Bonjour les gens
 
J'essaie de faire en sorte de bloquer C: en ecriture sur des clients windows 2000 (+SP4). J'ai déplacé le profil, bidouillé un peu. Maintenant, je voudrais interdire aux utilisateurs lambdas de creer, supprimer, deplacer ou modifier des fichiers ou dossiers en laissant au compte administrateur la possibilité de le faire. J'ai dopnc changé les droits de C: (la racine).
 
Le problème est que dès que j'active une interdiction, pour les groupes "tout le monde", "utilisateurs", "utilisateurs identifiés" ou "interactif", le compte administrateur est affecté aussi (par exemple impossible de créer un fichier). D'ou ma question : dans quel groupe ne trouve-t-on pas l'administrateur?
 
Merci pour l'aide

Le compte administrateur se trouve normalement, dans le groupe administrateur et uniquement ! Ensuite, mettre des restrictions sur c:\ en lecture/écriture, ce n'est pas trés judicieux ! L'OS écrit réguliérement sur le disque système et ce quelque soit les droits de la personne !
 
Ce que tu peux faire à contrario, c'est cacher le lecteur c:\ dans le poste de travail pour les groupes que tu désires.  
 
Tu ne précise pas la version de 2000, à savoir si c'est du pro ou serveur ! Si c'est du serveur utilise les profils iténarants et des GPO ! Si c'est du pro, va voir dans "gpedit.msc" ce que t'as comme possibilités (démarrer > executer > gpedit.msc)
 
@+
cvb

 
Si dans une base miliatire, tu dis au garde, "dès que tu vois un mec qui à un badge valide, tu le flingue, s'il a un uniforme, tu le tue aussi, voire même tu tue tout le monde" et qu'il tue une général 5 étoiles, faut pas l'engueuler car même si tu ne lui as jamais demandé de tuer un général 5 étoiles, tu lui as bien demander de tuer "TOUT LE MONDE", "TOUT CEUX QUI AVAIT UN BADGE" etc.....
 

 
En fait j'ai essayé tous les groupes un par un, pas en meme temps. Mais je comprend pas pourquoi quand je met des interdictions sur "utilisateurs", l'administrateur y est soumis aussi.

 
OK c'est win 2000 pro et ta solution marche bien. Mais l'accès est toujours possible, par exemple en ligne de commande. Il faut donc bien que je restreigne les droits...

Pour info je suis allé dans gpedit.msc et j'ai activé "dans poste de travail masquer ces lecteurs specifies", et "empecher l'acces aux lecteurs a partir du poste de travail".
 
Le problème c'est que ca touche explorer, mais dans le fond ca reste la meme chose.

Tu ne peux pas interdire l'écriture dans C car le system en a besoin...
Après lorsque tes utilisateurs se connectent en tant qu'utilisateurs il n'ont pas le droit d'écritures dans le registre ce qui leur empeche d'installer des softs.
Après pour les autres répertoires il y a juste à gérer avec le NTFS...

Tu peux donner les droits a C: uniquement au groupe administrateur et a SYSTEM si tu ne veux pas avoir d'ennui.
 
Ensuite garde en tete que si tu mets une option refuser, elle predominera sur une option autoriser.
 
En clair, si tu mets refuser ecriture a tout le monde et autorise ecriture aux admins, les admins etant avant tout "tout le monde", ils ne pourront rien ecrire.

********************Problème réglé***************************
 
Bon c'est bon j'ai reussi a me debrouiller. J'ai donc le compte administrateur et SYSTEM en controle total et j'ai trouvé un groupe sans administrateur. Le groupe utilisateur avait été redéfini et c'est pas celui qu'l fallait utiliser. Ca a l'air de marcher jusqu'ici.
 
Merci de m'avoir dépanné tous

On est pas obligé de se limiter aux groupes prédéfinis par Windows hein, on a le droit (c'est meme l'interet du truc) d'en créer d'autre avec uniquement les utilisateurs qu'on souhaite.

exactement, on ne touche jamais aux groupes prédéfinis.

et je conseille de donner l acces au groupe administrateurs a la racine ou tu risques d avoir des problemes de memoires virtuelles insuffisantes.