Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Spécialités : TS réseau et système informatique Module : gestion des droits d’a

Spécialités : TS réseau et système informatique Module : gestion des droits d’accès Examen de fin de stage Question 1 : accès partagé Contexte: Un domaine avec un contrôleur de domaine cd1 et deux ordinateurs membres du domaine station1 et station2. Il existe trois utilisateurs testAD2, testAD4 et testAD5 sur le domaine. On souhaite partager un dossier nommé données situé à la racine de c:\ sur station1 de façon à ce que deux utilisateurs testAD2 et testAD4 aient les accès suivants : • en ouvrant une session sur station1, testAD2 a accès en contrôle total au partage; testAD4 y a accès en lecture/exécution/affichage du contenu du dossier • en se connectant depuis une autre machine (station2 par exemple) sur le partage, testAD2 et testAD4 ont un accès en lecture seule. Q : Précisez les opérations à effectuer pour mettre en place cette politique. Votre chef vous demande maintenant que l'utilisateur testAD5 ait les même accès que testAD2. Que faites-vous ? Votre chef vous demande maintenant que testAD2 perde ses accès aux dossiers donnés. Que faites-vous ? Question 2 : 1. Sauvegarder un système en cours d'exécution peut poser des problèmes. Citer les plus courants. 2. Quelles sont les solutions classiques permettant d'effectuer de telles sauvegardes en toute sécurité ? 3. Quelle différence y a-t-il entre des sauvegardes incrémentales et des sauvegardes différentielles ? 4. serveur de catalogue global dans une forêt windows 2008: quel rôle ? Peut-il y en avoir plusieurs dans la forêt ? 5. 5. Sous windows 2008, on dit que les permissions sont cumulatives. Expliquez ce que l'on entend par ce terme Question 3 : groupes et unités d'organisation Qu'est-ce qu'un unité d'organisation ? A quoi cela peut-il être utilisé ? Quelle différence entre groupes et unités d'organisation ? Question 4 : Scénario : Dans un domaine Windows 2008, parmi vos utilisateurs, on trouve notamment des enseignants (ens1, ens2, …) et des étudiants (etu1, etu2, etu3, …). On souhaite imposer les choses suivantes : • Un étudiant est autorisé à réinitialiser les mots de passe des autres étudiants • Les étudiants ne peuvent pas changer leur mot de passe • Aucun étudiant et aucun enseignant n’a de commande « exécuter » dans son menu « Démarrer » Vous expliquerez les modalités de mise en place de cette politique (création de container, lesquels ?, pourquoi ? mise en place des limitations, …). Corrigé type Éléments de correction: Réponse1 : • la différence entre les droits d'accès locaux (NTFS via Propriétés/sécurité) et via partage (Propriétés/Partage/autorisations). L'accès au partage à distance nécessite de satisfaire les deux. Le premier suffit à l'accès local. • une gestion conforme aux bonnes pratiques du métier suppose de créer un groupe sur le domaine, de donner les autorisations à ce groupe et de mettre les utilisateurs dans ce groupe pour les leur donner, de les enlever du groupe pour les leur ôter. Réponse2 : • Q1 deux problèmes classiques: • accès impossible à des fichiers verrouillés par certaines applications • la sauvegarde prenant du temps, si une application maintient une cohérence entre plusieurs fichiers, cette cohérence peut ne pas être maintenue s'ils sont modifiés lors de la sauvegarde : l'un des fichiers pourrait avoir sa première version sauvée tandis qu'une autre aura sa version après modification de sauvée s'il est traité plus tard par la sauvegarde • les solutions classiques: • arrêter le système et les applications concernées • avoir un logiciel de sauvegarde adapté aux applications à sauver • créer un instantané (snapshot) de la partition à sauvegarder avant de faire la sauvegarde. • Q2:une sauvegarde incrémentale sauvegarde tout ce qui a changé par rapport à la sauvegarde précédente. Une sauvegarde différentielle sauvegarde tout ce qui a changé depuis une sauvegarde de référence qui n'est pas forcément la précédente. Cela a deux conséquences : sur le volume à sauvegarder qui est plus faible pour la sauvegarde incrémentale et sur le nombre de sauvegardes à restaurer qui est plus élevé avec une sauvegarde incrémentale. Q4: le catalogue global est une base de données hébergée par un ou plusieurs contrôleurs de domaine. Par défaut, le premier contrôleur de la forêt est serveur de catalogue global. Le catalogue globale contient l’appartenance aux groupes universels ce qui le rend indispensable à l'ouverture de session des utilisateurs. Il contient aussi la localisation des objets de la forêt ce qui permet d'optimiser le traitement des requêtes dans la forêt. • Q5: les droits d'accès d'un utilisateur sont l'union des droits d'accès des groupes auxquels il appartient et des seins propres. ex.: si le groupe G1 a un accès en écriture, si etu1 a un accès en lecture et s'il appartient à G1 alors étu1 a un accès en lecture et en écriture. L'algorithme est le suivant • si l'utilisateur ou l'un des groupes auxquels il appartient a un refus d'accès alors l'accès est refusé • si l'utilisateur ou l'un des groupes auxquels il appartient a une autorisation d'accès alors l'accès est autorisé • sinon l'accès est refusé Réponse 03 : un groupe contient des utilisateurs et d'autres groupes. On les utilise dans la définition des permissions et droits d'accès comme par exemple tout ce qui est ACL NTFS. Une unité d'organisation est un conteneur active directory. On peut le lien à des stratégies de groupes et faire de la délégation de contrôle sur les objets qu'elle contient. On peut déléguer le contrôle sur une unité à un groupe ou à un utilisateur. Le contraire n'a pas de sens : on ne délégue pas de contrôle sur un groupe, on ne délégue pas de contrôle à une unité. Réponse 04 : • créer une unité ueve dans le domaine • créer dedans une unité ens et une unité étu • mettre les comptes des enseignant dans ens et les comptes des étudiants dans eut • créer un groupe chmdp dans le domaine et y mettre etu1 • déléguer le contrôle sur l'UO etu au groupe chmdp • lier une stratégie de groupe (GPO) interdisant le changement de mot de passe à l'unité étu. Une solution alternative moins souple consiste à interdire le changement de mot de passe dans les propriétés des comptes étudiants • lier à l'UO ueve, une stratégie de groupe interdisant l'item « exécuter » uploads/Management/ examen-de-gestion-de-droit-acces.pdf