Discussion :

[Kilvas]

Bonjour à la communauté.

Je viens vers vous car je fais actuellement face à une impasse...

Je m'explique: je travaille actuellement dans une entreprise qui dispose d'un serveur de fichier Windows Server 2008. Il n'y avait jusqu'à aujourd'hui presque aucune restriction d'accès sur les différents dossiers. Chaque service pouvait aller chercher n'importe quoi presque n'importe où.

J'ai donc mis en place des restrictions d'utilisateurs sur les dossiers partagés. Maintenant chaque utilisateur n'a accès qu'aux dossiers pour lesquels il dispose de droits (droits d'Organisation/Groupe et pour certain dossier spécifique droit d'un utilisateur en particulier).

Voici mon problème: une des salariés dispose d'un PC sous Windows 8 non professionnel. De ce fait, elle n'est pas dans le domaine et n'est donc pas contrôlé par Active Directory. Elle peut accéder à tout les dossiers partagés sur le serveur, hors je n'ai pas permis l'accès sur le réseaux à "Tout le monde", au minimum les dossiers partagés sont réglés sur "Utilisateurs du domaine".

Je souhaiterais donc empêcher la consultation des dossiers partagés par des utilisateurs hors domaine. Ceux qui dispose d'un ordinateurs non pro dispose tout de même d'un compte utilisateur sur AD.

J'espère que mon problème est clair. Je reste à disposition pour d'avantage d'information.

[benjamin.f]

Bonjour,

Vu que l'utilisateur à un compte sur le domaine, il lui suffit de l'indiquer pour que AD le laisse passer.

Ce qui m'inquiéterais plus à ta place, c'est que celle-ci puisse accéder au réseau tout court son PC ou elle veux, et que tu n'ais pas la main sur les machines de ton réseaux.

Défini des plages IP pour chacun de tes types de machines, avec une plage autorisée englobant le nombre de pc, et des plages d'exclusions sur ce qui est libre.
Vois sur le DHCP a appliquer des filtres (si le nombre de machines n'est pas trop important).

Ca devrais deja limiter un chouilla les connexions indésirables...

[Kilvas]

Bonjour,

Ce qui m'inquiéterais plus à ta place, c'est que celle-ci puisse accéder au réseau tout court son PC ou elle veux, et que tu n'ais pas la main sur les machines de ton réseaux.

Oui voilà c'est ça qui m'inquiète.

Pour les plages IP, j'ai remarqué qu'il y a déjà une plage de défini de 192.168.1.150 à 192.168.1.198. Néanmoins il n'y a pas de filtre mis en place. Je pourrais sur ce filtre autoriser seulement les machines que j'approuve c'est bien cela?

N'y aurait-il pas moyen, tout comme les filtres, de mettre les fichiers du serveur seulement à disposition des utilisateurs du domaine et de régler sur "Interdit" pour les utilisateurs hors domaine (non authentifié)?

C'est ça que je ne comprends pas: un utilisateur du domaine avec des droits restreints n'accède pas tout mais un user hors domaine accède à tout.

[A&Nexus]

Bonjour,

En fait tu restes bloqué sur le fait qu'un utilisateurs hors domaine accès à tout.
Remplaces déjà "utilisateurs authentifiés" dans les options du partage par "utilisateurs du domaine" (je penses que c'est la même chose mais dans le doute c'est plus propre).

Ensuite ton PC hors domaine n'accède pas sur tes fichiers comme cela.
L'utilisateur hors domaine a utilisé sur son PC hors domaines son compte AD. Cela lui permet d'avoir accès aux fichiers du domaine depuis un PC hors domaine.

[benjamin.f]

Comme réexpliqué par A&Nexus, ton utilisateur peut accéder a ses ressources en indiquant son nom d'utilisateur de domaine, peut importe la machine.

Le seul moyen pour éviter cela, est d'empêcher les machines d'accéder au réseau afin qu'il ne puisse pas communiquer.

Pour faire bien, c'est un gros projet, puisqu'il te faudrait configurer chaque ports de tes switchs + ton DHCP pour brider la communication a l'adresse MAC qui se trouve au bout.

Bref déjà via DHCP tu peux mettre en œuvre de récupérer les adresses MAC de tes machines qui ont un bail, et de les intégrer dans la liste verte DHCP.
Ainsi, seulement les machines ayant une MAC adresse de la liste verte, peut récupérer une IP.
=>Pour cela tu peux faire un dump via netsh, récupérer les mac par IP et réimporter la liste dans les filtres toujours via netsh.


Rien n'empêche l'utilisateur de mettre une IP en dur sur son PC... voila pourquoi avec une plage précise, cela réduit le nombre de possibilités de trouver une IP libre ( pas en conflit ) à prendre.
(Cela dit, elle peut reprendre l'ip de sa machine ... bref, la ca devient de l'acharnement xD)

[Kilvas]

@A&Nexus:

Les options de partage sont au bien au minimum sur "Utilisateurs du domaine".

Ensuite ton PC hors domaine n'accède pas sur tes fichiers comme cela.

Et bien justement... j'ai l'impression que si. Après avoir effectué mes réglages aujourd'hui, j'ai testé les droits avec quelques salariés pour vérifier que ça fonctionnait. Et à ma grande surprise lorsque j'ai allumé l'ordinateur de l'utilisateur hors domaine, compte local donc, puis en tapant l'adresse du répertoire commun du serveur dans l'explorateur (genre: \\serveur\commun) j'ai pu y accéder sans authentification auprès du serveur. De même pour d'autre répertoire avec des accès spécifique... Depuis son poste j'avais accès à l'intégralité du serveur sans que je ne m'authentifie une seule fois (auprès du serveur).

@benjamin.f:

Ouah ça a l'air un poil compliquer. Mais je pense comprendre le but: autoriser uniquement les machines validés à accéder au réseaux. Cette solution vaut-elle le coup?

En gros voilà ce que je souhaiterais : que le serveur de fichiers soit uniquement accessible par des users du domaine.

Je m'excuse si je radote mais je veux être sûr de bien exprimer mon problème.

[benjamin.f]

En gros voilà ce que je souhaiterais : que le serveur de fichiers soit uniquement accessible par des users du domaine.

Je m'excuse si je radote mais je veux être sûr de bien exprimer mon problème.

Touche a rien alors ^^

Si j'ai bien compris, ton problème initial est : "j'ai un utilisateur de mon domaine qui accède a ses fichier avec son PC qui n'est pas du domaine !"

Bref au final tu souhaites ce que tu as déjà. Peut importe que le pc ne soit pas en domaine, si il est sur le même réseau , il communiquera.
(Sans compter que si celui qui a installer AD n'a pas prit ses précautions, chaque utilisateur du domaine sans droits particuliers peuvent entrer jusqu'à 10 machines dans le domaine )
Ensuite, AD ne connaitra pas le compte utiliser pour accéder aux ressources, donc il bloquera l'accès en demandant un compte valide.
Ton utilisateur se sert de son compte@domaine et de son MDP, et aura accès à ses données !

Donc il te reste à contrôler ton réseau pour empêcher les machine non gérée d'accéder au réseau ^^

Et bien justement... j'ai l'impression que si. Après avoir effectué mes réglages aujourd'hui, j'ai testé les droits avec quelques salariés pour vérifier que ça fonctionnait. Et à ma grande surprise lorsque j'ai allumé l'ordinateur de l'utilisateur hors domaine, compte local donc, puis en tapant l'adresse du répertoire commun du serveur dans l'explorateur (genre: \\serveur\commun) j'ai pu y accéder sans authentification auprès du serveur. De même pour d'autre répertoire avec des accès spécifique... Depuis son poste j'avais accès à l'intégralité du serveur sans que je ne m'authentifie une seule fois (auprès du serveur).

Regarde dans le coffre Windows si le compte n'est pas enregistré pour les connexions ... tu trouveras le gestionnaire de connexions dans le panneau de configuration en mode grandes icones.

[Kilvas]

Touche a rien alors ^^

Si j'ai bien compris, ton problème initial est : "j'ai un utilisateur de mon domaine qui accède a ses fichier avec son PC qui n'est pas du domaine !"

Bref au final tu souhaites ce que tu as déjà. Peut importe que le pc ne soit pas en domaine, si il est sur le même réseau , il communiquera.
(Sans compter que si celui qui a installer AD n'a pas prit ses précautions, chaque utilisateur du domaine sans droits particuliers peuvent entrer jusqu'à 10 machines dans le domaine )
Ensuite, AD ne connaitra pas le compte utiliser pour accéder aux ressources, donc il bloquera l'accès en demandant un compte valide.
Ton utilisateur se sert de son compte@domaine et de son MDP, et aura accès à ses données !

Bonjour, hmm je ré-exprime mon soucis: l'utilisateur hors domaine est sur son PC hors domaine et accède à tout.

En gros n'importe qui avec son ordi portable qui vient et qui branche son ordi en réseaux peut accéder à tout le serveur de fichiers sans que cette personne ne s'authentifie avec un compte du domaine.

Si j'ai bien compris, ton problème initial est : "j'ai un utilisateur de mon domaine qui accède a ses fichier avec son PC qui n'est pas du domaine !"

C'est ce que je voudrais, ça serait parfait comme ça.

[benjamin.f]

D'accord, je m'excuse alors de mon incompréhension.

Avez vous essayé avec plusieurs ordinateur portables différents ?
Avez vous vérifier le gestionnaire de connexions du portable afin de vous assurer que l'utilisateur ne se soit pas déjà connecté auparavant ?

Quels est l'OS de votre serveur de fichiers ?
Quelle méthode avez vous employé pour définir les droits ?

[Kilvas]

Pas de problème, il faut dire qu'il est probable que je ne m'exprime pas très bien non plus...

Avez vous essayé avec plusieurs ordinateur portables différents ?

Non il s'agit du seul portable avec un OS Windows non professionnel.

Avez vous vérifier le gestionnaire de connexions du portable afin de vous assurer que l'utilisateur ne se soit pas déjà connecté auparavant ?

Hmm non ça je n'ai pas fais, il est sous Windows 8 (non pro), je vais me renseigner sur le "gestionnaire de connexion".

Quels est l'OS de votre serveur de fichiers ?

Il s'agit d'un Windows Serveur 2008. Il sert de Domain Controller, Active Directory, , de serveur de fichiers, d'applications... Tout quoi.

Quelle méthode avez vous employé pour définir les droits ?

Pour les droits, je me suis inspiré de ce document.

Voici des captures d'écran du répertoire commun auquel tous les users du domaine ont accès (et n'importe qui avec un pc hors dom et compte local, bref même un inconnu).
Dans propriété, onglet "Partage" puis dans "Partager":


Dans "Partage avancé" et "Autorisations":


Et dans onglet "Sécurité":


Je rappel que "l'inconnu de l'extérieur avec son pc et qui se branche" a aussi accès à d'autres dossiers que celui-ci (tous en fait).

[benjamin.f]

sur le pc portable, pouvez vous faire un "cmdkey /list" depuis un CMD ?
Voyez si un utilisateur de type domain\user apparais dans la liste !?

[A&Nexus]

Il faudrait enlever "Tout le monde" des autorisations de partage avancé et le remplacer par Utilisateurs du domaine en lecture/modification.

Mais dans votre cas l'onglet Sécurité devrait interdire la connexion même si l'onglet Partage autorise tout le monde.
Refaites bien un test en redémarrant le serveur (pour prendre aucun risque de cache ou autre).

Je ne connaissais pas la commande cmdkey très pratique en effet.
Pour y voir plus clair vous pouvez filtrer comme cela : cmdkey /list | findstr DOMAINE (à remplacer DOMAINE par le nom de votre domaine).

[Kilvas]

@benjamen.f et A&Nexus:

Merci de vos conseils,

J'effectuerais ces tests demain matin avant que les employés n'arrivent pour redémarrer le serveur et effectuer la commande cmdkey /list etc. pour ne pas déranger les employés et l'employé qui utilise l'ordinateur portable.

[Kilvas]

Bonjour,

J'ai installé les mises à jour du serveur et l'ai redémarré ce matin. Le soucis persiste.

J'ai aussi effectué les commandes que vous m'avez conseillé, voici des screenshots de l'ordinateur portable:



note: les deux cibles Domain:Target srv2008 et l'adresse ip correspondent toutes deux au même serveur
EDIT: ces deux cibles correspondent au même serveur de fichiers

[benjamin.f]

srv2008 correspond au serveur ou sont stockés les fichiers ?

[Kilvas]

Oui c'est ça.

EDIT: je viens de tester avec mon Mac perso, et pour accéder aux dossiers du serveur, je dois rentrer mes identifiants du domaine. Donc le serveur est bien accessible uniquement par authentification comme je le voudrais. Ca veut dire que le PC portable de la salarié doit avoir des logs d'administrateur de stocké je pense

[benjamin.f]

EDIT: je viens de tester avec mon Mac perso, et pour accéder aux dossiers du serveur, je dois rentrer mes identifiants du domaine. Donc le serveur est bien accessible uniquement par authentification comme je le voudrais.

Comme dit depuis le début ^^

Supprime les deux entrées ( IP + NOM) entrées en direction de ton serveur2008 sur le pc marion.

Tu peux utiliser la commande cmdkey /delete ou passer par le gestionnaire de connexions.

[Kilvas]

Comme dit depuis le début ^^

Supprime les deux entrées ( IP + NOM) entrées en direction de ton serveur2008 sur le pc marion.

Tu peux utiliser la commande cmdkey /delete ou passer par le gestionnaire de connexions.

Oui mais comme ça au moins ça confirme le fait qu'il faille s'authentifier.

J'ai fais la commande cmdkey /delete pour supprimer les deux entrées, avec le /list je vois bien qu'ils ont disparus.

Mais malheureusement ça n'a rien changé.

[benjamin.f]

ca fait déjà 2 connexions en moins sur le serveur, on est sur que ce ne sont pas celle-là.
Si il y'en a besoin, il suffira de les entrer à nouveaux quand elles seront demandées.

Ca m'étonne qu'à moitié que ca n'ai rien changé, car rien ne ressemblai à un crédential de ton domaine.
Et c'est peut être la qu'il faut chercher !

Non pas sur le client, mais dans les groupes de sécurité du serveur !?
Puisque tu as des enregistrements vers ton serveur avec un crédential local du portable.

Tu as combien de dossiers différents à la racine du partage ?
Sinon ont peux toujours procéder sur une Best Practice qui devrais coller a ce que tu souhaites.