locked
Droits ntfs et ordinateurs RRS feed

  • Question

  • Bonjour à tous,

    Dans un environnement AD sur Windows 2008, j'essaie de créer un espace partagé sur le réseau accessible uniquement à un groupe (global)de machines. Mon problème est .... que je n'y arrive pas.

    Le mappage du lecteur réseau se fait par stratégie de groupe. Cette stratégie ne monte le lecteur que sur les ordinateurs du groupe.

    Sur les droits ntfs, j'essaie tant bien que mal de donner des droits en écritures au groupe d'ordinateurs, mais cela ne fonctionne pas, le lecteur réseau n'est pas monté et lorsque je vais manuellement sur le partage, je ne peut pas y accéder (pas les droits). Je voudrais donc savoir si il est possible de donner des permissions en écriture sur des fichiers à des ordinateurs ???

    Parce que si j'utilise la méthode classique avec droits ntfs sur utilisateurs, tout fonctionne à merveille. Par contre dès que je supprime les droits ntfs utilisateurs et que j'utilise les droits ntfs avec le groupe d'ordinateurs cela ne fonctionne plus.

    Avez-vous quelques pistes pour m'aider ?

    mercredi 11 mars 2015 09:17

Réponses

  • Pour le montage du lecteur réseau que sur les postes en question, c'est relativement simple :

    • Tu créés un OU dans laquelle tu mets les postes en question
    • Tu créés une GPO de Loopback que tu lies à cette nouvelle OU
    • Tu créés une GPO utilisateur que tu lies à cette nouvelle OU. Dans cette GPO tu montes ton lecteur réseau

    Comme ça, le lecteur réseau sera monté quel que soit l'utilisateur connecté à ces machines.

    Ensuite, pour les droits d'accès, vu que tu te moques de qui se loggue dessus : pourquoi ne créés-tu pas un login de type "libreservice" et auquel tu donneras les droits d'accès au dossier partagé ?


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    • Marqué comme réponse Mike-eul mercredi 11 mars 2015 11:06
    mercredi 11 mars 2015 10:56

Toutes les réponses

  • Hello !

    As tu des traces dans les event logs ?

    A la question : est-ce que c'est possible ? Je n'ai jamais testé perso.Quels sont les droits sur le partage ? As tu essayé en mettant "Tout le monde" (ouvrir aux maximum les accès pour fermer ensuite).

    mercredi 11 mars 2015 10:08
  • Hello !

    As tu des traces dans les event logs ?

    A la question : est-ce que c'est possible ? Je n'ai jamais testé perso.Quels sont les droits sur le partage ? As tu essayé en mettant "Tout le monde" (ouvrir aux maximum les accès pour fermer ensuite).


    Si je mets les droits à tous le monde cela fonctionne. Plus généralement, en utilisant des droits sur utilisateurs, tout fonctionne. C'est dès que j'essaie de donner uniquement des droits à des ordinateurs que cela ne fonctionne plus. J'aurai voulu que ce partage ne soit accessible que d'un groupe d'ordinateurs dans une pièce du bâtiment mais pas au reste, peu importe qui se logue dessus.
    mercredi 11 mars 2015 10:18
  • Bonjour,

    Ton problème est que lorsque tu essayes de connecter un lecteur réseau ou un via un partage, c'est via un utilisateur. Ce sont donc les droits utilisateurs qui s'appliquent.

    Si tu vérrouille tes autorisations avec des comptes d'ordinateur, cela influe indiquement les processus qui s'exécutent avec le compte d'ordinateur.

    Cela ne peut donc pas fonctionner.

    Peux-tu nous expliquer pour quelle raison tu souhaites restreindre au niveau des postes et non des utilisateurs afin de trouver une solution?


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    mercredi 11 mars 2015 10:24
  • C'est dès que j'essaie de donner uniquement des droits à des ordinateurs que cela ne fonctionne plus. J'aurai voulu que ce partage ne soit accessible que d'un groupe d'ordinateurs dans une pièce du bâtiment mais pas au reste, peu importe qui se logue dessus.

    Sur ton partage c'est bien les utilisateurs qui travaillent, pas tes machines, donc tes droits doivent être pour tes utilisateurs.

    Dans ta stratégie de préférence as tu essayé de spécifier le "ciblage" sur le nom  de machine ou le groupe de machine ?

    Onglet Commun > Cochez Ciblage au niveau de l'élèment ?

    mercredi 11 mars 2015 10:33
  • Merci à tous pour vos réponses.

    Pour répondre à Charly01, j'utilise le ciblage sur le groupe d'ordinateurs et cela fonctionne pour monter le lecteur uniquement sur ces ordinateurs.

    Pour répondre à Sylvain, ce que je voudrai faire c'est de rendre accessible un partage réseau uniquement aux ordinateurs situés physiquement dans un bureau et pas aux autres.

    Actuellement j'arrive à ne monter le lecteur réseau que sur les ordinateurs du bureau (ok de ce côté).Par contre, je voulais savoir si je pouvais restreindre/accepter les ordinateurs au niveau ntfs.

    Mais comme dis Sylvain, les droits de sessions primes donc... je ne vois pas trop de solutions pour full sécuriser tout ça.

    mercredi 11 mars 2015 10:41
  • Pour le montage du lecteur réseau que sur les postes en question, c'est relativement simple :

    • Tu créés un OU dans laquelle tu mets les postes en question
    • Tu créés une GPO de Loopback que tu lies à cette nouvelle OU
    • Tu créés une GPO utilisateur que tu lies à cette nouvelle OU. Dans cette GPO tu montes ton lecteur réseau

    Comme ça, le lecteur réseau sera monté quel que soit l'utilisateur connecté à ces machines.

    Ensuite, pour les droits d'accès, vu que tu te moques de qui se loggue dessus : pourquoi ne créés-tu pas un login de type "libreservice" et auquel tu donneras les droits d'accès au dossier partagé ?


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    • Marqué comme réponse Mike-eul mercredi 11 mars 2015 11:06
    mercredi 11 mars 2015 10:56
  • suite, pour les droits d'accès, vu que tu te moques de qui se loggue dessus : pourquoi ne créés-tu pas un login de type "libreservice" et auquel tu donneras les droits d'accès au dossier partagé ?


    En fait, il y a déjà des lecteurs réseaux avec redirection (mes docs, etc...) associés à leur session. Du coup cela m'aurait aidé de pouvoir autoriser des ordinateurs en ntfs pour s'affranchgir de la session loguée. Mais si c'est impossible... je ferai avec. Je voulais sécuriser à max, mais ce n'est pas indispensable dans mon cas.
    mercredi 11 mars 2015 11:21