Stratégie de groupe local

- - Dernière réponse :  Red01 - 30 mai 2019 à 16:25
Bonjour,

Notre administrateur System a lancer une stratégie afin de refuser l’accès lecture écriture des disques amovibles et CD/DVD sur tout les utilisateurs de notre domaine (pour éviter leurs utilisation par les utilisateurs ).

le problème qui ce pose est que l'équipe help desk a besoin de les utiliser temporairement sur les machines utilisateur pour installations ou copie de données ...etc .

De ce fait, j'ai essayer de les activer temporairement en local via l’éditeur de stratégie de groupe locale sans succès.

Q: y a t'il un moyen de les activer temporairement le Temp d'une intervention sur la machine ( ex : privilégier la stratégie local) , ou via une autre méthode ?

Merci d'avance .



Configuration: Windows / Chrome 74.0.3729.169
Afficher la suite 

2 réponses

Messages postés
21253
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 octobre 2019
5743
0
Merci
Bonjour,
Seul l'administrateur système à les autorisations pour le faire, contacte-le et demande-lui de le faire.

bazfile 
Modérateur/Contributeur sécurité.
Donc a chaque intervention on doit appeler l'Admin Sys pour débloquer l'utilisateur ?
( c'est l'administrateur système qui m'a orienter vers la solution de la stratégie de groupe locale vu que je suis administrateur local sur toutes les machines ).
madmyke
Messages postés
42962
Date d'inscription
lundi 21 janvier 2008
Statut
Modérateur
Dernière intervention
23 octobre 2019
6850 > Red01 -
Je suis d'accord c'est son taf.
Mais si vous êtes Admin local de tous les pc du domaine, c'est à lui de permettre l'accès aux gens du HD/SD. Son raisonnement est bizarre, on pas pour la limitation mais pour vous "renvoyer" vesr la gestion de stratégie locale, alors que c'est à lui de permettre ou non certaines chose.
La stratégie Locale ça ne fonctionne pas "tout seul" si c'est bridé par une globale...
bazfile
Messages postés
21253
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 octobre 2019
5743 -
Demande lui comment faire c'est son boulot.
Commenter la réponse de bazfile
Messages postés
42962
Date d'inscription
lundi 21 janvier 2008
Statut
Modérateur
Dernière intervention
23 octobre 2019
6850
0
Merci
Dans l'idéal l’administrateur pourrait creer des comptes Admin pour chaque agent du Service Desk et les inclure quand sa stratégie, pour que ces personnes puissent, soit se connecter sur les pc le temps des interventions, soit faire un "run as" sous ce compte par exemple pour faire une installation.

C'est ce qu'on fait souvent dans les "grosse boites". Nous avons un compte utilisateur "normal" pour l'utilisation du pc et un compte utilisateur-A qui est Admin pour les opérations "d'administration" sur place ou même à distance. Et comme ça on sait qui fait quoi.

Enfin pour le SD ou HD, l'idéal est d'avoir les sources sur le réseaux qui ne sera accessible que par eux, ça évite de chipoter avec des clés USB ou autre machin du même genre.

Voilà des pistes.


Merci pour vos rep,

1.les sources sur le réseaux ont un accès relativement lent ce n'est pas du-tout pratique par apport a une installation via support USB.

2. Je vous donne un autre ex: je viens de recevoir un appel d'un utilisateur qui ne peut pas copier des photos prise sur chantier sur son desktop, donc au lieu de faire un log off puis me connecter avec mon compte admin local copier les photos refaire un log off puis le connecter avec son compte , je cherche a faire cette manip directement sur son compte utilisateur pour un gain de temp.
même chose pour une installation ou une réparation office par exemple .

c'est pour cela que je cherche n'importe qu'elle solution pour éviter a l’équipe HD ces désagréments .

et s'il y a une solution coté administration syst. merci de m’orienter pour que je puisse la proposer a notre Admin Syst.
madmyke
Messages postés
42962
Date d'inscription
lundi 21 janvier 2008
Statut
Modérateur
Dernière intervention
23 octobre 2019
6850 > Red01 -
Je réitère ce qui a déjà été dit.

Si un sys Admin gère une population qui plus est, avec des gens sur chantier, il doit penser sa stratégie en fonction du type d'utilisateurs et de leur besoins AVANT de prendre ce genre de décision arbitraire.

C'est hélas parfois le cas de certains "Admin" qui vident dans le leur monde et qui n'ont pas leur place dans un monde pro surtout avec des utilisateurs "mixtes". J'ai déjà connus ça :(.

Et doc lui apporter des solutions "techniques" n'auraient aucun sens, c'est son job de penser à ça. Lier sécurité ET besoin.
Vous pouvez lui apporter par contre une synthèse des besoins des utilisateurs, on va dire les "administratifs" ou il est plus facile de gérer la sécurité surtout avec un support sur site et les utilisateurs "Mobiles" dont les besoins sont très différents. Ce sera toujours un compromis entre sécurité et Besoin mais un Damin ne doit pas oublier que ce sont les utilisateurs qui produisent qu'il est là pour leur faciliter la tâche, pas le contraire, tout en respectant la sécurité..

Le problème des entrées périphériques es vaste, il devrait le savoir, il existe même des solutions "payantes" centralisées pour autoriser uniquement des périphérique "reconnus". Tout dépend de la raison de sa stratégie, Les virus (un produit AV suffit à couvrir ce besoin). La fuite de données, via vols de pc etc, il y a des solutions de cyptages, voir même centralisée.
Les solutions existent mais c'est rarement gratuit, donc budget, donc stratégie de risque etc...

Bref c'est une discussion qui doit d'abord avoir lieu avant de "trancher" juste avec du "bridage" pur et dur et certainement vous renvoyer la balle en parlant de "stratégie locale", ça c'est un peu n'importe quoi.
Merci beaucoup pour vos repenses,

Hélas M. madmyke vous avez raison, cette décision a été prise par notre PDG suite a une fuite de données, et notre Admin System l'a appliquer dans l’urgence et la précipitation sans étude préalable.
et malheureusement c’est le help desk et les utilisateurs qui payent les frais.

Personnellement je suit contre cette décision qui a mon avis ne règle pas du tout le problème de fuite ( car l'envoi de documents sans trace par mail perso reste possible ) alors que cela handicape les utilisateurs.

Enfin merci a vous tous pour vos conseilles.

J'ai déjà apporter une synthèse des besoins des utilisateurs a notre AS, sans avoir trop d’espérance :)

Salutations.
madmyke
Messages postés
42962
Date d'inscription
lundi 21 janvier 2008
Statut
Modérateur
Dernière intervention
23 octobre 2019
6850 > Red01 -
Ok je comprend mieux le contexte.
Quand votre PDG aura des remontées de plaintes utilisateurs qui ne peuvent plus travailler, il sera obligé de penser autrement.

Petits points d'éléments, si leur peur est la fuite de données:

- Si vos pc portables ne sont pas protégés (autrement que par un mot de passe de session, pas de cryptage) ce qu'il ont mis en place ne sert à rien. Un portable volé sur le site, sur un chantier ou en voyage, c'est des informations qui se balade. Et le plus gros risque est aussi là.
Réponse il faut crypter les disques dur (en plus du mot de passe). soit avec les protections microsofts (fonction de l'OS), soit avec des solutions telle que Mcafee Endpoint.
Là le voleur pourra toujours partir avec le pc mais il ne pourra rien en faire du disque, sauf le jeter.
Par contre ça nécessite une gestion centralisée, qui peut être gérée par le SD/HD.

-Les mots de passes: souvent négligés parce que ça embête tout le monde c'est le point faible de pas mal de boite. Les mots de passes sont trop simples et surtout les personnes se les échangent allègrement "parce que ce n'est pas leur pc ni leur données:
Solution: Aucune le point faible est l'humain. Renforcer les credentials setting pour obliger un minimum de complexités, obligation de changer le mot de passe au moins tous les 1 mois. ils vont tous râler mais ils s'y feront. DONC éducations des utilisateurs, le SD/HD est très bien placé pour ça.
ET idéalement on ne fais pas de reset, sans mettre en place un minimum de vérification qui permet de vérifier l'identité de la personne qui demande.

- Les Branchements périphériques: l'enfer, mais c'est moins pour le vol que pour les virus. Il est très compliqué de surveiller une sortie de donnée qui peut se faire par périphérique et par email et pour l'email, vu la loi, bonne chance.
Pour les périphériques autres nativement il n'existe pas grand chose, sinon tout bloquer.
Ce dernier implique qu'il faut réfléchir avec les gens à une solution acceptable.
Ou se diriger vers des produits payants qui permettent de gérer les périphériques de façon centralisée.
En gros il y a un client sur le pc qui reçoit les infos d'un serveur et tout type de périphérique doit être enregistré au préalable. une fois enregistré il est reconnu et peut se connecter aux machines (ça marche hors ligne).

Bon courage pour votre combat :)
Commenter la réponse de madmyke