Bonjour tout le monde,
Je suis actuellement temporairement dans une PME où je travaille notamment sur le serveur. Il s'agit d'une machine linux, configurée en PDC avec Samba pour des machines sous windows XP Pro toutes dans un même domaine.
J'ai refait une nouvelle image pour les station XP et tout a bien fonctionné. Pour des raisons que je n'exposerais pas ici, il se trouve que les machines doivent être le plus restreintes possibles, avec juste la permission de lancer les programmes installés sur le disque dur et le droit d'écrire sur "Mes documents", sur une clé USB ou graver un CD. L'execution depuis ces emplacements est interdis.
Il existe en fait un profil générique "user" qui est chargé à l'ouverture de la session pour tous les utilisateurs (profil non modifiable) avec les restrictions dont j'ai besoin dans le "user.man", et comme j'ai refait toutes les machines avec une image commune, j'ai pu également appliquer GPO.
En plus de ça, j'aurais aimé interdire l'écriture sur le disque dur sauf dans le répertoire "documents & settings\nom_utilisateur". La modification ou la suppression de dossier est déjà interdite (par défaut je suppose) mais il est encore possible de créer un répertoire, et du coup, par la même occasion de lancer des programmes simples (ne nécessitant pas un setup).
J'ai essayé de configurer les options de sécurité sur le disque dur afin de "refuser" l'écriture au groupe "tout le monde" mais dans ce cas là, même en tant qu'administrateur il n'est plus possible d'écrire sur le disque. J'ai aussi essayé d'appliquer cette même stratégie sur le groupe "domain users" mais cela n'a aucun effet (en fait si, mais pas sur le profil "user", par contre les autres profils "normaux", car il y a quelques profils itinérants "standard" se voient appliquer la stratégie).
Si vous avez des idées, elles sont les bienvenues !
PS : De plus j'ai remarqué que j'avais 2 fois le groupe "domain users" (lorsque je rajoute la règle, je peux choisir avancé et puis faire une recherche), mais je ne saurais dire si c'est lié. Etant donné que je ne connais pas énormément de chose en linux, je ne me vois pas du tout réinstaller le serveur ou même tenter un débuggage tout seul.