Comment qu'on fé  
 
EDIT :  
 
C'est impossible avec un serveur Windows 2000 + AD
C'est possible avec un serveur NT4
 

[jfdsdjhfuetppo]--Message édité par kikidonc le 03-05-2002 à 02:51:13--[/jfdsdjhfuetppo]

???
Sois plus précis

Ben normalement c pas possible....

Bah je voudrais me connecter sur un domaine avec l'utilsateur XXX mais rester administrateur de ma machine localement (W2K)
 
J'ai réussi a le faire mais qu'uniquement avec un compte sans mot de pass

Alors pas possible. Soit tu te connectes en local avec le compte administrateur de la machine, mais tu n'as pas de droits sur le domaine. Soit tu te connectes sur le domaine, mais il faut que ton compte sur le PDC soit un compte d'administrateur.

heu ba i faut que ton compte local (meme nom que ton compte domain) est les droit admin local

Elle est facile celle là...
Et ca marche ce truc ??? J'en doute...

vui tres franchement j'ai un doute aussi    , j'nai essayer qu'avec des util avec pouvoir

 
oué ca marche mais que quand ya pas de mot de pass, dès que j'en met un (identique pour le compte local & rézo) ca passe pas

ne met pas de mot de passe sur le compte local.

[jfdsdjhfuetppo]--Message édité par Ogg le 23-04-2002 à 15:22:12--[/jfdsdjhfuetppo]

 
ah, j'ai pas essayé ca
 
J'vé essayer...

marche po  

Eh non, on n'arrête pas de te dire que c'est pas possible...

 
J'suis persuadé d'avoir déjà vu ca dans une autre société    
 
Ca m'énerve de toujours basculer du mode local vert domaine    

En fait le but c'est ce logguer en Local sur la machine avec un Log + Pass qui correspond à un compte crée sur le domaine.
 
Mais ce qui m'intrigue, c'est que meme si les mots de pass sont les memes, on ne devrait pas avoir accès aux ressources réseaux.
 
Les ressources réseaux sont partagés non pas avec des droits du types
Martin PIERRE, mais avec DOMAINE\Martin Pierre ou \DOMAINE\mpierre@nomdedomaine
 
or la tu te loggues avec Martin Pierre ou \mpierre. C'est totalement différent. Si vous avez accès au ressources réseaux, ce n'est que parce que votre admins a laissé les accès à tout le monde ou anonymes. Et donc dans ce cas, l'accès aux ressources ne signifie pas que vous être loggé sur le domaine (en passant s'il a fait ca, c'est pas très prudent).
 
De plus faites attention afin de distingué si vous êtes loggué sur le domaine ou pas.
 
A l'ouverture de session sous Win2k.
S'il y a marqué :

• Se connecter à : NOM DE MACHINE (cet ordinateur)

mais que vous tapez :
- mpierre@domaine vous vous logguerez sur le domaine
- mpierre vous vous logguerez en local
 
S'il y a marqué :

• Se connecter à : NOM DE DOMAINE

et que vous tapez
- mpierre@domaine vous vous logguerez sur le domaine
- mpierre vous vous logguerez sur le domaine
 
Pour ma part ca ne doit pas marcher...

[jfdsdjhfuetppo]--Message édité par Jef34 le 23-04-2002 à 16:06:25--[/jfdsdjhfuetppo]

Merci beaucoup    
 
 
 
   

Jef, qd tu dis qu'il faut taper nom@domaine c'est quoi qu'il faut mettre a la place de "domaine", le suffixe DNS du domaine genre chezmoi.fr ou le nom du domaine genre WORKGROUP ?

 
suffixe dns mpierre@croustibat.fr

Sous Linux il est possible de modifier le numero ID de l'user et donc en creant un compte local avec les droits admin et en lui attribuant le meme UID que le compte compte reseau, lorsque l'on se log sur le domaine unix on est reconnu (par le numero UID) en etant qu'admin local de la machine. Y a pas moyen de bidouiller un truc dans le meme esprit pr ce qu'il nous interesse ici ?

Autrement je pensais a un truc, qd on est logge comme simple user sur une becane, n'y a t il pas moyen d'ouvrir une console ayant les droits admin?
Voila qui solutionnerais tout, non ?

oui, la commande  
Runas
 
RUNAS [/profile] [/env] [/netonly] /user:<NomUtilisateur> programme
 
   /profile        si le profil de l'utilisateur doit être chargé
   /env            pour utiliser l'environnement en cours à la place de
                   celui de l'utilisateur.
   /netonly        à utiliser si les informations d'identification spécifiées
                   sont pour l'accès à distance seulement.
   /user           <NomUtilisateur> sous la forme UTILISATEUR@DOMAINE
                   ou DOMAINE\UTILISATEUR
   program         ligne de commande pour EXE. Voyez les exemples ci-dessous
 
Exemples :
> runas /profile /user:MonOrdinateur\administrateur cmd
> runas /profile /env /user:MonDomaine\admin "mmc %windir%\system32\dsa.msc"
> runas /env /user:utilisateur@domaine.microsoft.com "notepad \"Fichier.txt\""
 
REMARQUE : n'entrez le mot de passe utilisateur que lorsqu'il
vous est demandé.
REMARQUE : USER@DOMAIN n'est pas compatible avec /netonly.

Il suffit que tu rajoute le compte "TonDomaine\TomNomd'Utilisateur du domaine" dans le groupe local Administrateurs de ton poste, et comme ca tu as les droits administrateurs de ta machine lorsque tu es logé avec le compte user de ton domaine.
Il te faut juste les droits administrateur local de ta machine.
Je vois pas ce qui te pose problème.

 
Si ct si simple    
 
Par contre j'viens de me demander un truc, est-ce que les nom de comptes NT sont sensibles à la casse    c'est ptete la que j'met gouré

Non, les noms de compte ne sont pas sensibles à la casse. C'est déjà pas toujours facile de faire rentrer dans le crâne des utilisateurs qu'il y a cette sensibilité dans le mot de passe, alors imagine si on doit étendre ca au nom d'utilisateur

 
 
J'me posais quand meme la question dans le cas ou j'aurais :
Compte du domaine : abcdef
Compte local : Abcdef
 
J'suis chez moi j'peux pas tester

sur la machine cliente dans panneau de config tu lance "utilisateurs et mots de passe", la tu rajoute ton utilisateur avec son domaine et tu lui donne les droits admin.
de cette facon il sera admin de ca machine mais il gardera ces droits normaux sur le domaine.
 
essaye voir mais je crois que c ce que tu voulais.

 
Déjà proposé ca marche pas
 
Pour les tests j'retourne pas au bureau avant fin juin

Ca marchait sous WinNT ce truc du faite que sous NT ya pas active directory. Avec des serveur 2000 avec AD ca marche plus et heureusement d'ailleurs...
 
Si jamais ton truc marche c qu'il y a une faille de sécurité dans le systeme de Domaine-Client.

 
  ah oué voilà l'astuce enfin j'me disais j'devient dingo j'ai vu ca chez plusieurs client la raison ct Windows NT4 Server    
 
 
Merci de m'avoir mi sur la voie  

[jfdsdjhfuetppo]--Message édité par kikidonc le 03-05-2002 à 02:50:26--[/jfdsdjhfuetppo]

kikidonc a écrit a écrit :   Déjà proposé ca marche pas Pour les tests j'retourne pas au bureau avant fin juin

baaaaah ca marche cher moa pourtant.
 
mon serveur win2ksrv, mon client w2kpro pis la personne ce logue avec son login/pass et domaine normale, et elle est bien admin de ca machine uniquement.
 
je l'ai fait l'autre fois sur 2 postes coz un prog voulait pas editer sans des droit admin sur la machine, now ca marche impec chuis po fou quand mme!

knives a écrit a écrit : baaaaah ca marche cher moa pourtant.   mon serveur win2ksrv, mon client w2kpro pis la personne ce logue avec son login/pass et domaine normale, et elle est bien admin de ca machine uniquement.   je l'ai fait l'autre fois sur 2 postes coz un prog voulait pas editer sans des droit admin sur la machine, now ca marche impec chuis po fou quand mme!

 
  moi j'devient dingue par contre  

Knives, peut tu etre un peu plus explicite dans tes explications?
 
moi quand je vais dans le panneau de controle, puis gestion des comptes, et que je fais nouvel utilisateur, il ne me donne pas le choix, le compte ne peut etre relatif qu'a ma machine, et non au domaine.
 
alors comment tu fais?

sous xp apparement c un peu different j'ai pas retrouver la mme manip
c craignos xp sur un domaine, que des points negatifs pour ma part de ce coter la
 
sinon sous w2k en suivant precisement ce que j'ai dis ca roule.
 
en tout cas sous w2k je suis certain que ca fonctionne!

Ben j'ai pris mon temps. Controleur de domaine sous Win2kServer, avec Active Directory, mes PC sont tous sous le domaine.
 
Un user a un compte Utilisateurs sous le domaine mdupont@domaine.fr
 
il se crée un compte local avec mdupont avec les droit d'administrateurs.
 

• Il se logge avec son compte mdupont@domaine.fr

Il peut parcourir le réseau sans la moindre demande de mot de pass. Il accède à toutes les machines pour lesquelles sont compte AD lui a donné le droit.
 

• Il se logge avec son compte local mdupont

Il peut en effet faire ce qu'il veut sur ca machine. Mais s'il veut parcourir le Domaine, il est invité à entrer ses logues et pass du Domaine à savoir
 
Log : mdupong@domaine.fr
Pass : toto
 
ou
 
Log : DOMAINE\mdupont
Pass : toto
 
Ainsi, le Controleur de domaine fait un différence entre le compte local et le compte qui est dans sa base Active Directory.
 
La manipulation ci dessus revient simplement au cas d'un administrateur qui vient lancer une applications chez un user qui n'a pas les droit qu'il faut pour le faire..
 
Le fait que le DC demande un MDP prouve que pour le DC ces comptes sont différents.
 
Bien sur il est possible de parcourir le domaine en entrant les bon log et pass, mais surement pas grace au compte que l'on a entrée localement.
 
Ainsi soit tu te connectes en LOCAL avec tes droits d'admins et tu n'es pas reconnu sur le domaine (à moins d'entrer les log d'un compte intégré dans AD) soit tu te loggues sur le domaine avec les droits qui te sont données.
 
Par conséquent, le fait de donner le meme nom au log local et Domaine est sans conséquence et meme inutile (sinon pour la mémorisation). Qu'il ait le meme nom ou pas le DC redemande un log et pass.
 
PS : Je pense que c'est ce que tu voulais dire knives, mais je voulais bien précisé à kikidonc et les autres quelques points

[jfdsdjhfuetppo]--Message édité par Jef34 le 13-05-2002 à 08:37:11--[/jfdsdjhfuetppo]

kikidonc a écrit a écrit :     Déjà proposé ca marche pas   Pour les tests j'retourne pas au bureau avant fin juin

 
si si ca marche  
 
chez nous on tourne comme ca sur plus de 600 postes clients

 
j'ai pas dis de creer un compte local, l'utilisateurs a les droit administrateur sur ca machine mais il a interdiction de ce logger en local (il peut pas anyway), il est tenu de ce logger sur le domaine en tant que simple utilisateur.

[jfdsdjhfuetppo]--Message édité par knives le 13-05-2002 à 10:05:54--[/jfdsdjhfuetppo]

kikidonc a écrit a écrit : Bah je voudrais me connecter sur un domaine avec l'utilsateur XXX mais rester administrateur de ma machine localement (W2K)   J'ai réussi a le faire mais qu'uniquement avec un compte sans mot de pass

 
Bon pas envie de me taper tout le topic.
 
En gros créé un compte sur ton domaine (avec par exemple des droits d'utilisateur), ensuite avec le compte administrateur de domaine tu te logue sur la machine en question.
 
Après dans "utilisateurs et mot de passes" tu va ajouter ton compte en admin local.
 
Clique sur le bouton ajouter, ensuite entre le nom du compte et le domaine dans les champs ad'hoc, click sur suivant, choisi "autre" et dans la liste choisi "administrateur".
 
Voila tu viens d'ajouter un utilisateur du domaine comme administrateur local de la machine

Je pense qu'il est inutile de préciser que tu te logue ensuite avec ton  compte de domaine et que tu as à la fois accès au domaine avec tes privilèges de domaine (utilisateur par exemple) et accès à la machine locale en tant qu'admin.

 
Donc l'utilisateur a un compte admins en Local et un compte utilisateur sur le domaine ?? c bien ca ??