AD - Compte utilisateur - Sécurité/ACL ? - Windows & Software
Marsh Posté le 30-06-2005 à 20:42:10
je ne percute pas trop l'objet de tes demandes. Mais je peux au moins tenter de répondre à ça :
Autre exemple : |
Le parent peut-être le lecteur (sous 2003 c'est le cas). Il peut être un dossier (cas rencontré sous 2k Srv). Les objets enfant sont tous les dossiers, fichiers qui se trouve sous le lecteur (si on prend le cas du lecteur) ou du dossier (si on prend le second cas). C'est un système hiérarchique...Les propagations peuvent être interrompu...
C'est le principe du système de fichier NTFS apparu depuis NT4. Les permissions que tu trouve dans l'onglet de sécurité permettent de restreindre des droits en fonction des "responsabilités" des users....
ect...
Marsh Posté le 30-06-2005 à 21:03:00
Je parle d'utilisateurs, ou de groupes d'utilisateurs, quand on accède via "Utilisateurs et ordinateurs AD" à leurs propriétés > Sécurité
Marsh Posté le 30-06-2005 à 22:56:09
Simple....
Lorsque tu créer un partage sur un dossier, Ad te permet plusieurs choses...
1°/interrompre les droits qui ont été créer au dessus ( Depuis un dossier parent)...tous les droits créer sur un parent( voir plusieurs parents) sont automatiquement transmis aux enfants nativement ( cases grisées)
EX: tu creer un partage sur C:\ pour tout le monde en lecture-écriture
si tu vas sur C:\Windows ou C:\Winnt tu découvres que tout le monde en lecture-écrirure est grisé ( cela signifie que le partage tramsmet les droits nativement à tous les enfants qui se trouve au dessous...et il n'y y a pas de limite...si en dessous tu as 10000 répertoires enfants sous C:\ ils hériteront tous des permissions octroyés au dessus depuis tous les parents....a moins d'interrompre cette permission ou ces permissions au niveau d'un dossier (Copier puis supprimer)...là plus aucuns droits ne sera transmis aux enfants situé plus bas (enfants)...tu viens de couper la transmission de droits.(héritage des droits)....
2°/Créer de nouveaux droits à partir du dossier ou tu te trouves et qui selon le 1°/ seront transmis de droit à ceux du dessous (les enfants)( transmision native sous windows) a moins que tu interrompts plus bas sur un enafnt ces droits là... l'onglet sécurité sert à cela...interrompre des droits qui viennent du dessus ou en créer de nouveaux pour ceux qui sont en dessous voir les 2 à la fois...
tout le monde est dangeureux puisque cette notion permet l'acces à n'importe quelle station qui n'est pas déclaré dans AD...
Si tu disposes que de stations XP PRO ou Windows 2000 PRO dans ton parc , TU DOIS mettre à la place Utilisateurs Authentifiés car seuls les stations répertoriés dans AD ( donc tes XP PRO ou 2000 PRO )auront acces au répertoire partagé...si tu as des stations comme XP Home ou 98 ou encore 95 qui doivent avoir acces à un répertoire tu dois mettre Tout le monde mais c'est un risque d'un point de vue Sécurité puisque tu autorises toutes les stations Hors domaine à pouvoir accéder sur un répertoire du domaine...
les répertoires parents sont les répertoires qui sont au dessus du répertoire ou tu opéres...les enfants sont ceux qui sont en dessous du répertoire ou tu opères....est-ce clair ?
Marsh Posté le 30-06-2005 à 23:13:51
MErci d'avoir fait une si longue réponse (très claire), mais ce n'est pas du tout ce dont je parle.
Je ne parle pas de permissions NTFS sur un FS.
Marsh Posté le 30-06-2005 à 23:34:03
Voici les conseils que je peux te transmettre si tu ne connais pas AD:
1°/ TOUTES LES SESSIONS ouvertes sur les stations Doivent etre utilisateur et JAMAIS ADMINISTRATEUR y compris celle des administrateurs.....
2°/ N'ouvres JAMAIS de session Administrateurs Réseau sur un poste Client...Si la station est infecté le virus hérite automatiquement des droits ouverts sur la station...la contamination est immédiate et l'intrus à tous les droits sur le réseau et contaminera immédiatement le parc via les serveurs ( puisqu'il aura les droits via ta session).
3°/ Si tu dois administrer un serveur ouvres une session terminal Serveur administrateur sous une session utilisateur car un virus ou un vers ne pourra pas accéder via cette session au serveur...
4°/ Si tu souhaites installer des logiciels sur le réseau..Créer un utilisateur de nom Installateur sous AD...donnes lui des droits utilisateur et non administrateur sous AD...sur un répertoire du réseau copies tous les logiciels de l'entreprise...et avec un clic droit sur ce répertoire dans l'onglet sécurité place en lecture seul le nom de cette utilisateur (Installateur)..enfin sur toutes tes stations clientes de ton domaine places cet utilisateur (Installateur) dans le groupe Administrateurs de toutes les stations clients de ton parc....ensuite chaque fois que tu auras besoins d'installer un logiciel tu ouvres une session avec Installateur..tu disposeras ainsi des droits pour installer mais aussi pour accéder aux répertoires sur le réseau qui contiendra tous les logiciels de l'entreprise....si en plus le profil de Installateur est itinérant tu pourras créer un raccourçi sur le bureau vers le répertoire des logiciciel de l'entreprise depuis n'importe quelle station de l'entreprise...La puissance AD c'est ça...de la préparation avant ensuite la puissance administrative sur le réseau...
Marsh Posté le 30-06-2005 à 23:44:07
Groody a écrit : MErci d'avoir fait une si longue réponse (très claire), mais ce n'est pas du tout ce dont je parle. |
alors je suis vraiment bourré...
Marsh Posté le 01-07-2005 à 09:37:55
Merci pour le conseil
Je parle de ça :
Edition du compte utilisateur dans AD via "Utilisateurs et ordinateurs AD", onglet sécurité.
A quoi correspondent ces permissions sur cet objet qu'est mon utilisateur ?
+ Ma seconde question du 1er post, à voir au même endroit.
Marsh Posté le 01-07-2005 à 11:26:27
Alors tout le monde a le droit de changer ton mot de passe!
Mais bien sur il peuvent pas car encore faudrait il etre log sur ta session!
Ici la questin de l'heritage et surtout liéer a l'association de GPO!
Marsh Posté le 01-07-2005 à 11:29:36
Eux non désolé des stragie de sécuriter sur le compte qui serait associé a ton OU ou groupe d'utilistateur s'il a été creer!
Par exemple Mon user fait partie d'un groupe de sécurité UTILISATEUR donc s'il y a des regle de secu sur se GROUPE et si c'est coché elle seront prioritaire!
Marsh Posté le 01-07-2005 à 11:50:02
Sm@No a écrit : Alors tout le monde a le droit de changer ton mot de passe! |
Comme je l'ai dit, je m'en doute.
Tu ne réponds à rien à part reprendre ce que j'ai dit.
Je veux juste savoir ce que font ces permissions à cet endroit ?
1 - "tout le monde : changer le mot de passe" dans l'onglet sécurité d'un compte utilisateur , je ne comprends pas la logique..
Pour ton second post, j'imagine (il n'est pas clair pour moi) que tu réponds à ma seconde question, sur l'héritage du groupe ADMINISTRATEURS.
Si oui, tu réponds à côté. J'ai bien compris le principe de l'héritage. Je cherche qui est le parent du groupe "ADMINISTRATEUR" que je vois dans les permissions de l'onglet sécurité d'un compte utilisateur. A cet endroit, la permission "Supprimer tous les objets enfants" n'est pas cochée, et les autres grisées+cochées, ce qui signifie que les permissions viennent d'un parent.
Donc, je repose mes 2e et 3e questions :
2 - Que signifie (en pratique, etc.) la permission "Supprimer tous les objets enfants" ? Des objets créés par un utilisateurs ne peuvent être supprimé par l'admin ? J'ai réussi à virer des dossiers/fichiers créés par cet utilisateurs. Donc, à quoi celà correspond ?
3 - Les cases grisées indiquent des permissions héritées. Oui, mais de qui ? Comme je l'ai indiqué dès le début, j'ai remonté les différentes appartenances. Mon GROUPE "Administrateur" n'est membre de rien, n'est dans aucun groupe.
Donc ?
Marsh Posté le 01-07-2005 à 12:05:16
Groody a écrit : |
Tes users sont sous une OU ? il n'y as pas de droits sur cette OU ? Le parent n'est-il pas le domaine ou l'OU en question ?
Marsh Posté le 01-07-2005 à 12:13:35
cvb a écrit : Tes users sont sous une OU ? il n'y as pas de droits sur cette OU ? Le parent n'est-il pas le domaine ou l'OU en question ? |
Pour ça, ma question se pose pour le groupe ADMINISTRATEUR.
- Mes Users sont dans le "groupe" (?) USERS créé par defaut lors de l'install du système (AD, etc.).
- Droit sur cet OU : Le groupe créé de base, USERS, ne ne nomme pas OU ? Tu m'as donné une idée, je suis allé voir les propriétés du "groupe" USERS, même droits pour la permissions du groupe Administrateur, la ligne "supprimer..." n'est pas cochée, les autres grisées et cochées. Je suis remonté d'un niveau, sur le domaine (propriétés, sécurité), là, rien de grisés, juste coché. Je pensais donc avoir trouvé le parent. Je coche donc ici la case "Supprimer tous les enfants.." pour le groupe ADMINISTRATEUR. Je vais revoir mon groupe USERS, et dans le compte de mon utilisateurs : le droits "Supprimer.." pour mon groupe ADMINISTRATEUR n'est ni coché, ni grisé.
Marsh Posté le 01-07-2005 à 15:22:50
Je conseille t'etudier en détails cet article : http://www.mcpmag.com/columns/arti [...] 328&page=2
Tu devrais trouver réponse a toutes tes questions.
Marsh Posté le 01-07-2005 à 15:29:31
ReplyMarsh Posté le 01-07-2005 à 15:31:06
Sinon l'autorisation "changer le mot de passe" pour le groupe "tout le monde", c'est ce qui permet aux utilisateurs de changer de mot de passe avant d'etre completement loggué quand le mot de passe arrive a expiration ou que l'on force un changement de mot de passe a la prochaine ouverture de session de l'utilisateur.
Et ca ne permet absolument pas aux autres utilisateurs de changer les mots de passe des copains
Marsh Posté le 01-07-2005 à 15:33:59
Ok.
Mais prq est-ce trouvable dans l'onglet sécurité d'un compte d'utilisateurs (exemple) :
Marsh Posté le 01-07-2005 à 15:42:15
Ben, pour la raison que je viens de donner
Fait le test, vire la case sur un user, puis dans l'onglet compte coche la case "l'utilisateur doit changer de mot de passe a la prochaine ouverture de session", aplique et essaie de te logguer sur une station : apres avoir rentré le mdp ca va te demander de changer ton mot de passe en rentrant l'ancien et le nouveau, mais la tu auras un message d'erreur te disant que tu n'as pas les droit pour.
Marsh Posté le 01-07-2005 à 15:51:29
Effectivement
M'enfin, ça ne me semble pas logique du tout ..
C'est une autorisation pour cet utilisateur ?
Qu'est-ce celà fait dans les ACL de cet "objet" ?
J'ai loupé quelque chose...
(merci )
Marsh Posté le 01-07-2005 à 15:55:12
Comprend pas ton etonnement, moi ça me semble logique que les droits sur un objet soit définis au niveau de cet objet, non ?
Marsh Posté le 01-07-2005 à 15:57:43
Sur un dossier, tu autorises ceux qui peuvent y accéder à ce niveau.
Pour moi, pour un objet, à ce même endroit, il me semble logique qu'on y place les autorisations de "ceux" qui devront "gérer" cet objet qu'est l'utilisateur dans mon cas, pas ses propres autorisations.
Marsh Posté le 01-07-2005 à 16:05:37
La possibilité de gérer un utilisateur c'est juste avoir les droits kivonbien dessus, et donc tous les droits de l'utilisateurs comme la possiblité de changer son mot de passe se gèrent a partir de cet onglet sécurité, moi ça me parait tres logique.
Marsh Posté le 01-07-2005 à 16:12:11
Je comprends
Mais le coup du "Tous les utilisateurs : changer le mot de passe", je bloque
Bon, tout ça va se placer petit à petit, en quelque jours j'ai déjà appris pas mal de chose.
Merci
(en passant, j'ai un autre prb (à partir de mon post), si tu as le temps.. )
Marsh Posté le 30-06-2005 à 17:25:23
Salut,
Je découvre (enfin) depuis quelques jours AD..
Je bloque un peu.
Domaine/AD fraichement créé (environnement de test/découvertre).
Dans le compte d'un utilisateur, section SECURITE, je retrouve différentes permissions. Mais à quoi servent t'elles ?
Ex : un peu partout, je vois le groupe "Tout le monde" avec l'aurisation de "Changer le mot de passe".
C'est à dire ? Tout le monde peut changer le mot de passe de mon utilisateur ?
J'imagine bien que non, mais à quoi celà sert-il ?
Autre exemple :
Groupe "Administrateurs" : 2 choses
- les permissions sont héritées d'un parent, mais je ne trouve pas qui est ce parent
- l'autorisation "Supprimer tous les objets enfants" = case non cochée. MAis objets enfant de qui ? De l'utilisateur ? Mais concrètement, quel sont ils ?
Perdu je suis ..
---------------
Vidéo Concorde Air France | www.kiva.org