si j'essaie d'accéder à partir d'une machine XP, logué en user à la racine du lecteur C sur un serveur ou une autre station XP (partage administratic C$  ) via le chemin UNC suivant : \\serveur\c$ , j'obtiens une boiter de dialogue me demandant un login/password local
si je fais la même manip mais logué en admin du domaine sur la machine XP, je rentre directement sans password.
le probleme, c'est que si je fais la même manip pour accéder à un controleur de domaine, je rentre directement même si je suis logué en user sur le poste XP et ça c'est pas très sécurisant.
probleme : je trouve pas comment rectifier ça.
rien n'apparait dans les stratégies de groupe concernant cela.
une idée ?

pas tres sécurisant mais tu y es en http dc tu peux rien modifier, tu peux voir ce kil y a dedans mais tu ne peux pas les modifier, et puis C$, c'est le partage par defaut, vire le

   pas compris
 

ben, oui et non. y'a des dossiers ou le user a le droit d'ecrire (ex: le dossier des récup des rapports AIDA)
 
 

si je vire le partage, il reviendra au prochain redemarrage du serveur à moins d'arreter définitivement le service "serveur" ... mais ce service sert peut etre à autre chose !?
 
 

dans l'onglet partage de tes propriétés de ton disque local, change le nom du partage alors, ne le dis a personne et voila, en ce qui concerne le fait que le partage se remette au reboot, je doute. Puis rebooter un serveur c'est pas souvent une bonne idée, déjà qu'un PC ne se reboot ... un serveur doit rebooter une fois par semaine hors our ouvré pour etre tranquil, et encore je trouve ca déjà trop.

je peux toujours trouver une parade mais bon, je pensais qu'on pouvait changer ça par les stratégies de groupe.
par contre, je te confirme pour la suppression du partage c$ (essaie et tu verras un message d'avertissement)
 
d'accord avec toi pour le reboot. chez nous, ils rebootent une fois par semaine le lundi matin très tot.

bon, je reviens à la charge apres avoir laisser tomber un peu le probleme par manque de temps.
en résumé, j'ai toujours les c$ ou d$ en acces libre sans authentification sur les DC. Apres reflexion, on avait pas ça avant.
je ne peux pas virer ces partages administratifs qui nous servent pour la sauvegarde des serveurs (brighstor).
je pense que le probleme vient de la stratégie default "domain controler policy" que j'avais refait il y a quelques temps (en prenant pourtant la précaution d'imprimer l'ancienne).
j'ai beau regardé, je trouve pas la GPO qui pourrait résoudre le probleme et google n'est pas très bavard sur le sujet.
 

UP du matin !
 

il est normal que depuis les DC tu ai assez au partage administratif des pc clients !
Etant donné que tu est logué en administrateur de domaine sur le DC (Dieu lui même !)
 
 
 

tu as compris à l'envers    
le probleme est le suivant : du poste client, un user lambda a accès aux partages c$ et d$ des DC sans authentification.

Pourquoi tu ne restreindrais pas les droit NTFS à la racine de C: ?  
(-> virer "Tout le monde" et/ou "Utilisateurs Authentifiés" )

déjà répondu à ce type de remarque    
c'est déjà fait mais y'a des dossiers ou le user aura le droit d'ecrire : exemple, le dossier des rapports aida et puis il peut toujours naviguer dans l'arborescence...
 
et puis par principe, c'est pas clean que l'acces soit sans authentification sur un DC surtout sur à la racine du disque d'autant plus que j'ai bien une demande d'authentification sur un accès vers un serveur non DC.

 
J'ai le même comportement sur mes serveurs, j'avais jamais fais attention...  
Le problème c'est que les utilisateurs sont déjà authentifié sur le domaine (et donc sur le DC), donc je ne pense pas qu'il soit possible de leur démander de se ré-authentifier s'ils souhaitent accéder à C$ (la boite d'authentification apparait seulement lorsque qu'un utilisateur ne possède pas de jeton d'auth).  
Bref, à part une stratégie de groupe explicite ca n'a pas l'air évident (j'ai un peu chercher mais pas trouvé)... Je vais regardé un peu plus car ca m'interesse aussi, je poste si je trouve qq-chose...

Strange, sur mon domaine, les users n'ont pas d'accès aux lecteurs C$ ou D$ des DC.
 
Ces partages sont réservés aux administrateurs locaux de la machine à laquelle vous accédez.
 
Si vous êtes admins local ok sinon OUT.
 
Si tu te logues en admin du domaine OK sinon OUT sur les DC

je vois que je suis pas le seul.    
j'avais pas ça avant, c'est surement lié à une GPO.
par contre, c'est possible que l'etat actuel soit la config par défaut et que ça ait été changé par mon prédecesseur avant que moi, je remette cette config là involontairement en remettant les GPO par défaut.
 
le probleme n'est pas que les users soient déjà authentifiées sur le domaine puisque j'ai bien une demande d'authentification si un user tente d'accéder au c$ d'un serveur membre et puis si c'est moi avec un compte admin qui tente d'accéder à ce serveur membre, je n'ai pas de demande d'authentification. c'est donc bien une histoire de droits quelque part
 
à voir donc... je poste aussi en cas de nouveau.
 

 
voilà à quel état je (et breizh76 je suppose) voudrais revenir  

Vérifie ton groupe Administrateurs qui se trouve sur les DC dans la conteneur Builtin
C'est le groupe équivalent aux Admins Locaux. Sauf que si tu es dedans, tu es admin local sur tous les DC

+1
En principe, seuls les admins locaux ont les droits d'accès aux partages administratifs. Vérifie donc ce groupe.

 
dedans, j'avais "utilisateurs du domaine" !!!
j'ignore comment ce groupe users a pu se retrouver là, c'est bizarre.
enfin, probleme réglé, merci  

Outch, moi j'ai testé avec un compte possédant plus de privilèges que je ne pensais...
Merci