Problème utilisateur Active Directory et groupe local - Windows & Software
Marsh Posté le 11-02-2004 à 16:28:48
Le droit refuser est prioritaire sur tout, et heuresement.
Marsh Posté le 11-02-2004 à 16:37:25
sylvaindns a écrit : Le droit refuser est prioritaire sur tout, et heuresement. |
Je ne parle pas de refuser mais c'est juste que je n'ai pas précisé d'autorisations pour le groupe "WORKSTATION\Utilisateurs" (il n'apparaît pas du tout dans la liste). Donc mon utilisateur qui est à la fois dans "WORKSTATION\Utilisateurs" et "WORKSTATION\LocalGroup" devrait avoir les autorisations de "WORKSTATION\LocalGroup", non ?
Par contre j'ai fait un test. Sur un répertoire j'ai autorisé le groupe "WORKSTATION\Utilisateurs" en lecture uniquement et le groupe "WORKSTATION\LocalGroup" en lecture/écriture. Or mon utilisateur appartenant aux deux groupes à effectivement l'accès en écriture (et en lecture evidemment).
J'ai l'impression que de virer les autorisations (et non pas refuser) pour le groupe local "Utilisateurs" pose problème à Windows.
Marsh Posté le 11-02-2004 à 17:01:58
sylvaindns a écrit : En théorie non. |
Excuse moi, tu répondais à quoi ?
J'ai fait un test. J'ai créé un répertoire en attribuant uniquement les droits de lecture au groupe "WORKSTATION\Utilisateurs". Jusqu'à présent pas de problèmes...
J'ajoute une autorisation spécifique pour l'utilisateur "DOMAIN\User" (membre de "WORKSTATION\Utilisateurs" et de "WORKSTATION\LocalGroup" ) qui lui donne toutes les autorisations sur le répertoire. Cela marche également : les utilisateurs restreints n'ont pas le droit d'écrire alors que "DOMAIN\User" lui peut. Donc l'autorisation spécifique à l'utilisateur semble prendre le pas sur l'autorisation du groupe auquel il appartient.
J'enlève mon autorisation spécifique à l'utilisateur et je rajoute une autorisation pour le groupe "WORKSTATION\LocalGroup" donnant toutes les autorisations sur le répertoire. Là par contre le compte "DOMAIN\User" n'a plus l'autorisation d'écrire dans le répertoire. Je n'ai pourtant pas explicitement "refusé" l'écriture au groupe "WORKSTATION\Utilisateurs" mais juste laissé non-spécifié.
Apparemment malgré ce fait c'est tout de même les autorisations du groupe "WORKSTATION\LocalGroup" qui prédominent.
Si c'est bien cela, je ne comprend pas pourquoi cela fonctionne comme cela. En effet, cela veut dire que si je souhaite donner l'accès à un répertoire à mon groupe "WORKSTATION\LocalGroup" mais pas au groupe "WORKSTATION\Utilisateurs", il faut que je supprime tous les membres de "LocalGroup" du groupe "Utilisateurs" et que je donne toutes les autorisations de "Utilisateurs" au groupe "LocalGroup".
Cela me semble très étrange que les autorisations fonctionnent par "soustraction" plutôt que par "addition".
Marsh Posté le 11-02-2004 à 17:33:24
Bon j'ai trouvé la solution...
En désespoir de cause j'ai rebooté la machine et miracle tout s'est mis à marcher comme je le souhaitais.
C'est la première fois que je suis obligé de rebooter pour faire prendre en compte des modifications de sécurité et je trouve ça plutôt bizarre...
Mais bon au moins maintenant ça marche (et je ne suis pas obligé de reconsidérer tout ce que je pensais de la sécurité sous Windows).
Marsh Posté le 11-02-2004 à 16:01:04
Je suis sur une machine Windows XP (appelons la "WORKSTATION" ) connecté sur un domaîne AD (géré par 2003 Server). Appelons le domaine "DOMAIN".
J'ai un compte sur le domaine en temps qu'utilisateur restreint (nous l'appelerons "DOMAIN\User" ) et également un compte administrateur local sur la station (qui est "WORKSTATION\Administrateur" ).
J'ai créé (avec le compte "WORKSTATION\Administrateur" ) un groupe local qui s'appelle "WORKSTATION\LocalGroup". Toujours en temps qu'administrateur local j'ai ajouté le compte "DOMAIN\User" à ce groupe local.
Sur un répertoire particulier de "WORKSTATION" (appelons le "C:\LockedDir" ) je modifie les autorisations de façon à interdire l'accès aux utilisateurs ("WORKSTATION\Utilisateurs" ) mais à autoriser l'accès au groupe "WORKSTATION\LocalGroup".
Mon problème est que l'utilisateur "DOMAIN\User" n'a pas l'accès à ce répertoire. Il fait pourtant bien partie du groupe "WORKSTATION\LocalGroup".
Si je regarde à l'aide du compte "WORKSTATION\Administrateur" les "autorisations effectives", Windows me met le message "Windows ne peut calculer les autorisations qui s'appliquent à User.". Ceci peut s'expliquer par le fait que ce compte ne peut faire de requêtes sur le domaine.
Si par contre je fais la même chose avec l'administrateur du domaine ("DOMAIN\Administrateur" ), il m'affiche bien les autorisations et m'indique bien que l'utilisateur "DOMAIN\User" à un "contrôle total" sur le répertoire.
Je ne comprend pas ce qui se passe. A la limite je veut bien croire qu'un utilisateur du domaine ne puisse pas faire partie d'un groupe local, mais Windows ne semble pas broncher quand j'ajoute l'utilisateur. Le plus gros souci est que la consultation des "autorisations effectives" est en totale contradiction avec ce que je peut "effectivement" faire.
Serait-il possible que mon utilisateur "DOMAIN\User" étant membre à la fois de "WORKSTATION\Utilisateurs" et de "WORKSTATION\LocalGroup", les autorisations (ou plutôt interdictions ici) attribuées à "WORKSTATION\Utilisateurs" prennent le pas sur celles attribuées à "WORKSTATION\LocalGroup" ? Ceci me surprendrais car il n'y aurait alors aucun intérêt à pouvoir attribuer plusieurs groupes à un même utilisateur.
J'espère que quelqu'un saura m'éclairer...
---------------
each day I don't die is cheating