 |
||
| ||
| |||||
FORUM HardWare.fr
Windows & Software
Sécurité locale des Windows* en réseau d'entreprise (admins demandés)| Dernière réponse | ||
|---|---|---|
| Sujet : Sécurité locale des Windows* en réseau d'entreprise (admins demandés) | ||
| bascarol |
|
|
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| bascarol |
|
| Guru | Tant mieux que cela ai été utile car j'étais un peu allé "à la pèche" :lol: |
| Nico57 | D'où ma suggestion de le supprimer purement et simplement. :sarcastic:
Et en cas de gros problème réseau sur la machine (compte admin du domaine plus accessible), il est toujours possible de casser la SAM avec les outils qui vont bien. Enfin pour ceux que ça intéresse, le lien donné par Guru (encore merci :jap:) traite exactement du sujet. J'y ai appris que le Workstation Manager du client Netware permet de créer/supprimer dynamiquement les comptes NT locaux correspondant au login Novell utilisé (j'suis clair là?) Y'a plus qu'à potasser un peu et convaincre mon admin Novell :sarcastic: de la nécessité du truc. |
| bascarol | Krapaud
Ouais c'est sur que pour le pass admin ils doivnet pas être les même sur chaques postes, mais mon experience m'a dit le contraire. Pour la sécu on est OK, mais avoir 450 pass dif, la à chaque fois tu te promènes avec ton bottin, donc papiers, donc encore pire qu'un seul pass, attention on parle bien du pass admin local pas réseau. dis moi comment tu retiendra 450 pass dif plus le tiens + les pass admin des serveurs. :D |
| Nico57 | Oh, plein de réponses! http://forum.hardware.fr/icones/icon10.gif Bascarol> (est-il vraiment possible de désactiver tous les "services" dangereux dans Win2k/XP? :/) Non car certains sont utile a 1 moment ou un autre Ouais, surtout le service Serveur, la base de tous mes soucis. :/ mise en place d'un mot de passe sur le compte admin local ? (de préférence différent sur chaque PC, ce qui devient vite ingérable :/) Non même pass admin sur tout les pc si 450postes t'imagine Et le même mot passe sur 450 PC t'imagine? Le jour ou un con arrive à le casser tu te prends 3 jours pour faire la tournée des popotes? :sarcastic: En gros on est d'accord: la seule solution viable avec du Novell c'est d'avoir une autentification dans un domaine NT en parallèle. Reste que je m'interroge sur la possibilité de "Win95ifier" un Win2k pour pouvoir oublier complètement la sécurité locale (-> admin sans mot de passe) et se passer d'un domaine NT. Guru merci pour tes liens, je vais lire ça attentivement. usurp> Hors sujet, mais merci pour ta contribution. krapaud> en pareil cas il faut faire des groupes d'utilisateurs/machines! Je ne comprends pas ce que tu veux dire. :??: (à propos des mots de passe admin différents sur 450 machines) et pourtant c'est une des bases de la sécurité! Je suis bien d'accord! (à propos de la suppression de tout compte local) les comptes volants ne sont pas très pratiques quand tes utilisateurs ont des besoins de place assez importants, transferts... un admin ne doit pas avoir son réseau par terre, la question est plus celle du transfert des profils et de la gène occasionnée, et celle de la place sur le serveur d'accueil Tu confonds compte et profil, on peut très bien ne pas avoir de compte local et stocker malgré tout les profils utilisateur en local; c'est d'ailleurs le comportement par défaut. Merci à tous pour votre avis. Je vais lire les liens de Guru. :hello: |
| bascarol |
|
| Krapaud |
|
| usurp |
salut :hello: regle de base de tout réseau informatique : ne JAMAIS :non: laisser les utilisateur se connecter avec un compte admin --> bordel assurer :fou: !!! Tu mets un mot de passe pour le compte admin, qui peut etre le même sur toutes les machines, vu que personne ne doit le connaitre. (à part bien sur le personnel informatique) En ce qui concerne la double autentification Novell/NT, si je me souviens bien, tu peux cocher une case lors du login Windows pour que ce soit le même utilisateur que Novell. Comme tu peux choisir si tu te log en local ou sur le réseau à l'écran d'authentification Novell (souvenir...) Ensuite en ce qui concerne l'achat de nouvelles machines, et bien oui, il y a forcemment des parametres à modifier. l'idéal, lorsqu'elles sont nombreuses, est de faire un "master" : une image (avec outil comme Ghost) d'une configuration "standard" que tu appliqueras aux autres machines avant de les mettre sur le réseau. Avantage : plus qu'a brancher la machine, tous les parametres étant déja installé (stratégie locale, connexion réseau, etc....) et évite les oublis ou erreur. Désavantage : oblige à avoir un parc assez homogéne pour éviter d'avoir à effectuer beaucoup de master (machines différentes --> master différent). Précision : le chargement d'une image n'a rien à voir niveau temps avec une réinstallation. Et c'est moins lourd que de passer dans chaque bureau pour effectuer les parametres de configuration adéquats. Voilà, j'espère que mon avis te servira :whistle: PS : si vous avez besoin d'un admin ou tech réseau je suis preneur : je crise de ne pas avoir de boulot (alors j'essais d'aider les gens :) ) |
| Guru | Je ne connais pas très bien Netware, cependant après une rapide recherche j'ai trouvé sur le site Novell une présentation du client Netware pour WinNT/2k/XP qui indique que le login unique peut être synchronisé.
http://www.novell.com/products/cli [...] klook.html En complément, un article qui parle de ce sujet, peut être y trouveras tu des informations pertinentes : http://www.networkcomputing.com/911/911ws1.html |
| bascarol |
|
| bascarol |
|
| Nico57 | Faut que je la refasse en plus clair?
Y a-t-il seulement des admins réseau qui utilisent Novell ici? :??: |
| Nico57 | Progressivement, les systèmes Win9x (cons mais fermés, donc peu dangereux) sont remplacés par des Win2k/XP (plus ouverts mais aussi bien sécurisés dans leur config standard que ma cabane au fond du jardin).
Un poste Win2k/XP standard acheté chez votre gros fabriquant préféré est généralement livré préinstallé avec un compte administrateur sans mot de passe et la quatre vingt douzaine de services standard Windows démarrés, le serveur de fichiers et l'éditeur de registre à distance en tête de liste. Puis ce poste est configuré pour se connecter au serveur Windows ou Netware sous le nom de l'utilisateur, et généralement le compte administrateur local reste en place. Ce qui permet aux utilisateurs peu scrupuleux de faire joujou avec le PC du voisin ou de la secrétaire de direction. J'aimerais savoir quelle est la stratégie de sécurité locale appliquée chez vous:
(est-il vraiment possible de désactiver tous les "services" dangereux dans Win2k/XP? :/)
(de préférence différent sur chaque PC, ce qui devient vite ingérable :/)
(possible uniquement si l'utilisateur est authentifié dans un domaine NT, et problématique en cas de panne réseau)
|
