none
Windows 10 - Réseau local - un poste avec accès admin sur un disque data partagé par un autre semble ne pas récupérer correctement ses droits - analyse difficile - Solution trouvée RRS feed

  • Question

  • Bonjour,

    J'ai eu des difficultés (plusieurs heures sans comprendre) avec la définition de partages de disques entiers sur mon réseau local (admin depuis deux machines).

    Pour des raisons de santé je n'ai pas pu procéder depuis plusieurs mois à de nombreuses opérations prévues dont des améliorations de gestion de partages, il y avait donc une discontinuité.

    Mes recherches sur la question "partage de disque entier" sur le net sont restées infructueuses.

    Nota : Après des contrôles ultimes, parce que je vérifie toujours pas à pas toutes mes affirmations sur les forums, ce qui me force à une rigueur que je risquerai de mettre à mal dans les opérations que j'ai à effectuer (seul), souvent héritées d'automatismes, j'ai trouvé la solution à la difficulté. In fine, cette difficulté résulte d'un état trompeur pour qui ne fait pas l'opération tous les jours. Le problème demeure donc "en tant que risque utilisateur de ne pas trouver la bonne solution" ce qui justifie que je maintienne ce thread.

    Configuration :

    J'ai deux postes sous :

    Édition Windows 10 Famille
    Version 20H2
    Installé le ‎12/‎10/‎2020
    Version du système d’exploitation 19042.804
    Expérience Windows Feature Experience Pack 120.2212.551.0

    Un poste principal 1 octroie des droits d'admin notamment à :

    • - un compte externe d'administrateur de 2 (compte : "Admin-x sur machine 2" 
    • - administrateurs
    • - le compte MS de l'admin 
    • - un compte admin volant (permettant d'être connecté depuis un poste quelconque pour opération ponctuelle

    sur un disque D de poste 1 on partage tous les modes d'accès (D named : "data-admin-group-on-1"), notamment à :

    - poste secondaire 2 via user local déclaré administrateur sur 1 (plus haut)

    Notas :

    • poste 1 (machine principale = data center avec 24To) à les mêmes accès en reflet à poste 2
    • poste 1 déclaré administrateur de machine 2
    • poste 2 a un accès à distance admin sur poste 1

    Tout fonctionne bien jusqu'à, seuls événements connus identifiés (non encore vérifié finement dans le journal) :

    • une panne Wifi du routeur (FreeBox) qui a nécessité une relance
    • le fait d'avoir connecté le disque D de 1 en lecteur local de 2 (lecteur "Z")
    • ? voir à la fin

    La panne :

    Accès depuis machine 2 vers disque D de 1 n'a plus droits d'admin, limité à lecture contrairement aux déclarations.

    Lors d'une tentative de création de dossier :

    Accès au dossier de destination refusé

    Les machines ont été redémarrées, les compte contrôlés, les droits d'accès revalidés (d'ailleurs étendus pour certains).

    Après les contrôles ultimes, j'ai finalement découvert la difficulté qui peut être trompeuse pour qui ne le fait pas tous les jours :

    Quand les utilisateurs ont le niveau de droits utiles dans la définition de leur compte :

    • "administrateurs réciproques, la fonction de partage de dossier avec l'un des ses comptes (compte machine 2 sur machine 1) partage le dossier avec le mécanisme d'héritage (en général par défaut). 
    • que l'on veut partager un disque entier, le mécanisme d'héritage depuis le disque n'est pas actif pour les fonctions hors la consultation, donc déclarer le partage d'un disque de la machine 1 ne produit aucun effet autre que sa visibilité depuis 2 (Sauf dans le cas des partages de dossiers qui comprend la définition du type de droits au moment de la création de ce partage) 
    • en revanche si l'on s'intéresse à la gestion des "droits" dans "sécurité" (propriétés du disque), dès que l'on octroiera à l'utilisateur disposant de droits d'aministrateur en tant qu'utilisateur (réseau, administrateur depuis machine 2) les droits de contrôle total du disque (ci-dessus D) et que le disque est partagé, alors le processus (batch windows récursif sur l'arborescence des dossiers avec suivi d'exécution affichage en fenêtre windows) va se dérouler afin de "partager" l'intégralité des dossiers et fichiers du disque... ouf 

    En conclusion si sur les dossiers, le partage déclenche le partage récursif avec le niveau de droits défini dans l'interface "partage"(onglet ou menu "partager"), dans le cas des disques le partage n'a pas la même fonction, il faut aussi octroyer les droits dans le gestion "sécurité" du disque (onglet suivant) pour pouvoir partager la totalité d'un disque.

    Noter aussi que après avoir partagé un dossier vous constaterez que les "droits" dans "sécurité" ont été modifiés par la fonction "partage".

    C'est évidemment piégeux. Pour ma part, la moitié des répertoires avaient été partagés avec des noms de partage spécifiques, la totalité du disque n'avait pas du tout fait l'objet de la procédure que je décris ici et, j'ai eu l'impression que j'avais perdu des droits que j'aurais toujours eu sur tous les dossiers du disque, ce qui n'était pas le cas.

    Evidemment aussi, si l'on ne suit pas cette procédure pour le disque on ne pourra pas le partager dans son intégralité sauf à partager tous les répertoires un par un... 

    Voilà, j'ai peut être dit certaines choses erronées où encore imprécises, mais je n'ai trouvé nulle part cette question traitée ("partager un disque" ne donnant aucune réponse valide sur les moteurs).

    Merci de vos commentaires ou infirmations.

    Cordialement

    Trebly


    Consultant, Phd, openSource CMS development and project management

    • Modifié Trebly.one vendredi 26 février 2021 18:47
    vendredi 26 février 2021 18:19

Toutes les réponses

  • Bonsoir,

    quelques éléments et remarques qui peuvent aider à la compréhension:

    - La version Windows 10 version familiale ne peut pas être intégrée à un domaine Active Directory.

    Il n'y a pas de vision unifiée des droits, ni d'administrateur global pour piloter de manière centralisée.

    => l'administrateur d'un poste n'a aucun droit par défaut sur le poste d'à côté. Seules l'équivalence de comptes et de mots de passe peuvent donner l'illusion d'une fausse unicité.

    - les droits sur les partages et les droits NTFS se combinent.

    Le partage donne un premier niveau de limitation, les droits NTFS peuvent ajouter des limitations supplémentaires.

    - Il est fortement déconseillé de partager TOUT le disque C:. Il est encore plus déconseillé de réinitialiser les droits NTFS à partir de la racine du disque, ce qui peut impacter gravement le fonctionnement et la sécurité du système, voire l'empêcher de redémarrer correctement.

    En revanche, partager un disque de data (D: ou plus) ou un sous-dossier non système (du disque C: ou autre) ne pose aucun problème.

    - il sera difficile, dans votre situation, d'obtenir et de gérer facilement un compte d'administration unique de tous vos systèmes sans utiliser un serveur/contrôleur de domaine AD.

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(91 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate, Modern Desktop Administrator Associate, Security Admin, Azure Administrator https://base.faqexchange.info

    samedi 27 février 2021 22:41