privilèges d'administration et accès refusé

Marsh Posté le 05-09-2009 à 17:52:30

Hi all :hello:

J'ai actuellement un problème plutôt simple, sur une machine sous Vista :

- le volume C: est partagé avec les permissions de partage en Full pour un utilisateur faisant partie du groupe d'administrateurs (les permissions NTFS correspondent également)

- lors de tentatives d'accès à tous les répertoires du genre C:\Users\"nom-d'utilisateur", j'obtiens un joli Access Denied :sweat:

- si j'essaye d'y accéder via les partages administratifs par défaut (C$ etc), ça fonctionne (mais là le contraire m'aurait vraiment étonné).

Une piste pour savoir pourquoi un membre du groupe admin n'aurait pas le droit d'accéder à ces répertoire ?

:jap:

---------------
Easy Ridin' ⎝⏠⏝⏠⎠

Reply

Marsh Posté le 05-09-2009 à 17:52:30

Reply

Marsh Posté le 05-09-2009 à 20:23:55

Lorsque tu passes par le partage "standard" tu es sur (vraiment sur) que c'est ton user admin qui utilisé et pas invité ou autre ?

Reply

Marsh Posté le 05-09-2009 à 20:33:58

sûr et certain (invite de logon utilisateur distant qui s'affiche, pas moyen de se tromper).

Je disposais d'une configuration similaire avec un parc Win2k3 / XP, et là ça ne posait aucun souci.

ça viendrait de la matrice des droits (particulière ?) sous Vista ?

Message édité par ANViL le 05-09-2009 à 21:04:15

---------------
Easy Ridin' ⎝⏠⏝⏠⎠

Reply

Marsh Posté le 05-09-2009 à 20:44:52

Je pense pas

Si tu met un everyone en full controle dans la sécurité du partage ça marche ?

Message cité 1 fois

Reply

Marsh Posté le 05-09-2009 à 21:13:21

Je@nb a écrit :

Je pense pas

Si tu met un everyone en full controle dans la sécurité du partage ça marche ?

ça ne fonctionne pas d'avantage

petite précision, le seul rep. d'utilisateur auquel j'ai accès via le partage est le C:\Users\default, tous les autres (y compris le C:\Users\Public :sweat: ) sont recalés lors d'une tentative d'accès.

Ca m'embetêrait de me dire que je deviens vieux & ignare, mais quelles différence pourrait-il bien y avoir entre une utilisateur membre du groupe admin et l'admin lui-même ? (je demande ça sachant que les partages administratifs par défaut fonctionnent nickel)

---------------
Easy Ridin' ⎝⏠⏝⏠⎠

Reply

Marsh Posté le 05-09-2009 à 21:16:22

fait un whoami /all sur les 2 utilisateurs (avec ton cmd lancé avec tous les droits)

Reply

Marsh Posté le 05-09-2009 à 21:45:29

admin (default)

USER INFORMATION
----------------

User Name SID
======================== =============================================
vista-ws-3\administrator S-1-5-21-1164641488-3567551321-2456683478-500

GROUP INFORMATION
-----------------

Group Name Type SID Attributes
==================================== ================ ============ ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators Alias S-1-5-32-544 Mandatory group, Enabled by default, Enabled group, Group owner
BUILTIN\Users Alias S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization Well-known group S-1-5-15 Mandatory group, Enabled by default, Enabled group
LOCAL Well-known group S-1-2-0 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NTLM Authentication Well-known group S-1-5-64-10 Mandatory group, Enabled by default, Enabled group
Mandatory Label\High Mandatory Level Unknown SID type S-1-16-12288 Mandatory group, Enabled by default, Enabled group

PRIVILEGES INFORMATION
----------------------

Privilege Name Description State
=============================== ========================================= ========
SeLockMemoryPrivilege Lock pages in memory Disabled
SeIncreaseQuotaPrivilege Adjust memory quotas for a process Disabled
SeSecurityPrivilege Manage auditing and security log Disabled
SeTakeOwnershipPrivilege Take ownership of files or other objects Disabled
SeLoadDriverPrivilege Load and unload device drivers Disabled
SeSystemProfilePrivilege Profile system performance Disabled
SeSystemtimePrivilege Change the system time Disabled
SeProfileSingleProcessPrivilege Profile single process Disabled
SeIncreaseBasePriorityPrivilege Increase scheduling priority Disabled
SeCreatePagefilePrivilege Create a pagefile Disabled
SeBackupPrivilege Back up files and directories Disabled
SeRestorePrivilege Restore files and directories Disabled
SeShutdownPrivilege Shut down the system Disabled
SeDebugPrivilege Debug programs Disabled
SeSystemEnvironmentPrivilege Modify firmware environment values Disabled
SeChangeNotifyPrivilege Bypass traverse checking Enabled
SeRemoteShutdownPrivilege Force shutdown from a remote system Disabled
SeUndockPrivilege Remove computer from docking station Disabled
SeManageVolumePrivilege Perform volume maintenance tasks Disabled
SeImpersonatePrivilege Impersonate a client after authentication Enabled
SeCreateGlobalPrivilege Create global objects Enabled
SeIncreaseWorkingSetPrivilege Increase a process working set Disabled
SeTimeZonePrivilege Change the time zone Disabled
SeCreateSymbolicLinkPrivilege Create symbolic links Disabled

utilisateur disposant des privilèges admin.

USER INFORMATION
----------------

User Name SID
================== ==============================================
vista-ws-3\coadmin S-1-5-21-1164641488-3567551321-2456683478-1000

GROUP INFORMATION
-----------------

Group Name Type SID Attributes
==================================== ================ ============ ==================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only
BUILTIN\Users Alias S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization Well-known group S-1-5-15 Mandatory group, Enabled by default, Enabled group
LOCAL Well-known group S-1-2-0 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NTLM Authentication Well-known group S-1-5-64-10 Mandatory group, Enabled by default, Enabled group
Mandatory Label\High Mandatory Level Unknown SID type S-1-16-12288 Mandatory group, Enabled by default, Enabled group

PRIVILEGES INFORMATION
----------------------

Privilege Name Description State
============================= ==================================== ========
SeShutdownPrivilege Shut down the system Disabled
SeChangeNotifyPrivilege Bypass traverse checking Enabled
SeUndockPrivilege Remove computer from docking station Disabled
SeIncreaseWorkingSetPrivilege Increase a process working set Disabled
SeTimeZonePrivilege Change the time zone Disabled

il y a effectivement des différences notoires dans les privilèges, mais il faudrait que j'analyse ça en détail pour si c'est ça qui pose problème (et en outre, l'utilisateur étant déjà membre du group admin, je me demande ce que je pourrais faire de plus concernant ses privilèges [:transparency] )

Message édité par ANViL le 05-09-2009 à 21:48:29

---------------
Easy Ridin' ⎝⏠⏝⏠⎠

Reply

Marsh Posté le 05-09-2009 à 22:00:22

je vois pas de privilèges qui empechent l'accès au rep (enfin ces privilèges servent pas à ça). Les ACL c'est sur les groupes. Je sais pas trop trop.

Reply

Marsh Posté le 05-09-2009 à 22:04:34

Je vais continuer de creuser, voir si je peux reproduire le phénomène sur les machines de test (c'est p-e simplement un mécanisme particulier à NT6 et que je n'ai pas encore abordé, va savoir )

En tout cas merci pour ton aide :hello:

---------------
Easy Ridin' ⎝⏠⏝⏠⎠

Reply

privilèges d'administration et accès refusé

Sujets relatifs:

Leave a Replay