Bonjour
 
Voila mon probleme : j'ai bloqué l'ecriture sur le disque systeme (C: ) à tous les utilisateurs (mais evidemment pas a l'administrateur).
 
Mais certains programmes ont besoin d'ecrire sur le disque pour fonctionner. J'utilise donc un script pour les executer en mode administrateur (prog + tutoriels ici http://www.generation-nt.com/dossi [...] istrateur/).
 
Les prog marchent normalement (ils peuvent ecrire sans problème sur le disque c, mais puisqu'ils sont en mode administrateur, qui est un compte local, on ne peut pas acceder aux lecteurs reseau depuis les prog (ce qui pose probleme par exemple pour ouvrir un document situé sur l'espace disque perso de l'utilisateur qui est sur un serveur).
 
En sachant que je dois forcément bloquer l'ecriture sur C: pour un utilisateur, vous avez une idee de ce que je pourrais faire pour que l'administrateur puisse accéder aux disques reseau accessible à l'utilisateur loggé sur la machine?
 
Système : win2000 pro + SP4 avec profils itinérants et plusieurs disques reseaux dont un qui est l'espace perso de l'utilisateur.

ben dans les droits des dossiers normalement l'administrateur à tout les droits donc pas de problème. A moins que tu n'ai pas donnée de droit à l'admin dans ces dossiers, ce qui n'est pas très bon en terme de sécurité. Ton problème doit venir de là.

donc admin du domaine et chemin UNC pour acceder au partage des users

 
Mais si je donne les droits de l'admin du domaine au programme, l'utilisateur du programme pourra accéder aux données de tout le monde (tous les espaces perso...)?

ah excuse je croyais que c'était juste un script a effectuer en "one shot" et non un outil à disposition de l'utilisateur.
en effet je vois pas la solution dans ce cas.

Finalement tu le lances avec quoi ton programme ?
 
Avec runas tu as une option /noprofile qui peut etre utile.

Pour l'instant j'attend le retour de l'admin reseau pour faire des tests avec un compte domain admin (pas d'utilisateur dans le groupe...)
 
Je vois pas d'option /noprofile pour runas?
 
En fait le but serait d'exécuter le prog en tant qu'administrateur pour que le prog puisse ecrire sur c: si besoin et en meme temps avoir accès aux disques réseau, ce qui n'est pas le cas de l'administrateur local.

Je trouve que le truc de bloquer tout l acces au disque C n 'a pas trop de sens mais bon
 
Si l utilisateur n est pas admin c est deja bien qu'il ne vous fasse pas de caca nerveux parce quil peut rien installer
 
Pour le noprofile c est dispo sur XP/2003
 
Sinon ce sera d utiliser des net use avec les log/pass du domaine mais j'avoue que je ne vois pas concretement ce que tu souhaites faire ou du moins pour quelles raisons.

 
Dans ton lien, il parle du programme de JC Bellamy, "Superexec" et lui supporte le réseau...jette un oeil
 

Le but est de sécuriser des machines destinées a des etudiants (salles machines d'une ecole). Inutile qu'ils bidouillent dans C:, ils ont leur profile et un repertoire perso plus des repertoires reseau communs pour mettre leurs données.
 
Mais ils ont besoin d'un paquet de progs divers, pour faire des maths, de la prog ou de la bureautique par exemple.

Si ce sont des utilisateurs sans pouvoir ils pourront pas faire grand chose a part utiliser les programmes déjà installé.
 
Tu peux aussi jouer sur la strategie de restriction logicielles pour ne leur permettre de lancer qu'une liste d exe spécifiée.

 
Ahem, effectivement. En fait la combinaison cpau+AutoIT avait l'air de tellement bien correspondre a ce que je voulais que j'ai pas fait attention a AutoExec. Je vais tester ca en rentrant du pont =D. Merci de m'avoir fait lire les infos que je donne =) (j'me sens un peu boulet la...)

 
Oui mais il faut aussi éviter qu'ils puissent supprimer un fichier ou installer des trucs.

Ils ne pourront rien installer en utilisateur sans pouvoir.

 
 
 
C fin de semaine donc normal   la fatigue quoi.
 
 

Bonjour tous,
 
Je rencontre des difficultés à l'utilisation de Superexec, sur des Windows 2003 server.
Ca fonctionne a distance : compte banal d'un ordi A autorisé à exécuter une appli configuré depuis un ordi B => OK.
Mais pas en local : compte banal du meme ordi autorisé à exécuter une appli NOK. Quand je clique sur le raccourci créé par Superexec en Admin, rien ne se passe et en me reconnectant en Admin, j'ai des messages d'erreur dans les journaux appli et système :
 
L'application, C:\Program Files\superexec\se.exe, a généré une erreur d'application L'erreur s'est produite le 05/03/2006 à 16:50:51.984 L'exception générée était c00000fd à l'adresse 7C814044 (ntdll!mbstowcs)
 
Application défaillante se.exe, version 3.0.1.237, module défaillant kernel32.dll, version 5.2.3790.1830, adresse de défaillance 0x00015dea.
 
 
L'install OS est faite de base, il n'y a eu aucune désactivation de service ni modification au niveau des stratégies de sécurité locale.
 
Quelqu'un a déjà eu ce problème, ou une idée pour que superexec marche en local ?
 
Merci d'avance.

pourquoi ne pas creer un nouveau sujet ?

C'est vrai mais c'était au cas ou la personne qui avait dit qu'elle testerait aurait testé et serait revenu sur son topic..
Je vais faire un autre sujet quand même, car j'aimerais bien que ca marche.
 
Merci !