Enlever Administrateurs des droits NTFS des dossiers partagés
2 réponses
Jeankri
Je dois sécuriser l'accès à certains dossiers partagés, et seuls certains
utilisateurs doivent y avoir accès. Même les administrateurs et les
administrateurs du domaine ne devraient pas y accéder.
En enlevant simplement les droits à ces groupes, un administrateur peut
encore changer les droits du dossier. Que faut-il faire pour enlever cette
possibilité, et est-ce la bonne pratique ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jonathan Bismuth
Bonjour Jeankri,
malheureusement, quelque soit la pratique de contournement, un membre du groupe admins du domaine pourra Toujours changer les droits du fichier/dossier. Il n'existe pas, à mon sens, de méthode définitive pour empêcher d'y accéder.
-- Jonathan BISMUTH MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Jeankri" a écrit dans le message de news:
Je dois sécuriser l'accès à certains dossiers partagés, et seuls certains utilisateurs doivent y avoir accès. Même les administrateurs et les administrateurs du domaine ne devraient pas y accéder. En enlevant simplement les droits à ces groupes, un administrateur peut encore changer les droits du dossier. Que faut-il faire pour enlever cette possibilité, et est-ce la bonne pratique ?
Bonjour Jeankri,
malheureusement, quelque soit la pratique de contournement, un membre du
groupe admins du domaine pourra Toujours changer les droits du
fichier/dossier. Il n'existe pas, à mon sens, de méthode définitive pour
empêcher d'y accéder.
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Jeankri" <Jeankri@discussions.microsoft.com> a écrit dans le message de
news: 2B28BD25-0F32-4034-8B26-31E804483341@microsoft.com...
Je dois sécuriser l'accès à certains dossiers partagés, et seuls certains
utilisateurs doivent y avoir accès. Même les administrateurs et les
administrateurs du domaine ne devraient pas y accéder.
En enlevant simplement les droits à ces groupes, un administrateur peut
encore changer les droits du dossier. Que faut-il faire pour enlever cette
possibilité, et est-ce la bonne pratique ?
malheureusement, quelque soit la pratique de contournement, un membre du groupe admins du domaine pourra Toujours changer les droits du fichier/dossier. Il n'existe pas, à mon sens, de méthode définitive pour empêcher d'y accéder.
-- Jonathan BISMUTH MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Jeankri" a écrit dans le message de news:
Je dois sécuriser l'accès à certains dossiers partagés, et seuls certains utilisateurs doivent y avoir accès. Même les administrateurs et les administrateurs du domaine ne devraient pas y accéder. En enlevant simplement les droits à ces groupes, un administrateur peut encore changer les droits du dossier. Que faut-il faire pour enlever cette possibilité, et est-ce la bonne pratique ?
Emmanuel Dreux [MS]
La seule possibilité c'est de splitter la forêt et mettre les ressources qui ne doivent pas être accessibles aux admin dans cette autre forêt ( et former les utilisateurs finaux à administrer cette forêt ).
Sinon, envisager une solution d'encryption basée sur clé privée inaccessible aux admins.
Mais bon, un admin mal intentionné et bien déterminé pourra toujours se débrouiller pour récupérer le mot de passe de l'utilisateur. ( password filter dll installé sur un dc, key logger sur poste client...).
"Jonathan Bismuth" a écrit dans le message de news:
Bonjour Jeankri,
malheureusement, quelque soit la pratique de contournement, un membre du groupe admins du domaine pourra Toujours changer les droits du fichier/dossier. Il n'existe pas, à mon sens, de méthode définitive pour empêcher d'y accéder.
-- Jonathan BISMUTH MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Jeankri" a écrit dans le message de news:
Je dois sécuriser l'accès à certains dossiers partagés, et seuls certains utilisateurs doivent y avoir accès. Même les administrateurs et les administrateurs du domaine ne devraient pas y accéder. En enlevant simplement les droits à ces groupes, un administrateur peut encore changer les droits du dossier. Que faut-il faire pour enlever cette possibilité, et est-ce la bonne pratique ?
La seule possibilité c'est de splitter la forêt et mettre les ressources qui
ne doivent pas être accessibles aux admin dans cette autre forêt ( et former
les utilisateurs finaux à administrer cette forêt ).
Sinon, envisager une solution d'encryption basée sur clé privée inaccessible
aux admins.
Mais bon, un admin mal intentionné et bien déterminé pourra toujours se
débrouiller pour récupérer le mot de passe de l'utilisateur.
( password filter dll installé sur un dc, key logger sur poste client...).
"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news: eq9Zg9tsFHA.4044@TK2MSFTNGP09.phx.gbl...
Bonjour Jeankri,
malheureusement, quelque soit la pratique de contournement, un membre du
groupe admins du domaine pourra Toujours changer les droits du
fichier/dossier. Il n'existe pas, à mon sens, de méthode définitive pour
empêcher d'y accéder.
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Jeankri" <Jeankri@discussions.microsoft.com> a écrit dans le message de
news: 2B28BD25-0F32-4034-8B26-31E804483341@microsoft.com...
Je dois sécuriser l'accès à certains dossiers partagés, et seuls certains
utilisateurs doivent y avoir accès. Même les administrateurs et les
administrateurs du domaine ne devraient pas y accéder.
En enlevant simplement les droits à ces groupes, un administrateur peut
encore changer les droits du dossier. Que faut-il faire pour enlever
cette
possibilité, et est-ce la bonne pratique ?
La seule possibilité c'est de splitter la forêt et mettre les ressources qui ne doivent pas être accessibles aux admin dans cette autre forêt ( et former les utilisateurs finaux à administrer cette forêt ).
Sinon, envisager une solution d'encryption basée sur clé privée inaccessible aux admins.
Mais bon, un admin mal intentionné et bien déterminé pourra toujours se débrouiller pour récupérer le mot de passe de l'utilisateur. ( password filter dll installé sur un dc, key logger sur poste client...).
"Jonathan Bismuth" a écrit dans le message de news:
Bonjour Jeankri,
malheureusement, quelque soit la pratique de contournement, un membre du groupe admins du domaine pourra Toujours changer les droits du fichier/dossier. Il n'existe pas, à mon sens, de méthode définitive pour empêcher d'y accéder.
-- Jonathan BISMUTH MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Jeankri" a écrit dans le message de news:
Je dois sécuriser l'accès à certains dossiers partagés, et seuls certains utilisateurs doivent y avoir accès. Même les administrateurs et les administrateurs du domaine ne devraient pas y accéder. En enlevant simplement les droits à ces groupes, un administrateur peut encore changer les droits du dossier. Que faut-il faire pour enlever cette possibilité, et est-ce la bonne pratique ?
