Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2754 connectés 

  FORUM HardWare.fr
  Windows & Software

  Problème utilisateur Active Directory et groupe local

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Problème utilisateur Active Directory et groupe local

n°1447066
gatorette
Posté le 11-02-2004 à 16:01:04  profilanswer
 

Je suis sur une machine Windows XP (appelons la "WORKSTATION" ) connecté sur un domaîne AD (géré par 2003 Server). Appelons le domaine "DOMAIN".
J'ai un compte sur le domaine en temps qu'utilisateur restreint (nous l'appelerons "DOMAIN\User" ) et également un compte administrateur local sur la station (qui est "WORKSTATION\Administrateur" ).
J'ai créé (avec le compte "WORKSTATION\Administrateur" ) un groupe local qui s'appelle "WORKSTATION\LocalGroup". Toujours en temps qu'administrateur local j'ai ajouté le compte "DOMAIN\User" à ce groupe local.
Sur un répertoire particulier de "WORKSTATION" (appelons le "C:\LockedDir" ) je modifie les autorisations de façon à interdire l'accès aux utilisateurs ("WORKSTATION\Utilisateurs" ) mais à autoriser l'accès au groupe "WORKSTATION\LocalGroup".
 
Mon problème est que l'utilisateur "DOMAIN\User" n'a pas l'accès à ce répertoire. Il fait pourtant bien partie du groupe "WORKSTATION\LocalGroup".
Si je regarde à l'aide du compte "WORKSTATION\Administrateur" les "autorisations effectives", Windows me met le message "Windows ne peut calculer les autorisations qui s'appliquent à User.". Ceci peut s'expliquer par le fait que ce compte ne peut faire de requêtes sur le domaine.
Si par contre je fais la même chose avec l'administrateur du domaine ("DOMAIN\Administrateur" ), il m'affiche bien les autorisations et m'indique bien que l'utilisateur "DOMAIN\User" à un "contrôle total" sur le répertoire.
 
Je ne comprend pas ce qui se passe. A la limite je veut bien croire qu'un utilisateur du domaine ne puisse pas faire partie d'un groupe local, mais Windows ne semble pas broncher quand j'ajoute l'utilisateur. Le plus gros souci est que la consultation des "autorisations effectives" est en totale contradiction avec ce que je peut "effectivement" faire.
 
Serait-il possible que mon utilisateur "DOMAIN\User" étant membre à la fois de "WORKSTATION\Utilisateurs" et de "WORKSTATION\LocalGroup", les autorisations (ou plutôt interdictions ici) attribuées à "WORKSTATION\Utilisateurs" prennent le pas sur celles attribuées à "WORKSTATION\LocalGroup" ? Ceci me surprendrais car il n'y aurait alors aucun intérêt à pouvoir attribuer plusieurs groupes à un même utilisateur.
 
J'espère que quelqu'un saura m'éclairer...


---------------
each day I don't die is cheating
mood
Publicité
Posté le 11-02-2004 à 16:01:04  profilanswer
 

n°1447111
SylvainDNS
Posté le 11-02-2004 à 16:28:48  profilanswer
 

Le droit refuser est prioritaire sur tout, et heuresement.

n°1447126
gatorette
Posté le 11-02-2004 à 16:37:25  profilanswer
 

sylvaindns a écrit :

Le droit refuser est prioritaire sur tout, et heuresement.


 
Je ne parle pas de refuser mais c'est juste que je n'ai pas précisé d'autorisations pour le groupe "WORKSTATION\Utilisateurs" (il n'apparaît pas du tout dans la liste). Donc mon utilisateur qui est à la fois dans "WORKSTATION\Utilisateurs" et "WORKSTATION\LocalGroup" devrait avoir les autorisations de "WORKSTATION\LocalGroup", non ?
 
Par contre j'ai fait un test. Sur un répertoire j'ai autorisé le groupe "WORKSTATION\Utilisateurs" en lecture uniquement et le groupe "WORKSTATION\LocalGroup" en lecture/écriture. Or mon utilisateur appartenant aux deux groupes à effectivement l'accès en écriture (et en lecture evidemment).
J'ai l'impression que de virer les autorisations (et non pas refuser) pour le groupe local "Utilisateurs" pose problème à Windows.


---------------
each day I don't die is cheating
n°1447128
SylvainDNS
Posté le 11-02-2004 à 16:40:36  profilanswer
 

En théorie non.
ca devrai marcher sans probleme

n°1447160
gatorette
Posté le 11-02-2004 à 17:01:58  profilanswer
 

sylvaindns a écrit :

En théorie non.
ca devrai marcher sans probleme


 
Excuse moi, tu répondais à quoi ?
 
J'ai fait un test. J'ai créé un répertoire en attribuant uniquement les droits de lecture au groupe "WORKSTATION\Utilisateurs". Jusqu'à présent pas de problèmes...
 
J'ajoute une autorisation spécifique pour l'utilisateur "DOMAIN\User" (membre de "WORKSTATION\Utilisateurs" et de "WORKSTATION\LocalGroup" ) qui lui donne toutes les autorisations sur le répertoire. Cela marche également : les utilisateurs restreints n'ont pas le droit d'écrire alors que "DOMAIN\User" lui peut. Donc l'autorisation spécifique à l'utilisateur semble prendre le pas sur l'autorisation du groupe auquel il appartient.
 
J'enlève mon autorisation spécifique à l'utilisateur et je rajoute une autorisation pour le groupe "WORKSTATION\LocalGroup" donnant toutes les autorisations sur le répertoire. Là par contre  le compte "DOMAIN\User" n'a plus l'autorisation d'écrire dans le répertoire. Je n'ai pourtant pas explicitement "refusé" l'écriture au groupe "WORKSTATION\Utilisateurs" mais juste laissé non-spécifié.
Apparemment malgré ce fait c'est tout de même les autorisations du groupe "WORKSTATION\LocalGroup" qui prédominent.
 
Si c'est bien cela, je ne comprend pas pourquoi cela fonctionne comme cela. En effet, cela veut dire que si je souhaite donner l'accès à un répertoire à mon groupe "WORKSTATION\LocalGroup" mais pas au groupe "WORKSTATION\Utilisateurs", il faut que je supprime tous les membres de "LocalGroup" du groupe "Utilisateurs" et que je donne toutes les autorisations de "Utilisateurs" au groupe "LocalGroup".
Cela me semble très étrange que les autorisations fonctionnent par "soustraction" plutôt que par "addition".


---------------
each day I don't die is cheating
n°1447215
gatorette
Posté le 11-02-2004 à 17:33:24  profilanswer
 

Bon j'ai trouvé la solution...
 
En désespoir de cause j'ai rebooté la machine et miracle tout s'est mis à marcher comme je le souhaitais.
C'est la première fois que je suis obligé de rebooter pour faire prendre en compte des modifications de sécurité et je trouve ça plutôt bizarre...
Mais bon au moins maintenant ça marche (et je ne suis pas obligé de reconsidérer tout ce que je pensais de la sécurité sous Windows).


---------------
each day I don't die is cheating

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software

  Problème utilisateur Active Directory et groupe local

 

Sujets relatifs
Adsl, probleme de PCprobleme avec mirc
Probleme de decompression avec auto-exe winzip sous xpProblème sous IE 6 : certain applet ne sont pas lancés
Allez hop, un ptit problème de FAI!!!pb reseau local mais internet OK !!
Problème pour arrêter windowsProblème de date à la création d'un fichier sur CD-RW
Money ... vrai problèmeprobleme de lecture video
Plus de sujets relatifs à : Problème utilisateur Active Directory et groupe local


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR