Bonjour,
J'ai quitté la mission de mon ancien boulot hier.
J'ai donc fait le ménage et j'ai supprimé les fichiers dont je n'avais plus besoin (dans Documents, sur le lecteur réseau perso etc...)
Le problème étant que j'ai oublié de supprimer tout ce qui est téléchargement par exemple.
Chaque compte AD est admin de son poste, il y a possibilité que la personne qui me remplace puisse accéder à mon ancien compte via le dossier Utilisateurs et puisse voir mes fichiers persos ou c'est pas possible ?
Je peux toujours m'arranger pour retourner sur mon ancien lieu de boulot au cas où et resupprimer le contenu du dossier mais si je pourrais ne pas le faire, ça m'arrangerait.
Merci ![]()
Chaque compte AD est admin de son poste
ah ouais quand même !
C'est surtout pour installer principalement des logiciels ou en lancer certains en admin dans la mission que je faisais.
Chaque compte AD est admin de son poste, il y a possibilité que la personne qui me remplace puisse accéder à mon ancien compte via le dossier Utilisateurs et puisse voir mes fichiers persos ou c'est pas possible ?
C'est possible en effet.
Le 07 avril 2018 à 12:53:45 gunrell a écrit :
Chaque compte AD est admin de son poste, il y a possibilité que la personne qui me remplace puisse accéder à mon ancien compte via le dossier Utilisateurs et puisse voir mes fichiers persos ou c'est pas possible ?
C'est possible en effet.
OK, je vais me pointer lundi pour vider tout ça, on sait jamais ![]()
Bah C'est le chaque compte dans l'AD qui me fais peur! y compris tous les users "neophytes". Je veut pas être a la place du RSSI doit plus avoir de cheveux ![]()
Effectivement, ce n'est pas une bonne pratique du tout de laisser chacun administrateur de son poste, ou alors il faut déployer des GPO très subtiles qui permettent de tout au moins "cacher" certains menus, ou encore de désactiver certains fonctionnalités (sauf pour le compte local Administrator bien sûr).
Il y a d'autres façons de laisser certains privilèges aux utilisateurs, sans pour autant les rendre administrateurs ; c'est même l'une des principales raisons d'être d'un annuaire comme AD et des GPO...
Je laisse mes 50 utilisateurs admin de leurs postes.
En 6 ans un seul indicent de la part de la seule personne qui se dit être experte en informatique.
Quand une personne pers une journée de boulot parce qu'elle a installées des cochonneries sur son poste ça lui passe l'envie future de le refaire.
NB : l'application du principe du "moindre privilège" poursuit plusieurs objectifs... Pas uniquement la prévention des "maladresses" des utilisateurs.
![]()
Oui oui je sais.
Les sauvegardes sont faites sur un serveur Debian local, avec une clé SSH dont moi seul ai l'accès.
Je suis d'accord que dans l'absolu l'application du «moindre privilège» est une bonne chose.
Maintenant faut mettre ça en perspective avec l'usabilité et la pratique.
Le 09 avril 2018 à 19:41:40 EndlessTrip a écrit :
Le 09 avril 2018 à 12:02:54 gilari a écrit :
Je laisse mes 50 utilisateurs admin de leurs postes.
En 6 ans un seul indicent de la part de la seule personne qui se dit être experte en informatique.
Quand une personne pers une journée de boulot parce qu'elle a installées des cochonneries sur son poste ça lui passe l'envie future de le refaire.C'est valable pour 50 en effet. Chez nous on est 500+, il y a encore pas si longtemps on avait 500 utilisateurs, je te laisse imaginer la fête au village
Imagine avec +50k dans le monde, répartis sur plusieurs AD
mais certain utilisateurs sont admin pour l'utilisation de logiciel métier bien spécifique.. malheureusement microsoft ne permet aucunement une modélisation de ce droit
2800 users grosso modo la ou je suis et pas de droit admin si pas de la dcsi ( meme la encore c'est pas systématique). Une appli metier qui a besoin de droit admin ( en soit deja c'est pas tellement normal je trouve) soit on applique un ct sur l'application pour l'utilisateur des fois ca passe, soit on lui met un runas tool.
Le 09 avril 2018 à 20:23:46 bounss a écrit :
mais certain utilisateurs sont admin pour l'utilisation de logiciel métier bien spécifique.. malheureusement microsoft ne permet aucunement une modélisation de ce droit
Oh que si... Il suffit de s'y prendre correctement. En admettant que l'appli ait absolument besoin d'utiliser le compte Administrator, ou un compte réseau Admin, rien n'empêche de "pousser" un template administratif qui restreint certains droits, ou encore rend certains menus invisibles.
Oh que si... Il suffit de s'y prendre correctement. En admettant que l'appli ait absolument besoin d'utiliser le compte Administrator, ou un compte réseau Admin, rien n'empêche de "pousser" un template administratif qui restreint certains droits, ou encore rend certains menus invisibles.
Si tu es capable de donner les droits admin a une application qui utilise X chemin seulement pendant l'ouverture de ce dit programme fait péter .... on est tous la a t'écouter ![]()
Le 10 avril 2018 à 11:46:10 bounss a écrit :
Si tu es capable de donner les droits admin a une application qui utilise X chemin seulement pendant l'ouverture de ce dit programme fait péter .... on est tous la a t'écouter
La demande n'est pas très claire, mais bon :
- utiliser un script d'authentification, lequel lance l'exécution du processus de connexion avec un compte déterminé, ne correspondant pas forcément au compte de la personne qui se connecte.
- le compte utilisé pour le processus de connexion peut disposer de très hauts privilèges sans pour autant être complètement Administrateur.
Exemple simple, pour ne pas dire simpliste ici : https://social.technet.microsoft.com/Forums/fr-FR/3c5fa952-1200-4826-89af-bd6248a4b2d4/active-directory-gpo-et-droits-administrateur?forum=windowsserver8fr
Documentation sur les GPO (article assez ancien il est vrai) : https://orabache.developpez.com/articles/gpo/
Exemple, tu as une application qui utilise des chemins créés pendant la session dans temps et system32 et d'autre dossier avant de se détruire, idem pour la base de registre. Liens générés avec un num de session non fix, utilisant un certificat mis a jours toutes les 24H et pouvant utiliser un VPN.
Je te rassure si meme des consultants chez microdaube n'ont pas eu de solution a nous donner ... je doute fortement avec respect, que tu puisses le faire ![]()
La solution la plus simple a été de mettre quelques utilisateurs admin local de leurs poste avec un balayage SCCM pour tracker l'activité des postes.
Mais l'idée pour des applications "simple" est du moins intéressante !
C'est une application développée avec deux pieds gauches ou quoi ? ![]()
C'est évident que la solution n'est pas administrative système, mais bien "développementale"...
De toutes façons, cela ne change rien au fait qu'AD et la bonne utilisation de GPO permet de diminuer la nécessité de l'utilisation de comptes à hauts privilèges.
Bravo pour la sécurité en tout cas.
Et pour terminer, ce n'est pas le nombre de postes qui conditionne les politiques administratives à mettre en oeuvre, mais bien la nature des données e.a. ; 50 postes qui utilisent des données sensibles pour le fonctionnement d'une Moyenne Entreprise en forte concurrence, ça mérite mieux qu'une sécurité pour PC de bricoleurs du dimanche.
C'est une application développée avec deux pieds gauches ou quoi ?
C'est évident que la solution n'est pas administrative système, mais bien "développementale"...
Je dois ressortir ma phrase " ce n'est pas parce qu'on ne sait pas que c'est inexistant" ?
Bravo pour la sécurité en tout cas.
Tu veux sans doute parler de ITIL ? de mon vivant je n'ai jamais vu une entreprise qui n'avait par besoins, mis cette méthode de coter pour X raison ![]()
Le 10 avril 2018 à 14:31:00 bounss a écrit :
C'est une application développée avec deux pieds gauches ou quoi ?
C'est évident que la solution n'est pas administrative système, mais bien "développementale"...
Je dois ressortir ma phrase " ce n'est pas parce qu'on ne sait pas que c'est inexistant" ?
Bravo pour la sécurité en tout cas.
Tu veux sans doute parler de ITIL ? de mon vivant je n'ai jamais vu une entreprise qui n'avait par besoins, mis cette méthode de coter pour X raison
Tu dois surtout rester sympa, si tu veux bien. J'ai bien compris que ta solution existe, et ma réponse est à l'avenant... ;-)
Bon, au final, j'ai supprimé les merdes de mon poste qui restaient, tout est OK ![]()
Mais après, si ils supprimaient mon compte AD, ça aurait conservé les données utilisateurs enregistrés sur la machine ? (genre si j'avais laissé un doc perso' qui trainait)