Administrateur 2 sous windows 2000 serveur - Win NT/2K/XP - Windows & Software
Marsh Posté le 04-12-2002 à 12:22:59
de toute facon a partir du moment que tu lui donne les privilèges admin il a acces à tout.... dans ton essaye utilisateur avec pouvoir ca devrait suffir dans les 3/4 des cas
Marsh Posté le 04-12-2002 à 12:29:03
non, ds la securite de mes dossiers partagés si je met que le groupe administrateurs n as pas acces et que seul par exemple juste l utilisateur toto a acces meme l admin ne pourra pas.
sur les postes en local, je ne veux pas donner aucun pouvoir aux utilisateurs, enfin je ne veux pas que sur le pc local je veux que par rapport au login que on va appeller tist1 je veux que ce login ai un droit administrateur sans etre enregistrer sur la machine en local mais que tist1 ne puisse pas aller voir les dossiers perso des autres personnes, sachant que la securite etant fait de maniere que le groupe du nom administrateurs a acces a tous les dossiers c est pour cela que je voudrais creer un nouveau groupe admin
Marsh Posté le 04-12-2002 à 12:35:52
attention , je aprle bien de groupe administateurs, qui est different de l utilisateur administrateur, il y a une difference
Marsh Posté le 04-12-2002 à 13:04:32
bizounours a écrit a écrit : personne ? |
tu raconte n'importe quoi mec... avec les privilège admin du domaine (eu local sur un pc local) un user du groupe admin a acces à tout ce qu'il veut!!! même ce qui n'est pas à lui... heureusement d'ailleur.. du coup si tu supprime accès sur un rep au admins mais que tu autorise à user X seulement et bien rien n'empèche à n'importe quel admin de venir prendre possession du rep en question et de prendre tous droits!! c'est ca les droits admin (en autres)...
de plus je t'ai dit essaye en mettant des user dans user avec pouvoir ca devrait suffir!
Marsh Posté le 04-12-2002 à 14:08:05
non tu na s pas compris bon je repose le probleme :
Un serveur w2k controleur de domaine principal,
+ de 50 d'utilisateurs,
je voudrais que certain utilisateurs, possede un droit pour faire des installations sans que sur leurs machines local leurs compte soit declarer en administateur..
donc logiquement pas de problème je vais sur ad et dit qu ils font partis du groupe administrateurs ..
Oki mais le seul problème c'est que en faisant comme ca, ils ont acces aussi a chaque repertoires des utilisateurs ( chaque utilisateur a un repertoire partager pour lui sur le serveur ) vu que la securite est configurer de telle maniere a ce que par exemple pour le dossier de madame duchemoll seul elle peux y avoir acces ainsi que le groupe administrateurs..
donc c est logique qu il est acces a tout ca mais Moi je veux pas (je suis tres compliquer^^) je veux qu il puisse simplement sans avoir a configurer sur le poste local que l utilisateur est admin de la machine, installer des programmes, sans avoir acces au dossiers des autres,
vous allez me dire : change la securite..
oki mais bon il y a + de 50 utilisateurs, donc il faudrais que je change sur chaque dossier la securite et y mettre : acces a mme duchemoll et à l administrateur et oui ds ce cas la si je dit que mon utilisateurs fais partis du groupes administrateurs il n y au pas acces puisque il y aura juste l utilisateur administrateur..
mais je ne veux pas me taper tous les dossiers...
donc il faudrait que je creer un autre groupe qui ai des pouvoir admin sans pour autant qu il ne puisse pas acceder au repertoire des autres utilisateurs...
Voila c'est plus comprehensible la ?
Marsh Posté le 04-12-2002 à 16:07:35
oki mais bon il y a + de 50 utilisateurs, donc il faudrais que je change sur chaque dossier la securite et y mettre : acces a mme duchemoll et à l administrateur et oui ds ce cas la si je dit que mon utilisateurs fais partis du groupes administrateurs il n y au pas acces puisque il y aura juste l utilisateur administrateur..
mais je ne veux pas me taper tous les dossiers...
ca c'est faut... si ton user fait parti du group admin il fait ce qu'il veut sur ton domaine même si tu lui a soit disant enlever les droit sur un rep!!!
de plus j'ai répondu à ta question... tes user tu les mets dans le groupe utilisateur avec pouvoir! dans ce groupe il peuvent installer des logiciels sans pour autant acceder à toutes les ressources!
Marsh Posté le 04-12-2002 à 16:13:42
oui mais groupe d'utilisateur avec pouvoir c pas sur ad si ?
car si c sur la machine en local je ne peux pas
Marsh Posté le 04-12-2002 à 16:20:16
je viens de verifier, je ne trouve pas malheuresement c pour ca que ca me pose soucis,(en plus le aprc info en question est au havre et moi a paris donc :-/ tous ca via pc anywhere )
Marsh Posté le 04-12-2002 à 22:04:56
Bon les gars, fini de déconner avec les permissions NTFS !
Vous mélangez un peu tout à la fois.
Si tu veux permettre à des utilisateurs d'installer des softs localement, tu devras faire des changements localement sur les machines, à moins que tout le monde n'utilise une seule machine, ton serveur 2K, ce dont je doute.
Voici le guide du bon petit admin rezo
1. Tu ne dois jamais permettre à un user de devenir admin sur une machine (sauf cas exceptionels, mais ce ne doit pas être la norme), sinon il va te la mettre en morceaux en moins de 2 en trifouillant à gauche à droite et en jouant au super IT pro.
2. Les accounts dans le groupe admin devraient être utilisés uniquement pour réaliser des tâches administratives. Ceci dit, les techniciens font souvent partie du groupe admin car ils savent ce qu'ils font ... du moins on espère
3. Supposont que, comme expliqué plus haut, tu doives donner suffisament de permissions à tes users pour installer des softs sur leur machine; pour te faciliter la tâche, tu vas utiliser des groupes. Crée un nouveau groupe d'utilisateurs (ex: groupeA) sur ton domain controller et mets-y tous les users auquels tu veux donner les droits d'installation sur leur machines. De cette manière, tu gères tes permissions depuis un seul point : ton serveur. Cela facilite l'administration ;-)
4. Localement sur les machines, tu ajoutes dans le groupe PowerUser (préconfiguré par Windows2000) le groupe que tu viens de créer (ex : groupeA) et tu vérifies que groupeA a les permissions Write au minimum sur C:\Program Files, C:\WINNT et C:\Documents and Settings\All Users. De cette manière, cela devrait sans doute marcher.
Si jamais tout le monde est sur la même machine , dis leur simplement de se logger avec leur compte, et lorsqu'ils veulent installer qqch, d'enfoncer SHIFT et cliquer droit sur le setup.exe du programme à installer, choisir Run as... puis spécifier le username et password d'un account avec droits admin. Malheureusement de cette manière, ils connaitraient un compte admin et qqn de mal intentionné pourra toujours voir les données des autres.
Marsh Posté le 04-12-2002 à 22:10:33
Dernier truc auquel j'ai pensé en relisant ton post.
Un truc me dérange, tu dis que tu veux permettre aux utilisateurs d'installer des programmes eux-mêmes sur leur machines et ne pas pouvoir accèder les dossiers des autres sur ton serveur. Quel est ton problème finalement, car si tous les dossiers des utilisateurs avec leur données sont sur ton serveur et que chaque utilisateur à sa propre machine, tu pourrais aussi leur donner des droits admin sur leur machine. Cela ne veut pas dire qu'ilsauront accès aux dossiers des autres sur ton serveur, puisqu'ils seront admin en local et non admin rezo.
Tu peux clarifier stp
Marsh Posté le 04-12-2002 à 12:21:28
Voila, j ai un serveur win 2K, je voudrais creer un second administrateur, ou bien un groupe exemple admintrateurs 2
attention je ne veux pas que ce nouvelle utilisateur, face partie du groupe qu on trouve normallement qui s appelle administrateurs (oula tous le monde a compris ?? ;-/)
je recapitule je veux creer un administrateur en plus sur mon domaine, sans que celui ci de face partie du groupe administrateurs
je ne veux pas qu il fasse partie du groupe administrateurs car sinon il aura acces au dossiers users (en gros ds chaque repertoire de ce dossier, la securite est configurée de telle maniere que tout le groupe du nom administrateurs a acces a ce dossier.
mais je ne veux pas que le second groupe administrateur que je vais creer puisse acceder au dossier users en fait je veux que ceux qui fasse partie de ce groupe, puisse juste installer des programme de leurs postes
j'ai pas du etre tres clair donc si vous avez pas compris redemander moi des explications
qqun a t il une idée ?