Protéger un service - Windows & Software
Marsh Posté le 08-11-2005 à 10:37:32
en tant que simple utilisateur je crois qu'on a pas accès aux outils d'administration du panneau de config. est-ce que cette config peut le faire chez toi (1 compte admin, 1 ou + compte(s) user) ?
Marsh Posté le 08-11-2005 à 11:05:06
En fait, je me suis mal fait comprendre.
Je suis admin dans ma boite, et pour des raisons de commodités (par ex le changement de leur ip), on a certains users qui ont des droits admins sur leurs postes.
Je soupsonne certains petits malins d'arreter des services comme l'antivirus pour des pb de performances...
Donc, je voudrais protéger des services importants afin d'être plus tranquille.
Voila.
Marsh Posté le 08-11-2005 à 11:14:38
je connais pas bien alors je dis tet une betise: pas moyen de faire ça dans gpedit ?
Marsh Posté le 08-11-2005 à 12:10:53
Attaque toi à la racine du problème : comment tes users peuvent-ils faire ce qu'ils ont le droit de faire SANS disposer d'une session admin ?
C'est quoi cette histoire de changement d'ip ?
Fais aussi passer le message que désactiver la solution AV présente un gros risque dont la responsabilité retombera sur l'user responsable de la manipulation.
Marsh Posté le 08-11-2005 à 12:52:19
Ces users ont des droits admins locaux justement pour pouvoir modifier leur adresse ip...
Quand à la responsabilisation, ce sont des crétins donc...
je vais quand même verifier les gpo mais j'y crois pas trop.
Marsh Posté le 08-11-2005 à 12:55:41
ils peuvent modifié leurs adresses IP ? dans quel but ??
pourquoi ne pas leur crée un profil...
Marsh Posté le 08-11-2005 à 12:58:35
Tu peux certainement par script permettre la modification des paramètres d'une interface réseau (netsh) et cela sous une session utilisateur (avec l'aide de commandes donnant les droits admins le temps du script - voir le site de bellamy ou encore une des commandes sous autoit)
Je dis ça, je ne l'ai jamais fait. Mais ca me semble tout a fait possible.
Marsh Posté le 08-11-2005 à 12:58:37
Parce-que ce sont des gens qui voyagent, ils peuvent donc se trouver sur l'un de nos 120 sites (donc avec des plages ip différentes).
voila.
Marsh Posté le 08-11-2005 à 14:19:51
Non, pas de dhcp.
plus de la moitié de nos sites sont tout petits (moins de 4 PC) donc il est hors de question de maintenir des serveurs pour une ou deux bécanes...
Donc, personne n'a de liens ou autres sur la protection des services ???
Marsh Posté le 08-11-2005 à 14:33:51
Franchement je crois que tu t'orientes dans une mauvaise direction.
Aujourd'hui les droits admin permettent aux users de désactiver des services, demain ce sera autre chose (installations logiciels, ...)
Il vaut mieux s'attaquer a ne pas avoir besoin de donner ce privilège aux users.
La solution du script me parait tout a fait faisable.
J'essayerai d'en faire un d'ailleurs à l'occasion (mais si ca trouve y'en a déjà des tout prêts sur internet)
Le mieux serait bien sur d'avoir un serveur dhcp sur chaque site. Inutile d'avoir une machine dédiée à cela. Si les sites sont reliés à internet, certainement l'élément qui fait passerelle le permet. Sinon peut-être la possibilité d'installer un logiciel sur un poste client qui ferait office de serveur dhcp.
Marsh Posté le 09-11-2005 à 08:48:37
Ben, j'ai pas l'intention de m'amuser à créer et copier 120 scripts sur tous les PC des users nomades que nous avons (surtout qu'il faudrait gérer touts les ip de ce petit monde). De plus, il ne faut pas un script mais un exe car pour changer l'adresse ip d'un PC il être admin local et si je leur met un script avec dedans le mdp admin, autant leur donner, c'est plus simple.
Maintenant, je pensais qu'il était possible de protéger un service, je vais chercher encore un peu et si je trouve pas, je laisse tomber.
Merci quand même.
A+
Marsh Posté le 09-11-2005 à 09:45:03
Salut
Pour les droits administrateurs, il n y a que les administrateurs qui en disposent....
Ensuite pour ton script tu peux toujours le compiler (voir du cote de powerbatch)
Et finalement t n as qu mettre tes nomades dans une uo dans laquelle tu donnes aux users certains droits sur l adressage....
@++
Marsh Posté le 09-11-2005 à 15:00:55
ton script n'est pas forcément un batch avec commandes DOS. Tu peux utiliser des langages dédiés comme autoit. Ca te fera un .exe.
Le mieux dans ton cas c'est le DHCP
ensuite le script
en dernier recours les droits admins
Marsh Posté le 08-11-2005 à 09:41:13
Salut,
J'essaie de trouver un moyen de d'empêcher l'arrêt ou la désactivation d'un service par mot de passe...
J'arrive pas à trouver de doc à ce sujet, quelqu'un aurait un site ou une méthode à me conseiller ???
Merci.