locked
Administration Windows Server 2008 R2 : droits d'accès à un sous-dossier d'un dossier partagé RRS feed

  • Question

  • Bonjour,

    Je suis confronté à un problème de partage de fichiers sur mon réseau local d'entreprise.

    pour des raisons de confidentialité (ou paranoïa :P) j'ai modifié les noms des dossiers/groupes/utilisateurs... En espérant ne violer aucun droit d'auteurs :)... Bref, voici ma problématique :

    J'ai partagé le dossier "picsou" et ai autorisé le groupe "neveux" à y accéder en lecture seule (seule l'option "Lecture" est cochée), j'ai également défini les mêmes règles de partage NTFS ("lecture et exécution", "affichage du contenu du dossier" et "lecture").

    le groupe "neveux" contient les utilisateurs "riri", "fifi" et "loulou"

    dans le dossier "picsou", j'ai créé un sous-dossier "donald" et souhaiterais que les utilisateurs "riri" et "fifi" puissent y accéder en modification, j'ai donc modifié les paramètres de sécurité de "donald" en permettant à "riri" et "fifi" de modifier ("modification", "lecture et exécution", "affichage du contenu du dossier" et "lecture").

    Toujours dans le dossier "picsou", j'ai également créé un sous-dossier "daisy" et souhaiterais que les utilisateurs "riri" et "loulou" puissent y accéder en modification, j'ai donc modifié les paramètres de sécurité de "daisy" en permettant à "riri" et "loulou" de modifier ("modification", "lecture et exécution", "affichage du contenu du dossier" et "lecture").

    Les dossiers "donald" et "daisy" étant des sous-dossiers de "picsou" et héritant des autorisations de ce dernier, le groupe "neveux" y a accès en lecture.

    Le résultat de ces manipulation est que j'accède à "picsou" en lecture seule, et je peux accéder à "donald" et "daisy"... en lecture seule également... :(

    Je souhaiterais savoir où se trouve mon erreur :

    Je pensais que je pourrais "Organiser" mon dossier "picsou" qui serait le seul à être vu dans ma liste des dossiers partagés sur le réseau et ainsi accéder à mes sous-dossiers "donald" et "daisy" avec une arborescence "propre" (de mon point de vue)

    Suis-je obligé de déterminer un partage sur chacun des sous-dossiers, auquel cas mes sous-dossiers apparaitront dans la liste dossiers partagés via le réseau, et le partage de mon dossier "picsou" devient inutile ?

    Y a-t-il un paramètre que j'ai négligé ?

    J'espère avoir été suffisamment clair, n'hésitez pas à me demander plus de précisions si nécessaire...

    Merci d'avance pour vos avis éclairés

    jeudi 28 mars 2013 17:04

Réponses

  • J'ai partagé le dossier "picsou" et ai autorisé le groupe "neveux" à y accéder en lecture seule (seule l'option "Lecture" est cochée), j'ai également défini les mêmes règles de partage NTFS ("lecture et exécution", "affichage du contenu du dossier" et "lecture").

    C'est quoi les règles de partages NTFS ?

    Attention au droit sur les partages qui se cumule avec les permissions NTFS, si vous n'avez donné qu'un accès en lecture sur le partage, vous pouvez mettre les permissions NTFS d'écriture, les utilisateurs ne pourront pas modifier en accédant à la ressource par le partage.

    Une des hypothèse est de mettre sur le partage control totale, ce qui ne voudra pas dire qu'ils ont tous les accès malgré ce que l'on pense, mais que seul les permissions NTFS seront à gérer. Il faut voir cela comme 2 calques qui se superposent, l'utilisateurs ne verra que ce qui est autorisé par les 2.

    A noter qu'une permission NTFS s'appliquennt toujours alors qu'un droit sur un partage ne s'appliquent que si l'utilisateur empreinte ce partage comme moyen d'accès. Il suffirai d'avoir un autre partage sur le même dossier , moins restrictifs pour passer à côté.

    • Marqué comme réponse havoc31 mardi 2 avril 2013 08:04
    lundi 1 avril 2013 17:21

Toutes les réponses

  • Bonjour,

    Plus facile à faire qu'expliquer!

    Si vous désirez propager les autorisations de dossiers vers vos sous-dossiers essayez ceci:

    - Dans la boîte de dialogue avancé sous l'onglet Autorisations, modifiez l'entrée de contrôle d'accès (ACE)

    - Assurez-vous que "Appliquer à" ait la valeur "Ce dossier, sous-dossiers et fichiers".

    - Cochez "Remplacer les entrées d'autorisations de tous les objets enfants par les entrées... qui s'appliquent aux objets enfants".

    Vérifiez que vos autorisations sont appliquées.

    Dans le cas d'un "accès refusé":

    - Dans la boîte de dialogue "Avancé" clic sur l'onglet propriétaire, choisissez votre compte d'utilisateur ou un groupe de sécurité auquel vous appartenez, cochez "Remplacer le propriétaire des sous-conteneurs et des objets", vous bénéficierez des pleines autorisations sur l'objet ainsi que les objets enfants.

    - Refermez toutes les boîtes de dialogue et vérifiez.

    En espérant vous avoir été d'une aide quelconque,

    Cordialement,

    Bricoleur.


    sans l'acquisition d'un immense superflu chaque condition se sent misérable. DIDEROT

    vendredi 29 mars 2013 03:37
  • Bonjour,

    Plus facile à faire qu'expliquer!

    Si vous désirez propager les autorisations de dossiers vers vos sous-dossiers essayez ceci:

    - Dans la boîte de dialogue avancé sous l'onglet Autorisations, modifiez l'entrée de contrôle d'accès (ACE)

    - Assurez-vous que "Appliquer à" ait la valeur "Ce dossier, sous-dossiers et fichiers".

    - Cochez "Remplacer les entrées d'autorisations de tous les objets enfants par les entrées... qui s'appliquent aux objets enfants".

    Vérifiez que vos autorisations sont appliquées.

    Dans le cas d'un "accès refusé":

    - Dans la boîte de dialogue "Avancé" clic sur l'onglet propriétaire, choisissez votre compte d'utilisateur ou un groupe de sécurité auquel vous appartenez, cochez "Remplacer le propriétaire des sous-conteneurs et des objets", vous bénéficierez des pleines autorisations sur l'objet ainsi que les objets enfants.

    - Refermez toutes les boîtes de dialogue et vérifiez.

    En espérant vous avoir été d'une aide quelconque,

    Cordialement,

    Bricoleur.


    sans l'acquisition d'un immense superflu chaque condition se sent misérable. DIDEROT

    Merci beaucoup pour votre réponse,

    Concernant la première partie : Je ne souhaite pas propager les autorisations du dossier partagé aux sous-dossiers, cela est déjà le cas, et c'est bien cela le problème : ce sont ces seules autorisations qui sont prises en compte => je n'ai accès qu'en lecture à tous les dossiers et sous-dossiers.

    Concernant la seconde partie : c'est une chose que je n'avais pas testé, j'ai créé un groupe "neveux_donald" dans lequel j'ai ajouté "riri" et "fifi", j'ai défini ce groupe comme propriétaire du sous-dossier "donald" (Clic droit sur le dossier, "Propriétés", Onglet "Sécurité", clic sur "Avancé", onglet "Propriétaire" et clic sur "Modifier") et j'ai modifié les paramètres d'accès du compte "CREATEUR PROPRIETAIRE" du dossier "donald"  (Clic droit sur le dossier, "Propriétés", Onglet "Sécurité", clic sur "Modifier", sélectionner le compte "CREATEUR PROPRIETAIRE" et cocher "Modification")

    PROBLEME : lorsque j'applique les modifications, elles ne sont pas prises en compte... 

    Une question complémentaire (et peut-être essentielle, ma formation d'administration rx datant d'une dizaine d'année, et n'ayant pas pratiqué depuis, je suis un peu rouillé là dessus) : mon serveur n'est pas en domaine mais en groupe de travail, cela-at-il une influence sur mes problèmes ? Par extension, quels sont les rôles indispensables pour pouvoir effectuer ce que je souhaite (Serveur de fichier - celui là est évident :) - , DFS ?, Services de domaine AD ?)?

    vendredi 29 mars 2013 08:55
  • Bonjour,

    Désolé pour la réponse tardive.

    Pour reprendre vos exemples:

    Dossier "picsou" autorisation pour le groupe "neveux" d'accéder en lecture seule.

    Les sous-dossiers "Donald" & "daisy" contenu dans "Donald" seront accessible en lecture seule par le groupe "neveux". Vous pourriez y rajouter (dans picsou) la "sorcière" (dont je ne me rappelle plus le nom) et le sous dossier "raptout" rien ne sera changé.

    Le plein contrôle du dossier "picsou" (ainsi que son contenu) et l'autorisation pour le groupe "neveux" d'y accéder en lecture seule, prévaudra sur les autorisations plus restrictives que vous pouvez introduire par la suite.

    Supprimez les autorisations héritées, créez des groupes de sécurité et donnez leur l'accès nécessaire aux dossiers particuliers.

    Cordialement,

    Bricoleur.


    sans l'acquisition d'un immense superflu chaque condition se sent misérable. DIDEROT



    • Modifié Bricoleur dimanche 31 mars 2013 23:11
    dimanche 31 mars 2013 23:06
  • J'ai partagé le dossier "picsou" et ai autorisé le groupe "neveux" à y accéder en lecture seule (seule l'option "Lecture" est cochée), j'ai également défini les mêmes règles de partage NTFS ("lecture et exécution", "affichage du contenu du dossier" et "lecture").

    C'est quoi les règles de partages NTFS ?

    Attention au droit sur les partages qui se cumule avec les permissions NTFS, si vous n'avez donné qu'un accès en lecture sur le partage, vous pouvez mettre les permissions NTFS d'écriture, les utilisateurs ne pourront pas modifier en accédant à la ressource par le partage.

    Une des hypothèse est de mettre sur le partage control totale, ce qui ne voudra pas dire qu'ils ont tous les accès malgré ce que l'on pense, mais que seul les permissions NTFS seront à gérer. Il faut voir cela comme 2 calques qui se superposent, l'utilisateurs ne verra que ce qui est autorisé par les 2.

    A noter qu'une permission NTFS s'appliquennt toujours alors qu'un droit sur un partage ne s'appliquent que si l'utilisateur empreinte ce partage comme moyen d'accès. Il suffirai d'avoir un autre partage sur le même dossier , moins restrictifs pour passer à côté.

    • Marqué comme réponse havoc31 mardi 2 avril 2013 08:04
    lundi 1 avril 2013 17:21
  • J'ai partagé le dossier "picsou" et ai autorisé le groupe "neveux" à y accéder en lecture seule (seule l'option "Lecture" est cochée), j'ai également défini les mêmes règles de partage NTFS ("lecture et exécution", "affichage du contenu du dossier" et "lecture").

    C'est quoi les règles de partages NTFS ?

    Attention au droit sur les partages qui se cumule avec les permissions NTFS, si vous n'avez donné qu'un accès en lecture sur le partage, vous pouvez mettre les permissions NTFS d'écriture, les utilisateurs ne pourront pas modifier en accédant à la ressource par le partage.

    Une des hypothèse est de mettre sur le partage control totale, ce qui ne voudra pas dire qu'ils ont tous les accès malgré ce que l'on pense, mais que seul les permissions NTFS seront à gérer. Il faut voir cela comme 2 calques qui se superposent, l'utilisateurs ne verra que ce qui est autorisé par les 2.

    A noter qu'une permission NTFS s'appliquennt toujours alors qu'un droit sur un partage ne s'appliquent que si l'utilisateur empreinte ce partage comme moyen d'accès. Il suffirai d'avoir un autre partage sur le même dossier , moins restrictifs pour passer à côté.

    Bon sang mais c'est bien sûr !!

    Tout d'abord, pour répondre à votre question : ce que j'appelle (à tort) "règles de partage NTFS", ce sont les autorisations NTFS sur les dossiers.

    Ensuite, j'ai effectivement verrouillé le partage en lecture seule... Je viens d'autoriser l'accès en modification au dossier "picsou", en conservant les autorisations NTFS de ce dossier (lecture seule), et en conservant également les autorisations NTFS des sous-dossiers (accès en modification à certains utilisateurs), et cela fonctionne !

    Merci à vous et à Bricoleur pour vos réponses

    mardi 2 avril 2013 08:04