Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1107 connectés 

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Exchange 2003

n°51531
ArthurB
Posté le 31-03-2009 à 15:55:15  profilanswer
 

:hello:  
 
Quelle est l'autorisation qui permet d'autoriser/refuser la consultation des calendriers des utilisateurs d'un domaine ?
Serveur Exchange 2003 SP2 sur Windows 2003 R2.
 
Parce qu'actuellement, les membres du groupe "Admins du domaine" peuvent consulter les calendriers de tous les utilisateurs sans que ces utilisateurs aient partagés leur calendrier... Un peu gênant...
 
Merci d'avance...

mood
Publicité
Posté le 31-03-2009 à 15:55:15  profilanswer
 

n°51544
Je@nb
Modérateur
Kindly give dime
Posté le 31-03-2009 à 20:41:23  profilanswer
 

D'un côté les bonnes pratiques veulent qu'on utilise pas son compte standard pour des taches d'admin.
Sinon c'est dans les permissions étendues de la bal

n°51546
ArthurB
Posté le 31-03-2009 à 20:47:06  profilanswer
 

Comment ça ?
 
Tu veux dire qu'il faut passer sur chaque BAL de l'organisation ? C'est bizarre car à la mise en service, je me souviens que même les membres du groupe Admins du domaine ne pouvaient pas accéder à tous les calendriers...  
 
Parce que maintenant sur un calendrier avec les autorisations basiques (Par défaut et anonyme : aucune), les admins du domaine accèdent aux calendriers...
 
Merci pour ta réponse ;)

n°51547
Je@nb
Modérateur
Kindly give dime
Posté le 31-03-2009 à 20:49:33  profilanswer
 

regarde les permissions étendues dans l'ADUC sur tes comptes user

n°51555
ArthurB
Posté le 01-04-2009 à 08:11:43  profilanswer
 

Tu veux parler des "Droits de boîtes aux lettres" sur l'onglet "Exchange - Paramètres avancés" ?

n°51581
ArthurB
Posté le 01-04-2009 à 13:45:25  profilanswer
 

:hot:

n°51615
gloubiboul​ga
-
Posté le 02-04-2009 à 12:14:54  profilanswer
 

Tu prends le problème à l'envers, ton souci c'est pas les permissions par défaut, c'est que qqun ait son compte d'utilisateur dans le groupe admins du domaine. (comme l'a souligné je@nb)


Message édité par gloubiboulga le 02-04-2009 à 12:16:06

---------------
-
n°51616
ArthurB
Posté le 02-04-2009 à 12:56:00  profilanswer
 

Tous les membres actuels du groupe Admins du domaine se doivent d'y être.

n°51626
gloubiboul​ga
-
Posté le 02-04-2009 à 14:23:28  profilanswer
 

Tu as besoin que des utilisateurs soient loggés en admins du domaine en permanence ? Pourquoi ? Tu te rends compte du risque que ça représente, en terme de sécurité ?


---------------
-
n°51629
ArthurB
Posté le 02-04-2009 à 14:56:19  profilanswer
 

Parce qu'ils font partie de la DSI... Et tous responsables de ce qu'ils font.


Message édité par ArthurB le 02-04-2009 à 15:01:26
mood
Publicité
Posté le 02-04-2009 à 14:56:19  profilanswer
 

n°51630
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 02-04-2009 à 15:06:34  profilanswer
 

Ca te fera une belle jambe qu'ils soient responsable le jour ton AD ou ton exchange seront par terre parce qu'ils ont fait une connerie alors qu'ils avaient les droits d'admins :o
La bonne façon de faire est pour tes gars (et toi) c'est de tourner réelement avec un compte user normal de base (pour la boite mail et autre utilisation de bas bureautique, web & co), et d'avoir un compte user different avec les droits d'admin à n'utiliser qu'en cas de besoin.


Message édité par El Pollo Diablo le 02-04-2009 à 15:07:06
n°51631
ArthurB
Posté le 02-04-2009 à 15:13:23  profilanswer
 

Pas de risque, la majorité ne touche pas à l'administration des serveurs et à l'infrastructure.
Après c'est plus politique, ça me semble pas anormal qu'un DSI fasse parti du groupe des Admins du domaine.
Enfin tout ça ne répond pas à ma question...

n°51632
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 02-04-2009 à 15:22:50  profilanswer
 

ArthurB a écrit :

Pas de risque, la majorité ne touche pas à l'administration des serveurs et à l'infrastructure.


 
Le risque est énorme si  [:w3c compliant] Ils sont par exemple sans doute bien plus au fait de ces choses que la moyenne, mais meme le meilleur des admins n'est pas a l'abris d'une infection par un malware par inatention ou autre : avec leur belle session admin du domaine ouverte, le malware peut infecter d'un cout tout ton parc dans le domaine [:spamafote]
 

Citation :

Après c'est plus politique, ça me semble pas anormal qu'un DSI fasse parti du groupe des Admins du domaine.


 
Qu'il ai un compte admin du domaine c'est normal, qu'il bosse en permanence avec une session ouverte avec les droits d'admin du domaine c'est pas normal du tout non, surtout s'il touche jamais a l'admin [:w3c compliant]  
 

Citation :

Enfin tout ça ne répond pas à ma question...


 
Ben un peu quand meme si : en faisant comme on te le dit quand il vont inviter quelqu'un a un RDV Outlook ils ne verront pas son calendrier mais juste ses infos free/busy par exemple, pour aller voir les infos faudrait vraiment aller les chercher avec le compte admin.
Et de toutes façons si les mecs sont tous admins du domaine, la différence est mince entre un compte admin qui a les droit pour voir une ressource et un compte admin qui peut se mettre ces même droits en 30 secondes...

n°51636
ArthurB
Posté le 02-04-2009 à 16:06:47  profilanswer
 

Citation :

Le risque est énorme si  [:w3c compliant] Ils sont par exemple sans doute bien plus au fait de ces choses que la moyenne, mais meme le meilleur des admins n'est pas a l'abris d'une infection par un malware par inatention ou autre : avec leur belle session admin du domaine ouverte, le malware peut infecter d'un cout tout ton parc dans le domaine [:spamafote]


Pas besoin malheureusement d'être membre d'un groupe d'administrateurs pour chopper des saloperies... Après ça se passe en amont avec la sécurité de l'accès Internet (filtrage d'URL, analyse des flux HTTP, SMTP) , des antivirus (clés USB  :fou:) et autres. Un DSI ne se connecte jamais aux serveurs Windows via TSE, il s'en moque, ce n'est plus son rôle. Je n'évoque même pas les serveurs Unix ou Linux. Sauf que ponctuellement, il doit pouvoir avoir accès à tout d'où son appartenance au groupe des Admins du domaine. Son appartenance à ce groupe ne lui apporte en fait qu'un accès "full" aux fichiers bureautiques.
 

Citation :

Qu'il ai un compte admin du domaine c'est normal, qu'il bosse en permanence avec une session ouverte avec les droits d'admin du domaine c'est pas normal du tout non, surtout s'il touche jamais a l'admin [:w3c compliant]


Je ne me vois pas annoncer à mon DSI que son compte ne fait pas/plus parti des Admins du domaine et qu'il doit utiliser un autre login pour accéder à plus de choses. Après, c'est sûr qu'on pourrait très bien mettre le compte dans un groupe de sécurité qui aurait accès à tous les fichiers et retirer le compte des Admins du domaine mais bon... Politiquement c'est gênant.[:spamafote]
 

Citation :

Ben un peu quand meme si : en faisant comme on te le dit quand il vont inviter quelqu'un a un RDV Outlook ils ne verront pas son calendrier mais juste ses infos free/busy par exemple, pour aller voir les infos faudrait vraiment aller les chercher avec le compte admin.
Et de toutes façons si les mecs sont tous admins du domaine, la différence est mince entre un compte admin qui a les droit pour voir une ressource et un compte admin qui peut se mettre ces même droits en 30 secondes...


Certes, mais ils ne veulent plus avoir accès aux calendriers de titi ou toto en faisant un simple "Ouvrir un calendrier partagé" de titi ou toto car vis à vis du respect de la vie privée ce n'est pas bon... Puisque ces dits calendriers ne sont pas partagés par titi ou toto... Mais rester dans le groupe des Admins du domaine. D'où ma question... J'ai bien vu dans les propriétés de l'utilisateur les propriétés de droits de boites aux lettres mais si je dois me taper toutes les BAL, ça va vite me lasser...  
 
C'est intéressant ces discussions :jap:

n°51638
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 02-04-2009 à 16:10:18  profilanswer
 

ArthurB a écrit :

Après, c'est sûr qu'on pourrait très bien mettre le compte dans un groupe de sécurité qui aurait accès à tous les fichiers et retirer le compte des Admins du domaine mais bon... Politiquement c'est gênant.[:spamafote]

 

Si meme le DSI n'est pas sensible aux arguments et risques techniques evidents face a un maigre confort d'utilisation et une illusion d'importance, t'es pas dans la me*de pour faire passer une vraie politique du sécu dans ta boite [:w3c compliant]


Message édité par El Pollo Diablo le 02-04-2009 à 16:17:42
n°51663
gloubiboul​ga
-
Posté le 02-04-2009 à 18:26:44  profilanswer
 

Citation :

Pas besoin malheureusement d'être membre d'un groupe d'administrateurs pour chopper des saloperies


 
Pour les chopper, non. Pour les répandre ...  
 

Citation :

Un DSI ne se connecte jamais aux serveurs Windows via TSE, il s'en moque, ce n'est plus son rôle.


 
Il n'est pas en RDP, le risque. Plutôt sur l'accès aux partages, par exemple ... Ou encore l'exécution/manipulation de services à distance.
 

Citation :

Sauf que ponctuellement, il doit pouvoir avoir accès à tout d'où son appartenance au groupe des Admins du domaine. Son appartenance à ce groupe ne lui apporte en fait qu'un accès "full" aux fichiers bureautiques.


 
T'as la réponse plus loin, groupe de sécu qui va bien. D'autant qu'à priori, il ne se doutera de rien, vu ce que tu dis.  
 

Citation :

Je ne me vois pas annoncer à mon DSI que son compte ne fait pas/plus parti des Admins du domaine et qu'il doit utiliser un autre login pour accéder à plus de choses.


 
Ca n'est qu'une question de présentation. Si tu arrives en braillant "t'es qu'un luser avec des droits pareil tu vas tout nous foutre par terre, tacheron", forcément, il va mal le prendre. Si tu présentes une nouvelle stratégie de sécurité, documentée et expliquée, quitte à lui créer un compte domain admin avec un mdp bien costaud, et bien compliqué à taper, ça peut passer beaucoup mieux.  
 

Citation :

J'ai bien vu dans les propriétés de l'utilisateur les propriétés de droits de boites aux lettres mais si je dois me taper toutes les BAL, ça va vite me lasser...  


 
Et pourtant. T'as la solution simple et sûre, ou la chiante et dégueu, fais ton choix camarade :D


---------------
-

Aller à :
Ajouter une réponse
 

Sujets relatifs
Exchange 2003 webmail en http (intranet) et https (internet) [RESOLU][EXCHANGE 2003] Liste d'adresse globale & co
Exchange 2003 - Calendriers partagés[SBS 2003 + EXCHANGE] PB de certificat
Restauration Exchange 2003[Exchange 2003]application des stratégies de destinataires
[Exchange 2003] Message bloqué dans le catégoriseurExchange 2003
[exchange 2003] groupes de sécurité et boites aux lettres partagées 
Plus de sujets relatifs à : Exchange 2003


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR