Question sur le rafraichissement des droits de sécurité - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 21-01-2009 à 14:02:54
C'est l'assignation User/group qui est appliquée qu'après réouverture des sessions, pas l'assignation groupe/répertoire.
Donc si tu users sont dans les bons groupes, tout ira bien par la suite
Marsh Posté le 21-01-2009 à 14:23:43
Ok je comprends, je n'étais pas au courant, merci pour cette clarification Pims.
Mais du coup ça nous pose problème car nous allons constamment Ajouter/Supprimer des utilisateurs aux groupes.
Nos utilisateurs ont en permanence des lourds logiciels lancés comme Autocad, 3DSMax et Photoshop, le genre de logiciel où vous ouvrez un fichier assez balèze et vous avez le temps d'aller vous chercher un café. Ils ont toujours été habitués à avoir les droits assignés en temps réel. Si du jour au lendemain on leur demande de se rouvrir leur sessions (et donc leurs logiciels) j'en connais qui vont râler
Il n'existe pas une solution pour ce problème ?
Marsh Posté le 21-01-2009 à 14:31:54
Je ne comprends pas pourquoi les association users/groups vont changer souvent?
Marsh Posté le 21-01-2009 à 14:33:33
Non pas de solution.
Au logon, le DC renvoie à l'utilisateur une liste de SID auquel il appartient (whoami /all). Qd il accède à une ressource, le serveur match la correspondance entre ses ACL et la liste des SID de l'utilisateur et applique la resultante la plus restrictive.
Donc si tu veux que se soit plus dynamique il faut assigner aux groupes les permissions et non pas assigner les utilisateurs aux groupes
Marsh Posté le 21-01-2009 à 15:01:25
Ok nous sommes donc bloqués.
Bon bah je crois que nos utilisateurs vont relancer leur sessions ^^
Pour t'éclairer Pims, sur notre serveur chaque projet est une ressource différente. On crée régulièrement de nouveaux projets, et certains utilisateurs y sont assignés.
Le principe était donc de créer pour chaque projet un groupe global READ et un autre READWRITE. Et ajouter les utilisateurs aux groupes en fonction de leur besoin. Un utilisateur peut avoir besoin de l'accès juste pour quelques heures c'est très fréquent, ce qui rendait ce système de gestion de groupe intéressant.
Mais si l'on doit à chaque fois rouvrir la session cette technique perd tout son charme.
Il existe peut être une meilleure stratégie pour gérer ce genre de ressources, je vais me documenter.
Merci Je@nb pour cette réponse technique, j'y vois plus clair.
D'ailleur je n'ai pas la commande "whoami" dans mon XP, google me dit pourtant le contraire, étrange.
Je ne l'ai même pas dans la doc de référence Windows sur la ligne de commande (%windir%\hh.exe ms-its:%windir%\Help\ntcmds.chm:ntcmds.htm)
Rien à voir mais tu ne t'appellerais pas Olivier par hasard ?
Marsh Posté le 21-01-2009 à 15:18:52
Effectivement je vois.
Nous utilisons la même technique mais nous il n'y a pas de changement par la suite.
Tu pourrais essayer de mettre les users dans des groupes de manière fixe et ensuite mettre les groupes dans des groupes...
Ca me semble un peu crade mais bon faut essayer.
Marsh Posté le 21-01-2009 à 13:18:34
Bonjour,
Mon boss et moi même souhaitons mettre en place un système correct de gestion des droits de sécurité (Pour l'instant les droits sont assignés par utilisateurs ce qui s'avère assez bordélique).
On souhaite mettre une arborescence de groupe du style : Ressource --> Groupe Local --> Groupe Global --> Utilisateurs
Mais on a constaté un soucis :
* Quand on assigne les droits directement aux utilisateur, les droits de sécurité sont mis à jour en temps réel (pas besoin de réouvrir sa session)
* A l'inverse, quand on assigne les droits en passant par les groupes, là il faut réouvrir la session utilisateur sinon les droits ne sont pas mis à jour.
J'aurais voulu savoir s'il n'y avait pas un moyen pour que les droits assignés par groupes soient mis à jour en temps réel (Une clef de regedit, une GPO, ou n'importe quoi d'autre ^^)
Merci pour vos futures réponses.
Message édité par sheen le 21-01-2009 à 13:19:14