Peut on attribuer un mot de passe sur un répertoire créer sur le serveur
winnt en y attribuant des droits d'ouverture pour un ou plusieurs
utilisateurs. L'administrateur ne doit pouvoir ouvrir ce répertoire sans le
mot de passe.
Merci.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Antoine Leca
En <news:d8bibj$s1p$, Help ! va escriure:
Peut on attribuer un mot de passe sur un répertoire créer sur le serveur winnt en y attribuant des droits d'ouverture pour un ou plusieurs utilisateurs.
Je ne pense pas. Si j'ai bien compris, cela signifie qu'à CHAQUE fois que tu veux accéder à un fichier, tu dois redemander le mot de passe ? Une fois pour ouvrir le répertoire, une fois pour en lire le contenu (la liste des fichiers) ? Une autre fois pour savoir si MACHIN a bien le droit de lire tel fichier ? Et encore une autre fois pour permettre à un autre programme (au hasard, Excel) de lire lui aussi le même fichier ? Etc jusqu'à plus soif ?
Ou alors tu dois fournir une fois le mot de passe, et ensuite c'est bon, tu peux travailler sur le répertoire et tous les fichiers ?
Et si c'est la seconde solution, qu'est-ce qui ne va pas avec le mot de passe normal de l'utilisateur (ou éventuellement un mot de passe spécifique sur un autre domaine, si tu ne veux pas partager les mots de passe, ou forcer des mots de passe « solides » seulement pour ton répertoire protégé) ?
L'administrateur ne doit pouvoir ouvrir ce répertoire sans le mot de
passe.
ÀMHA, si tu dois limiter les pouvoirs de l'administrateur, c'est que tu as un problème avec la conception de sécurité de ton installation. Genre trop de personnes qui connaissent le mot de passe admin actuel, voire pire trop de personnes qui se connectent parfois comme administrateur. Voire, horreur absolue, des gens qui sont connectés en permanence comme administrateur (et qui surfent sur le web en plus, pourquoi pas?)
Toujours ÀMHA, l'administrateur ne devrait jamais être utilisé SAUF « quand on en a besoin », c'est-à-dire PAS pour des opérations de gestion courante, seulement pour les opérations exceptionnelles ; et à ce moment-là il devient idiot de redemander le mot de passe (qui est bien sûr arbitrairement difficile et change toutes les semaines) toutes les quatre secondes.
Je sais bien que certains chefs (dont les miens) ne veulent pas que « l'administrateur » (les informaticiens, en bon français) puissent voir certains fichiers; la dernière fois qu'ils me l'ont proposé/demandé/« exigé », je leur ai expliqué que cela signifiait l'impossiblité de récupérer les fichiers en cas de défaillance ; comme on en avait eu une quelques mois auparavant, l'idée n'a pas été plus loin. (Et oui, je sais qu'avec 2000 et EFS on peut chiffrer).
Antoine
En <news:d8bibj$s1p$1@s1.news.oleane.net>, Help ! va escriure:
Peut on attribuer un mot de passe sur un répertoire créer sur le
serveur winnt en y attribuant des droits d'ouverture pour un ou
plusieurs utilisateurs.
Je ne pense pas.
Si j'ai bien compris, cela signifie qu'à CHAQUE fois que tu veux accéder à
un fichier, tu dois redemander le mot de passe ? Une fois pour ouvrir le
répertoire, une fois pour en lire le contenu (la liste des fichiers) ? Une
autre fois pour savoir si MACHIN a bien le droit de lire tel fichier ? Et
encore une autre fois pour permettre à un autre programme (au hasard, Excel)
de lire lui aussi le même fichier ? Etc jusqu'à plus soif ?
Ou alors tu dois fournir une fois le mot de passe, et ensuite c'est bon, tu
peux travailler sur le répertoire et tous les fichiers ?
Et si c'est la seconde solution, qu'est-ce qui ne va pas avec le mot de
passe normal de l'utilisateur (ou éventuellement un mot de passe spécifique
sur un autre domaine, si tu ne veux pas partager les mots de passe, ou
forcer des mots de passe « solides » seulement pour ton répertoire protégé)
?
L'administrateur ne doit pouvoir ouvrir ce répertoire sans le mot de
passe.
ÀMHA, si tu dois limiter les pouvoirs de l'administrateur, c'est que tu as
un problème avec la conception de sécurité de ton installation. Genre trop
de personnes qui connaissent le mot de passe admin actuel, voire pire trop
de personnes qui se connectent parfois comme administrateur. Voire, horreur
absolue, des gens qui sont connectés en permanence comme administrateur (et
qui surfent sur le web en plus, pourquoi pas?)
Toujours ÀMHA, l'administrateur ne devrait jamais être utilisé SAUF « quand
on en a besoin », c'est-à-dire PAS pour des opérations de gestion courante,
seulement pour les opérations exceptionnelles ; et à ce moment-là il devient
idiot de redemander le mot de passe (qui est bien sûr arbitrairement
difficile et change toutes les semaines) toutes les quatre secondes.
Je sais bien que certains chefs (dont les miens) ne veulent pas que «
l'administrateur » (les informaticiens, en bon français) puissent voir
certains fichiers; la dernière fois qu'ils me l'ont proposé/demandé/«
exigé », je leur ai expliqué que cela signifiait l'impossiblité de récupérer
les fichiers en cas de défaillance ; comme on en avait eu une quelques mois
auparavant, l'idée n'a pas été plus loin. (Et oui, je sais qu'avec 2000 et
EFS on peut chiffrer).
Peut on attribuer un mot de passe sur un répertoire créer sur le serveur winnt en y attribuant des droits d'ouverture pour un ou plusieurs utilisateurs.
Je ne pense pas. Si j'ai bien compris, cela signifie qu'à CHAQUE fois que tu veux accéder à un fichier, tu dois redemander le mot de passe ? Une fois pour ouvrir le répertoire, une fois pour en lire le contenu (la liste des fichiers) ? Une autre fois pour savoir si MACHIN a bien le droit de lire tel fichier ? Et encore une autre fois pour permettre à un autre programme (au hasard, Excel) de lire lui aussi le même fichier ? Etc jusqu'à plus soif ?
Ou alors tu dois fournir une fois le mot de passe, et ensuite c'est bon, tu peux travailler sur le répertoire et tous les fichiers ?
Et si c'est la seconde solution, qu'est-ce qui ne va pas avec le mot de passe normal de l'utilisateur (ou éventuellement un mot de passe spécifique sur un autre domaine, si tu ne veux pas partager les mots de passe, ou forcer des mots de passe « solides » seulement pour ton répertoire protégé) ?
L'administrateur ne doit pouvoir ouvrir ce répertoire sans le mot de
passe.
ÀMHA, si tu dois limiter les pouvoirs de l'administrateur, c'est que tu as un problème avec la conception de sécurité de ton installation. Genre trop de personnes qui connaissent le mot de passe admin actuel, voire pire trop de personnes qui se connectent parfois comme administrateur. Voire, horreur absolue, des gens qui sont connectés en permanence comme administrateur (et qui surfent sur le web en plus, pourquoi pas?)
Toujours ÀMHA, l'administrateur ne devrait jamais être utilisé SAUF « quand on en a besoin », c'est-à-dire PAS pour des opérations de gestion courante, seulement pour les opérations exceptionnelles ; et à ce moment-là il devient idiot de redemander le mot de passe (qui est bien sûr arbitrairement difficile et change toutes les semaines) toutes les quatre secondes.
Je sais bien que certains chefs (dont les miens) ne veulent pas que « l'administrateur » (les informaticiens, en bon français) puissent voir certains fichiers; la dernière fois qu'ils me l'ont proposé/demandé/« exigé », je leur ai expliqué que cela signifiait l'impossiblité de récupérer les fichiers en cas de défaillance ; comme on en avait eu une quelques mois auparavant, l'idée n'a pas été plus loin. (Et oui, je sais qu'avec 2000 et EFS on peut chiffrer).
Antoine
Help !
1
Ou alors tu dois fournir une fois le mot de passe, et ensuite c'est bon, tu peux travailler sur le répertoire et tous les fichiers ?
2
L'administrateur ne doit pouvoir ouvrir ce répertoire sans le mot de passe.
Je sais bien que certains chefs (dont les miens) ne veulent pas que « l'administrateur » (les informaticiens, en bon français) puissent voir certains fichiers; la dernière fois qu'ils me l'ont proposé/demandé/« exigé », je leur ai expliqué que cela signifiait l'impossiblité de récupérer les fichiers en cas de défaillance ; comme on en avait eu une quelques mois auparavant, l'idée n'a pas été plus loin. (Et oui, je sais qu'avec 2000 et EFS on peut chiffrer).
3 pour résumé le DG veut un répertoire à son nom sur le serveur, et qu'il soit le seul à pouvoir l'ouvrir. L'admin ne doit pas pouvoir l'ouvrir depuis le serveur.
1
Ou alors tu dois fournir une fois le mot de passe, et ensuite c'est bon,
tu
peux travailler sur le répertoire et tous les fichiers ?
2
L'administrateur ne doit pouvoir ouvrir ce répertoire sans le mot de
passe.
Je sais bien que certains chefs (dont les miens) ne veulent pas que «
l'administrateur » (les informaticiens, en bon français) puissent voir
certains fichiers; la dernière fois qu'ils me l'ont proposé/demandé/«
exigé », je leur ai expliqué que cela signifiait l'impossiblité de
récupérer
les fichiers en cas de défaillance ; comme on en avait eu une quelques
mois
auparavant, l'idée n'a pas été plus loin. (Et oui, je sais qu'avec 2000 et
EFS on peut chiffrer).
3 pour résumé le DG veut un répertoire à son nom sur le serveur, et qu'il
soit le seul à pouvoir l'ouvrir. L'admin ne doit pas pouvoir l'ouvrir depuis
le serveur.
Ou alors tu dois fournir une fois le mot de passe, et ensuite c'est bon, tu peux travailler sur le répertoire et tous les fichiers ?
2
L'administrateur ne doit pouvoir ouvrir ce répertoire sans le mot de passe.
Je sais bien que certains chefs (dont les miens) ne veulent pas que « l'administrateur » (les informaticiens, en bon français) puissent voir certains fichiers; la dernière fois qu'ils me l'ont proposé/demandé/« exigé », je leur ai expliqué que cela signifiait l'impossiblité de récupérer les fichiers en cas de défaillance ; comme on en avait eu une quelques mois auparavant, l'idée n'a pas été plus loin. (Et oui, je sais qu'avec 2000 et EFS on peut chiffrer).
3 pour résumé le DG veut un répertoire à son nom sur le serveur, et qu'il soit le seul à pouvoir l'ouvrir. L'admin ne doit pas pouvoir l'ouvrir depuis le serveur.
Jean-Claude BELLAMY
Dans le message news:d8kad5$41u$ , Help ! s'est ainsi exprimé:
Je sais bien que certains chefs (dont les miens) ne veulent pas que « l'administrateur » (les informaticiens, en bon français) puissent voir certains fichiers; la dernière fois qu'ils me l'ont proposé/demandé/« exigé », je leur ai expliqué que cela signifiait l'impossiblité de récupérer les fichiers en cas de défaillance ; comme on en avait eu une quelques mois auparavant, l'idée n'a pas été plus loin. (Et oui, je sais qu'avec 2000 et EFS on peut chiffrer).
3 pour résumé le DG veut un répertoire à son nom sur le serveur, et qu'il soit le seul à pouvoir l'ouvrir. L'admin ne doit pas pouvoir l'ouvrir depuis le serveur.
Sans produit tiers c'est totalement impossible ! (du style Security Box) Un admin doit avoir tous les droits, c'est d'aillerus la RAISON d'ETRE des admins ! C'est valable quel que soit l'OS d'ailleurs (PC sous Windows ou Linux, statuosn UNIX, MainFrames,...)
Ensuite c'est une question de déontologie ... Un admin, c'est comme un notaire ou un médecin qui partage certains secrets familiaux ou personnels.
EFS permet de restreindre davantage l'accès, mais dans un domaine, le compte administrateur est également agent de récupération (DRA), donc peut (et je dirais DOIT POUVOIR !) accéder aux fichiers. Donc çà ne change rien.
Si le DG en question n'est pas fichu de comprendre çà, c'est que c'est un INCAPABLE complètement atrophié des neurones ! Tu peux me m'envoyer, je lui dirai ma façon de penser ! ;-)
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org *
Dans le message news:d8kad5$41u$1@s1.news.oleane.net ,
Help ! <pas-de-spam@merci.fr> s'est ainsi exprimé:
Je sais bien que certains chefs (dont les miens) ne veulent pas que «
l'administrateur » (les informaticiens, en bon français) puissent
voir certains fichiers; la dernière fois qu'ils me l'ont
proposé/demandé/« exigé », je leur ai expliqué que cela signifiait
l'impossiblité de récupérer
les fichiers en cas de défaillance ; comme on en avait eu une
quelques mois
auparavant, l'idée n'a pas été plus loin. (Et oui, je sais qu'avec
2000 et EFS on peut chiffrer).
3 pour résumé le DG veut un répertoire à son nom sur le serveur, et
qu'il soit le seul à pouvoir l'ouvrir. L'admin ne doit pas pouvoir
l'ouvrir depuis le serveur.
Sans produit tiers c'est totalement impossible !
(du style Security Box)
Un admin doit avoir tous les droits, c'est d'aillerus la RAISON d'ETRE des
admins !
C'est valable quel que soit l'OS d'ailleurs (PC sous Windows ou Linux,
statuosn UNIX, MainFrames,...)
Ensuite c'est une question de déontologie ...
Un admin, c'est comme un notaire ou un médecin qui partage certains secrets
familiaux ou personnels.
EFS permet de restreindre davantage l'accès, mais dans un domaine, le compte
administrateur est également agent de récupération (DRA), donc peut (et je
dirais DOIT POUVOIR !) accéder aux fichiers. Donc çà ne change rien.
Si le DG en question n'est pas fichu de comprendre çà, c'est que c'est un
INCAPABLE complètement atrophié des neurones !
Tu peux me m'envoyer, je lui dirai ma façon de penser ! ;-)
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Jean-Claude.Bellamy@wanadoo.fr * JC.Bellamy@free.fr
Dans le message news:d8kad5$41u$ , Help ! s'est ainsi exprimé:
Je sais bien que certains chefs (dont les miens) ne veulent pas que « l'administrateur » (les informaticiens, en bon français) puissent voir certains fichiers; la dernière fois qu'ils me l'ont proposé/demandé/« exigé », je leur ai expliqué que cela signifiait l'impossiblité de récupérer les fichiers en cas de défaillance ; comme on en avait eu une quelques mois auparavant, l'idée n'a pas été plus loin. (Et oui, je sais qu'avec 2000 et EFS on peut chiffrer).
3 pour résumé le DG veut un répertoire à son nom sur le serveur, et qu'il soit le seul à pouvoir l'ouvrir. L'admin ne doit pas pouvoir l'ouvrir depuis le serveur.
Sans produit tiers c'est totalement impossible ! (du style Security Box) Un admin doit avoir tous les droits, c'est d'aillerus la RAISON d'ETRE des admins ! C'est valable quel que soit l'OS d'ailleurs (PC sous Windows ou Linux, statuosn UNIX, MainFrames,...)
Ensuite c'est une question de déontologie ... Un admin, c'est comme un notaire ou un médecin qui partage certains secrets familiaux ou personnels.
EFS permet de restreindre davantage l'accès, mais dans un domaine, le compte administrateur est également agent de récupération (DRA), donc peut (et je dirais DOIT POUVOIR !) accéder aux fichiers. Donc çà ne change rien.
Si le DG en question n'est pas fichu de comprendre çà, c'est que c'est un INCAPABLE complètement atrophié des neurones ! Tu peux me m'envoyer, je lui dirai ma façon de penser ! ;-)
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org *
Antoine Leca
En <news:d8kad5$41u$, Help ! va escriure:
3 pour résumé le DG veut un répertoire à son nom sur le serveur, et qu'il soit le seul à pouvoir l'ouvrir. L'admin ne doit pas pouvoir l'ouvrir depuis le serveur.
Soit ton DG a un seul ordinateur, et je ne vois pas bien l'intérêt de mettre le répertoire sur le serveur, il sera aussi bien sur son poste à lui... (Souvenons-nous, pas d'accès pour l'admin => pas de sauvegarde centralisée que l'admin pourrait récupérer et lire...)
Sinon, tu peux supprimer les droits du groupe Administrateurs sur le répertoire, l'effet est radical (évidemment, auparavant tu as donné à ton DG tous les droits sur le répertoire). Je pense qu'avec le compte SYSTEM tu dois pouvoir récupérer des choses, sinon de toute manière avec des outils bas niveau (genre cédérom de dépannage Linux) on saura lire tous les fichiers non chiffrés sur un volume NTFS; mais au moins « l'Administrateur » n'aura plus officiellement l'accès.
Si tu veux (ou il veut) que ce soit /réellement/ impossible, il est indispensable de chiffrer. Sur NT4, comme le fait remarquer Jean-Claude, c'est produits externes obligatoires.
Et n'oubliez pas de travailler aussi les mots de passe de ton DG. Avec une bécane actuelle et l'accès à la SAM, un mot de passe n'ayant que des lettres tombe en quelques minutes de force brute... Ajouter des chiffres ne fait que retarder un petit peu. Supprimer le hash LM est déjà nettement plus efficace ;-), et casse plein de moyens de connexions, en particulier depuis l'extérieur :-(.
Antoine
En <news:d8kad5$41u$1@s1.news.oleane.net>, Help ! va escriure:
3 pour résumé le DG veut un répertoire à son nom sur le serveur, et
qu'il soit le seul à pouvoir l'ouvrir. L'admin ne doit pas pouvoir
l'ouvrir depuis le serveur.
Soit ton DG a un seul ordinateur, et je ne vois pas bien l'intérêt de mettre
le répertoire sur le serveur, il sera aussi bien sur son poste à lui...
(Souvenons-nous, pas d'accès pour l'admin => pas de sauvegarde centralisée
que l'admin pourrait récupérer et lire...)
Sinon, tu peux supprimer les droits du groupe Administrateurs sur le
répertoire, l'effet est radical (évidemment, auparavant tu as donné à ton DG
tous les droits sur le répertoire). Je pense qu'avec le compte SYSTEM tu
dois pouvoir récupérer des choses, sinon de toute manière avec des outils
bas niveau (genre cédérom de dépannage Linux) on saura lire tous les
fichiers non chiffrés sur un volume NTFS; mais au moins « l'Administrateur »
n'aura plus officiellement l'accès.
Si tu veux (ou il veut) que ce soit /réellement/ impossible, il est
indispensable de chiffrer. Sur NT4, comme le fait remarquer Jean-Claude,
c'est produits externes obligatoires.
Et n'oubliez pas de travailler aussi les mots de passe de ton DG. Avec une
bécane actuelle et l'accès à la SAM, un mot de passe n'ayant que des lettres
tombe en quelques minutes de force brute... Ajouter des chiffres ne fait que
retarder un petit peu. Supprimer le hash LM est déjà nettement plus efficace
;-), et casse plein de moyens de connexions, en particulier depuis
l'extérieur :-(.
3 pour résumé le DG veut un répertoire à son nom sur le serveur, et qu'il soit le seul à pouvoir l'ouvrir. L'admin ne doit pas pouvoir l'ouvrir depuis le serveur.
Soit ton DG a un seul ordinateur, et je ne vois pas bien l'intérêt de mettre le répertoire sur le serveur, il sera aussi bien sur son poste à lui... (Souvenons-nous, pas d'accès pour l'admin => pas de sauvegarde centralisée que l'admin pourrait récupérer et lire...)
Sinon, tu peux supprimer les droits du groupe Administrateurs sur le répertoire, l'effet est radical (évidemment, auparavant tu as donné à ton DG tous les droits sur le répertoire). Je pense qu'avec le compte SYSTEM tu dois pouvoir récupérer des choses, sinon de toute manière avec des outils bas niveau (genre cédérom de dépannage Linux) on saura lire tous les fichiers non chiffrés sur un volume NTFS; mais au moins « l'Administrateur » n'aura plus officiellement l'accès.
Si tu veux (ou il veut) que ce soit /réellement/ impossible, il est indispensable de chiffrer. Sur NT4, comme le fait remarquer Jean-Claude, c'est produits externes obligatoires.
Et n'oubliez pas de travailler aussi les mots de passe de ton DG. Avec une bécane actuelle et l'accès à la SAM, un mot de passe n'ayant que des lettres tombe en quelques minutes de force brute... Ajouter des chiffres ne fait que retarder un petit peu. Supprimer le hash LM est déjà nettement plus efficace ;-), et casse plein de moyens de connexions, en particulier depuis l'extérieur :-(.
Antoine
gab
Antoine Leca wrote:
Sinon, tu peux supprimer les droits du groupe Administrateurs sur le répertoire, l'effet est radical (évidemment, auparavant tu as donné à ton DG tous les droits sur le répertoire). Je pense qu'avec le compte SYSTEM tu dois pouvoir récupérer des choses, sinon de toute manière avec des outils bas niveau (genre cédérom de dépannage Linux) on saura lire tous les fichiers non chiffrés sur un volume NTFS; mais au moins « l'Administrateur » n'aura plus officiellement l'accès.
pour retrouver l'accès avec le compte administrateur, il "suffit" de se réapproprier le dossier ... je suis "tombé" sur le cas la semaine dernière.
Cordialement,
GAB.
Antoine Leca wrote:
Sinon, tu peux supprimer les droits du groupe Administrateurs sur le
répertoire, l'effet est radical (évidemment, auparavant tu as donné à
ton DG tous les droits sur le répertoire). Je pense qu'avec le compte
SYSTEM tu dois pouvoir récupérer des choses, sinon de toute manière
avec des outils bas niveau (genre cédérom de dépannage Linux) on
saura lire tous les fichiers non chiffrés sur un volume NTFS; mais au
moins « l'Administrateur » n'aura plus officiellement l'accès.
pour retrouver l'accès avec le compte administrateur, il "suffit" de se
réapproprier le dossier ... je suis "tombé" sur le cas la semaine dernière.
Sinon, tu peux supprimer les droits du groupe Administrateurs sur le répertoire, l'effet est radical (évidemment, auparavant tu as donné à ton DG tous les droits sur le répertoire). Je pense qu'avec le compte SYSTEM tu dois pouvoir récupérer des choses, sinon de toute manière avec des outils bas niveau (genre cédérom de dépannage Linux) on saura lire tous les fichiers non chiffrés sur un volume NTFS; mais au moins « l'Administrateur » n'aura plus officiellement l'accès.
pour retrouver l'accès avec le compte administrateur, il "suffit" de se réapproprier le dossier ... je suis "tombé" sur le cas la semaine dernière.
Cordialement,
GAB.
Antoine Leca
En <news:d8mt1t$ddc$, gab va escriure:
pour retrouver l'accès avec le compte administrateur, il "suffit" de se réapproprier le dossier ... je suis "tombé" sur le cas la semaine dernière.
Ah oui ! Je viens d'essayer, effectivement cela permet de passer outre, même si Administrateurs n'a aucun droit sur le répertoire lui-même, même s'il n'a pas le contrôle total sur le répertoire hôte, même si on a auparavant déni à Administrateurs le droit de (re)prendre possession (autrement, n'a pas le « droit » de faire cela) ! C'est du brutal car le propriétaire précédent est purement et simplement erradiqué, plus d'accès du tout, mais cela débloque bien :-).
Je ne sais pas si NT5 (2000+/xp) est différent de ce point de vue : une fois j'avais fait un essai similaire avec 2000, et je n'avais pas récupéré le répertoire avec le compte Admin, j'avais dû aller cherché SYSTEM; je crois que c'était un répertoire directement sous la racine, 'sais pas si cela influe.
Ou alors j'avais retiré le privilège SeTakeOwnership (normalement assigné à Administrateurs) sur la machine en question ? 'sais plus...
Antoine
En <news:d8mt1t$ddc$1@srv-lnx6.montrouge.rld.fr>, gab va escriure:
pour retrouver l'accès avec le compte administrateur, il "suffit" de
se réapproprier le dossier ... je suis "tombé" sur le cas la semaine
dernière.
Ah oui !
Je viens d'essayer, effectivement cela permet de passer outre, même si
Administrateurs n'a aucun droit sur le répertoire lui-même, même s'il n'a
pas le contrôle total sur le répertoire hôte, même si on a auparavant déni à
Administrateurs le droit de (re)prendre possession (autrement, n'a pas le
« droit » de faire cela) !
C'est du brutal car le propriétaire précédent est purement et simplement
erradiqué, plus d'accès du tout, mais cela débloque bien :-).
Je ne sais pas si NT5 (2000+/xp) est différent de ce point de vue : une fois
j'avais fait un essai similaire avec 2000, et je n'avais pas récupéré le
répertoire avec le compte Admin, j'avais dû aller cherché SYSTEM; je crois
que c'était un répertoire directement sous la racine, 'sais pas si cela
influe.
Ou alors j'avais retiré le privilège SeTakeOwnership (normalement assigné à
Administrateurs) sur la machine en question ? 'sais plus...
pour retrouver l'accès avec le compte administrateur, il "suffit" de se réapproprier le dossier ... je suis "tombé" sur le cas la semaine dernière.
Ah oui ! Je viens d'essayer, effectivement cela permet de passer outre, même si Administrateurs n'a aucun droit sur le répertoire lui-même, même s'il n'a pas le contrôle total sur le répertoire hôte, même si on a auparavant déni à Administrateurs le droit de (re)prendre possession (autrement, n'a pas le « droit » de faire cela) ! C'est du brutal car le propriétaire précédent est purement et simplement erradiqué, plus d'accès du tout, mais cela débloque bien :-).
Je ne sais pas si NT5 (2000+/xp) est différent de ce point de vue : une fois j'avais fait un essai similaire avec 2000, et je n'avais pas récupéré le répertoire avec le compte Admin, j'avais dû aller cherché SYSTEM; je crois que c'était un répertoire directement sous la racine, 'sais pas si cela influe.
Ou alors j'avais retiré le privilège SeTakeOwnership (normalement assigné à Administrateurs) sur la machine en question ? 'sais plus...
