Exchange 2003

Exchange 2003 - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 31-03-2009 à 15:55:15    

:hello:  
 
Quelle est l'autorisation qui permet d'autoriser/refuser la consultation des calendriers des utilisateurs d'un domaine ?
Serveur Exchange 2003 SP2 sur Windows 2003 R2.
 
Parce qu'actuellement, les membres du groupe "Admins du domaine" peuvent consulter les calendriers de tous les utilisateurs sans que ces utilisateurs aient partagés leur calendrier... Un peu gênant...
 
Merci d'avance...

Reply

Marsh Posté le 31-03-2009 à 15:55:15   

Reply

Marsh Posté le 31-03-2009 à 20:41:23    

D'un côté les bonnes pratiques veulent qu'on utilise pas son compte standard pour des taches d'admin.
Sinon c'est dans les permissions étendues de la bal

Reply

Marsh Posté le 31-03-2009 à 20:47:06    

Comment ça ?
 
Tu veux dire qu'il faut passer sur chaque BAL de l'organisation ? C'est bizarre car à la mise en service, je me souviens que même les membres du groupe Admins du domaine ne pouvaient pas accéder à tous les calendriers...  
 
Parce que maintenant sur un calendrier avec les autorisations basiques (Par défaut et anonyme : aucune), les admins du domaine accèdent aux calendriers...
 
Merci pour ta réponse ;)

Reply

Marsh Posté le 31-03-2009 à 20:49:33    

regarde les permissions étendues dans l'ADUC sur tes comptes user

Reply

Marsh Posté le 01-04-2009 à 08:11:43    

Tu veux parler des "Droits de boîtes aux lettres" sur l'onglet "Exchange - Paramètres avancés" ?

Reply

Marsh Posté le 01-04-2009 à 13:45:25    

:hot:

Reply

Marsh Posté le 02-04-2009 à 12:14:54    

Tu prends le problème à l'envers, ton souci c'est pas les permissions par défaut, c'est que qqun ait son compte d'utilisateur dans le groupe admins du domaine. (comme l'a souligné je@nb)


Message édité par gloubiboulga le 02-04-2009 à 12:16:06

---------------
-
Reply

Marsh Posté le 02-04-2009 à 12:56:00    

Tous les membres actuels du groupe Admins du domaine se doivent d'y être.

Reply

Marsh Posté le 02-04-2009 à 14:23:28    

Tu as besoin que des utilisateurs soient loggés en admins du domaine en permanence ? Pourquoi ? Tu te rends compte du risque que ça représente, en terme de sécurité ?


---------------
-
Reply

Marsh Posté le 02-04-2009 à 14:56:19    

Parce qu'ils font partie de la DSI... Et tous responsables de ce qu'ils font.


Message édité par ArthurB le 02-04-2009 à 15:01:26
Reply

Marsh Posté le 02-04-2009 à 14:56:19   

Reply

Marsh Posté le 02-04-2009 à 15:06:34    

Ca te fera une belle jambe qu'ils soient responsable le jour ton AD ou ton exchange seront par terre parce qu'ils ont fait une connerie alors qu'ils avaient les droits d'admins :o
La bonne façon de faire est pour tes gars (et toi) c'est de tourner réelement avec un compte user normal de base (pour la boite mail et autre utilisation de bas bureautique, web & co), et d'avoir un compte user different avec les droits d'admin à n'utiliser qu'en cas de besoin.


Message édité par El Pollo Diablo le 02-04-2009 à 15:07:06
Reply

Marsh Posté le 02-04-2009 à 15:13:23    

Pas de risque, la majorité ne touche pas à l'administration des serveurs et à l'infrastructure.
Après c'est plus politique, ça me semble pas anormal qu'un DSI fasse parti du groupe des Admins du domaine.
Enfin tout ça ne répond pas à ma question...

Reply

Marsh Posté le 02-04-2009 à 15:22:50    

ArthurB a écrit :

Pas de risque, la majorité ne touche pas à l'administration des serveurs et à l'infrastructure.


 
Le risque est énorme si  [:w3c compliant] Ils sont par exemple sans doute bien plus au fait de ces choses que la moyenne, mais meme le meilleur des admins n'est pas a l'abris d'une infection par un malware par inatention ou autre : avec leur belle session admin du domaine ouverte, le malware peut infecter d'un cout tout ton parc dans le domaine [:spamafote]
 

Citation :

Après c'est plus politique, ça me semble pas anormal qu'un DSI fasse parti du groupe des Admins du domaine.


 
Qu'il ai un compte admin du domaine c'est normal, qu'il bosse en permanence avec une session ouverte avec les droits d'admin du domaine c'est pas normal du tout non, surtout s'il touche jamais a l'admin [:w3c compliant]  
 

Citation :

Enfin tout ça ne répond pas à ma question...


 
Ben un peu quand meme si : en faisant comme on te le dit quand il vont inviter quelqu'un a un RDV Outlook ils ne verront pas son calendrier mais juste ses infos free/busy par exemple, pour aller voir les infos faudrait vraiment aller les chercher avec le compte admin.
Et de toutes façons si les mecs sont tous admins du domaine, la différence est mince entre un compte admin qui a les droit pour voir une ressource et un compte admin qui peut se mettre ces même droits en 30 secondes...

Reply

Marsh Posté le 02-04-2009 à 16:06:47    

Citation :

Le risque est énorme si  [:w3c compliant] Ils sont par exemple sans doute bien plus au fait de ces choses que la moyenne, mais meme le meilleur des admins n'est pas a l'abris d'une infection par un malware par inatention ou autre : avec leur belle session admin du domaine ouverte, le malware peut infecter d'un cout tout ton parc dans le domaine [:spamafote]


Pas besoin malheureusement d'être membre d'un groupe d'administrateurs pour chopper des saloperies... Après ça se passe en amont avec la sécurité de l'accès Internet (filtrage d'URL, analyse des flux HTTP, SMTP) , des antivirus (clés USB  :fou:) et autres. Un DSI ne se connecte jamais aux serveurs Windows via TSE, il s'en moque, ce n'est plus son rôle. Je n'évoque même pas les serveurs Unix ou Linux. Sauf que ponctuellement, il doit pouvoir avoir accès à tout d'où son appartenance au groupe des Admins du domaine. Son appartenance à ce groupe ne lui apporte en fait qu'un accès "full" aux fichiers bureautiques.
 

Citation :

Qu'il ai un compte admin du domaine c'est normal, qu'il bosse en permanence avec une session ouverte avec les droits d'admin du domaine c'est pas normal du tout non, surtout s'il touche jamais a l'admin [:w3c compliant]


Je ne me vois pas annoncer à mon DSI que son compte ne fait pas/plus parti des Admins du domaine et qu'il doit utiliser un autre login pour accéder à plus de choses. Après, c'est sûr qu'on pourrait très bien mettre le compte dans un groupe de sécurité qui aurait accès à tous les fichiers et retirer le compte des Admins du domaine mais bon... Politiquement c'est gênant.[:spamafote]
 

Citation :

Ben un peu quand meme si : en faisant comme on te le dit quand il vont inviter quelqu'un a un RDV Outlook ils ne verront pas son calendrier mais juste ses infos free/busy par exemple, pour aller voir les infos faudrait vraiment aller les chercher avec le compte admin.
Et de toutes façons si les mecs sont tous admins du domaine, la différence est mince entre un compte admin qui a les droit pour voir une ressource et un compte admin qui peut se mettre ces même droits en 30 secondes...


Certes, mais ils ne veulent plus avoir accès aux calendriers de titi ou toto en faisant un simple "Ouvrir un calendrier partagé" de titi ou toto car vis à vis du respect de la vie privée ce n'est pas bon... Puisque ces dits calendriers ne sont pas partagés par titi ou toto... Mais rester dans le groupe des Admins du domaine. D'où ma question... J'ai bien vu dans les propriétés de l'utilisateur les propriétés de droits de boites aux lettres mais si je dois me taper toutes les BAL, ça va vite me lasser...  
 
C'est intéressant ces discussions :jap:

Reply

Marsh Posté le 02-04-2009 à 16:10:18    

ArthurB a écrit :

Après, c'est sûr qu'on pourrait très bien mettre le compte dans un groupe de sécurité qui aurait accès à tous les fichiers et retirer le compte des Admins du domaine mais bon... Politiquement c'est gênant.[:spamafote]

 

Si meme le DSI n'est pas sensible aux arguments et risques techniques evidents face a un maigre confort d'utilisation et une illusion d'importance, t'es pas dans la me*de pour faire passer une vraie politique du sécu dans ta boite [:w3c compliant]


Message édité par El Pollo Diablo le 02-04-2009 à 16:17:42
Reply

Marsh Posté le 02-04-2009 à 18:26:44    

Citation :

Pas besoin malheureusement d'être membre d'un groupe d'administrateurs pour chopper des saloperies


 
Pour les chopper, non. Pour les répandre ...  
 

Citation :

Un DSI ne se connecte jamais aux serveurs Windows via TSE, il s'en moque, ce n'est plus son rôle.


 
Il n'est pas en RDP, le risque. Plutôt sur l'accès aux partages, par exemple ... Ou encore l'exécution/manipulation de services à distance.
 

Citation :

Sauf que ponctuellement, il doit pouvoir avoir accès à tout d'où son appartenance au groupe des Admins du domaine. Son appartenance à ce groupe ne lui apporte en fait qu'un accès "full" aux fichiers bureautiques.


 
T'as la réponse plus loin, groupe de sécu qui va bien. D'autant qu'à priori, il ne se doutera de rien, vu ce que tu dis.  
 

Citation :

Je ne me vois pas annoncer à mon DSI que son compte ne fait pas/plus parti des Admins du domaine et qu'il doit utiliser un autre login pour accéder à plus de choses.


 
Ca n'est qu'une question de présentation. Si tu arrives en braillant "t'es qu'un luser avec des droits pareil tu vas tout nous foutre par terre, tacheron", forcément, il va mal le prendre. Si tu présentes une nouvelle stratégie de sécurité, documentée et expliquée, quitte à lui créer un compte domain admin avec un mdp bien costaud, et bien compliqué à taper, ça peut passer beaucoup mieux.  
 

Citation :

J'ai bien vu dans les propriétés de l'utilisateur les propriétés de droits de boites aux lettres mais si je dois me taper toutes les BAL, ça va vite me lasser...  


 
Et pourtant. T'as la solution simple et sûre, ou la chiante et dégueu, fais ton choix camarade :D


---------------
-
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed