Droits et utilisateurs sous windows XP Pro SP2 - Windows & Software
Marsh Posté le 14-07-2006 à 18:58:17
Salut,
1/ La sécurité Refuser et prioritaire sur la priorité Autoriser
2/ procédure :
a) Tu casses l'héritage des sécurités sur "documents & settings\nom_utilisateur" en copiant les sécurités.
b) Tu modifies les sécurités pour qu'il ne reste que Admin du domaine, nom_utilisateur et Système en contrôle total,
c) Dans paramètres avancés, tu coches Remplacer les entrées d'autorisation de tous les objets enfants ... et tu valides
d) Tu modifies les sécurités à la racine de chaque partition (C:,...) : tu enlèves Tout le monde et Utilisateurs (machine)
e) Dans paramètres avancés, tu coches Remplacer les entrées d'autorisation de tous les objets enfants ... et tu valides
Ca devrait le faire...
Marsh Posté le 25-08-2006 à 15:11:43
Dji-Pih a écrit : Salut, |
Bon je viens de tester ta procédure et résultat: plus aucun utilisateur ne peux accéder au serveur TS à part le compte Adminstrateur.
Comment faire marche arriére?? Si quelqu'un pouvait m'aider vite car la c'est la grosse M.... ;-)
Je suis sous Win serveur 2003 standard
Marsh Posté le 12-07-2006 à 13:51:48
Bonjour tout le monde,
Je suis actuellement temporairement dans une PME où je travaille notamment sur le serveur. Il s'agit d'une machine linux, configurée en PDC avec Samba pour des machines sous windows XP Pro toutes dans un même domaine.
J'ai refait une nouvelle image pour les station XP et tout a bien fonctionné. Pour des raisons que je n'exposerais pas ici, il se trouve que les machines doivent être le plus restreintes possibles, avec juste la permission de lancer les programmes installés sur le disque dur et le droit d'écrire sur "Mes documents", sur une clé USB ou graver un CD. L'execution depuis ces emplacements est interdis.
Il existe en fait un profil générique "user" qui est chargé à l'ouverture de la session pour tous les utilisateurs (profil non modifiable) avec les restrictions dont j'ai besoin dans le "user.man", et comme j'ai refait toutes les machines avec une image commune, j'ai pu également appliquer GPO.
En plus de ça, j'aurais aimé interdire l'écriture sur le disque dur sauf dans le répertoire "documents & settings\nom_utilisateur". La modification ou la suppression de dossier est déjà interdite (par défaut je suppose) mais il est encore possible de créer un répertoire, et du coup, par la même occasion de lancer des programmes simples (ne nécessitant pas un setup).
J'ai essayé de configurer les options de sécurité sur le disque dur afin de "refuser" l'écriture au groupe "tout le monde" mais dans ce cas là, même en tant qu'administrateur il n'est plus possible d'écrire sur le disque. J'ai aussi essayé d'appliquer cette même stratégie sur le groupe "domain users" mais cela n'a aucun effet (en fait si, mais pas sur le profil "user", par contre les autres profils "normaux", car il y a quelques profils itinérants "standard" se voient appliquer la stratégie).
Si vous avez des idées, elles sont les bienvenues !
PS : De plus j'ai remarqué que j'avais 2 fois le groupe "domain users" (lorsque je rajoute la règle, je peux choisir avancé et puis faire une recherche), mais je ne saurais dire si c'est lié. Etant donné que je ne connais pas énormément de chose en linux, je ne me vois pas du tout réinstaller le serveur ou même tenter un débuggage tout seul.