Windows 2003: restreindre l'accès aux partages aux PCs du domaine

Windows 2003: restreindre l'accès aux partages aux PCs du domaine - Win NT/2K/XP - Windows & Software

Marsh Posté le 26-05-2008 à 15:49:08    

Bonjour,
 
Je voudrais que les dossiers partagés des serveurs 2003 soient uniquement accessible à partir d'un poste appartenant au domaine Windows.
 
J'ai essayé de restreindre l'accès au partage avec le groupe "Ordinateurs du domaine" mais ça ne marche pas.
 
Quelqu'un à une idée de comment faire ?


Message édité par sebdej le 26-05-2008 à 15:49:47
Reply

Marsh Posté le 26-05-2008 à 15:49:08   

Reply

Marsh Posté le 26-05-2008 à 17:16:02    

Je crois que j'ai trouvé la réponse à ma question, comme ça peut intéresser du monde : IPSEC permet de faire ça.

Reply

Marsh Posté le 26-05-2008 à 17:45:42    

Bien si tu fais tes shares en changeant "everyone" par "authentificated users", seul les membres authentifiés de ton domaine auront accès


---------------
Booster, the only one (thanks God...)
Reply

Marsh Posté le 27-05-2008 à 09:52:59    

Oui mais ça ne suffit pas. Je veux qu'on ne puisse se connecter qu'à partir d'un PC du domaine.

Reply

Marsh Posté le 27-05-2008 à 15:52:29    

sebdej a écrit :

Oui mais ça ne suffit pas. Je veux qu'on ne puisse se connecter qu'à partir d'un PC du domaine.


Corriger si je me trompe, mais un accès share se fait sur base d'un user. Si tu as un user du domaine, tu peux te connecter sur le share, et ce même si le pc lui meme n'est pas dans le domaine.
Dans tes droits au share, tu ne mets que des user ou groupe de user.
 
Via policy c'est ptetre possible (qqun?)
sinon blinde ton réseau pour empecher les pc ne faisant pas partie du domaine d'y accéder


---------------
Booster, the only one (thanks God...)
Reply

Marsh Posté le 27-05-2008 à 16:01:43    

Comme l'indique booster, les droits d'accès d'un partage sont gérés avec des utilisateurs (ou groupes) et non pas des ordinateurs.  
 
Fliter les ip via ipsec ou un firewall peut te convenir mais n'est pas une solution optimale en terme de sécurité puisqu'une adresse IP n'est pas infalsifiable (il est facile de changer l'adresse MAC et mettre l'IP en dur sur un autre PC ...)
 
 :hello:

Reply

Marsh Posté le 28-05-2008 à 15:20:58    

En effet j'ai regardé côté IPSec et ça n'aide pas vraiment.
 
Qu'est ce que tu conseilles alors ?
 
Parce qu'on peut avec un PC hors domaine se connecter à un partage serveur en utilisant un login du domaine. Niveau sécurité c'est pas ça du tout.

Reply

Marsh Posté le 29-05-2008 à 14:49:50    

sebdej a écrit :

En effet j'ai regardé côté IPSec et ça n'aide pas vraiment.
 
Qu'est ce que tu conseilles alors ?
 
Parce qu'on peut avec un PC hors domaine se connecter à un partage serveur en utilisant un login du domaine. Niveau sécurité c'est pas ça du tout.


 
Bien normalement tout le monde n'a pas accès à ton réseau (je suppose), et si il est en possession d'un user du domaine, c'est qu'il fait partie de ta boite. A partir de la en quoi est ce genant?
Du moment que c'est un user autorisé, il n'y a pas de problème.
Ton problème c'est quoi? que qqun sorte les données? si il le fait avec un domain user, il en a le droit.
tout comme je peux avec mon pc du domaine envoyer un mail avec un fichier prit sur un share à un inconnu.
 
Tu as un but particulier?
Sinon cela se résume au fait que qqun à les droits d'accès au share et les utilise. Pc du domaine ou pas n'est pas vraiment la question pour moi.


---------------
Booster, the only one (thanks God...)
Reply

Marsh Posté le 30-05-2008 à 10:26:09    

Le problème c'est que n'importe quel PC peut se connecter au réseau local et donc accéder aux partages. Si je pouvais interdire l'accès aux partages aux portables en Windows XP SP1, bourrés de virus / spywares je serai plus tranquille !
 
Un PC qui est dans le domaine Windows est quand même plus sûr grace à la GPO.

Reply

Marsh Posté le 30-05-2008 à 11:34:35    

A partir du moment ou tu utilises un DHCP, n'importe quel pc peut recvoir une adresse. A ce moment la, on est en layer 2 et donc la consideration de domaine n'est pas la. Tu ne peux empecher un pc de recevoir une ip donc, mais tu peux uniquement faire des lease sur des mac address...pas très pratique mais bon.


---------------
Booster, the only one (thanks God...)
Reply

Marsh Posté le 30-05-2008 à 11:34:35   

Reply

Marsh Posté le 30-05-2008 à 15:10:21    

Donc pas de solution ? C'est quand même un besoin basique pour la sécurité du réseau il me semble...

Reply

Marsh Posté le 02-06-2008 à 17:03:05    

Pas directement, vu que tu cherches à contourner le but de la techno que tu utilises.


---------------
Booster, the only one (thanks God...)
Reply

Marsh Posté le 03-06-2008 à 10:32:08    

ci tu veu bloquer des pc sous un OS spécifique , ....... , install 2008 serveur il le fait tres bien .... ;)

Reply

Marsh Posté le 03-06-2008 à 10:53:54    

Euh non.
 
 
Pour faire ce que tu veux faire il y a 2 moyens :
802.1x ou IPsec (avec certifs ou kerberos peut importe)
 
Après la remarque sans détails de K11-thibo peut être intéressante puisqu'il sagit de NAP qui restreint l'accès au réseau aux seules machines en bon état de santé (antivirus and co). Cependant c'est supporté sur les clients que à partir de xp sp3 et vista. Sinon en 802.1x tu peux limiter en fn de l'user, de la machine, de l'os etc.

Reply

Marsh Posté le 12-03-2009 à 12:07:44    

Un pti UP sur cette question, car cela m'interesse ;)
 
J'ai des utilisateurs qui se connecte sur des site distant avec leur machine perso. Chose que l'on interdit, mais que l'on ne peut controler ^^
 
Je souhaite interdir l'accès au réseau à toute machine n'étant pas membre du domaine.
Afin de s'assurer que les utilisateurs utilise du matériel de l'entreprise

Reply

Marsh Posté le 01-09-2014 à 09:29:47    

Bonjour,  
 
Je voudrais savoir si vous aviez trouvé une solution à votre problème car je voudrais également éviter une connexion à partir d'une machine hors domaine?  
 
Merci d'avance.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed