertois
Matt wrote:
On Fri, 4 Mar 2005 16:31:55 +0100, Laurent Pertois wrote:
Ben, il change le proprio récursivement quand il copier le template pour faire le dossier utilisateur, donc l'utilisateur pourra ensuite changer les droits à son bon vouloir.
Si l'utilisateur a la notion des permissions ainsi que sur la façon de les changer.
Ben, pomme-i n'est pas un outil inconnu de l'utilisateur et ils finissent vite par tomber sur la partie autorisations.
Mouais, entre deux tests on peut se retrouver avec des polices installées quand même.
On les efface (radical, moi ?) et lui matraque la tronche à l'utilisateur ;)
C'est une option, effectivement :-)
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Matt <sbehzf@syrius.org> wrote:
On Fri, 4 Mar 2005 16:31:55 +0100,
Laurent Pertois <laurent.pertois@alussinan.org> wrote:
Ben, il change le proprio récursivement quand il copier le template pour
faire le dossier utilisateur, donc l'utilisateur pourra ensuite changer
les droits à son bon vouloir.
Si l'utilisateur a la notion des permissions ainsi que sur la façon de les
changer.
Ben, pomme-i n'est pas un outil inconnu de l'utilisateur et ils
finissent vite par tomber sur la partie autorisations.
Mouais, entre deux tests on peut se retrouver avec des polices
installées quand même.
On les efface (radical, moi ?) et lui matraque la tronche à l'utilisateur
;)
C'est une option, effectivement :-)
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
On Fri, 4 Mar 2005 16:31:55 +0100, Laurent Pertois wrote:
Ben, il change le proprio récursivement quand il copier le template pour faire le dossier utilisateur, donc l'utilisateur pourra ensuite changer les droits à son bon vouloir.
Si l'utilisateur a la notion des permissions ainsi que sur la façon de les changer.
Ben, pomme-i n'est pas un outil inconnu de l'utilisateur et ils finissent vite par tomber sur la partie autorisations.
Mouais, entre deux tests on peut se retrouver avec des polices installées quand même.
On les efface (radical, moi ?) et lui matraque la tronche à l'utilisateur ;)
C'est une option, effectivement :-)
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.