BdRegistre (HKLM et HKCU) et client TSE - Sécurité - Windows & Software
Marsh Posté le 27-12-2010 à 16:10:02
Bah déjà on t'a déjà dit que mettre un DC serveur TSE n'était pas bien et la pire des choses et maintenant tu veux continuer tes bidouilles ...
HKLM étant la ruche commune à l'ensemble des utilisateurs (propre à la machine) un utilisateur de base n'a rien à y faire ! C'est la sécu de base de base !
C'est quoi l'intéret de vouloir faire dans le crado ?
Marsh Posté le 27-12-2010 à 16:30:03
ben comme dit le serveur va éxecuter un logiciel que les utilisateurs utiliseront via TSE (sur des clients légers). Je ne veus pas que les utilisateurs soient admins, mais le logiciel nécessite que les utilisateurs aient le droit en écriture sur une clé et des sous clés se situant dans HKLM\SOFTWARE\WOW6432node\ ...
donc si je peus avoir les droits en écriture que sur ces clé tant mieux, si je dois donner l'accès total a HKLM bah je ferais comme ça car le principale pour l'instant est que le soft marche sans pb.
Je sais que c'est dangereux de mettre un serveur TSE sur un DC, mais le serveur ne sera pas connecté à internet, d'une part, de l'autre toutes les entreprises ne peuvent se permettre d'avoir un serveur par rôle !
Dans mon cas, le serveur sera AD-DC et serveur TSE que je le veuille ou non
Après j'ai pas envie de faire un truc trop crado, c'est sur, mais comme je l'ai déjà dit, c'est mon premier serveur 2008, j'ai commencé a apprendre win2k8 server seulement depuis 1 mois, donc j'avance à tatons, et je me débrouille avec ce que je connait
Jo_popo
Marsh Posté le 27-12-2010 à 16:48:37
jo_popo a écrit : |
On s'en fout. Tes utilisateurs ont maintenant un droit en lecture/écriture sur l'OS de ton DC et peuvent le foutre en l'air n'importe quand, internet ou pas :|
Marsh Posté le 27-12-2010 à 17:12:41
pour l'instant mes utilisateurs n'ont aucun accès sur la bdr.
Je me renseigne avant de faire des conneries.
Maintenant vous voulez m'aider ou critiquer mes choix ?! j'ai demandé s'il est possible de leur donner accès a une partie du registre car le soft nécessite les droits d'écriture sur une clé et ses sous clés ...
et comme réponse on me dit que mes users peuvent péter mon registre ???? COMMENT ILS FONT SI JE NE LEUR AI DONNE ENCORE AUCUN DROIT.
donc je retourne a ma question première : puis-je donner le droit en écriture a mes utilisateurs sur une clé et ses sous clés ou suis-je obligé de leur donner l'accès total a HKLM (ce que je ne souhaite pas contrairement a ce que pensent certaines personnes ici qui savent très bien critiquer mais ne savent pas bien lire les questions ...)
de plus je crois pas avoir demandé des cours sur la sécurité informatique ... je l'ai fait ?
je sais que sur ce forum y'en a une pléthore qui pètent plus haut que leur culs car ce sont les mégas roxxors de la life, en attendant a part critiquer, donner des réponses a coté de la plaque, y'a pas grand chose en rapport avec ce que je demande...
donc ces messieurs qui veulent juste étaler leur science, restez chez vous et emmerdez votre entourage, moi je demande juste une réponse simple à une question simple.
Merci d'avance
Jo_popo
Marsh Posté le 27-12-2010 à 17:16:52
C'est quoi ce soft de merde qui demande aux utilisateurs d'écrire dans HKLM ? Ca doit être banni depuis win 2000 ce genre de comportements ...
Et pour mettre des droits aux clé de registre perso je passe par regedit hein .. c'est plutôt fait pour ça plutôt que d'éditer la GPO du domaine qu'il ne faut pas toucher ...
Marsh Posté le 27-12-2010 à 17:30:11
c'est un soft de gestion de cabinet d'orthodontie ... donc un peu spécial comme soft. Mais je suis pas sensé trop en parler donc ...
merki pour ta réponse, je vais voir ce que je peus faire avec regedit ... dois je passer par regedit ou regedt32 ?
pourquoi plutot regedit que les gpo's ?! histoire d'apprendre au passage ...
ensuite si vous avez des ressources concernant la sécurité d'ad dc, etc ... ça m'intéresse grandement.
Désolé de m'être énervé ... comme dis j'aimerais maitriser aussi bien que certains d'entre vous mais ce n'est pas le cas, donc je demande, je tatonne, et je fait comme je peus ...
Merci pour votre aide
Jo_popo
Marsh Posté le 27-12-2010 à 17:37:02
regedit j'ai dis
Faudra surement désactiver l'héritage sur la branche en question.
Par contre perso je ferai remonter le pb à l'éditeur parce que bon c'est un peu de la merde son truc
Marsh Posté le 27-12-2010 à 17:41:33
euh a vrai dire je bosse avec les gars qui le dev le soft, je leur en ai parlé, ils bossent sur une nouvelle version, mais en attendant la nouvelle, je dois bidouiller avec l'ancienne pour la rendre utilisable sur win2k8 en TSE ...
bref j'ai bien les mains dans la tambouille !
Merki beaucoup pour ta réponse, j'ai vérifié les héritages d'autorisation, les droits sont effectifs seulement sur les clés désirées et ça fonctionne parfaitement (jusqu'à la prochaine limitation du soft que je vais devoir contourner ...)
Je viens de m'inscrire sur msdn et technet pour voir les bases de connaissances krosoft, comme ça je vais bucher la sécurité un max, pis comme ça je vous sortirais plus des énormités a vous faire peur ...
Encore merci pour votre aide !!
Jo_popo
Marsh Posté le 27-12-2010 à 15:57:37
Bonjour à tous !!
je voudrais savoir comment avoir les droits d'écriture sur tout ou partie de HKLM pour un utilisateur faisant partie du groupe des utilisateurs RDP (bureau a distance quoi), sachant que ces utilisateurs sont des utilisateurs normaux, ils ne font pas partie du groupe administrateur.
Je suis allé dans la stratégie de groupe > modifier "default domain policy" > configuration ordinateur > stratégies > paramètres windows > paramètres de sécurité > registre.
J'y ai fait ajouter des clés auquelles j'ai rajouté le groupe RDPUsers (mon groupe d'utilisateurs bureau à distance) avec le controle total de ces clés ... est-ce que c'est bon ? ou dois-je faire autrement ?!
Merci d'avance pour vos réponses, sachant que je suis un peu noob en administration de serveur 2008 ...
Jo_popo
---------------
Tout ce qui monte redescend un jour ...