Partage des lecteurs sous NT4 serveur - Windows & Software
Marsh Posté le 13-08-2001 à 12:32:50
Up, et idem pour moi sous 2K.
Marsh Posté le 13-08-2001 à 13:00:24
Lut,
Krapal
il s'agit d'une clée dans le registre, je me souviens plkus trop mais je vais retrouver dans 2 minutes...
Marsh Posté le 13-08-2001 à 13:00:27
Si ma mémoire est bonne il y a un bricole pour les désactiver sous NT 4.0 (sous 2K il me semble qu'il est possible de les supprimer directement depuis l'explorateur)
Simplement je le déconseillerai fortement, il faut savoir que seuls les administrateurs de domaines sont autorisés à se connecter à ces partages cachés et si la sécurité des mots de passes est bonne ces partagent administratifs ne devraient pas être un soucis.
Par ailleurs, certains logiciels qui s'installent via le réseau (genre Norton AV Corporate Edition, ArcServeIT, ...) utilisent des partagent administratifs et ne pourraient donc plus fonctionner correctement.
[edtdd]--Message édité par Requin--[/edtdd]
Marsh Posté le 13-08-2001 à 13:03:44
UP
C'est un partage administratif des versions serveur de NT4 et 2000 je crois pas que tu puisses les désactiver vu que c'est
tout l'avantage de ces OS
ils créent un partage dès l'install pour les differents utilisateurs que tu vas créer et les permissions que tu va leur donné
sinon en fait tu désactiveras tout les partages qu'ils soient administratifs ou créé par toi de la meme façon que tu les active
dans les propriétés de chaque lecteurs tu décoches activer le partage NON
Marsh Posté le 13-08-2001 à 13:05:57
bah alors comment foutre une sécurité dessus et éviter que tout les membres du domaine ne puisse s'y connecter?
Marsh Posté le 13-08-2001 à 13:07:07
mais je viens de vérifié il les repartagera au redémarrage
mais si c'est un serveur tu arrete le partage et tu le reboot pas et pis voila
Marsh Posté le 13-08-2001 à 13:07:41
krapaud a écrit a écrit : bah alors comment foutre une sécurité dessus et éviter que tout les membres du domaine ne puisse s'y connecter? |
Comme je l'ai déjà dis seuls les administrateurs du domaine y ont accès !
Marsh Posté le 13-08-2001 à 13:10:20
Moi je suis sous 2K et ça a changé mais il y a une clé sous
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation
qui doit s'appeller AutoShareWks si elle est à 1 ,y'a partage par défaut sinon non.....
Ceci dis Krapal, les partages administratifs sont effectivement un avantage et beaucoup de soft s'en serve sans le dire (Arcserve par exemple)......
De plus, le fait que tu modifie cette clé peut etre écrasé par :
les stratégies locales ou les stratégies du domaine si tu les utilisent.....
Sinon krapal, tu sais pas ou je pourrais revendre du matos pro :
j'ai des Sun ultra 10 à vendre ainsi que des pcs HP gamme pro???
Marsh Posté le 13-08-2001 à 13:11:39
Mais attend la tu veux dire que tu ne veux pas partager tes lecteurs dans un controleur de domaine
et tes utilisateurs n'aurons plus accès a rien sur le serveur si tu fais ça
concrètement c'est qu'ils voient ton serveur et ses hard drive dans le voisinage réseau et toit tu voudrais qu'ils n'apparaissent pas ou j'ai raté qqchose
Marsh Posté le 13-08-2001 à 13:18:15
krapaud a écrit a écrit : bah alors comment foutre une sécurité dessus et éviter que tout les membres du domaine ne puisse s'y connecter? |
ben ça c'est le boulot de l'administrateur éfféctivement
il se sert des partage admin et crée les utilisateurs et quand tu partage un lecteur ou un fichier sur les serveur tu donne les permissions a tel ou tel utilisateur ou tel ou tel groupe d'utilisateur
si tes partages ont des permissions genre tout le monde avec controle total c'est sur que personne a de réstriction sur les disques
tu connais pas ce mess
"Si vous rencontrez des problemes veuillez contacter votre administrateur réseau"
et ben voila a moins que ce soit toi
Marsh Posté le 13-08-2001 à 13:21:21
voila qui devrait répondre de façon définitive à la question:
http://www.win2000mag.com/Articles [...] cleID=7198
mais je maintient comme beaucoup ici que c'est une mauvaise ID à part si ton serveur est vraiment critique et que tu veux l'isoler.
Marsh Posté le 13-08-2001 à 13:30:40
Woof->
Est-ce que je peux retirer les administrateurs de stations du groupe administrateur du domaine sans dommages?
En fait j'me suis rendu compte que si jamais un admin local n'était pas admin du domaine il avait des problèmes à faire ses partages.
ps->woof, non je ne sais pas trop, t'as essayé les solutions pro comme infibail?
Marsh Posté le 13-08-2001 à 13:44:20
krapaud a écrit a écrit : Woof-> Est-ce que je peux retirer les administrateurs de stations du groupe administrateur du domaine sans dommages? En fait j'me suis rendu compte que si jamais un admin local n'était pas admin du domaine il avait des problèmes à faire ses partages. |
C'est meme conseillé.... un admin local n'a rien à foutre dans le groupe admin du domaine....
peut tu me détaillé un peu plus le pb....
sinon, désolé, l'article que j'ai posté au dessus est pourri, je cherche un truc plus précis,je l'ai déjà fait mais je veux pas dire de bétise.....
pour ton problème, tu veux dire que l'admin de la machine n'arrive pas à créer des partages sur la machine de laquelle il est admin???
Marsh Posté le 13-08-2001 à 13:50:04
Pour ceux que ça interresse, j'ai enfin retrouvé la référence :
http://support.microsoft.com/suppo [...] =frkb&FR=0
voili,
Marsh Posté le 13-08-2001 à 13:50:36
ben oui théoriquement tu peux soustraire un admin local du groupe admin du domaine si ça marche pas comme tu le décris
mais c'est peu etre aussi qu'il a des permissions et pas d'autre alloué par les admins du domaine
pour le savoir tu va dans le groupe admin du domaine et tu vérifie les propriétés de tes admin locaux ils ont peu etre pas un controle total voila tout
car meme dans un groupe tu peux apporter des réstrictions a chaque élément de ce groupe mais encore une fois c'est avec un comptes admin du domaine que tu peux les modifier
mais concrètement tu veux faire quoi ????
ou quel est ton blem???
Marsh Posté le 13-08-2001 à 13:53:24
je vais bouffer, explicite un peu ton pb Krapal et on va trouver une soluce.....
Marsh Posté le 13-08-2001 à 13:56:40
De plus c'est vrai que tes admin locaux n'ont rien a foutre dans le groupe admin de domaine puisqu'ils ne gerent que la machine en local et PAS le domaine.
Marsh Posté le 13-08-2001 à 13:57:44
Woof a écrit a écrit : je vais bouffer, explicite un peu ton pb Krapal et on va trouver une soluce..... |
a deux on devrait s'en sortir WOOF?
Marsh Posté le 13-08-2001 à 14:09:53
linomassard a écrit a écrit : De plus c'est vrai que tes admin locaux n'ont rien a foutre dans le groupe admin de domaine puisqu'ils ne gerent que la machine en local et PAS le domaine. |
L'admin local, je te conseille de renommer le compte (en qqch d'anodin) de lui mettre un mot de passe beton de 2x7 caractères (lettre + chiffres + caractères spéciaux, aucun mot entier)... car obtenir la SAM locale n'est souvent pas trop difficile si on a un accès physique à la machine... ce qui moyennant quelques heures de calcul (1/4 d'heure pour mon ancien bahut sur un bi-PII 350) permet d'obtenir le mot de passe de l'admin local (une première étape vers plus de privilèges).
Marsh Posté le 13-08-2001 à 14:51:25
Alors mon problème n'est pas réellement dans la sécurité, j'bosse dans une mini entreprise (15 employés) donc tout le monde accède aux pc des uns et des autres.
C'est pour ca que je laissais les admin locaux administrateurs du domaine, même si je suis le seul qui ai ce boulot.
Et un jour j'ai décidé de retirer les admins locaux de la prérogative globale, et un d'entre eux particulièrement n'a pas pu créer de partage sur des dossiers en local tant que je ne l'avait pas repassé admin global.
Ce que je voudrais donc faire c'est pouvoir gerer mes partages administratifs de sorte d'être "le seul" à pouvoir réellement m'en servir.
Mis à part les applis qui en ont besoin.
Au fait est-ce que l'un d'entre vous saurais me dire comment je peux être mis au courant d'un changement de mot de passe dans la base sam du PDC parce que moi je les enregistre parce que ces mots de passes me servent pour d'autres applications comme interdev/visual sourcesafe et je me retrouve avec des erreurs de login!
merci
Marsh Posté le 13-08-2001 à 15:08:12
ça ne va pas réellement répondre a ton probleme mais la seule façon de bien gérer ce genre de situation est disque D: avec rep "public" partager en read only et rep "pour ecrire" partager en Read/Write......basta, les utilisateurs ont pas le choix....
y font quoi? de l'échange de fichiers....
sinon un pov pentium avec gavé de HDD c'est pas cher (meme si un vrai serveur,c'est mieux)....
bon pour ton user, il obtient quoi comme message d'erreur????
sa machine NT4 server,workstation, SP????
sinon, quelque soit le profil de tes users, il ne faut pas les laisser admin meme local....a moins que ce ne soit tous des dev et qu'ils soient tres sages et tres "admin -aware....."
sinon,y arrive tu (à créer ce partage ) quand tu es admin local (ie logué comme administrator et pas comme Mr Durand qui est admin de la machine....
Marsh Posté le 13-08-2001 à 15:10:55
sinon pour tes mdp......
moi je te leur foutrais "l'utilisateur ne peut pas changer de mdp" dans le param du compte de domaine et hop, obligation de les changer tous les 15 jours avec copie par mail à l'admin (toi)
perso, tous ce qui neccessite un mop de passe quelconque tourne sur des comptes SPECIFIQUES crés pour l'occasion par l'admin (moi)......
Marsh Posté le 13-08-2001 à 15:13:09
alors tout le monde est admin-awarez donc pas de problème, ils sont tous admin locaux, sauf les prestataires et autres stagiaires.
y'a de tout, de l'échange de fichier au travail sur postes distants...
le user en nt4server ne peux partager son hdd, je reessayerais tout à l'heure que il sera parti.
Sinon loggé en administrateur ca ne marchait pas non plus!!
bon déjà je vais virer les admins locaux de l'administration du domaine
Marsh Posté le 13-08-2001 à 15:15:00
Woof a écrit a écrit : sinon pour tes mdp...... moi je te leur foutrais "l'utilisateur ne peut pas changer de mdp" dans le param du compte de domaine et hop, obligation de les changer tous les 15 jours avec copie par mail à l'admin (toi) perso, tous ce qui neccessite un mop de passe quelconque tourne sur des comptes SPECIFIQUES crés pour l'occasion par l'admin (moi)...... |
ouais, mais en étant admin de leurs bécannes ils peuvent changer ce droit, non?
Marsh Posté le 13-08-2001 à 15:23:10
bon déjà je viens de piger le principe de l'opérateur de compte
Marsh Posté le 13-08-2001 à 15:26:39
ben voili.....
normalement un dev a juste besoin d'etre power user, ça lui permets d'installer, de modifier le registre etc....
mais il n'as pas à aller "trifouiller" les comptes.
et non, meme en étant admin local, il ne peut modifier ça car son compte est (je l'espere) un compte de domaine donc il faut qu'il soit admin (au moins operateur de compte ) du domaine...
Marsh Posté le 13-08-2001 à 15:30:46
exact, j'avais pas tout suivi dans les options de l'admin des utilisateurs
merci bcp!!!
ps->tu pourrais me mailer ou filer en private un détail du matos que tu vends?
Marsh Posté le 13-08-2001 à 12:19:31
à chaque demarrage de NT4 serveur il me recrée les partage sur C$, D$ et ADMIN$.
Quel moyen existe t'il pour qu'il ne les recrée jamais?