Partage de fichiers en réseau local workgroup sous XP - Win NT/2K/XP - Windows & Software
Marsh Posté le 09-02-2003 à 20:23:19
Eric B a écrit : |
Oui.
2000 et XP permettent 2 types d'autorisations : les autorisations au niveau du partage, et celle au niveau du NTFS (si tes partitions sont en NTFS bien sur).
Dans les 2 cas les autorisations utilisent la liste des utilisateurs de XP, mais leur champ d'applications different.
Les permissions de partages ne s'appliquent comme leur nom l'indique que sur les partages et donc pour les acces reseau.
Les permissions NTFS s'appliquent a la fois pour les acces via le reseau et les acces en local, ils permettent egalement de mettre de spécifier des permissions jusqu'au niveau des fichiers et ont des autorisations plus precises.
La ou ca se complique c'est que tu peux tres bien donner des autorisations contradictoires a un meme utilisateur au niveau du partage et au niveau du NTFS. Dans ces cas la, si la personne accede aux fichiers en local, ce serton donc logiquement les droits NTFS qui seront appliqués, mais si c'est par le reseau, ce seront alors les droits les plus restrictifs qui seront appliqués : par ex, si l'user a lecture seule en partage et aucun acces en NTFS, le droit effectif sera aucun aucun acces, si l'user a lecture seul en partage et acces total en NTFS ce sera lecture seul qui sera effectif.
Pour toutes ces raisons et eviter de s'arracher les cheveux, les admmins utilisent uniquement le NTFS et laisse controle total en partage : le NTFS s'applique en local et sur le reseau, et permet de jouer plus finement sur les autorisations.
Citation : 2°/ Si je (A) veux etre le seul à utiliser un rep partagé ainsi qu'un utilisateur B, que dois je parametrer ds la fenetre de partage pour que B soit invité à donner un mot de passe (que j'ai evidemment spécifier lors de la creation du compte B) ? |
Si fais comme je te le dis, tu partages ton fichier et tu laisses les permissions en controle total.
Ensuite tu attribues les droits NTFS sur l'onglet securité aux comptes utilisateurs que tu souhaites.
Sur le PC en reseau qui veut acceder a ton PC, la personne devra ensuite des le login reseau se connecter avec le login et le mot de passe du compte B pour pouvoir acceder au repertoire partagé.
Citation : 3°/ Que puis je faire pour savoir en temps réel quel ordinateur distant accede à quel fichier sur mon PC ? Puis je utiliser une statégie d'audit par ex ? |
Les strategies d'audit permettent de logger ca oui, le resultat apparait dans le journal securité de l'observateur d'evenement.
Pour voir ca en temps reel, va dans outils d'administrations, gestion de l'ordinateur, outils systemes, dossiers partagés et la tu peux voir les sessions en cours et les fichiers ouverts.
Marsh Posté le 09-02-2003 à 20:29:21
pour partager des données d'un serveur 2k/xp avec un client sous win9x/2k/xp. La méthode :
rulez ! à partir de là, tous les users de ton pc ont le droits d'accéder à "pwoet", mais seul les clients (les pcs du rezo koi) qui sont identifiés sous windows en tant que "prout" pourront accéder à ce dossier.
explication concernant ce k'il y a de marké en rouge :
sur le server :
creation d'un compte utilisateur "prout" :
sur chaque client :
et voilà, chak user loggé en tant que "prout" sous windows pourra avoir les droits sur ce dossier que tu as mentionnés là ou j'ai mis (***)
Bon, ça parait galère à première vue mais une fois k'on l'a fait c supair simple à refaire. Si ya un truc ki coince dis le moi. Regarde bien à ne pas essayer de modifier le partage $C par exemple, c un partage administratif, donc il voudra pas se modifier. Dans ce cas là il faudra faire un "nouveau partage"
Marsh Posté le 09-02-2003 à 20:50:13
Ptibeur a écrit :
|
Cette option est surtout utile en domaine, mais fonctionne aussi en compte local.
Quand un admin crée 500 comptes pas importation de fichier liste ou manuellement, il peut décider de mettre un mot de pass commun à tout le monde ex: password et forcer le users à changer son mot de pass au prochain login.
Marsh Posté le 09-02-2003 à 21:04:04
pas bête. Et comment on fait dans ce cas pour changer le password ?
Marsh Posté le 09-02-2003 à 21:06:27
Comment le user change-t-il son password ?
Au login, on lui demande comme d'hab : username, password
Une invite apparait : Vous devez changer votre mot de pass
Ancien :....
Nouveau:...
Again :...
Et voilà...
Marsh Posté le 09-02-2003 à 21:10:16
cool, en fait c tout simple, merci
Marsh Posté le 09-02-2003 à 21:41:26
Merci bien de vos réponses.
Alors, si j'ai bien compris, El Pollo Diablo propose la méthode en utilisant que l'onglet "sécurité", spécifique au NTFS alors que Ptibeur propose la méthode utilisant l'onglet "partage".
Le NTFS a l'air vraiment puissant pour la sécurité, mais malheureusement, mes partitions de données que je veux partager sont en FAT32 (seul ma partition système est en NTFS). Cela permet de voir mes partitions FAT32 qd j'utilise Windows98.
La méthode "NTFS" semble la plus puissante, mais je ne peux donc pas l'utiliser. Dois je donc dire au revoir aux stratégies d'audit aussi ? Dommage..
Je me rabats donc sur la méthode 'partage' que j'avais déjà essayé, merci donc de dissiper mes doutes.
Ex : mon PC s'appelle 'PCXP', l'utilisateur principal (administrateur car + simple) s'appelle 'Eric', et j'ajoute un utilisateur limité 'User'. Dans l'onglet partage, j'ai donc 'PCXP\User' et 'PCXP\Eric'. Quand est utilisé le 'PCXP\Eric' ? Qd je fais '\\PCXP' de mon PC ds l'explorateur ?
Et puis, puis je n'avoir un mot de passe que pour User et pas pour Eric ?
D'un pt de vue secu, admin sans mot de passe, c'est pas bon bien sur, mais etant le seul à utiliser mon PC, c'est pas tres grave SAUF que je suis en réseau. La question est donc : qd les droits administrateurs sont il requis sur le reseau ? Autrement dit, que peut faire un utilisateur qui se connecte chez moi en general et en particulier s'il se connecte en tant que Eric dans les répertoires partagés ?
Ou alors, puis enlever le 'PCXP\Eric' et ds ce cas, pourrais je continuer à utiliser ce rep ?
EDIT : je viens d'essayer cette derniere manip mais ensuite, qd je fais '\\PCXP', j'ai un message d'erreur qui me dit que je n'ai pas les droits...
Marsh Posté le 09-02-2003 à 21:54:53
Eric B a écrit : Merci bien de vos réponses. |
Ouep, t'es sur d'avoir reelement besoin de 98 ?
Citation : Je me rabats donc sur la méthode 'partage' que j'avais déjà essayé, merci donc de dissiper mes doutes. |
Vu que par defaut l'admin a un controle total sur tous les dossiers et fichier, une personne qui se connecte en tant qu'Eric peut donc faire ce qui lui chante avec tes fichiers, non seulement sur tes dossiers partagés, mais carrement sur toutes tes partitions via les partages administratifs (c$, d$...).
Marsh Posté le 09-02-2003 à 22:00:49
et comment un utilisateur distant peut se connecter en tant qu'Eric ?
J'avais essayer de virer les partages type 'c$', mais XP les as remis de lui meme...
Marsh Posté le 09-02-2003 à 22:13:19
Eric B a écrit : et comment un utilisateur distant peut se connecter en tant qu'Eric ? |
Il suffit qu'il cree sur sa machine un compte "eric" et qu'il se loggue sous windows avec.
Ecore une fois sous 2000/XP quand quelqu'un veut acceder a tes dossier partages, aucun mot de passe ne va lui etre demandé, XP va verifier quel login/password utilise le PC distant et selon les autorisations que tu auras mis ou pas pour ce compte il va lui autoriser l'acces ou pas.
Citation : J'avais essayer de virer les partages type 'c$', mais XP les as remis de lui meme... |
C'est normal.
Marsh Posté le 09-02-2003 à 22:19:10
El Pollo Diablo a écrit : Ouep, t'es sur d'avoir reelement besoin de 98 ? |
Pour certains vieux jeux allergiques à XP, et qd j'en ai marre de la lourdeur de XP et que je veux aprécier la réactivité de 98 !
Citation : XP va prendre en compte le login et le mot de passe utilisée par la personne au login de windows, et en fonction de ca et des droits que tu auras defini pour cet utilisateur la personne aura acces ou pas. |
Je suis obligé de creer des noms correspondant à chaque utilisateur qui pourra acceder à mes rep ? Ne peux pas t on utiliser un autre login que le nom windows ? Je veux par exemple avoir un seul compte User pour lequel je diffuserai le mot de passe à seulement qques personnes. (bon evidemment, c'est pas le top, mais ca me suffirait). Ds ce cas, d'ailleurs, peut il y avoir plusieurs connection simultanées du meme utilisateur ?
EDIT : d'apres ta derniere reponse, cela ne semblerait pas possible ?
Marsh Posté le 09-02-2003 à 22:24:14
Eric B a écrit : |
C'est un point de vue...
Citation : Je suis obligé de creer des noms correspondant à chaque utilisateur qui pourra acceder à mes rep ? Ne peux pas t on utiliser un autre login que le nom windows ? Je veux par exemple avoir un seul compte User pour lequel je diffuserai le mot de passe à seulement qques personnes. (bon evidemment, c'est pas le top, mais ca me suffirait). Ds ce cas, d'ailleurs, peut il y avoir plusieurs connection simultanées du meme utilisateur ? |
Qu'est ce que tu appelles le "nom windows" ?
Sinon par defaut un meme compte peut tres bien etre utiliser par plusieurs personnes a la fois pour acceder a tes donnees.
Marsh Posté le 09-02-2003 à 22:29:33
"XP va prendre en compte le login et le mot de passe utilisée par la personne au login de windows" <-> "nom windows"
D'apres ce que tu dis donc, je devrais pouvoir créer des noms d'utilisateurs limités chez moi portant le nom d'autres gars sur le reseau et avoir un acces complet à leur machine s'ils sont aussi peu précautionneux que moi ?
Dans ce cas, avec quoi puis je acceder completement chez eux ? Un simple '\\nomPC' ds l'explorateur ?
J'essaie d'ailleurs le multi utilisateur simultané sous XP, j'ai un pb "Advanced INF Install error : %REMOVE_NODIR_ERROR%" au démarrage d'une session d'un autre utilisateur. Aurais trop bidouillé mon XP ? ...
Autre question ds ces parametres de partage : à quoi sert le compte invité ?
Marsh Posté le 09-02-2003 à 22:37:29
Eric B a écrit : "XP va prendre en compte le login et le mot de passe utilisée par la personne au login de windows" <-> "nom windows" |
Ok
Citation : D'apres ce que tu dis donc, je devrais pouvoir créer des noms d'utilisateurs limités chez moi portant le nom d'autres gars sur le reseau et avoir un acces complet à leur machine s'ils sont aussi peu précautionneux que moi ? |
Oui
Citation : Dans ce cas, avec quoi puis je acceder completement chez eux ? Un simple '\\nomPC' ds l'explorateur ? |
La tu ne verras que les dossiers qu'ils auront explicitement partagés, mais si tu tapes \\nomPC\c$ par exemple tu auras acces a toute leur partition c:
Citation : J'essaie d'ailleurs le multi utilisateur simultané sous XP, j'ai un pb "Advanced INF Install error : %REMOVE_NODIR_ERROR%" au démarrage d'une session d'un autre utilisateur. Aurais trop bidouillé mon XP ? ... |
multi utilisateur ca pu, c'est buggé et y'a trop de soft courant qui ne sont pas prevu pour cette fonction.
Citation : Autre question ds ces parametres de partage : à quoi sert le compte invité ? |
Si tu active le compte invité et que tu lui donne des droits d'acces, si quelqu'un cherche a se connecter a ton PC et que son login/mot de passe est inconnu sur ton PC il aura alors les droits d'acces que tu auras mis pour l'invité.
Marsh Posté le 09-02-2003 à 22:47:37
je te remercie vraiment de repondre à chaque fois à mes questions car c'est agréable de pouvoir appliquer tes reponses aussitot...
Donc, je viens d'essayer de me connecter à d'autres PC sur le reso, mais qd je fais 'nomPC\c$', on me demande le mot de passe pour 'nomPC\invité' (invité grisé donc inchangeable). Donc ça marche pas (bon evidemment, je ne suis pas sur du noms des utilisateurs sur ces PC distants ainsi que leur presence/absence de mot de passe).
Sino, j'ai essayé aussi un autre truc : me logger sur mon PC avec mon compte 'user' et de faire 'PCXP\c$'. Windows ouvre une fenetre de login/mot de passe non renseignée, donc j'essaie Eric en login, et rien en mot de passe. Et ça ne marche pas (la fenetre reste en place qd je fais ok). Cela devrait pourtant d'apres ta logique, non ?
Marsh Posté le 09-02-2003 à 22:52:08
Eric B a écrit : je te remercie vraiment de repondre à chaque fois à mes questions car c'est agréable de pouvoir appliquer tes reponses aussitot... |
Yep ca c'est normal.
Citation : Sino, j'ai essayé aussi un autre truc : me logger sur mon PC avec mon compte 'user' et de faire 'PCXP\c$'. Windows ouvre une fenetre de login/mot de passe non renseignée, donc j'essaie Eric en login, et rien en mot de passe. Et ça ne marche pas (la fenetre reste en place qd je fais ok). Cela devrait pourtant d'apres ta logique, non ? |
Hum, en y repansant je crois que pour acceder au c$ & co il faut un compte admin avec un mot de passe non vide.
Marsh Posté le 09-02-2003 à 22:57:18
Donc finalement, je ne serais plus si en danger que cela sans mot de passe sur le reseau ?
En effet, le compte 'Eric' fait partie du groupe Administrateur, mais est different du compte 'Administrateur' qui a un mot de passe.
Marsh Posté le 09-02-2003 à 23:00:23
Eric B a écrit : Donc finalement, je ne serais plus si en danger que cela sans mot de passe sur le reseau ? |
J'ai un doute faura que je verifie ca demain au taf
Marsh Posté le 09-02-2003 à 23:26:58
bon, avec le compte Eric, j'ai qd meme pu modifié le mot de passe du compte 'Administrateur' !
Et ensuite, logée sous 'User', j'ai fait '\\PCXP\c$'. En mettant Eric, ça ne marche pas, mais avec 'Administrateur' et son mot de passe, ça marche impec.
Finalement, je ne connaisais pas ce mode de partage administrateur. Je trouve cela plutot inquiétant car n'importe qui trouve le mot de passe Administrateur peut tout faire via le reseau. N'y a t il pas moyen de désactivé le partage administrateur via réseau ?
El Pollo Diablo a écrit : Hum, en y repansant je crois que pour acceder au c$ & co il faut un compte admin avec un mot de passe non vide. |
En faisant qques essais, cette hypothèse semble se confirmer.
J'ai fait un essai en enlevant aussi le mot de passe 'Administrateur', et là, pas moyen de faire fonctionner '\\PCXP\c$' !
Par contre, qd il y a un mot de passe, les droits administrateurs semblent durer toute la durée de la session de l'utilisateur, ce qui peut etre dangeureux.
Donc, le moyen pour ne personne puisse acceder à '\\PCXP\c$' à partir du reseau serait de n'avoir aucun mot de passe pour les administateurs ! Ce serait le comble !! Puisque dès qu'il y a un mot de passe non vide, il 'suffit' de le connaitre pour se connecter.
El Pollo Diablo a écrit : Si tu active le compte invité et que tu lui donne des droits d'acces, si quelqu'un cherche a se connecter a ton PC et que son login/mot de passe est inconnu sur ton PC il aura alors les droits d'acces que tu auras mis pour l'invité. |
Oui, mais puisque on ne peux pas spécifier de mot de passe pour l'invité, ça reviens pareil que de mettre 'tout le monde', non ?
Marsh Posté le 10-02-2003 à 19:15:15
j'ai essayé en détail la méthode de Ptibeur, et ça ne marche pas.
D'ailleurs, je n'ai pas envie de creer autant de compte que d'utilisateurs connectable.
C'est pour un partage de fichiers entre stations, pas entre un serveur et des clients, je voudrais une méthode qui marche ds les 2 sens.
Ce que j'aimerais, c'est avoir un seul compte 'User' et qu'une autre machine du reseau soit invitée à spécifié login & mot de passe pour mon rep en question. En gros je veux une fenetre comme qd on essaie de se connecter sur 'nomDeMachine\c$' mais pour chacun de mes répertoires partagés. Que dois je spécifier comme partage alors ?
Marsh Posté le 11-02-2003 à 11:51:49
serait ce parce que j'avais désactivé 'Bureau à distance' que le partage en local ne fonctionne pas ?
Encore que ce truc semble etre plutot pour acceder à son pc depuis le net...
Marsh Posté le 13-02-2003 à 21:30:39
Je n'arrive pas non plus à utiliser la methode de Ptibeur
J'obtiens un : accès refusé
Alors que j'ai bien declaré le nom de compte sur le "serveur".
Le "serveur" est un XPpro
et le client un 2k Pro
Marsh Posté le 13-02-2003 à 21:35:54
ça marche tres bien lorsque le "serveur" est un 2k pro
mais pas quand c un XP.
Comment faire avec XP ?
Marsh Posté le 13-02-2003 à 21:36:43
Vip a écrit : Je n'arrive pas non plus à utiliser la methode de Ptibeur |
je vais faire un edit pour mon post : fo ke la partition partagée/contenant les ressources partagées soit en NTFS.
sinon, vérifie les majuscules
Marsh Posté le 13-02-2003 à 21:37:17
Vip a écrit : ça marche tres bien lorsque le "serveur" est un 2k pro |
aucune différence
Marsh Posté le 13-02-2003 à 21:42:12
Ptibeur a écrit : aucune différence |
La fenetre de gestion des authorisations NTFS, après que l'on ait cliqué sur ajouter n'est pas exactement la même sous XP que sous 2kpro
Est-ce du à ça ?
Marsh Posté le 13-02-2003 à 21:45:39
tu peux me faire un screenshot de celle de 2000 t celle de xp STP ?
c poru comparer
Marsh Posté le 13-02-2003 à 21:55:09
Ptibeur a écrit : tu peux me faire un screenshot de celle de 2000 t celle de xp STP ? |
Avec 2000 pro :
Avec XP pro :
Marsh Posté le 13-02-2003 à 22:02:29
Dans la partie 'Location', je n'ai que mon PC chez moi. Est ce parce que je suis sur un workgroup et non un domaine ?
Marsh Posté le 13-02-2003 à 22:22:09
Eric B a écrit : Dans la partie 'Location', je n'ai que mon PC chez moi. Est ce parce que je suis sur un workgroup et non un domaine ? |
pour etre dans un domaine, i faut avoir un controlleur de domaine, un truc genre 2000 server, advanced server, ISA server, 2000 data center, un truc linux dédié serveur (je connasi aps trop les distrib)
en général c un gros pc. tu dois, à chak connection donner nom d'utilisateur, mot de passe, qui sera ensuité vérifié sur le controlleur de domaine uis validé ou refusé. c lui ki te donera tes droits, etc...
je pense pas ke tu en aies un chez toi, sinon tu saurais ce ke c.
VIP : dans la fenetre xp, tu clik sur "locations" et tu fais "rechercher" (ou "search"/"find" en anglais)
Marsh Posté le 09-02-2003 à 19:57:50
J'ai fait qques recherches et déjà posé plusieurs fois la question sur ce forum sans jamais avoir une réponse qui me satisfasse vraiment.
Comme bcp, je suis passé de windows9x à windowsNT (98->XP), et j'ai du mal à comprendre le fonctionnement du partage des fichiers.
Je voudrais partager mes fichier sur le reseau local de ma résidence mais en limitant l'acces aux répertoires. Vu que la solution simple du mot de passe de win9x n'est plus utilisable, j'ai cru comprendre qu'il fallait créer des comptes utilisateurs et spécifier les droits.
Je précise qu'il n'y a pas de domaine sur ce reseau, seulement des groupes de travail.
Pour commencer, j'ai désactivé le partage simple.
Une recherche google m'a donné ceci :
http://www.figer.com/publications/xpsec.htm
1°/ Y a t il une distinction entre partage des fichiers entre utilisateurs local et partage des fichiers sur le reseau ?
2°/ Si je (A) veux etre le seul à utiliser un rep partagé ainsi qu'un utilisateur B, que dois je parametrer ds la fenetre de partage pour que B soit invité à donner un mot de passe (que j'ai evidemment spécifier lors de la creation du compte B) ?
3°/ Que puis je faire pour savoir en temps réel quel ordinateur distant accede à quel fichier sur mon PC ? Puis je utiliser une statégie d'audit par ex ?