none
Sécurité NTFS inopérante

    Question

  • Bonjour à tous, 

    Je rencontre un soucis inédit sur un Windows 2012, puisqu'il est impossible de faire appliquer les permissions NTFS sur des dossiers : Tous les utilisateurs ont accès à tous les dossiers alors que les droits sont corrects et la vérification par les droits effectifs renvoie les bonnes informations.

    Si je ne donne accès qu'à l'administrateur sur un dossier (héritage désactivé bien sur), n'importe quel utilisateur peut tout de même y accéder. 

    Quelqu’un pourrait-il me donner une piste ? Je n'en suis pas à ma première configuration serveur, mais la je n'avais jamais vu un tel comportement.

    Merci

    jeudi 28 décembre 2017 23:55

Réponses

Toutes les réponses

  • Bonjour,

    Vous avez deux type d'autorisation. Autorisation de partage et les permissions NTFS.

    Le droit de partage permet à un utilisateur d'accéder au dossier à distance, s'il a bien la permission NTFS bien sur.

    Essayer de vérifier que avez déclaré que les utilisateurs autorisés dans l'onglet sécurité:


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    vendredi 29 décembre 2017 17:59
    Modérateur
  • Il n'y a pas de confusion de ma part, j'ai bien mis les autorisations dans l'onglet sécurité.

    Concernant les droits de partage, il n'y en a qu'un seul dossier partagé à la racine "DONNEES" et tous les dossiers des utilisateurs sont des sous-dossiers 

    Exemple simple : un sous-dossier "COMPTA" dans lequel l'héritage est désactivé avec uniquement l'utilisateur COMPTA01 et (l'admin)e n accès complet, il est accessible par tous les utilisateurs du domaine...Même si l'accès effectif indique qu'il n'y ont pas accès.

    J'ai administré des dizaines de serveurs, mais je n'avais jamais vu un tel comportement sur les sécurités NTFS, je sèche.

    Merci de votre aide

    vendredi 29 décembre 2017 22:29
  • J'apporte une information nouvelle : 

    USER1 accède à des dossiers auxquels il ne devrait pas depuis son poste sur le domaine

    USER1 respecte les sécurités des dossiers si j'utilise login/mot de passe depuis un autre poste (pas sur le domaine) et n'a donc pas accès aux dossiers auxquels il n'a pas le droit

    Ca vous parle ce genre de comportement ?

    mercredi 3 janvier 2018 12:09
  • S'il entre sur le domaine, il accède à tout...
    vendredi 12 janvier 2018 23:10
  • Je n'ai qu'un seul serveur, donc le DC est aussi serveur de fichiers

    samedi 20 janvier 2018 02:38
  • Bonjour Guildamo,

    Dans "Sécurité avancée" - si vous double-cliquez sur l'une des autorisations qui ne se propage pas, vous obtenez le formulaire "Saisie d'autorisation".
    Au bas du formulaire, il y a une case à cocher intitulée "Appliquer ces autorisations aux objets et / ou aux conteneurs dans ce conteneur uniquement"
    Si cette case est cochée, l'autorisation cesse de propager plus d'une couche dans l'arborescence. Cela remplace le paramètre "Appliquer à ce dossier, sous-dossiers ..".
    Par conséquent, sur les sous-dossiers, la case «Appliquer à» se positionne sur «Ce dossier» et se grise, et l'autorisation en question n'en hérite plus.
    Votre problème ressemble beaucoup à ceci. La solution est de décocher la case


    Momominta

    samedi 20 janvier 2018 02:59
  • Bonsoir,

    Quels sont les droits effectifs sur le dossier en question ? (je ne parle pas d'héritage pour l'instant !)

    ... une petite copie d'écran ?+++bonne soirée.

    Claude

    lundi 22 janvier 2018 21:10
  • Salut Guildamo,

    Si vous activez le compte d'utilisateur Invité sur le serveur, le compte peut être utilisé pour accéder uniquement aux dossiers partagés sur le serveur spécifiés par l'administrateur. En outre, si vous activez le compte d'utilisateur Invité sur le serveur et sur un ordinateur connecté au réseau, les utilisateurs qui se connectent à l'ordinateur réseau en tant qu'invité peuvent accéder automatiquement aux dossiers partagés sur le serveur sans être invités à entrer un mot de passe.
    Le serveur attribue automatiquement un mot de passe vide pour le compte Invité. Alors est-ce cela votre situation, je ne saurai le dire.


    Momominta

    lundi 22 janvier 2018 23:51
  • Bonjour,

    Une piste éventuelle.

    C:\DONNEES\COMPTA : héritage NTFS désactivé pour COMPTA. J'ai modifié les autorisations NTFS pour supprimer les droits au groupe Utilisateurs.

    Maintenant, je partage DONNEES avec le groupe Tout le monde en Lecture/Ecriture.

    Si vous utilisez :

    L'assistant vous propose ensuite :

    Ce qui modifie les paramètres NTFS :


    Claude Couderc Consultant IIS, SharePoint, Exchange, Windows http://coudr.com


    mardi 23 janvier 2018 07:37
  • Bonjour.

    Il n'y a pas d'autorisations NTFS faites pour les ordinateurs du domaine ???

    En apparence, si tu es hors domaine, tes permissions NTFS aux utilisateurs sont correctes, mais pas si tu es sur une station du domaine. D'où ma question : as tu des permissions NTFS accordées aux ordinateurs du domaine sur ton partage et tes dossiers ?

    mardi 23 janvier 2018 09:29

  • Si vous abordez la question des bonnes pratiques, la première chose à éviter est d'avoir un partage de données utilisateur sur un contrôleur de domaine.

    Pour des raisons de sécurité, ne faites jamais cela, même si c'est possible techniquement.


    Claude Couderc Consultant IIS, SharePoint, Exchange, Windows http://coudr.com

    mardi 23 janvier 2018 12:51
  • Exactement,

    Il faut faire la différence entre ce qui n'est pas recommandable et ce qui n'est pas supporté. (Exchange sur un DC c'est pas supporté, fichiers sur un DC c'est pas recommandé, pour des raisons de sécurité et pour faciliter les migrations.

    Sinon je fais tous mes partages à l'ancienne comme expliqué par Loïc et pas que par nostalgie ...

    mercredi 24 janvier 2018 08:26
    Modérateur

  • Sinon je fais tous mes partages à l'ancienne comme expliqué par Loïc et pas que par nostalgie ...

    Les deux méthodes présentent un intérêt, si elles sont bien comprises.

    La méthode qui est mentionnée par M. Veirman permet de contrôler plus finement les droits accordés. Elle ne devrait être utilisée que par un administrateur averti.

    La méthode, peut-être utilisée par M. Guildamo, s'adresse plutôt aux administrateurs moins habitués. Cette méthode permet d'aligner automatiquement les droits NTFS sur ceux du partage et inversement. Cela permet de rendre cohérent les droits entre les deux systèmes. Une éventuelle incohérence peut se traduire par de nombreux problèmes d'accès. C'est probablement la raison pour laquelle Microsoft a introduit cette nouvelle façon de faire.

    Dans ces conditions, l'utilisation de l'une ou l'autre méthode reste une bonne pratique.


    Claude Couderc Consultant IIS, SharePoint, Exchange, Windows http://coudr.com

    mercredi 24 janvier 2018 09:11
  • La méthode, peut-être utilisée par M. Guildamo, s'adresse plutôt aux administrateurs moins habitués. Cette méthode permet d'aligner automatiquement les droits NTFS sur ceux du partage et inversement. 

    Je n'ai pas compris la notion d'alignement entre autorisation de partage et permission NTFS. 

    Quand tu utilises cette méthode à ma connaissance cela crée un partage avec autorisation "Control total" pour tout le monde et les droits sont mis en place dans la partie sécurité NTFS (c'est la méthode classique, les permission NTFS s'appliquent sur un chemin réseau et sur un chemin local):

    L'héritage NTFS est supprimé sur le dossier, les groupes  system et administrateurs sont conservés, le groupe utilisateurs est supprimé,  les personnes spécifiées sont ajoutés.

    Des méthodes différentes peuvent présenter un intérêt dans la mesure ou la personne qui les utilisent est bien consciente du résultat obtenu.

    En utilisant l'ancienne méthode je regarde explicitement les droits attribués et il est facile d'afficher les droits effectif.  Je n'aime pas particulièrement cette méthode, dans le sens ou a chaque fois que je demande à la personne qui l'utilise, elle n'est pas en mesure de m'expliquer précisément ce qui a été fait.

    Dans tous les cas il ne devrait être utilisé que par un administrateur "averti", la technologie, n'est pas pour remplacer les compétences...

    Si tu as un administrateur "non avertie", la solution c'est la formation.

    Si tu ne veux pas former les admin sys qui gèrent les DCs, utilise  "contrôle total" partout, et ne cherche pas à faire semblant de vouloir faire de la sécu ...


    mercredi 24 janvier 2018 13:48
    Modérateur
  • Je n'ai pas compris la notion d'alignement entre autorisation de partage et permission NTFS. 

    Pour le partage, l'interface graphique propose deux méthodes différentes qui génèrent deux résultats différents.

    1) Méthode simple

    Pour rester simple, je travaille avec des comptes individuels. Il est préférable de travailler avec des groupes. Cela ne change rien. J'attribue à Jean la lecture pour le partage.

    Les autorisations NTFS accordées sont aussitôt modifiées, sans manipulation de ma part :

    Si maintenant je modifie les autorisations NTFS pour Jean :

    Les autorisations du partage sont aussitôt modifiées pour Jean, sans manipulation de ma part :

    Et inversement...

    Tant que je reste avec la méthode simple, les droits du partage sont alignées sur ceux de NTFS et inversement.

    2 ) Méthode avancée

    C'est la méthode que tu expliques. Je suis d'accord avec ton explication. Elle s'applique aussi avec les outils en ligne de commandes, etc..

    Mon propos était purement technique. Il n'était pas personnel et il ne visait personne en particulier.



    Claude Couderc Consultant IIS, SharePoint, Exchange, Windows http://coudr.com


    mercredi 24 janvier 2018 14:34
  • Bonjour,

    Sur les volumes NTFS, vous pouvez définir des autorisations de sécurité sur les fichiers et les dossiers. Ces autorisations accordent ou refusent l'accès aux fichiers et dossiers. Un petit rappel ne ferait pas de tord aux auditeurs qui recherchent une solution à leurs problèmes. Voir le liens ci-dessous :

    Understanding File and Folder Permissions

    Ressources du système d'audit
    L'audit est le meilleur moyen de suivre ce qui se passe sur vos systèmes Windows 2000. Vous pouvez utiliser l'audit pour collecter des informations relatives à l'utilisation des ressources, telles que l'accès aux fichiers, l'ouverture de session système et les modifications de la configuration système. Chaque fois qu'une action se produit et que vous avez configuré pour l'audit, l'action est écrite dans le journal de sécurité du système, où elle est stockée pour examen. Le journal de sécurité est accessible depuis l'Observateur d'événements.


    Momominta


    • Modifié momominta mercredi 24 janvier 2018 15:08
    mercredi 24 janvier 2018 15:01
  • @Claude Couderc

    Ca ce n'est pas une autorisation de partage, mais juste une vue de tes permissions NTFS (problème de vocabulaire que j'ai essayé de t'expliquer):

    On parle d'autorisation de partage lorsqu'on va la :

    Quand tu crée ton partage avec ton assistant les autorisations du partages sont Tout le monde , control Total ;

    Ce n'est pas les autorisations de partage que tu vois dans l'assistant mais bien une vue (incomplète car système n'est pas affiché) des permissions NTFS !!!!

    Dire que les autorisations de partage sont alignés sur les permissions NTFS est faux !!! d'ou ma remarque, car le vocabulaire utilisé est faux.

    Note : Pour NTFS on utilise le mot permission pour désigner les informations de sécurité.

    Je sais que je suis chiant sur le vocabulaire, mais être précis évite les confusions.

    Tu peux relire mon post précédent si tu veux avoir le détail de ce que fait ton assistant.

    C'est dommage que le vocabulaire se perde, car avec le bon vocabulaire il n'y a pas d’ambiguïté sur ce que l'assistant fait...


    mercredi 24 janvier 2018 17:25
    Modérateur
  • Désolé de mon retour tardif, je n'ai pas pu m'occuper de ce serveur depuis un certain temps...

    Je n'utilise jamais la vue que tu as copier/coller : 

    Mais la version "avancée". Je m'y recolle dès que possible. Merci pour toutes ces infos en tout cas


    mardi 27 février 2018 21:20
  • Pour info, tout est rentré dans l'ordre après une vérification complète (et très longue du disque) en chkdsk

    Si ca peut aider...

    Merci pour votre aide

    jeudi 14 juin 2018 10:59