Windows 10 - Compte Microsoft & Compte local

Salut à tous !

Alors voila, j’ai un soucis que je n’arrive pas à résoudre. Voila le contexte :

Je suis en train de monter un second PC pour les enfants, et je voudrais leur donner un accès limité au NAS (serveur windows 2008), mais également mettre en place un contrôle parental.

Pour la partie NAS, j’ai créé sur le serveur un groupe « enfants », avec les droits qui vont bien (accès en lecture seule aux musiques par exemple), et j’ai créé un compte à chaque enfant.
J’ai ensuite crée les mêmes comptes sur le nouveau PC, et ca marche très bien : sur leur session, ils accèdent au serveur avec les droits du groupe, et c’est transparent pour eux.

Pour la partie contrôle parentale, il y a sous windows 10, une gestion intégrée de la famille. Seul problème, il faut des comptes microsoft pour tout le monde.
Donc je crée un compte par enfant, et ils se loguent avec leur compte microsoft. Microsoft a même prévu que ça serait chaud de faire saisir des mots de passe à des gamins, alors on peut utiliser un code pin à la place pour se connecter.
Ca marche super, je peux contrôler à quoi ils accèdent, quels trucs ils peuvent installer, et internet est complétement restreint. C’est parfait.

Sauf que l’accès au serveur ne marche plus … Puisqu’ils sont logués avec leur compte microsoft, et plus avec le compte local connu du serveur. Donc chaque accès au serveur demande une autorisation réseau pour y accéder… Ce que je veux eviter. D’autant que ca pete les softs comme groove musique, qui perdant l’accès aux morceaux, wipe la database … Et il faut le refaire à chaque fois.

J’en suis là. Est-ce qu’il y a une solution pour se loguer avec un compte microsoft (pour conserver le controle parental), tout en l’associant à un compte local connu du serveur ?

C’est quand même compte cette gestion de double connexion qui ne se voient pas entre elles … Je suis sur qu’il y a un moyen de faire une passerelle, mais mes googles skills n’ont rien données.

Merci

vite fait comme ça j’aurai dit: montes un lecteur réseau sur le nas, avec les identifiants de connexion du compte que tu leur a créer(celui du nas)

oui, c’est ce que j’ai commencé à faire, sauf que tu peux pas monter le meme drive sur des comptes differents avec des credentials differents …
Donc si je monte le NAS sur mon compte avec les droits admin, les enfants peuvent plus le monter.
Pour que des droits differents s’appliquent, il faut apparemment utiliser les credentials automatiques : ceux du compte qui se connecte.

tu peux essayer , en mappant non pas via le nom netbios mais via l’adresse ip.
(j’etais convaincu que cette merde avait ete corrigé…)

ha bon ca fait une difference ??
Si tu mappes avec l’IP, tu peux mapper plusieurs fois le meme share avec des comptes differents ?

Sur mon serveur de stockage sous win 2012 j’ai crée des comptes d’accès aux fichiers, un qui peut que lire/exécuter et un autre qui peut faire ce qu’il veut (mais il a pas les droits d’admin sur la machine). Je peux mapper les shares sur autant de machines que je veux en utilisant l’un ou l’autre compte (tous les lecteurs multimédia n’ont que le droit de lire sur des shares spécifiques par ex) et ça ne pose aucun problème. Après oui c’est pas automatique et faut mapper à la mano, mais ça marche.

Au pire tu fais un script netuse qui démonte les lecteurs au démarrage et les remet avec les bons credentials.

Mais est-ce que ca marche en mappant les deux ? Le problème que j’ai, est le suivant :

Sur le serveur, des groupes crées : Admin (droit lecture et ecriture) et Reader (droit lecture seul) sur un repertoire partagée « Musique ».
Je crée ensuite sur le serveur les comptes suivant : Ben, que je mets dans le groupe Admin, Enfant1 et Enfant2 que je mets dans le groupe reader.

Sur le PC que je suis en train de monter :

• Si je crée des comptes locaux, portant les mêmes noms et avec les mêmes mots de passe que sur le serveur, tout marche très bien de manière transparente : chaque utilisateur accède au répertoire musique sur le serveur, avec les bons droits de son groupe sur le serveur.

• Si je crée des comptes microsofts, les comptes n’accèdent plus de manière transparente au répertoire musique : windows demande des crédentials pour se connecter.
  Ce que je trouve con, car il pourrait utiliser les droits du compte local associé, mais j’ai pas trouvé comment faire cette jonction.
  Donc comme c’est compliqué de faire saisir à mes enfants des logins / mots de passe pour accéder au répertoire musique, j’ai eu l’idée de monter ce répertoire musique sur une lettre de lecteur M: (avec l’option de mémorisation des credentials)
  Le problème est que si je monte le répertoire musique sur le drive M: sur le compte de Ben en utilisant les crédentials de Ben sur le serveur, je ne peux plus le monter le répertoire musique avec d’autre droits sur le compte microsoft des enfants.
  J’ai un message d’erreur « ce partage est déjà monté avec des droits différents ». Donc c’est l’un ou l’autre, ce qui est précisement ce que je veux éviter …

L’idéal, serait d’indiquer à Windows d’utiliser les informations du compte local associé au compte microsoft, pour que ce soit transparent, mais j’ai l’impression que la peinture est pas encore bien fraiche …

Ah mais tu parles de la même machine pour les deux comptes? Parce que sur deux machines différentes je peux être connecté à la même share avec deux comptes différents qui n’ont pas les mêmes droits. Le plus facile serait de faire un script netuse et de le mettre en tâche planifiée au login.

Juste connement comme ça, au lieu de monter un lecteur avec une lettre tu peux faire un raccourci qui pointe sur la share, si c’est le montage qui pose souci ça pourrait résoudre ton problème.

oui oui sur la meme machine, sur des machines differentes, il n’y a pas de soucis

En fait j’utilisais un raccourci au départ, mais comme il me demandait les crédentials, j’ai essayé de monter un lecteur.

C’est dingue comme c’est fini à la pisse cette gestion de compte local / compte microsoft. L’idée est pourtant bonne. Faudrait juste pouvoir utiliser les deux en même temps, et pas l’un ou l’autre. Je pige pas pourquoi ils ont fait ca.

Pour te faire installer un contrôleur de domaine Mais c’est l’option atomique à ce niveau.