Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
649 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Question sur le rafraichissement des droits de sécurité

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Question sur le rafraichissement des droits de sécurité

n°48553
sheen
Posté le 21-01-2009 à 13:18:34  profilanswer
 

Bonjour,
 
Mon boss et moi même souhaitons mettre en place un système correct de gestion des droits de sécurité (Pour l'instant les droits sont assignés par utilisateurs ce qui s'avère assez bordélique).
On souhaite mettre une arborescence de groupe du style : Ressource --> Groupe Local --> Groupe Global --> Utilisateurs
 
Mais on a constaté un soucis :
 
* Quand on assigne les droits directement aux utilisateur, les droits de sécurité sont mis à jour en temps réel (pas besoin de réouvrir sa session)
* A l'inverse, quand on assigne les droits en passant par les groupes, là il faut réouvrir la session utilisateur sinon les droits ne sont pas mis à jour.
 
J'aurais voulu savoir s'il n'y avait pas un moyen pour que les droits assignés par groupes soient mis à jour en temps réel (Une clef de regedit, une GPO, ou n'importe quoi d'autre ^^)
 
Merci pour vos futures réponses.


Message édité par sheen le 21-01-2009 à 13:19:14
mood
Publicité
Posté le 21-01-2009 à 13:18:34  profilanswer
 

n°48555
Pims
Posté le 21-01-2009 à 14:02:54  profilanswer
 

C'est l'assignation User/group qui est appliquée qu'après réouverture des sessions, pas l'assignation groupe/répertoire.
 
Donc si tu users sont dans les bons groupes, tout ira bien par la suite :)


Message édité par Pims le 21-01-2009 à 14:03:18

---------------
Life is like a box of chocolate you never know what you gonna get.
n°48557
sheen
Posté le 21-01-2009 à 14:23:43  profilanswer
 

Ok je comprends, je n'étais pas au courant, merci pour cette clarification Pims.
 
Mais du coup ça nous pose problème car nous allons constamment Ajouter/Supprimer des utilisateurs aux groupes.
 
Nos utilisateurs ont en permanence des lourds logiciels lancés comme Autocad, 3DSMax et Photoshop, le genre de logiciel où vous ouvrez un fichier assez balèze et vous avez le temps d'aller vous chercher un café. Ils ont toujours été habitués à avoir les droits assignés en temps réel. Si du jour au lendemain on leur demande de se rouvrir leur sessions (et donc leurs logiciels) j'en connais qui vont râler :D
 
Il n'existe pas une solution pour ce problème ?


Message édité par sheen le 21-01-2009 à 14:25:02
n°48558
Pims
Posté le 21-01-2009 à 14:31:54  profilanswer
 

Je ne comprends pas pourquoi les association users/groups vont changer souvent?

n°48559
Je@nb
Modérateur
Kindly give dime
Posté le 21-01-2009 à 14:33:33  profilanswer
 

Non pas de solution.
Au logon, le DC renvoie à l'utilisateur une liste de SID auquel il appartient (whoami /all). Qd il accède à une ressource, le serveur match la correspondance entre ses ACL et la liste des SID de l'utilisateur et applique la resultante la plus restrictive.
 
Donc si tu veux que se soit plus dynamique il faut assigner aux groupes les permissions et non pas assigner les utilisateurs aux groupes

n°48561
sheen
Posté le 21-01-2009 à 15:01:25  profilanswer
 

Ok nous sommes donc bloqués.
Bon bah je crois que nos utilisateurs vont relancer leur sessions ^^
 
 
Pour t'éclairer Pims, sur notre serveur chaque projet est une ressource différente. On crée régulièrement de nouveaux projets, et certains utilisateurs y sont assignés.
Le principe était donc de créer pour chaque projet un groupe global READ et un autre READWRITE. Et ajouter les utilisateurs aux groupes en fonction de leur besoin. Un utilisateur peut avoir besoin de l'accès juste pour quelques heures c'est très fréquent, ce qui rendait ce système de gestion de groupe intéressant.  
Mais si l'on doit à chaque fois rouvrir la session cette technique perd tout son charme.
 
Il existe peut être une meilleure stratégie pour gérer ce genre de ressources, je vais me documenter.
 
 
Merci Je@nb pour cette réponse technique, j'y vois plus clair.
D'ailleur je n'ai pas la commande "whoami" dans mon XP, google me dit pourtant le contraire, étrange.  
Je ne l'ai même pas dans la doc de référence Windows sur la ligne de commande (%windir%\hh.exe ms-its:%windir%\Help\ntcmds.chm::/ntcmds.htm)
Rien à voir mais tu ne t'appellerais pas Olivier par hasard ?


Message édité par sheen le 21-01-2009 à 15:02:03
n°48562
Pims
Posté le 21-01-2009 à 15:18:52  profilanswer
 

Effectivement je vois.
Nous utilisons la même technique mais nous il n'y a pas de changement par la suite.
 
Tu pourrais essayer de mettre les users dans des groupes de manière fixe et ensuite mettre les groupes dans des groupes...  
Ca me semble un peu crade mais bon faut essayer.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Question sur le rafraichissement des droits de sécurité

 

Sujets relatifs
securite des donnes[Routage] Question con (?)
httpS 100% sécurité ?Droits de vos utilisateurs nomades (pc portables)
Question connection WIFIsécurité serveur FTP sur reseau pro
[ HyperV ] - Gestion des droits utilisateurs(win server 2003.) // question sur droits accès
NTBACKUP : petite question 
Plus de sujets relatifs à : Question sur le rafraichissement des droits de sécurité


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR