Imaginons :
- un établissement d'une taille assez importante ;
- un système d'information complexe et hétérogène ;
- plusieurs administrateurs.
C'est un cas assez fréquent !
Imaginons maintenant que :
- nos administrateurs possèdent "trop" de pouvoir i.e. qu'ils
possèdent plus de droits que ce dont ils ont besoin pour travailler ;
- les mots de passe administrateur sont connus de trop de personne.
C'est malheureusement encore trop souvent le cas mais c'est nécessaire
pour fonctionner, jusqu'au jour ou...
Je recherche des documentations, méthodes ou politiques permettant
d'attribuer les justes droits aux administrateurs d'un système
d'information.
Comment lui attribuer les justes droits administrateurs sans utiliser le compte administrateur ?
Cedric Blancher
Le Wed, 25 May 2005 13:17:26 +0000, BenLar a écrit :
Retenons l'idée : "Mot de passe administrateur découpé"
Ça existe déjà, et on va même un peu plus loin. On sait faire des système de contrôle d'accès de type N parmi M, avec N<M.
-- Et le multiprocessorage me direz-vous... Je n'y connais rien : je n'ai pas de lave-linge automatique. -+- BY sur debian-french : "Bien défaire les i-noeuds mouillés" -+-
Le Wed, 25 May 2005 13:17:26 +0000, BenLar a écrit :
Retenons l'idée : "Mot de passe administrateur découpé"
Ça existe déjà, et on va même un peu plus loin. On sait faire des
système de contrôle d'accès de type N parmi M, avec N<M.
--
Et le multiprocessorage me direz-vous...
Je n'y connais rien : je n'ai pas de lave-linge automatique.
-+- BY sur debian-french : "Bien défaire les i-noeuds mouillés" -+-
Le Wed, 25 May 2005 13:17:26 +0000, BenLar a écrit :
Retenons l'idée : "Mot de passe administrateur découpé"
Ça existe déjà, et on va même un peu plus loin. On sait faire des système de contrôle d'accès de type N parmi M, avec N<M.
-- Et le multiprocessorage me direz-vous... Je n'y connais rien : je n'ai pas de lave-linge automatique. -+- BY sur debian-french : "Bien défaire les i-noeuds mouillés" -+-
Nous sommes d'accord, un accès physique permet tout... même pas besoin d'un deltree... une clé molette suffit ;o)
L'autre idée à laquelle je pense, c'est le cas de l'administrateur de domaine. Il a accès à tout, oui, non ?
Si oui, est-il normal qu'il est accès à tout ? Non ! Comment faire pour qu'il est accès à juste ce qu'il doit.
Même chose sous Unix. root peut tout. Donc un administrateur ne doit pas être root (sauf cas très exceptionnelle). Il lui faut donc un compte avec suffisamment de droit pour travailler quotidiennement, mais pas plus.
Bref quelle politique d'autorisation doit-on appliquer à un administrateur ? L'application à tel ou tel environnement n'étant qu'une conséquence.
Nous sommes d'accord, un accès physique permet tout... même pas
besoin d'un deltree... une clé molette suffit ;o)
L'autre idée à laquelle je pense, c'est le cas de l'administrateur de
domaine. Il a accès à tout, oui, non ?
Si oui, est-il normal qu'il est accès à tout ? Non ! Comment faire
pour qu'il est accès à juste ce qu'il doit.
Même chose sous Unix. root peut tout. Donc un administrateur ne doit
pas être root (sauf cas très exceptionnelle). Il lui faut donc un
compte avec suffisamment de droit pour travailler quotidiennement, mais
pas plus.
Bref quelle politique d'autorisation doit-on appliquer à un
administrateur ? L'application à tel ou tel environnement n'étant
qu'une conséquence.
Nous sommes d'accord, un accès physique permet tout... même pas besoin d'un deltree... une clé molette suffit ;o)
L'autre idée à laquelle je pense, c'est le cas de l'administrateur de domaine. Il a accès à tout, oui, non ?
Si oui, est-il normal qu'il est accès à tout ? Non ! Comment faire pour qu'il est accès à juste ce qu'il doit.
Même chose sous Unix. root peut tout. Donc un administrateur ne doit pas être root (sauf cas très exceptionnelle). Il lui faut donc un compte avec suffisamment de droit pour travailler quotidiennement, mais pas plus.
Bref quelle politique d'autorisation doit-on appliquer à un administrateur ? L'application à tel ou tel environnement n'étant qu'une conséquence.
moncul
C'est quoi une entité d'accréditation ? un groupe restreint de personnes non destinées à effectuer des tâches
techniques d'admin, membres d'une liste de diffusion par exemple et qui ont la charge de donner telle accréditation à un utilisateur (comprendre un admin) suite à une demande justifiée puis de les lui retirer en fin d'intervention (possibilité de fixer un délai max d'une journée par exemple). Ils ne jugent pas si une accréditation est vraiment nécessaire, mais ils en font le suivi. On peut aussi définir pour chaque équipe un ou deux contacts habilités à demander des accréditations pour eux ou leurs collègues (en principe il s'agit plutôt de subordonnés).
C'est quoi une entité d'accréditation ?
un groupe restreint de personnes non destinées à effectuer des tâches
techniques d'admin, membres d'une liste de diffusion par exemple et qui
ont la charge de donner telle accréditation à un utilisateur (comprendre
un admin) suite à une demande justifiée puis de les lui retirer en fin
d'intervention (possibilité de fixer un délai max d'une journée par
exemple). Ils ne jugent pas si une accréditation est vraiment
nécessaire, mais ils en font le suivi. On peut aussi définir pour chaque
équipe un ou deux contacts habilités à demander des accréditations pour
eux ou leurs collègues (en principe il s'agit plutôt de subordonnés).
C'est quoi une entité d'accréditation ? un groupe restreint de personnes non destinées à effectuer des tâches
techniques d'admin, membres d'une liste de diffusion par exemple et qui ont la charge de donner telle accréditation à un utilisateur (comprendre un admin) suite à une demande justifiée puis de les lui retirer en fin d'intervention (possibilité de fixer un délai max d'une journée par exemple). Ils ne jugent pas si une accréditation est vraiment nécessaire, mais ils en font le suivi. On peut aussi définir pour chaque équipe un ou deux contacts habilités à demander des accréditations pour eux ou leurs collègues (en principe il s'agit plutôt de subordonnés).
Dis, ça serait bien si tu voulais bien faire en sorte qu'on ne parle pas à "ton cul"... C'est juste qu'on se sent un peu ridicule. On n'est certes pas obligé de t'adresser la parole, mais est-ce vraiment cela que tu as recherché en choisissant ce pseudonyme?
X-Post + fu2
-- Mirroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Dis, ça serait bien si tu voulais bien faire en sorte qu'on ne parle pas
à "ton cul"... C'est juste qu'on se sent un peu ridicule. On n'est certes
pas obligé de t'adresser la parole, mais est-ce vraiment cela que tu as
recherché en choisissant ce pseudonyme?
X-Post + fu2
--
Mirroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
Dis, ça serait bien si tu voulais bien faire en sorte qu'on ne parle pas à "ton cul"... C'est juste qu'on se sent un peu ridicule. On n'est certes pas obligé de t'adresser la parole, mais est-ce vraiment cela que tu as recherché en choisissant ce pseudonyme?
X-Post + fu2
-- Mirroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Fabien LE LEZ
On 25 May 2005 13:17:26 GMT, Kevin Denis :
Generalement, un acces physique a une machine permet de faire sauter un mot de passe rapidement.
J'ai cru comprendre que modifier le mot de passe d'un administrateur de domaine Windows 2000/2003 peut être un peu fastidieux (mais tout à fait possible bien sûr).
Mais amha, l'admin indelicat aura plus vite fait de balancer des deltree plutot que de changer de mot de passe et s'en aller.
Ouais, mais s'il fait ça, il risque de gros ennuis.
Nan, l'idéal reste de configurer le système de façon très personnelle, de façon à ce qu'il faille plusieurs mois à ton successeur pour comprendre comment ça marche ;-)
On 25 May 2005 13:17:26 GMT, Kevin Denis <kevin@nowhere.invalid>:
Generalement, un acces physique a une machine permet de faire
sauter un mot de passe rapidement.
J'ai cru comprendre que modifier le mot de passe d'un administrateur
de domaine Windows 2000/2003 peut être un peu fastidieux (mais tout à
fait possible bien sûr).
Mais amha, l'admin indelicat aura plus vite fait de balancer des
deltree plutot que de changer de mot de passe et s'en aller.
Ouais, mais s'il fait ça, il risque de gros ennuis.
Nan, l'idéal reste de configurer le système de façon très personnelle,
de façon à ce qu'il faille plusieurs mois à ton successeur pour
comprendre comment ça marche ;-)
Generalement, un acces physique a une machine permet de faire sauter un mot de passe rapidement.
J'ai cru comprendre que modifier le mot de passe d'un administrateur de domaine Windows 2000/2003 peut être un peu fastidieux (mais tout à fait possible bien sûr).
Mais amha, l'admin indelicat aura plus vite fait de balancer des deltree plutot que de changer de mot de passe et s'en aller.
Ouais, mais s'il fait ça, il risque de gros ennuis.
Nan, l'idéal reste de configurer le système de façon très personnelle, de façon à ce qu'il faille plusieurs mois à ton successeur pour comprendre comment ça marche ;-)
BenLar
Okay, je vois et je retiens :
"il faut une entité d'accréditation qui donne les droits aux utilisateurs en général, aux administrateur en particulier"
Quoi d'autre ?
Okay, je vois et je retiens :
"il faut une entité d'accréditation qui donne les droits aux
utilisateurs en général, aux administrateur en particulier"
"il faut une entité d'accréditation qui donne les droits aux utilisateurs en général, aux administrateur en particulier"
Quoi d'autre ?
Cedric Blancher
Le Wed, 25 May 2005 13:59:07 +0000, BenLar a écrit :
Et je trouve ça ou ?
C'est le partage de secret (parmi N personnes), avec éventuellement un schéma à seuil (K parmi N). Une recherche sur Google donne pleins de liens.
-- Lu sur alt.france : Peut-on installer Win 95 par dessus win 95 tout en gardant les differents données des logiciels fonctionnant auparavant sur wwin 95 ? -+- JMT in : Guide du neuneu d'Usenet - Neuneu persiste et signe -+-
Le Wed, 25 May 2005 13:59:07 +0000, BenLar a écrit :
Et je trouve ça ou ?
C'est le partage de secret (parmi N personnes), avec éventuellement un
schéma à seuil (K parmi N).
Une recherche sur Google donne pleins de liens.
--
Lu sur alt.france :
Peut-on installer Win 95 par dessus win 95 tout en gardant les
differents données des logiciels fonctionnant auparavant sur wwin 95 ?
-+- JMT in : Guide du neuneu d'Usenet - Neuneu persiste et signe -+-
Le Wed, 25 May 2005 13:59:07 +0000, BenLar a écrit :
Et je trouve ça ou ?
C'est le partage de secret (parmi N personnes), avec éventuellement un schéma à seuil (K parmi N). Une recherche sur Google donne pleins de liens.
-- Lu sur alt.france : Peut-on installer Win 95 par dessus win 95 tout en gardant les differents données des logiciels fonctionnant auparavant sur wwin 95 ? -+- JMT in : Guide du neuneu d'Usenet - Neuneu persiste et signe -+-
