J’ ai une station xp pro à installer…
Je souhaite qu’ il y’ ai 2 comptes (admin et user)
J’ aimerai que le compte user puisse mettre à jour 3 logiciels qui se trouvent dans “program files” car il doit trés souvent effectuer des mises à jour de données mais rien d’autre à part travailler normalement avec les logiciels installés( pas d’ installation de nouveaux logiciels et pas de possibilité d’ ecrire n’ importe où sur le disque dur)
Par contre… le windows update et l’ antivirus doivent pouvoir se mettre à jour correctement (programmation)
J’ai essayé en créant un utilisateur avec droits restreints mais je rencontre trop d’ erreur lors de l’ utilisation.
J’ai essayé aussi de brider la machine avec gpedit.msc mais je ne trouve pas la bonne option.
Si quelqu’ un à une idée qui pourrait me faire avançer… que se soit un logiciel (gratuit) qui permette de faire ça ou un paramétrage de gpedit correct…
merci d’avançe, je suivrais ce topic avec intérêt…
D’abord il te faut 3 Uitlisatueurs : l’administrateur (crée a l’installation de windows), un Equivalent administrateur (membre du groupe Administrateurs) avec lequel tu travaillera, et un utilisateur…
Pour le compte utilisateur, membre du groupe Utilisateurs, tu lui donne temporairement les droits d’administration tu te log avec et tu lance gpedit…
la gère ta sécurité au niveau config utilisateur…
après tu peut affiner en interdisant les dossiers de certains progs via la sécurité de la NTFS (désactiver le partage simple)…
interdire l’accès a la commande excecuter du menu démarer, bloquer les accès aux différents onglets de modification des parmètres (panneau de configuration etc…, ou meme fixer une apparence du bureau…)
ensuite avec la NTFS, tu enleve les droit lecture/execution sur le dossier programm files et tu les rétablis pour les dossier des programmes que tu souhaite autoriser…
Une fois tous ces réglages fait, tu te déconnectes, te reconnecte avec ton equivalent administrateur, remet ton utilisateur dans le groupe utilisateurs et le reconnecte… là les stratégies de sécurité seront appliquées…
Admin, tu sais bien que j’ai toujours eu un petit (gros) coté barbare…
mais là je ne suis pas d’accord avec toi… c’est l’un des roles de la NTFS, la gestion des programmes… d’ailleurs dans les flux de sécurité, on peut autoriser la lecture sans éxécution… (autorisations spéciales…)
pour le moment, j’ai crée 2 nouveaux utilistateurs.
“equiv” que j’ai mis dans le groupe “admin”
“toto” (mon futur utilistateur) que j’ai mis aussi dans mon groupe “admin”
je me suis connecté en “toto” et j’ai lançé gpedit:
j’ai bloqué:
-la commande “executer”
-l’ accés aux connexions reseaux
j’ai vu un truc dans “config utilisateur” qui permet d’ executer seulement les applications windows autorisées mais je ne l’ai pas activé (je sais pas si ça pourrait me servir)
Par contre, au niveau de la NTFS:
je vais sur mon repertoire “program files” cliques droits partage et secu mais je n’ai pas l’ onglet “securité” je me souviens plus comment l’ obtenir.
P.S Si tu vois une erreur dansma démarche, signales le moi)
:non: Le rôle de la NTFS est d’autoriser ou pas voir d’interdire, la lecture, la création, la suppression, l’execution et la modification, sur les dossiers et les fichiers. Mais ça n’a rien à voir avec l’execution d’un logiciel.
C’est sûr, si on ne peut pas ouvrir le dossier concerné, le logiciel ne s’execute pas, mais c’est detourné ! Surtout que tu es obligé pour ça de supprimer l’accès au compte “SYSTEM” ! Pas très sain…
Sinon je vais tacher d’ être plus clair quant à ma demande:
Je souhaite que mon user toto
1/ ne puisse pas faire ce qu’ il veut sur la bécane ( pas d’ ajout de programmes, pas faire joujou dans la connexion reseau, pas d’ ecriture de partout sur C: … etc…
2/ Je souhaite que le windows update, que l’antivirus puissent se mettre à jour automatiquement par le planif des taches
3/ Que toto puisse effectuer des mises à jours de quelques logiciels se trouvant dans program files
Il s’agit soit de patchs qui vont mettre à jour des choses dans le repertoire du logiciel, soit carrément un exe qui lkançe une installation et remplace le logiciel en question.
En fait, je veux que mon user puisse lançer tous les logiciels se trouvant dans program files mais par contre, qu’ il ne puisse pas en ajouter à part mettre à jour certains.
pas de droit en ecriture pour “toto” sur le repertoire “program files” puis j’ ouvre l’ ecriture seulement dans les sous repertoires qu’ il doit mettre à jour?
ça ne risque pas de causer des problemes au lançement de certains logiciels qui ont besoin d’ écrire des choses pour fonctionner?
normalement, en tant qu’utilisateur il n’as pas le droit d’installer de nouveau programmes. c’est une des restrictions de bases du compte utilisateur…
la mise a jour des programmes est elle plus problématique. Si il s’agit de la mise a jour de windows, tu peut gérer le paramètre depuis Gpedit. pour l’anti-virus, en principe ça doit passer tout seul…
le problème d’interdire a l’utilisateur de mettre a jour les programmes est assez délicats…
donne moi un liste des soft que tu veut laisser a ton utilisateur… que je planche un peu sur le problème…
