Bonjour à tous.
J'ai un pb de sécurité avec le partage de dossiers sur un serveur 2003.
Mais
que je vous expose d'abord la config globale :
- Le réseau informatique de ma boite est monté autour d'un serveur de
domaine principal WinNT 4.0 (oui, je sais, on est à la bourre en techno
mais
la migration est pour bientot !). Les comptes utilisateurs sont donc des
comptes NT.
- Outre des serveurs de domaine secondaires, des serveurs de messagerie,
nous utilisons des serveurs de fichiers dans ce domaine sous 2003.
- Sur ces 2003, nous partageons des dossiers au profit des utilisateurs de
la boite avec des permissions spécifiques pour chaque groupe.
Le problème c'est que n'importe quel utilisateur du domaine peut lire les
fichiers de tous les dossiers ainsi partagés pour peu qu'il déploie les
favoris réseau. Au début, nous ne comprenions pas et puis j'ai remarqué
que
le groupe des utilisateurs locaux des serveurs de fichiers incluait
systématiquement le groupe des utilisateurs du domaine.
Pour être plus clair : le groupe Serveur2003/Utilisateurs contient comme
membre le groupe MonDomaine/Utilisateurs du domaine.
Et le groupe des utilisateurs locaux dispose systématiquement des
permissions de lecture-exécution sur tous les dossiers (même non partagés)
du serveur en question. Ce qui expliquerai le fait que les utilisateurs du
domaine aient les même permission.
Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
J'ai du savoir le pourquoi de ce phénomène par le passé mais impossible de
remettre la main dessus. Alors si vous voulez bien me rafraichir la
mémoire...
Merci d'avance.
Cordialement,
Eric
Bonjour à tous.
J'ai un pb de sécurité avec le partage de dossiers sur un serveur 2003.
Mais
que je vous expose d'abord la config globale :
- Le réseau informatique de ma boite est monté autour d'un serveur de
domaine principal WinNT 4.0 (oui, je sais, on est à la bourre en techno
mais
la migration est pour bientot !). Les comptes utilisateurs sont donc des
comptes NT.
- Outre des serveurs de domaine secondaires, des serveurs de messagerie,
nous utilisons des serveurs de fichiers dans ce domaine sous 2003.
- Sur ces 2003, nous partageons des dossiers au profit des utilisateurs de
la boite avec des permissions spécifiques pour chaque groupe.
Le problème c'est que n'importe quel utilisateur du domaine peut lire les
fichiers de tous les dossiers ainsi partagés pour peu qu'il déploie les
favoris réseau. Au début, nous ne comprenions pas et puis j'ai remarqué
que
le groupe des utilisateurs locaux des serveurs de fichiers incluait
systématiquement le groupe des utilisateurs du domaine.
Pour être plus clair : le groupe Serveur2003/Utilisateurs contient comme
membre le groupe MonDomaine/Utilisateurs du domaine.
Et le groupe des utilisateurs locaux dispose systématiquement des
permissions de lecture-exécution sur tous les dossiers (même non partagés)
du serveur en question. Ce qui expliquerai le fait que les utilisateurs du
domaine aient les même permission.
Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
J'ai du savoir le pourquoi de ce phénomène par le passé mais impossible de
remettre la main dessus. Alors si vous voulez bien me rafraichir la
mémoire...
Merci d'avance.
Cordialement,
Eric
Bonjour à tous.
J'ai un pb de sécurité avec le partage de dossiers sur un serveur 2003.
Mais
que je vous expose d'abord la config globale :
- Le réseau informatique de ma boite est monté autour d'un serveur de
domaine principal WinNT 4.0 (oui, je sais, on est à la bourre en techno
mais
la migration est pour bientot !). Les comptes utilisateurs sont donc des
comptes NT.
- Outre des serveurs de domaine secondaires, des serveurs de messagerie,
nous utilisons des serveurs de fichiers dans ce domaine sous 2003.
- Sur ces 2003, nous partageons des dossiers au profit des utilisateurs de
la boite avec des permissions spécifiques pour chaque groupe.
Le problème c'est que n'importe quel utilisateur du domaine peut lire les
fichiers de tous les dossiers ainsi partagés pour peu qu'il déploie les
favoris réseau. Au début, nous ne comprenions pas et puis j'ai remarqué
que
le groupe des utilisateurs locaux des serveurs de fichiers incluait
systématiquement le groupe des utilisateurs du domaine.
Pour être plus clair : le groupe Serveur2003/Utilisateurs contient comme
membre le groupe MonDomaine/Utilisateurs du domaine.
Et le groupe des utilisateurs locaux dispose systématiquement des
permissions de lecture-exécution sur tous les dossiers (même non partagés)
du serveur en question. Ce qui expliquerai le fait que les utilisateurs du
domaine aient les même permission.
Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
J'ai du savoir le pourquoi de ce phénomène par le passé mais impossible de
remettre la main dessus. Alors si vous voulez bien me rafraichir la
mémoire...
Merci d'avance.
Cordialement,
Eric
Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
"Eric - Lucifer" a écrit dans le message de news:
466d2b07$0$6607$Bonjour à tous.
J'ai un pb de sécurité avec le partage de dossiers sur un serveur 2003.
Mais
que je vous expose d'abord la config globale :
- Le réseau informatique de ma boite est monté autour d'un serveur de
domaine principal WinNT 4.0 (oui, je sais, on est à la bourre en techno
mais
la migration est pour bientot !). Les comptes utilisateurs sont donc des
comptes NT.
- Outre des serveurs de domaine secondaires, des serveurs de messagerie,
nous utilisons des serveurs de fichiers dans ce domaine sous 2003.
- Sur ces 2003, nous partageons des dossiers au profit des utilisateurs
de
la boite avec des permissions spécifiques pour chaque groupe.
Le problème c'est que n'importe quel utilisateur du domaine peut lire les
fichiers de tous les dossiers ainsi partagés pour peu qu'il déploie les
favoris réseau. Au début, nous ne comprenions pas et puis j'ai remarqué
que
le groupe des utilisateurs locaux des serveurs de fichiers incluait
systématiquement le groupe des utilisateurs du domaine.
Pour être plus clair : le groupe Serveur2003/Utilisateurs contient comme
membre le groupe MonDomaine/Utilisateurs du domaine.
Et le groupe des utilisateurs locaux dispose systématiquement des
permissions de lecture-exécution sur tous les dossiers (même non
partagés)
du serveur en question. Ce qui expliquerai le fait que les utilisateurs
du
domaine aient les même permission.
Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
J'ai du savoir le pourquoi de ce phénomène par le passé mais impossible
de
remettre la main dessus. Alors si vous voulez bien me rafraichir la
mémoire...
Merci d'avance.
Cordialement,
Eric
Personne pour répondre ? Me serais-je trompé de groupe ?
A l'origine, j'ai posté dans microsoft.public.fr.windows.server mais ce
groupe n'est pas très actif apparemment. Si j'ai fauté, merci de
m'indiquer le groupe le plus adapté à ma question.
Cordialement,
Eric
Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
"Eric - Lucifer" <lucifer@hell.com> a écrit dans le message de news:
466d2b07$0$6607$426a74cc@news.free.fr...
Bonjour à tous.
J'ai un pb de sécurité avec le partage de dossiers sur un serveur 2003.
Mais
que je vous expose d'abord la config globale :
- Le réseau informatique de ma boite est monté autour d'un serveur de
domaine principal WinNT 4.0 (oui, je sais, on est à la bourre en techno
mais
la migration est pour bientot !). Les comptes utilisateurs sont donc des
comptes NT.
- Outre des serveurs de domaine secondaires, des serveurs de messagerie,
nous utilisons des serveurs de fichiers dans ce domaine sous 2003.
- Sur ces 2003, nous partageons des dossiers au profit des utilisateurs
de
la boite avec des permissions spécifiques pour chaque groupe.
Le problème c'est que n'importe quel utilisateur du domaine peut lire les
fichiers de tous les dossiers ainsi partagés pour peu qu'il déploie les
favoris réseau. Au début, nous ne comprenions pas et puis j'ai remarqué
que
le groupe des utilisateurs locaux des serveurs de fichiers incluait
systématiquement le groupe des utilisateurs du domaine.
Pour être plus clair : le groupe Serveur2003/Utilisateurs contient comme
membre le groupe MonDomaine/Utilisateurs du domaine.
Et le groupe des utilisateurs locaux dispose systématiquement des
permissions de lecture-exécution sur tous les dossiers (même non
partagés)
du serveur en question. Ce qui expliquerai le fait que les utilisateurs
du
domaine aient les même permission.
Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
J'ai du savoir le pourquoi de ce phénomène par le passé mais impossible
de
remettre la main dessus. Alors si vous voulez bien me rafraichir la
mémoire...
Merci d'avance.
Cordialement,
Eric
Personne pour répondre ? Me serais-je trompé de groupe ?
A l'origine, j'ai posté dans microsoft.public.fr.windows.server mais ce
groupe n'est pas très actif apparemment. Si j'ai fauté, merci de
m'indiquer le groupe le plus adapté à ma question.
Cordialement,
Eric
Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
"Eric - Lucifer" a écrit dans le message de news:
466d2b07$0$6607$Bonjour à tous.
J'ai un pb de sécurité avec le partage de dossiers sur un serveur 2003.
Mais
que je vous expose d'abord la config globale :
- Le réseau informatique de ma boite est monté autour d'un serveur de
domaine principal WinNT 4.0 (oui, je sais, on est à la bourre en techno
mais
la migration est pour bientot !). Les comptes utilisateurs sont donc des
comptes NT.
- Outre des serveurs de domaine secondaires, des serveurs de messagerie,
nous utilisons des serveurs de fichiers dans ce domaine sous 2003.
- Sur ces 2003, nous partageons des dossiers au profit des utilisateurs
de
la boite avec des permissions spécifiques pour chaque groupe.
Le problème c'est que n'importe quel utilisateur du domaine peut lire les
fichiers de tous les dossiers ainsi partagés pour peu qu'il déploie les
favoris réseau. Au début, nous ne comprenions pas et puis j'ai remarqué
que
le groupe des utilisateurs locaux des serveurs de fichiers incluait
systématiquement le groupe des utilisateurs du domaine.
Pour être plus clair : le groupe Serveur2003/Utilisateurs contient comme
membre le groupe MonDomaine/Utilisateurs du domaine.
Et le groupe des utilisateurs locaux dispose systématiquement des
permissions de lecture-exécution sur tous les dossiers (même non
partagés)
du serveur en question. Ce qui expliquerai le fait que les utilisateurs
du
domaine aient les même permission.
Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
J'ai du savoir le pourquoi de ce phénomène par le passé mais impossible
de
remettre la main dessus. Alors si vous voulez bien me rafraichir la
mémoire...
Merci d'avance.
Cordialement,
Eric
Personne pour répondre ? Me serais-je trompé de groupe ?
A l'origine, j'ai posté dans microsoft.public.fr.windows.server mais ce
groupe n'est pas très actif apparemment. Si j'ai fauté, merci de
m'indiquer le groupe le plus adapté à ma question.
Cordialement,
Eric
Bonjour Eric,
tu n'as pas fauté, mais tu dois comprendre que personne ici n'est payé
pour répondre, nous faisons ça bénévolement et pendant notre temps libre
d'ou parfois la lenteur des retours.Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Car cela fait partie des bonnes pratiques MS!
Explication simplifiée :
- sur un domaine, tu crée des utilisateurs. Microsoft te déconseille de
leurs donner directement des droits (ex : ouverture d'une session locale)
- tu place tes utilisateurs dans des groupes GLOBAUX, et donne des droits
globaux sur le domaine à ce type de groupe (ex: lire le contenu de l'OU
TEST1)
- tu place ces groupes globaux dans des groupes LOCAUX à une machine à ce
type de groupe (ex: ouverture d'une session locale)
=> c'est globalement la méthode la plus fiable -et supportée- pour gérer
les accès.
Microsoft applique donc sa propre méthode en ajoutant utilisateurs du
domaine [global] dans utilisateurs [local].
A savoir que la stratégie de sécurité par défaut d'un poste ou serveur
autorise uniquement les membres de certains groupes locaux à ouvrir une
session localement sur une machine : Administrateurs, Invité, Opérateurs
de sauvegarde, Utilisateurs, utilisateurs avec pouvoir => pas utilisateurs
du domaine!Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
Bon réflexe! Toutefois, as-tu pensé a vérifier qui d'autre était membre
d'Utilisateurs, as-tu repéré Utilisateurs authentifiés?
Ce groupe comprends -aussi- tous les utilisateurs du domaine, mais pas
qu'eux ;) ce petit article t'interessera peut être si le sujet te trouble,
il date un peu mais ne change pas grand chose au concept éternel des
différents groupes utilisateurs par défaut :
http://www.windowsitpro.com/Articles/ArticleID/23581/23581.html?Ad=1
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"Eric - Lucifer" a écrit dans le message de news:
466ecdaa$0$18787$"Eric - Lucifer" a écrit dans le message de news:
466d2b07$0$6607$Bonjour à tous.
J'ai un pb de sécurité avec le partage de dossiers sur un serveur 2003.
Mais
que je vous expose d'abord la config globale :
- Le réseau informatique de ma boite est monté autour d'un serveur de
domaine principal WinNT 4.0 (oui, je sais, on est à la bourre en techno
mais
la migration est pour bientot !). Les comptes utilisateurs sont donc des
comptes NT.
- Outre des serveurs de domaine secondaires, des serveurs de messagerie,
nous utilisons des serveurs de fichiers dans ce domaine sous 2003.
- Sur ces 2003, nous partageons des dossiers au profit des utilisateurs
de
la boite avec des permissions spécifiques pour chaque groupe.
Le problème c'est que n'importe quel utilisateur du domaine peut lire
les
fichiers de tous les dossiers ainsi partagés pour peu qu'il déploie les
favoris réseau. Au début, nous ne comprenions pas et puis j'ai remarqué
que
le groupe des utilisateurs locaux des serveurs de fichiers incluait
systématiquement le groupe des utilisateurs du domaine.
Pour être plus clair : le groupe Serveur2003/Utilisateurs contient comme
membre le groupe MonDomaine/Utilisateurs du domaine.
Et le groupe des utilisateurs locaux dispose systématiquement des
permissions de lecture-exécution sur tous les dossiers (même non
partagés)
du serveur en question. Ce qui expliquerai le fait que les utilisateurs
du
domaine aient les même permission.
Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
J'ai du savoir le pourquoi de ce phénomène par le passé mais impossible
de
remettre la main dessus. Alors si vous voulez bien me rafraichir la
mémoire...
Merci d'avance.
Cordialement,
Eric
Personne pour répondre ? Me serais-je trompé de groupe ?
A l'origine, j'ai posté dans microsoft.public.fr.windows.server mais ce
groupe n'est pas très actif apparemment. Si j'ai fauté, merci de
m'indiquer le groupe le plus adapté à ma question.
Cordialement,
Eric
Bonjour Eric,
tu n'as pas fauté, mais tu dois comprendre que personne ici n'est payé
pour répondre, nous faisons ça bénévolement et pendant notre temps libre
d'ou parfois la lenteur des retours.
Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Car cela fait partie des bonnes pratiques MS!
Explication simplifiée :
- sur un domaine, tu crée des utilisateurs. Microsoft te déconseille de
leurs donner directement des droits (ex : ouverture d'une session locale)
- tu place tes utilisateurs dans des groupes GLOBAUX, et donne des droits
globaux sur le domaine à ce type de groupe (ex: lire le contenu de l'OU
TEST1)
- tu place ces groupes globaux dans des groupes LOCAUX à une machine à ce
type de groupe (ex: ouverture d'une session locale)
=> c'est globalement la méthode la plus fiable -et supportée- pour gérer
les accès.
Microsoft applique donc sa propre méthode en ajoutant utilisateurs du
domaine [global] dans utilisateurs [local].
A savoir que la stratégie de sécurité par défaut d'un poste ou serveur
autorise uniquement les membres de certains groupes locaux à ouvrir une
session localement sur une machine : Administrateurs, Invité, Opérateurs
de sauvegarde, Utilisateurs, utilisateurs avec pouvoir => pas utilisateurs
du domaine!
Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
Bon réflexe! Toutefois, as-tu pensé a vérifier qui d'autre était membre
d'Utilisateurs, as-tu repéré Utilisateurs authentifiés?
Ce groupe comprends -aussi- tous les utilisateurs du domaine, mais pas
qu'eux ;) ce petit article t'interessera peut être si le sujet te trouble,
il date un peu mais ne change pas grand chose au concept éternel des
différents groupes utilisateurs par défaut :
http://www.windowsitpro.com/Articles/ArticleID/23581/23581.html?Ad=1
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"Eric - Lucifer" <lucifer@hell.com> a écrit dans le message de news:
466ecdaa$0$18787$426a74cc@news.free.fr...
"Eric - Lucifer" <lucifer@hell.com> a écrit dans le message de news:
466d2b07$0$6607$426a74cc@news.free.fr...
Bonjour à tous.
J'ai un pb de sécurité avec le partage de dossiers sur un serveur 2003.
Mais
que je vous expose d'abord la config globale :
- Le réseau informatique de ma boite est monté autour d'un serveur de
domaine principal WinNT 4.0 (oui, je sais, on est à la bourre en techno
mais
la migration est pour bientot !). Les comptes utilisateurs sont donc des
comptes NT.
- Outre des serveurs de domaine secondaires, des serveurs de messagerie,
nous utilisons des serveurs de fichiers dans ce domaine sous 2003.
- Sur ces 2003, nous partageons des dossiers au profit des utilisateurs
de
la boite avec des permissions spécifiques pour chaque groupe.
Le problème c'est que n'importe quel utilisateur du domaine peut lire
les
fichiers de tous les dossiers ainsi partagés pour peu qu'il déploie les
favoris réseau. Au début, nous ne comprenions pas et puis j'ai remarqué
que
le groupe des utilisateurs locaux des serveurs de fichiers incluait
systématiquement le groupe des utilisateurs du domaine.
Pour être plus clair : le groupe Serveur2003/Utilisateurs contient comme
membre le groupe MonDomaine/Utilisateurs du domaine.
Et le groupe des utilisateurs locaux dispose systématiquement des
permissions de lecture-exécution sur tous les dossiers (même non
partagés)
du serveur en question. Ce qui expliquerai le fait que les utilisateurs
du
domaine aient les même permission.
Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
J'ai du savoir le pourquoi de ce phénomène par le passé mais impossible
de
remettre la main dessus. Alors si vous voulez bien me rafraichir la
mémoire...
Merci d'avance.
Cordialement,
Eric
Personne pour répondre ? Me serais-je trompé de groupe ?
A l'origine, j'ai posté dans microsoft.public.fr.windows.server mais ce
groupe n'est pas très actif apparemment. Si j'ai fauté, merci de
m'indiquer le groupe le plus adapté à ma question.
Cordialement,
Eric
Bonjour Eric,
tu n'as pas fauté, mais tu dois comprendre que personne ici n'est payé
pour répondre, nous faisons ça bénévolement et pendant notre temps libre
d'ou parfois la lenteur des retours.Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Car cela fait partie des bonnes pratiques MS!
Explication simplifiée :
- sur un domaine, tu crée des utilisateurs. Microsoft te déconseille de
leurs donner directement des droits (ex : ouverture d'une session locale)
- tu place tes utilisateurs dans des groupes GLOBAUX, et donne des droits
globaux sur le domaine à ce type de groupe (ex: lire le contenu de l'OU
TEST1)
- tu place ces groupes globaux dans des groupes LOCAUX à une machine à ce
type de groupe (ex: ouverture d'une session locale)
=> c'est globalement la méthode la plus fiable -et supportée- pour gérer
les accès.
Microsoft applique donc sa propre méthode en ajoutant utilisateurs du
domaine [global] dans utilisateurs [local].
A savoir que la stratégie de sécurité par défaut d'un poste ou serveur
autorise uniquement les membres de certains groupes locaux à ouvrir une
session localement sur une machine : Administrateurs, Invité, Opérateurs
de sauvegarde, Utilisateurs, utilisateurs avec pouvoir => pas utilisateurs
du domaine!Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
Bon réflexe! Toutefois, as-tu pensé a vérifier qui d'autre était membre
d'Utilisateurs, as-tu repéré Utilisateurs authentifiés?
Ce groupe comprends -aussi- tous les utilisateurs du domaine, mais pas
qu'eux ;) ce petit article t'interessera peut être si le sujet te trouble,
il date un peu mais ne change pas grand chose au concept éternel des
différents groupes utilisateurs par défaut :
http://www.windowsitpro.com/Articles/ArticleID/23581/23581.html?Ad=1
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"Eric - Lucifer" a écrit dans le message de news:
466ecdaa$0$18787$"Eric - Lucifer" a écrit dans le message de news:
466d2b07$0$6607$Bonjour à tous.
J'ai un pb de sécurité avec le partage de dossiers sur un serveur 2003.
Mais
que je vous expose d'abord la config globale :
- Le réseau informatique de ma boite est monté autour d'un serveur de
domaine principal WinNT 4.0 (oui, je sais, on est à la bourre en techno
mais
la migration est pour bientot !). Les comptes utilisateurs sont donc des
comptes NT.
- Outre des serveurs de domaine secondaires, des serveurs de messagerie,
nous utilisons des serveurs de fichiers dans ce domaine sous 2003.
- Sur ces 2003, nous partageons des dossiers au profit des utilisateurs
de
la boite avec des permissions spécifiques pour chaque groupe.
Le problème c'est que n'importe quel utilisateur du domaine peut lire
les
fichiers de tous les dossiers ainsi partagés pour peu qu'il déploie les
favoris réseau. Au début, nous ne comprenions pas et puis j'ai remarqué
que
le groupe des utilisateurs locaux des serveurs de fichiers incluait
systématiquement le groupe des utilisateurs du domaine.
Pour être plus clair : le groupe Serveur2003/Utilisateurs contient comme
membre le groupe MonDomaine/Utilisateurs du domaine.
Et le groupe des utilisateurs locaux dispose systématiquement des
permissions de lecture-exécution sur tous les dossiers (même non
partagés)
du serveur en question. Ce qui expliquerai le fait que les utilisateurs
du
domaine aient les même permission.
Le premier point qui m'interpelle c'est justement le pourquoi de la
présence
des Utilisateurs du domaine dans le groupe des utilisateurs locaux ?
Deuxième point : Si je retire le groupe des utilisateurs du domaine du
groupe local Utilisateurs, ils continuent d'avoir accès aux ressources
partagées ! Il faut supprimer le groupe des utilisateurs locaux des
permissions de ces dossiers pour que l'accès soit réellement impossible
pour
les utilisateurs non expressément autorisés.
J'ai du savoir le pourquoi de ce phénomène par le passé mais impossible
de
remettre la main dessus. Alors si vous voulez bien me rafraichir la
mémoire...
Merci d'avance.
Cordialement,
Eric
Personne pour répondre ? Me serais-je trompé de groupe ?
A l'origine, j'ai posté dans microsoft.public.fr.windows.server mais ce
groupe n'est pas très actif apparemment. Si j'ai fauté, merci de
m'indiquer le groupe le plus adapté à ma question.
Cordialement,
Eric