Bonjour,
 
J'ai deux problèmes bêtes avec un 2K3 SBS.
 
- Une machine dispose d'un compte toto local avec un mot de passe, membre de administrateur. Sur le serveur et donc le domaine, le même compte avec le même pass, avec des droits d'utilisateur. Souci, quand l'utilisateur se loggue sur la session locale sur son poste, il a les droits d'admin sur le domaine et peut donc acceder à des partages privés sur lesquels le groupe administrateurs.mondomaine ou le compte admin.mondomaine possèdent des droits. Si j'enlève les droits du compte admin.mondomaine, je me fais effectivement jeter.
 
Faut-il, à la base, empecher les utilisateurs de faire des sessions locales de ce genre, ou puis-je virer les droits admin sur la sécurité des partages sans souci avec NTbackup ou d'autres services windows ?
 
 
- La sauvegarde ntbackup configurée via la gestion de serveur cherche à utiliser un média MiniQIC et non Travan, du coup, erreur systématique de media non monté. Puis-je modifier un script ou la tache quelque part ou dois-je créer une tache planifiée manuellement pour spécifier dans la ligne de commande le bon media ?
 
Merci.

4 vues

Pourquoi tes users ont des comptes d'admin du domaine ?
Change leur droit dans la console d'AD et ton problème sera résolu.
 
S'il faut qu'ils soient admin sur leur machine ajoute les en admin locaux ou ajoute le groupe INTERACTIVE en admin local

Donc tu veux dire que sur le controlleur de domaine, il existe un compte Admin qui a le meme nom et le meme mot de pass que le compte local admin sur les workstations de ton réseau. c'est ca ?

Non
 
prennons le cas d'une session toto avec un mot de passe soleil
 
Sur un poste sur le réseau, il existe en LOCAL une session toto/soleil. Elle a les droits d'admin local.
 
Sur l'AD, il existe une session toto/soleil, membre des users, pas des administrateurs de ce domaine.
 
Si l'utilisateur se loggue sur le domaine avec son compte toto, les droits sont utilisés correctement.
 
Si l'utilisateur se loggue en local avec son compte toto, qui je le repête, est un compte d'admin LOCAL, il a accès à tous les partages du domaine qui sont cconfigurés pour n'être accessibles qu'aux administrateurs DU DOMAINE !

Donc dans AD un compte
DOMAIN\toto avec son password, membre de Users
 
Un ordinateur WORKSTATION1 du domaine DOMAIN
Il se logue dessus.
Tout ce passe bien.
 
Maintenant ton user se logue en local (tu entends bien par là un compte local donc pas du domaine)
WORKSTATION1\tata
 
Et il se trouve alors que ce user WORKSTATION\tata a le droit d'accéder à des partages d'admin.
 
J'ai bien compris ?

oui, sauf que tata s'appelle toto, le compte local admin et le compte user sur le domaine ont le même nom et pass, et à priori c'est ça qui gène.
 
Je pourrais leur virer ces comptes locaux de force, c'est une solution, mais j'aimerais bien comprendre la 'logique' qui autorise l'accès d'un admin d'une machine locale à des partages accessibles uniquement à des admins du domaine. Parce que si je vire le groupe admin de l'ACL, je me fais bien jeter.

Faudrait voir comment ta mis en place tes groupes O_o

t'es sur que t'as bien mis le groupe "admins du domaine" et pas le groupe "administrateurs" sur tes partages ?

Et bien effectivement le problème est connu.
 
Si tu utilises un compte local  
User : toto
Password : toto
 
Un compte AD
User : toto
Password : toto
 
Ben le user local pourra accéder à des ressources AD.
 
Il faut éviter cette similitude.

oui ca me parait louche, le compte AD/toto n'ayant clairement pas le meme SID que le compte admin local Worstation1/toto

t'es sur jef?

les autorisations se base sur les SID, donc jvois pas comment y'aurai de pb O_o
en même temps je ne procède jamais ainsi*

 
Oui mais au niveau du domaine il devrait avoir les droits du compte toto en question, qui est simple user, et la a priori il a les droits admins.

 
C'est plus compliqué que ça : quand t'es pas loggué avec un compte du domaine (ou sur une machine hors-domaine) et que tu veux te connecter a par exemple des partages sur un serveur, de maniere transparente pour l'utilisateur le serveur demande une authentification a la machine cliente, qui par défaut va renvoyer les login/mdp de la session en cours, et si ils correspondent a un utilisateur du domaine, ben t'auras acces au choses pour lesquels cet utilisateur a des droits sans rien avoir a faire de plus.

yep pollo mais ce que je capte pas c'est qu'il ait des droits d'admin alors que sur le domaine il est simple user O_o

Ca par contre c'est pas normal effectivement.

 
Ah ben je confirme que ça marche et que c'est emmerdant  
 
J'ai du tester avec le groupe de sécu 'admins du domaine' et 'administrateurs', c'est pareil ça passe avec les deux.

et pour mon supair NTbackup qui me colle un miniQIC au lieu du Travan, je fais la tache à la main via les taches planifiées ?

Effectivement, comme dit plus haut. C'est normal que le user ait accès.
 
Par contre les droits d'admin.. strange.
 
Tu peux nous filer les ACL sur les partages en question ?
 
Démarrer, exécuter, cacls nomdurépertoire
 
Vérifie les autorisations de partages.

Je zieutterais quand je passerais sur le serveur dans la semaine.
 
De mémoire, l'utilisateur, SYSTEM, administrateurs, CREATEUR PROPRIETAIRE.