Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Mot de passe

6 réponses
Avatar
Help !
Bonjour,

Peut on attribuer un mot de passe sur un répertoire créer sur le serveur
winnt en y attribuant des droits d'ouverture pour un ou plusieurs
utilisateurs. L'administrateur ne doit pouvoir ouvrir ce répertoire sans le
mot de passe.
Merci.

6 réponses

Avatar
Antoine Leca
En <news:d8bibj$s1p$, Help ! va escriure:
Peut on attribuer un mot de passe sur un répertoire créer sur le
serveur winnt en y attribuant des droits d'ouverture pour un ou
plusieurs utilisateurs.



Je ne pense pas.
Si j'ai bien compris, cela signifie qu'à CHAQUE fois que tu veux accéder à
un fichier, tu dois redemander le mot de passe ? Une fois pour ouvrir le
répertoire, une fois pour en lire le contenu (la liste des fichiers) ? Une
autre fois pour savoir si MACHIN a bien le droit de lire tel fichier ? Et
encore une autre fois pour permettre à un autre programme (au hasard, Excel)
de lire lui aussi le même fichier ? Etc jusqu'à plus soif ?

Ou alors tu dois fournir une fois le mot de passe, et ensuite c'est bon, tu
peux travailler sur le répertoire et tous les fichiers ?

Et si c'est la seconde solution, qu'est-ce qui ne va pas avec le mot de
passe normal de l'utilisateur (ou éventuellement un mot de passe spécifique
sur un autre domaine, si tu ne veux pas partager les mots de passe, ou
forcer des mots de passe « solides » seulement pour ton répertoire protégé)
?


L'administrateur ne doit pouvoir ouvrir ce répertoire sans le mot de


passe.

ÀMHA, si tu dois limiter les pouvoirs de l'administrateur, c'est que tu as
un problème avec la conception de sécurité de ton installation. Genre trop
de personnes qui connaissent le mot de passe admin actuel, voire pire trop
de personnes qui se connectent parfois comme administrateur. Voire, horreur
absolue, des gens qui sont connectés en permanence comme administrateur (et
qui surfent sur le web en plus, pourquoi pas?)

Toujours ÀMHA, l'administrateur ne devrait jamais être utilisé SAUF « quand
on en a besoin », c'est-à-dire PAS pour des opérations de gestion courante,
seulement pour les opérations exceptionnelles ; et à ce moment-là il devient
idiot de redemander le mot de passe (qui est bien sûr arbitrairement
difficile et change toutes les semaines) toutes les quatre secondes.


Je sais bien que certains chefs (dont les miens) ne veulent pas que «
l'administrateur » (les informaticiens, en bon français) puissent voir
certains fichiers; la dernière fois qu'ils me l'ont proposé/demandé/«
exigé », je leur ai expliqué que cela signifiait l'impossiblité de récupérer
les fichiers en cas de défaillance ; comme on en avait eu une quelques mois
auparavant, l'idée n'a pas été plus loin. (Et oui, je sais qu'avec 2000 et
EFS on peut chiffrer).


Antoine
Avatar
Help !
1
Ou alors tu dois fournir une fois le mot de passe, et ensuite c'est bon,
tu
peux travailler sur le répertoire et tous les fichiers ?



2
L'administrateur ne doit pouvoir ouvrir ce répertoire sans le mot de
passe.



Je sais bien que certains chefs (dont les miens) ne veulent pas que «
l'administrateur » (les informaticiens, en bon français) puissent voir
certains fichiers; la dernière fois qu'ils me l'ont proposé/demandé/«
exigé », je leur ai expliqué que cela signifiait l'impossiblité de
récupérer
les fichiers en cas de défaillance ; comme on en avait eu une quelques
mois
auparavant, l'idée n'a pas été plus loin. (Et oui, je sais qu'avec 2000 et
EFS on peut chiffrer).



3 pour résumé le DG veut un répertoire à son nom sur le serveur, et qu'il
soit le seul à pouvoir l'ouvrir. L'admin ne doit pas pouvoir l'ouvrir depuis
le serveur.
Avatar
Jean-Claude BELLAMY
Dans le message news:d8kad5$41u$ ,
Help ! s'est ainsi exprimé:

Je sais bien que certains chefs (dont les miens) ne veulent pas que «
l'administrateur » (les informaticiens, en bon français) puissent
voir certains fichiers; la dernière fois qu'ils me l'ont
proposé/demandé/« exigé », je leur ai expliqué que cela signifiait
l'impossiblité de récupérer
les fichiers en cas de défaillance ; comme on en avait eu une
quelques mois
auparavant, l'idée n'a pas été plus loin. (Et oui, je sais qu'avec
2000 et EFS on peut chiffrer).



3 pour résumé le DG veut un répertoire à son nom sur le serveur, et
qu'il soit le seul à pouvoir l'ouvrir. L'admin ne doit pas pouvoir
l'ouvrir depuis le serveur.



Sans produit tiers c'est totalement impossible !
(du style Security Box)
Un admin doit avoir tous les droits, c'est d'aillerus la RAISON d'ETRE des
admins !
C'est valable quel que soit l'OS d'ailleurs (PC sous Windows ou Linux,
statuosn UNIX, MainFrames,...)

Ensuite c'est une question de déontologie ...
Un admin, c'est comme un notaire ou un médecin qui partage certains secrets
familiaux ou personnels.


EFS permet de restreindre davantage l'accès, mais dans un domaine, le compte
administrateur est également agent de récupération (DRA), donc peut (et je
dirais DOIT POUVOIR !) accéder aux fichiers. Donc çà ne change rien.

Si le DG en question n'est pas fichu de comprendre çà, c'est que c'est un
INCAPABLE complètement atrophié des neurones !
Tu peux me m'envoyer, je lui dirai ma façon de penser ! ;-)


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
*
Avatar
Antoine Leca
En <news:d8kad5$41u$, Help ! va escriure:
3 pour résumé le DG veut un répertoire à son nom sur le serveur, et
qu'il soit le seul à pouvoir l'ouvrir. L'admin ne doit pas pouvoir
l'ouvrir depuis le serveur.



Soit ton DG a un seul ordinateur, et je ne vois pas bien l'intérêt de mettre
le répertoire sur le serveur, il sera aussi bien sur son poste à lui...
(Souvenons-nous, pas d'accès pour l'admin => pas de sauvegarde centralisée
que l'admin pourrait récupérer et lire...)

Sinon, tu peux supprimer les droits du groupe Administrateurs sur le
répertoire, l'effet est radical (évidemment, auparavant tu as donné à ton DG
tous les droits sur le répertoire). Je pense qu'avec le compte SYSTEM tu
dois pouvoir récupérer des choses, sinon de toute manière avec des outils
bas niveau (genre cédérom de dépannage Linux) on saura lire tous les
fichiers non chiffrés sur un volume NTFS; mais au moins « l'Administrateur »
n'aura plus officiellement l'accès.

Si tu veux (ou il veut) que ce soit /réellement/ impossible, il est
indispensable de chiffrer. Sur NT4, comme le fait remarquer Jean-Claude,
c'est produits externes obligatoires.


Et n'oubliez pas de travailler aussi les mots de passe de ton DG. Avec une
bécane actuelle et l'accès à la SAM, un mot de passe n'ayant que des lettres
tombe en quelques minutes de force brute... Ajouter des chiffres ne fait que
retarder un petit peu. Supprimer le hash LM est déjà nettement plus efficace
;-), et casse plein de moyens de connexions, en particulier depuis
l'extérieur :-(.


Antoine
Avatar
gab
Antoine Leca wrote:
Sinon, tu peux supprimer les droits du groupe Administrateurs sur le
répertoire, l'effet est radical (évidemment, auparavant tu as donné à
ton DG tous les droits sur le répertoire). Je pense qu'avec le compte
SYSTEM tu dois pouvoir récupérer des choses, sinon de toute manière
avec des outils bas niveau (genre cédérom de dépannage Linux) on
saura lire tous les fichiers non chiffrés sur un volume NTFS; mais au
moins « l'Administrateur » n'aura plus officiellement l'accès.



pour retrouver l'accès avec le compte administrateur, il "suffit" de se
réapproprier le dossier ... je suis "tombé" sur le cas la semaine dernière.

Cordialement,

GAB.
Avatar
Antoine Leca
En <news:d8mt1t$ddc$, gab va escriure:
pour retrouver l'accès avec le compte administrateur, il "suffit" de
se réapproprier le dossier ... je suis "tombé" sur le cas la semaine
dernière.



Ah oui !
Je viens d'essayer, effectivement cela permet de passer outre, même si
Administrateurs n'a aucun droit sur le répertoire lui-même, même s'il n'a
pas le contrôle total sur le répertoire hôte, même si on a auparavant déni à
Administrateurs le droit de (re)prendre possession (autrement, n'a pas le
« droit » de faire cela) !
C'est du brutal car le propriétaire précédent est purement et simplement
erradiqué, plus d'accès du tout, mais cela débloque bien :-).

Je ne sais pas si NT5 (2000+/xp) est différent de ce point de vue : une fois
j'avais fait un essai similaire avec 2000, et je n'avais pas récupéré le
répertoire avec le compte Admin, j'avais dû aller cherché SYSTEM; je crois
que c'était un répertoire directement sous la racine, 'sais pas si cela
influe.

Ou alors j'avais retiré le privilège SeTakeOwnership (normalement assigné à
Administrateurs) sur la machine en question ? 'sais plus...


Antoine