profils itinérants et sécurité [Windows 2000] - Windows & Software
Marsh Posté le 27-06-2002 à 10:35:09
bah non seul l'utilisateur aura un "Contrôle Total" sur son profil mais les autres n'y auront pas accès, même l'admin je crois n'a pas l'accès contrôle total sur ces profils il me semble...
Marsh Posté le 27-06-2002 à 10:36:29
il me semble plutôt que chacun aura accès uniquement au dossier contenant son profil à l'intérieur de ton partage.
A vérifier néanmoins!
Marsh Posté le 27-06-2002 à 10:40:01
bah ouais mais si à la base le repertoire est en accès total...
Marsh Posté le 27-06-2002 à 10:46:38
c'est juste pour la création des profils, ensuite c'est restrictif à chaque profil, en fait tout le monde doit pouvoir voir les profils de tout le monde, mais ne peut accèder qu'au sien
Marsh Posté le 27-06-2002 à 11:27:51
Quand j'en ai fait, j'ai tenté de restreindre l'accès, ben les stations n'arrivaient plus à accéder à créer leur premier profils itinérant.
J'étais obligé de créer le répertoire puis de faire une copie de profil dans ce répertoire...
Mais une fois avec Tout le Monde, ca marche nickel... Meme l'admins du domaine ne peut y accéder sans faire une appropriation...
Marsh Posté le 27-06-2002 à 11:33:44
c comme ça que ça fonctionnait dans mon ancienne boite de stage et pas possible de contourner je confirme. l'admin ne peut pas acceder. il peut restaurer des backup mais si il veut toucher au profil il doit prendre la main en direct.
Marsh Posté le 27-06-2002 à 11:37:14
athon a écrit a écrit : c'est juste pour la création des profils, ensuite c'est restrictif à chaque profil, en fait tout le monde doit pouvoir voir les profils de tout le monde, mais ne peut accèder qu'au sien |
en effet
Marsh Posté le 27-06-2002 à 11:37:54
maintenant j'ai une autre question :
comment faire devenir itinérant un profil local sans perte de données?
Marsh Posté le 27-06-2002 à 11:40:53
c'est pô automatique ?
Quelles données veux-tu exactement ? Mes Documents ?
Marsh Posté le 27-06-2002 à 11:42:07
tout!
en gros j'ai x utilisateurs connectés sur leurs machines pour l'instant.
je voudrais que ce profl là soit celui qu'ils aient à chaque connexion quelle que soit la machine.
si maintenant je déclares qu'ils sont itinérants, ca va les répliquer de suite ou pas?
Marsh Posté le 27-06-2002 à 11:43:13
ReplyMarsh Posté le 27-06-2002 à 11:45:04
pas de pertes de données ) rapatriement des données sur le serveur ...
certains documents + bureau + profils mail + ...
c chaud c clair ... il y a certaines chose que les utils peuvent faire d'eux même mais le reste ...
Marsh Posté le 27-06-2002 à 11:46:54
krapaud a écrit a écrit : tout! en gros j'ai x utilisateurs connectés sur leurs machines pour l'instant. je voudrais que ce profl là soit celui qu'ils aient à chaque connexion quelle que soit la machine. si maintenant je déclares qu'ils sont itinérants, ca va les répliquer de suite ou pas? |
même leurs applis
tu as un réseau de folie, ou peu d'utilisateurs ??
Marsh Posté le 27-06-2002 à 11:49:34
athon a écrit a écrit : même leurs applis tu as un réseau de folie, ou peu d'utilisateurs ?? |
le profil c'est tout!!
Marsh Posté le 27-06-2002 à 12:05:32
krapaud a écrit a écrit : maintenant j'ai une autre question : comment faire devenir itinérant un profil local sans perte de données? |
Ben j'ai été épatté.. Il te suffit de modifier le profil de cette personne en la déclarant itinérante dans AD (chemin de profil etc...) puis qu'elle se logue sur la machine qu'elle a l'habitude d'utiliser (celle qui a sont profil).. Quand elle va se délogguer, le server va comparer le profil local au profil stocké sur le server et verra le profil sur le server n'est pas à jour.... Il va donc rappatrier le profils sur le server..
Si les documents du profils sont stocké dans le rep Documents and Setting\%username% ils seront automatiquement eux aussi rappatriés.
Je te conseille vivement d'utiliser un DD particulier et de grande capacité, mais surtout d'utiliser la gestion de quotas... Ca si chaque user met 5 divx sur son bureau, l'ouverture de session sera longue, le DD de ton server saturée et ton réseau en subira les conséquences ...
Marsh Posté le 27-06-2002 à 12:07:04
tu peux mêmes enregistrer leur répertoire Mes documents sur un serveur de fichier si tu veux
Marsh Posté le 27-06-2002 à 12:08:35
aussi simple que ça ?
je me concherai nettement moins con ce soir ... thanks
Marsh Posté le 27-06-2002 à 12:16:57
Jef34 a écrit a écrit : Ben j'ai été épatté.. Il te suffit de modifier le profil de cette personne en la déclarant itinérante dans AD (chemin de profil etc...) puis qu'elle se logue sur la machine qu'elle a l'habitude d'utiliser (celle qui a sont profil).. Quand elle va se délogguer, le server va comparer le profil local au profil stocké sur le server et verra le profil sur le server n'est pas à jour.... Il va donc rappatrier le profils sur le server.. Si les documents du profils sont stocké dans le rep Documents and Setting\%username% ils seront automatiquement eux aussi rappatriés. Je te conseille vivement d'utiliser un DD particulier et de grande capacité, mais surtout d'utiliser la gestion de quotas... Ca si chaque user met 5 divx sur son bureau, l'ouverture de session sera longue, le DD de ton server saturée et ton réseau en subira les conséquences ... |
oui ca c'est le problème, l'espace disque.
faut que j'apprennes a gérer les quotas parce que pour l'instant je n'ai que 3*18go en raid5, donc 36go pour le serveur de fichiers/applis.
il n'en reste que 20
Pour les profils, lequel est synchronisé?
exemple :
- un utilisateur se connecte sur une machine 1. (profil local)
le pc est naze mais c'est son profil habituel.
il se connecte en attendant sur le pc2.
profil local recrée, mais les éléments perso manquent.
Je passe son profil local en itinérant, alors son profil du pc2 est synchronisé.
Mais quand il va reprendre le pc1, il va afficher quel profil?
Enfin le profil est effacé du hdd local quand l'utilisateur est deconnecté?
Marsh Posté le 27-06-2002 à 12:20:05
Atlantis a écrit a écrit : aussi simple que ça ? je me concherai nettement moins con ce soir ... thanks |
c clair, j'ai été surpris moi aussi, je ne pensais pas que ca allait marché et puis après avoir essayé la manip sur quelques users, j'ai été rodée à la technique.. Mais en réalité elle n'est pas documentée cette façon de faire... Selon MS on fait plutot ainsi
http://support.microsoft.com/searc [...] us;Q302082
Cependant c'est logique... Lorsque tu ouvres une session avec un profils itinérant sur une machine :
Maintenant dans le cas d'un profils devenu itinérant, à l'ouverture de session, le répertoire %username% est crée sur le server mais reste vide. Sur le DD local existe un profils donc le PC va utiliser ce profils puisque celui du server est vide.
A la fermeture de session, la comparaison est vite faite... Le profils du server est vide, le profils local a des données. donc copie du profils local sur le server..
Vous avez suivi mon raisonnement ??
Marsh Posté le 27-06-2002 à 12:25:41
Pour faire en sorte que la copie locale (cache) du profil itinérant soit supprimée :
http://support.microsoft.com/searc [...] us;Q274152
Marsh Posté le 27-06-2002 à 12:27:36
krapaud a écrit a écrit : oui ca c'est le problème, l'espace disque. faut que j'apprennes a gérer les quotas parce que pour l'instant je n'ai que 3*18go en raid5, donc 36go pour le serveur de fichiers/applis. il n'en reste que 20 Pour les profils, lequel est synchronisé? exemple : - un utilisateur se connecte sur une machine 1. (profil local) le pc est naze mais c'est son profil habituel. il se connecte en attendant sur le pc2. profil local recrée, mais les éléments perso manquent. Je passe son profil local en itinérant, alors son profil du pc2 est synchronisé. Mais quand il va reprendre le pc1, il va afficher quel profil? Enfin le profil est effacé du hdd local quand l'utilisateur est deconnecté? |
Ben j'ai remarqué que le profils local a tjrs priorité sur le profils distant mais dans ton cas j'ai un doute..
Je viens de faire un test, j'ai crée un users itinérant, j'ai ouvert une session sur un ordi PC 1, et j'ai mit un fichier sur son bureau. Fermeture de session, je me logue sur un autre ordi PC 2 et j'efface ce fichier..
A ce moment sur le profil du PC 1 le fichier existe, sur le PC 2 et sur le server il n'exite pas. Quand j'ai ouvert la session à nouveau sur le PC 1, le fichier n'existait plus..
Donc à ta place, je ferai attention.. tu pourrais avoir une mauvaise surprise, mais je vais essayer de simuler avec les meme paramètres que toi..(Un profils local devenu itinérant)
Marsh Posté le 27-06-2002 à 12:28:55
Guru a écrit a écrit : Pour faire en sorte que la copie locale (cache) du profil itinérant soit supprimée : http://support.microsoft.com/searc [...] us;Q274152 |
Yes, ca c'est du bon. je l'applique de suite...
Marsh Posté le 27-06-2002 à 12:33:42
Au fait Krapaud, j'ai suivie la priste de Guru et dans les GPO utilisateurs, System, Ouverture de session, il y a Limiter la taille du profil...
Ca doit être mieux que les quotas... Car j'ai peur qu'un users à la fermeture de session ce retrouve bloqué et perde ses fichiers car le server aurait refusé d'écrire ses données..
Avec cet autre systeme j'espère qu'il y aura un message lui avertissant le probleme avant qu'il ne se délogue.. Je teste
Marsh Posté le 27-06-2002 à 12:38:42
Si c'est exellant, pendant que le users est loggué, il reçoit ce message
C'est super !!! I love Windows 2000 Server and his GPO !!!
Marsh Posté le 27-06-2002 à 12:43:14
Ben à la fac ils nous ont donné 50Mo ca suffit pour les mails, quelques documents.
Pour ceux qui travails sur des rapports 500Mo c'est plus que suffisant
Pour l'image, vidéo, son : tu devrais les exclures des quotas et meme stocker leur profils en local...
Marsh Posté le 27-06-2002 à 12:43:38
moi j'ai des utilisateurs avec des pst de plus de 2go...
donc je comptais filer 5go et reserver un disque de 60go pour les profils.
5go c'est bien 5000ko?
Marsh Posté le 27-06-2002 à 12:50:47
Ouais, c'est nickel.
Par contre, fait gaffe au ouverture de session de 8h du matin, heureusement que tu es en RAID. Tu as pensé à utiliser le DFS ?
Pas mal l'assistant. Si tu tentes de passer outre l'avertissemnt en fermant ta session dépassant la limite.
Et le user ne peut pas se délogguer tant qu'il n'aura pas restifier son probleme d'espace... Ca te permettra d'intervenir en cas de besoin et d'augmenter la taille...
Marsh Posté le 27-06-2002 à 12:50:57
Non
5 Go -> 5 * 1024 Mo -> 5140 Mo -> 5140 * 1024 Ko -> 5263360 ko
Marsh Posté le 27-06-2002 à 12:55:48
Jef34 a écrit a écrit : Ouais, c'est nickel. Par contre, fait gaffe au ouverture de session de 8h du matin, heureusement que tu es en RAID. Tu as pensé à utiliser le DFS ? Pas mal l'assistant. Si tu tentes de passer outre l'avertissemnt en fermant ta session dépassant la limite. http://kadans.free.fr/images/limite2.jpg Et le user ne peut pas se délogguer tant qu'il n'aura pas restifier son probleme d'espace... Ca te permettra d'intervenir en cas de besoin et d'augmenter la taille... |
non je n'utilise pas le DFS, je ne connais pas en vérité
8h du matin?
Le HDD que je prendrais pour les profils sera un IDE 7200rpm, deconnecté du raid.
Marsh Posté le 27-06-2002 à 12:56:26
Guru a écrit a écrit : Non 5 Go -> 5 * 1024 Mo -> 5140 Mo -> 5140 * 1024 Ko -> 5263360 ko |
alors pourquoi les GPO fixent la taille maximum des profils à 30000 ko?
c'est super léger!
Marsh Posté le 27-06-2002 à 13:00:03
Ca fait quand meme 30 Mo c'est pas mal si tu considères que les fichiers utilisateurs (données) devraient se trouver hors du profil dans des partages aux droits parfois différents (équipe, département...) de ceux sur le profil et sauvegardés quotidiennement.
Marsh Posté le 27-06-2002 à 13:04:56
bah ouais mais des données comme les paramètres outlook, les pst qui sont dans les profils
Marsh Posté le 27-06-2002 à 10:33:24
je voudrais monter des profils itinérants plutot que des profils par station de travail.
le problème c'est qu'il faut créer un partage accessible en contrôle total à "tout le monde".
j'ai l'impression que ça n'est pas très sécurisé, tout le monde pourra alors accéder aux dossiers de profils? ou alors je n'ai rien compris à la mise en place de ce système!?