Bonsoir à tous
 
Voilà j'ai plusieurs questions qui concernent la gestion des droits sur Windows (Server 2003).
 
J'ai plusieurs serveur web qui tournent (apache, un autre pour ruby,...) pour des raisons de sécurité faut créer des utilisateurs pour chacun de ces services.
 
1. Les services correspondant à ces serveur sont paramétrés pour se loguer avec leur user respectif.
2. Ces users appartiennent à un groupe avec des droits limités on va dire Groupe_Limité
3. Ce Groupe_Limité a les droits suivants:

• Log on as a service
• Deny log on locally
• Deny log on throught Terminal Services

 

Question:
 
1. Pourquoi quand je démarre pour la première fois un de ces services, un dossier du même nom que l'utilisateur associé au service se crée automatiquement dans le dossier "Documents and settings"???  
Enfin je trouve ca bizarre qu'il crée ce genre de dossier alors que c'est un user qui n'est censé être utilisé que par des services et non pas comme un user avec lequel on se logue manuellement.
D'autant plus que j'ai d'autre user genre ASP.Net ou ftp, qui eux ne créent pas ce genre de dossier (forcémment, qu'est ce que ce genre de user ferait avec des dossiers "desktop", "My Documents",...).
 
Bref j'ai oublié de paramétrer quoi???
 
 
2. Prenons Apache. J'ai donné au dossier Apache les droits de lecture pour le user correspondant au service Apache. Et des droits d'écriture pour le dossier log. Logique. Comment ca se fait qu'Apache arrive à utiliser PHP (chargé comme module par Apache) alors que je n'ai pas de donné de droits au user du service Apache d'accéder au dossier PHP?
 
 
3. J'ai un user ASP.NET qui est présent par défaut et qui est utilisé j'imagine par le serveur http d'IIS. Pourquoi ce user appartient au groupe "Users"???
Je veux dire ce groupe "Users" a accéder à tous les dossiers en lecture du PC par défaut il me semble. Il y a un truc que je ne comprends pas là
 
Voilà merci d'avance pour vos réponses.

1/ Log on as service donc si log on il y a création de profil. Même si le profil contient des trucs en trop pour un simple compte de service, il est nécessaire (variables d'environnement, ruche du registre, app data pour stocker des infos propre à son application par exemple).
 
Si ASP.net ou ftp n'en ont pas je suppose c'est parce que tu utilises pas IIS.
 
2/ Regarde les permissions effective du compte
3/ Tout compte doit être membre d'utilisateurs normalement

Salut    
 
1. Ok c'est peut-être rien d'anormal donc. En voyant ca je me suis dit que j'avais probablement mal paramétré quelque chose.
 
Pour l'ASP.Net et l'ftp, ben oui je les utilises, l'ASP.Net c'est pour le site web de WHS, ce user est présent par défaut, et celui pour l'ftp c'est celui que j'utilise pour synchroniser mes bookmarks Firefox (avec XMarks). D'ailleurs c'est l'abondon du projet XMarks à partir de 2010 qui me fait passer à Firefox Sync qui lui nécessite un serveur Http+PHP, d'où la configuration d'Apache.
Alors certes avec IIS on peut aussi utiliser des sites PHP, mais il me semble qu'IIS l'utilise en mode CGI et donc avec des performances moindres.
 
Alors c'est juste pour un usage local, donc les perf on s'en moque un peu. Mais j'aime bien faire les choses comme il faut .
 
 
2. Au niveau du dossier PHP il y a que que:  
- "l'Administrator" qui a le full control (logique )
- "Creator owner" (special permission)
- "System" (full control)
- "Users" (Read)
 
Je comprends pas pourquoi Apache arrive y accéder
 
3.

1/ sur 2008 tu as mieux que du CGI pour PHP avec IIS. Par contre sur WHS ouais sur du IIS6 ça doit pas être génial. Par contre "faire les choses comme il faut" je sais pas ce qui est le mieux entre avoir IIS + Apache+PHP ou avoir que IIS+PHP
 
2/ regarde les permissions effectives de ton utilisateur (dernier onglet)