Droits de sécurité exotiques sous Windows ...
Résolu
lenainjaune
Messages postés
715
Date d'inscription
Statut
Contributeur
Dernière intervention
-
lenainjaune Messages postés 715 Date d'inscription Statut Contributeur Dernière intervention -
lenainjaune Messages postés 715 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour à tous,
J'ai 2 questions existentielles qui n'ont jamais trouvé de réponse, alors je m'adresse aux pros ...
- dans un groupe de travail sous XP, comment autoriser un PC A à avoir accès à un partage sur un PC B, mais les autres PC du groupe ne doivent pas avoir accès au partage du PC B?
ex: une secrétaire partage une partie de son PC avec l'équipe, mais certaines données sensibles doivent être uniquement accessibles par l'autre secrétaire, mais pas par l'équipe.
- dans un domaine Active Directory comment donner des droits aux administrateurs locaux des PC clients, au niveau du domaine ?
ex: moi administrateur du parc depuis un compte Administrateur local à un PC je souhaite accéder à certains partages du serveur AD, sans avoir à m'identifier à chaque fois en tant qu'administrateur du domaine.
Je ne sais pas si ce que je demande ne va pas à l'encontre de la sécurité...
Je suis toute ouïe ... et je vous remercie par avance ...
cordialement
lnj
J'ai 2 questions existentielles qui n'ont jamais trouvé de réponse, alors je m'adresse aux pros ...
- dans un groupe de travail sous XP, comment autoriser un PC A à avoir accès à un partage sur un PC B, mais les autres PC du groupe ne doivent pas avoir accès au partage du PC B?
ex: une secrétaire partage une partie de son PC avec l'équipe, mais certaines données sensibles doivent être uniquement accessibles par l'autre secrétaire, mais pas par l'équipe.
- dans un domaine Active Directory comment donner des droits aux administrateurs locaux des PC clients, au niveau du domaine ?
ex: moi administrateur du parc depuis un compte Administrateur local à un PC je souhaite accéder à certains partages du serveur AD, sans avoir à m'identifier à chaque fois en tant qu'administrateur du domaine.
Je ne sais pas si ce que je demande ne va pas à l'encontre de la sécurité...
Je suis toute ouïe ... et je vous remercie par avance ...
cordialement
lnj
A voir également:
- Droits de sécurité exotiques sous Windows ...
- Clé de produit windows 10 gratuit - Guide
- Mode securite - Guide
- Montage video windows - Guide
- Windows ne démarre pas - Guide
- Windows movie maker - Télécharger - Montage & Édition
9 réponses
Salut le nain
Pour ce qui est de ta première question, tu peux faire un partage (partager ce dossier) directement sur un dossier et ajouter les utilisateurs (depuis l'onglet sécurité) avec qui tu désires partager. Les autres n'auront donc pas accès.
On ne peut pas donner des droits a un utilisateur ou un administrateur local sur un domaine, c'est une question de sécurité. De toute façon, tu ne devrais jamais loguer localement quand tu dispose d'un domaine.
Je ne comprends pas trop quelles sont tes intentions avec cette question mais si
tu n'as pas accès à l'administration du domaine, c'est que tu n'as pas les droit en tant que utilisateur du domaine.
Pour ce qui est de ta première question, tu peux faire un partage (partager ce dossier) directement sur un dossier et ajouter les utilisateurs (depuis l'onglet sécurité) avec qui tu désires partager. Les autres n'auront donc pas accès.
On ne peut pas donner des droits a un utilisateur ou un administrateur local sur un domaine, c'est une question de sécurité. De toute façon, tu ne devrais jamais loguer localement quand tu dispose d'un domaine.
Je ne comprends pas trop quelles sont tes intentions avec cette question mais si
tu n'as pas accès à l'administration du domaine, c'est que tu n'as pas les droit en tant que utilisateur du domaine.
Salut !Roulov!,
En Workgroup ? Tu es sûr ?
Quelque chose m'échappe...
Comment fais tu pour ajouter un utilisateur qui n'a pas de compte sur la machine locale utilisée pour partager ?
Dans les droits de sécurité, quand je veux ajouter un objet je n'ai accès qu'aux éléments suivants:
- objets: Entités de sécurité intégrées, Groupes, Utilisateurs
- emplacements: seule la machine locale est listée
... malheureusement je n'ai ni les autres machines du groupe de travail, ni les utilisateurs de ces machines
Ceci étant j'ai peut être trouvé une solution de contournement (en attendant la vraie solution):
Créer un utilisateur local correspondant à mon utilisateur distant (même login, même mot de passe). Je donne donc des droits à cet utilisateur local pour le partage et la sécurité (et uniquement à lui). L'utilisateur distant n'aura plus qu'à "emprunter" le compte de l'utilisateur local pour accéder au partage.
Seule contrainte recréer en local les comptes distants, ce qui n'est pas très pratique ...
Si si j'ai les droits ... Je suis en fait le seul administrateur du parc et du domaine. L'idée c'était juste de me simplifier la vie ... mais bon je pense qu'au niveau sécurité c'est pas top et j'ai trop tendance à utiliser le compte administrateur local (ce qui est, j'en ai conscience, une faille au niveau sécurité).
Donc je te redemande:
Es tu sûr d'avoir déjà pu ajouter un utilisateur distant au niveau des droits de sécurité dans un groupe de travail ?
Si c'est le cas il me faudrait plus d'éclaircissement de ta part.
En tout cas je te remercie de t'être penché sur mon problème ...
Cordialement
lnj
Pour ce qui est de ta première question, tu peux faire un partage (partager ce dossier) directement sur un dossier et ajouter les utilisateurs (depuis l'onglet sécurité) avec qui tu désires partager. Les autres n'auront donc pas accès.
En Workgroup ? Tu es sûr ?
Quelque chose m'échappe...
Comment fais tu pour ajouter un utilisateur qui n'a pas de compte sur la machine locale utilisée pour partager ?
Dans les droits de sécurité, quand je veux ajouter un objet je n'ai accès qu'aux éléments suivants:
- objets: Entités de sécurité intégrées, Groupes, Utilisateurs
- emplacements: seule la machine locale est listée
... malheureusement je n'ai ni les autres machines du groupe de travail, ni les utilisateurs de ces machines
Ceci étant j'ai peut être trouvé une solution de contournement (en attendant la vraie solution):
Créer un utilisateur local correspondant à mon utilisateur distant (même login, même mot de passe). Je donne donc des droits à cet utilisateur local pour le partage et la sécurité (et uniquement à lui). L'utilisateur distant n'aura plus qu'à "emprunter" le compte de l'utilisateur local pour accéder au partage.
Seule contrainte recréer en local les comptes distants, ce qui n'est pas très pratique ...
Je ne comprends pas trop quelles sont tes intentions avec cette question mais si tu n'as pas accès à l'administration du domaine, c'est que tu n'as pas les droit en tant que utilisateur du domaine.
Si si j'ai les droits ... Je suis en fait le seul administrateur du parc et du domaine. L'idée c'était juste de me simplifier la vie ... mais bon je pense qu'au niveau sécurité c'est pas top et j'ai trop tendance à utiliser le compte administrateur local (ce qui est, j'en ai conscience, une faille au niveau sécurité).
Donc je te redemande:
Es tu sûr d'avoir déjà pu ajouter un utilisateur distant au niveau des droits de sécurité dans un groupe de travail ?
Si c'est le cas il me faudrait plus d'éclaircissement de ta part.
En tout cas je te remercie de t'être penché sur mon problème ...
Cordialement
lnj
Je ne comprends encore pas trop bien pourquoi tu veux partager en workgroup quand tu as accès à un domaine.
Est-ce que tu change le domaine/workgroup à chaque fois?? parce que si la machine est intégrée dans un domaine, tu n'as pas la possibilité de loguer en workgroup à moins que tu le rechanges à chaque fois.
Si par contre tu veux parler de loguer localement ( sans domaine ) , tu peux te faire des partages cachés ( $ ) et dire aux personnes concernées d'entrer le chemin exact sans le donner aux autres. (fonctionne aussi en mode domaine).
Est-ce que tu change le domaine/workgroup à chaque fois?? parce que si la machine est intégrée dans un domaine, tu n'as pas la possibilité de loguer en workgroup à moins que tu le rechanges à chaque fois.
Si par contre tu veux parler de loguer localement ( sans domaine ) , tu peux te faire des partages cachés ( $ ) et dire aux personnes concernées d'entrer le chemin exact sans le donner aux autres. (fonctionne aussi en mode domaine).
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut
Non ... en fait j'ai un sous réseau en domaine Active Directory (élèves), et un autre sous réseau en Workgroup (administratif-secrétariat). De plus mes questions ne sont pas liées... Je cherche juste à me renseigner sur les techniques de sécurité moins faciles à mettre en oeuvre en groupe de travail. Ayant quelques connaissances je sais que tout (ou presque) se fait par le registre : notamment les comptes locaux. Je suis presque sûr qu'il est possible d'ajouter manuellement à la main un compte distant ...
Oui ... c'est comme ça que j'ai contourné le problème jusqu'à présent en groupe de travail. Mais bon c'est pas top comme solution ...
Je testerai dès la rentrée la solution que j'ai glané sur les couples comptes locaux/distants de mon précédent message.
Mais tu ne réponds pas à ma question:
Es tu sûr d'avoir déjà pu ajouter un utilisateur distant au niveau des droits de sécurité dans un groupe de travail ?
Si c'est le cas il me faudrait plus d'éclaircissement de ta part.
a+
lnj
Je ne comprends encore pas trop bien pourquoi tu veux partager en workgroup quand tu as accès à un domaine.
Non ... en fait j'ai un sous réseau en domaine Active Directory (élèves), et un autre sous réseau en Workgroup (administratif-secrétariat). De plus mes questions ne sont pas liées... Je cherche juste à me renseigner sur les techniques de sécurité moins faciles à mettre en oeuvre en groupe de travail. Ayant quelques connaissances je sais que tout (ou presque) se fait par le registre : notamment les comptes locaux. Je suis presque sûr qu'il est possible d'ajouter manuellement à la main un compte distant ...
Si par contre tu veux parler de loguer localement ( sans domaine ) , tu peux te faire des partages cachés ( $ ) et dire aux personnes concernées d'entrer le chemin exact sans le donner aux autres. (fonctionne aussi en mode domaine).
Oui ... c'est comme ça que j'ai contourné le problème jusqu'à présent en groupe de travail. Mais bon c'est pas top comme solution ...
Je testerai dès la rentrée la solution que j'ai glané sur les couples comptes locaux/distants de mon précédent message.
Mais tu ne réponds pas à ma question:
Es tu sûr d'avoir déjà pu ajouter un utilisateur distant au niveau des droits de sécurité dans un groupe de travail ?
Si c'est le cas il me faudrait plus d'éclaircissement de ta part.
a+
lnj
Salut
Excuse moi de ne pas avoir répondu a ta question.
Effectivement, tu ne peux pas choisir des utilisateurs distants en workgroup pour le partage.
C'est un des pourquoi les domaines existent.
As-tu songé a garder tes 2 sous-réseau mais en créant un 2ème domaine ( une autre branche ) ?
Tu pourrais ainsi te servir de ton contrôleur de domaine comme serveur de fichiers avec les droits appropriés aux départements et/ou aux usagés.
Excuse moi de ne pas avoir répondu a ta question.
Effectivement, tu ne peux pas choisir des utilisateurs distants en workgroup pour le partage.
C'est un des pourquoi les domaines existent.
As-tu songé a garder tes 2 sous-réseau mais en créant un 2ème domaine ( une autre branche ) ?
Tu pourrais ainsi te servir de ton contrôleur de domaine comme serveur de fichiers avec les droits appropriés aux départements et/ou aux usagés.
re
J'y ai pensé ... mais je pense que cela peut poser problème ...
Schématiquement voici mon réseau:
FT- Modem - switch (filaire/wifi)
Depuis switch 2 départs:
* filaire - réseau élève + contrôleur domaine AD (Win 2003 Serv)
* wifi - passerelle administratif - réseau administratif
NB: si tu as bien suivi le réseau administratif est alimenté ... par wifi (et oui ils préfèrent avoir un débit moindre pour le réseau le plus fortement sollicité, qu'engager des frais pour faire passer un câble ... Bref ... !)
Si mon contrôleur de domaine gère 2 domaines, cela induit qu'à chaque ouverture de session dans le sous réseau administratif, il faut que la demande prenne ses petites pattes, passe par la passerelle, vole par la wifi et rampe jusqu'au contrôleur de domaine ... tout ça pour ouvrir une session ...
Un peu lourd non ?
De plus je n'ai qu'une unique licence Windows 2003 server ... donc pas question de créer un 2ème contrôleur de domaine.
Enfin, ce n'est pas moi qui ai monté le domaine et le groupe de travail. C'était comme ça quand je suis arrivé. Le domaine a été installé par un prestataire informatique, et pour parler franchement je n'ai aucune idée du "Comment faire" pour ajouter un autre domaine ...
cordialement
lnj
As-tu songé a garder tes 2 sous-réseau mais en créant un 2ème domaine ( une autre branche ) ?
J'y ai pensé ... mais je pense que cela peut poser problème ...
Schématiquement voici mon réseau:
FT- Modem - switch (filaire/wifi)
Depuis switch 2 départs:
* filaire - réseau élève + contrôleur domaine AD (Win 2003 Serv)
* wifi - passerelle administratif - réseau administratif
NB: si tu as bien suivi le réseau administratif est alimenté ... par wifi (et oui ils préfèrent avoir un débit moindre pour le réseau le plus fortement sollicité, qu'engager des frais pour faire passer un câble ... Bref ... !)
Si mon contrôleur de domaine gère 2 domaines, cela induit qu'à chaque ouverture de session dans le sous réseau administratif, il faut que la demande prenne ses petites pattes, passe par la passerelle, vole par la wifi et rampe jusqu'au contrôleur de domaine ... tout ça pour ouvrir une session ...
Un peu lourd non ?
De plus je n'ai qu'une unique licence Windows 2003 server ... donc pas question de créer un 2ème contrôleur de domaine.
Enfin, ce n'est pas moi qui ai monté le domaine et le groupe de travail. C'était comme ça quand je suis arrivé. Le domaine a été installé par un prestataire informatique, et pour parler franchement je n'ai aucune idée du "Comment faire" pour ajouter un autre domaine ...
cordialement
lnj
C'est certain que ça sera un peu plus long mais on parle de quelques secondes seulement.
Si tu ne t'y connais pas trop en création de domaines, regarde ceci
https://docs.microsoft.com/en-us/
Je te conseil de tester en environnement virtuel avant de toucher au serveur.
Si tu n'es pas à l'aise avec l'idée, laisse les en workgroup et crée un dossier de partage sur ton serveur.
Ensuite, tu crée un usagé de domaine ( ex: secrétaire ) et tu donnes les mots de passes aux secrétaires pour qu'elles accèdent aux dossiers voulues.
Tu donnes les droits appropriés sur les différents dossiers et tu les map sur les postes des usagés.
Si tu ne t'y connais pas trop en création de domaines, regarde ceci
https://docs.microsoft.com/en-us/
Je te conseil de tester en environnement virtuel avant de toucher au serveur.
Si tu n'es pas à l'aise avec l'idée, laisse les en workgroup et crée un dossier de partage sur ton serveur.
Ensuite, tu crée un usagé de domaine ( ex: secrétaire ) et tu donnes les mots de passes aux secrétaires pour qu'elles accèdent aux dossiers voulues.
Tu donnes les droits appropriés sur les différents dossiers et tu les map sur les postes des usagés.
Bonjour !
Désolé pour le retard ...
Finalement j'ai opté pour garder le groupe de travail mais j'étudierais attentivement le lien que tu m'a donné quand je testerai virtuellement une installation Windows 2003 server. Car j'aimerais vraiment comprendre comment ça marche et refaire une belle installation depuis le début.
Pour ma solution (que j'ai testé et qui marche) voici un moyen de gérer les autorisations réseau en groupe de travail (je laisse la méthode au cas où elle puisse servir à quelqu'un) :
Soit un PC A le PC auquel on veut restreindre les accès à un dossier partagé depuis le réseau. Soit un PC B le PC depuis lequel un utilisateur B peut accéder au partage du PC A.
PC B possède un compte local user_b pour l'utilisateur B. Son login est bbb et son mot de passe est BBB.
Il suffit de créer sur le PC A un compte local user_reseau_b avec pour login bbb et pour mot de passe BBB. Enfin pour le partage sur le PC A, il faut autoriser l'utilisateur B avec son compte local.
Si vous avez suivi j'ai 2 comptes identiques pour l'utilisateur B : un local au PC B et l'autre local au PC A.
L'utilisateur B peut bien évidemment se connecter localement au PC A puisqu'un compte lui est réservé, mais surtout il peut se connecter depuis le PC B.
Donc s'il tente une connexion au PC A avec par exemple \\adresse_ip_a, il va avoir une belle fenêtre pour lui demander de s'authentifier. Il ne lui restera plus qu'à saisir son login et son mot de passe et éventuellement cocher la case pour conserver l'authentification (pour éviter se réauthentifier plus tard).
On peut bien sûr avoir deux comptes différents ce n'est pas une obligation, mais ce n'est pas une bonne idée. Il faudrait que l'utilisateur B se souvienne des 2 authentifications (login+pass). L'avantage de cette technique finalement c'est qu'elle est transparente : l'utilisateur B à l'impression de se connecter à sa session...
Je finirais pas dire que je ne suis pas expert en réseau et en groupe de travail, et que je ne garantis pas que cela fonctionne, mais pour moi ça a fonctionné.
Voili voilou
cordialement
lnj
Désolé pour le retard ...
Finalement j'ai opté pour garder le groupe de travail mais j'étudierais attentivement le lien que tu m'a donné quand je testerai virtuellement une installation Windows 2003 server. Car j'aimerais vraiment comprendre comment ça marche et refaire une belle installation depuis le début.
Pour ma solution (que j'ai testé et qui marche) voici un moyen de gérer les autorisations réseau en groupe de travail (je laisse la méthode au cas où elle puisse servir à quelqu'un) :
Soit un PC A le PC auquel on veut restreindre les accès à un dossier partagé depuis le réseau. Soit un PC B le PC depuis lequel un utilisateur B peut accéder au partage du PC A.
PC B possède un compte local user_b pour l'utilisateur B. Son login est bbb et son mot de passe est BBB.
Il suffit de créer sur le PC A un compte local user_reseau_b avec pour login bbb et pour mot de passe BBB. Enfin pour le partage sur le PC A, il faut autoriser l'utilisateur B avec son compte local.
Si vous avez suivi j'ai 2 comptes identiques pour l'utilisateur B : un local au PC B et l'autre local au PC A.
L'utilisateur B peut bien évidemment se connecter localement au PC A puisqu'un compte lui est réservé, mais surtout il peut se connecter depuis le PC B.
Donc s'il tente une connexion au PC A avec par exemple \\adresse_ip_a, il va avoir une belle fenêtre pour lui demander de s'authentifier. Il ne lui restera plus qu'à saisir son login et son mot de passe et éventuellement cocher la case pour conserver l'authentification (pour éviter se réauthentifier plus tard).
On peut bien sûr avoir deux comptes différents ce n'est pas une obligation, mais ce n'est pas une bonne idée. Il faudrait que l'utilisateur B se souvienne des 2 authentifications (login+pass). L'avantage de cette technique finalement c'est qu'elle est transparente : l'utilisateur B à l'impression de se connecter à sa session...
Je finirais pas dire que je ne suis pas expert en réseau et en groupe de travail, et que je ne garantis pas que cela fonctionne, mais pour moi ça a fonctionné.
Voili voilou
cordialement
lnj