Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
4954 connectés 

  FORUM HardWare.fr
  Windows & Software

  Domain Win2K3 : gros trou de sécu et pb ntbackup

 
 


Dernière réponse
Sujet : Domain Win2K3 : gros trou de sécu et pb ntbackup
Slyde Je zieutterais quand je passerais sur le serveur dans la semaine.
 
De mémoire, l'utilisateur, SYSTEM, administrateurs, CREATEUR PROPRIETAIRE.

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
Slyde Je zieutterais quand je passerais sur le serveur dans la semaine.
 
De mémoire, l'utilisateur, SYSTEM, administrateurs, CREATEUR PROPRIETAIRE.
Jef34 Effectivement, comme dit plus haut. C'est normal que le user ait accès.
 
Par contre les droits d'admin.. strange.
 
Tu peux nous filer les ACL sur les partages en question ?
 
Démarrer, exécuter, cacls nomdurépertoire
 
Vérifie les autorisations de partages.
Slyde et pour mon supair NTbackup qui me colle un miniQIC au lieu du Travan, je fais la tache à la main via les taches planifiées ?
Slyde

zupstyle a écrit :

t'es sur jef?


 
Ah ben je confirme que ça marche et que c'est emmerdant [:slyde]  
 
J'ai du tester avec le groupe de sécu 'admins du domaine' et 'administrateurs', c'est pareil ça passe avec les deux.
El Pollo Diablo Ca par contre c'est pas normal effectivement.
zupstyle yep pollo mais ce que je capte pas c'est qu'il ait des droits d'admin alors que sur le domaine il est simple user O_o
El Pollo Diablo

zupstyle a écrit :

les autorisations se base sur les SID, donc jvois pas comment y'aurai de pb O_o
en même temps je ne procède jamais ainsi*


 
C'est plus compliqué que ça : quand t'es pas loggué avec un compte du domaine (ou sur une machine hors-domaine) et que tu veux te connecter a par exemple des partages sur un serveur, de maniere transparente pour l'utilisateur le serveur demande une authentification a la machine cliente, qui par défaut va renvoyer les login/mdp de la session en cours, et si ils correspondent a un utilisateur du domaine, ben t'auras acces au choses pour lesquels cet utilisateur a des droits sans rien avoir a faire de plus.
El Pollo Diablo

Jef34 a écrit :

Et bien effectivement le problème est connu.
 
Si tu utilises un compte local  
User : toto
Password : toto
 
Un compte AD
User : toto
Password : toto
 
Ben le user local pourra accéder à des ressources AD.
 
Il faut éviter cette similitude.


 
Oui mais au niveau du domaine il devrait avoir les droits du compte toto en question, qui est simple user, et la a priori il a les droits admins.
zupstyle les autorisations se base sur les SID, donc jvois pas comment y'aurai de pb O_o
en même temps je ne procède jamais ainsi*
zupstyle t'es sur jef?
sennastien

Jef34 a écrit :

Et bien effectivement le problème est connu.
 
Si tu utilises un compte local  
User : toto
Password : toto
 
Un compte AD
User : toto
Password : toto
 
Ben le user local pourra accéder à des ressources AD.
 
Il faut éviter cette similitude.


:heink:  :ouch:

sennastien oui ca me parait louche, le compte AD/toto n'ayant clairement pas le meme SID que le compte admin local Worstation1/toto
Jef34 Et bien effectivement le problème est connu.
 
Si tu utilises un compte local  
User : toto
Password : toto
 
Un compte AD
User : toto
Password : toto
 
Ben le user local pourra accéder à des ressources AD.
 
Il faut éviter cette similitude.
El Pollo Diablo t'es sur que t'as bien mis le groupe "admins du domaine" et pas le groupe "administrateurs" sur tes partages ?
zupstyle Faudrait voir comment ta mis en place tes groupes O_o
Slyde oui, sauf que tata s'appelle toto, le compte local admin et le compte user sur le domaine ont le même nom et pass, et à priori c'est ça qui gène.
 
Je pourrais leur virer ces comptes locaux de force, c'est une solution, mais j'aimerais bien comprendre la 'logique' qui autorise l'accès d'un admin d'une machine locale à des partages accessibles uniquement à des admins du domaine. Parce que si je vire le groupe admin de l'ACL, je me fais bien jeter.
Jef34 Donc dans AD un compte
DOMAIN\toto avec son password, membre de Users
 
Un ordinateur WORKSTATION1 du domaine DOMAIN
Il se logue dessus.
Tout ce passe bien.
 
Maintenant ton user se logue en local (tu entends bien par là un compte local donc pas du domaine)
WORKSTATION1\tata
 
Et il se trouve alors que ce user WORKSTATION\tata a le droit d'accéder à des partages d'admin.
 
J'ai bien compris ?
Slyde Non :/
 
prennons le cas d'une session toto avec un mot de passe soleil
 
Sur un poste sur le réseau, il existe en LOCAL une session toto/soleil. Elle a les droits d'admin local.
 
Sur l'AD, il existe une session toto/soleil, membre des users, pas des administrateurs de ce domaine.
 
Si l'utilisateur se loggue sur le domaine avec son compte toto, les droits sont utilisés correctement.
 
Si l'utilisateur se loggue en local avec son compte toto, qui je le repête, est un compte d'admin LOCAL, il a accès à tous les partages du domaine qui sont cconfigurés pour n'être accessibles qu'aux administrateurs DU DOMAINE ! [:le kneu]
Jef34 Donc tu veux dire que sur le controlleur de domaine, il existe un compte Admin qui a le meme nom et le meme mot de pass que le compte local admin sur les workstations de ton réseau. c'est ca ?
Slyde

Jef34 a écrit :

Pourquoi tes users ont des comptes d'admin du domaine ?
Change leur droit dans la console d'AD et ton problème sera résolu.
 
Erm, comme indiqué ils ne font pas parti du groupe admin sur le domaine. C'est leur compte, de nom identique, en local sur leur machine qui a les droits d'admin. Et c'est en se loggant en local sur cette session qu'ils peuvent acceder à tous les partages sur le domaine.
 
S'il faut qu'ils soient admin sur leur machine ajoute les en admin locaux ou ajoute le groupe INTERACTIVE en admin local
 
A priori pas besoin, en + c'est la base de mon problème [:tinostar]


 
Jef34 Pourquoi tes users ont des comptes d'admin du domaine ?
Change leur droit dans la console d'AD et ton problème sera résolu.
 
S'il faut qu'ils soient admin sur leur machine ajoute les en admin locaux ou ajoute le groupe INTERACTIVE en admin local
Slyde :/
Slyde 4 vues [:w3c compliant]
Slyde Bonjour,
 
J'ai deux problèmes bêtes avec un 2K3 SBS.
 
- Une machine dispose d'un compte toto local avec un mot de passe, membre de administrateur. Sur le serveur et donc le domaine, le même compte avec le même pass, avec des droits d'utilisateur. Souci, quand l'utilisateur se loggue sur la session locale sur son poste, il a les droits d'admin sur le domaine et peut donc acceder à des partages privés sur lesquels le groupe administrateurs.mondomaine ou le compte admin.mondomaine possèdent des droits. Si j'enlève les droits du compte admin.mondomaine, je me fais effectivement jeter.
 
Faut-il, à la base, empecher les utilisateurs de faire des sessions locales de ce genre, ou puis-je virer les droits admin sur la sécurité des partages sans souci avec NTbackup ou d'autres services windows ?
 
 
- La sauvegarde ntbackup configurée via la gestion de serveur cherche à utiliser un média MiniQIC et non Travan, du coup, erreur systématique de media non monté. Puis-je modifier un script ou la tache quelque part ou dois-je créer une tache planifiée manuellement pour spécifier dans la ligne de commande le bon media ?
 
Merci.

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)