none
Droits NTFS RRS feed

  • Question

  • Bonjour,

    J'ai un petit problème concernant le positionnement de droits sur la racine d'un lecteur.
    Sur un serveur 2012 R2 qui fait office de serveur de fichier, via GPO on a ajouté un groupe 'toto' membre de 'Administrateurs' local du serveur.

    J'ai créé un partage de la racine du lecteur en plus du partage administratif, ayant en filtrage les utilisateurs authentifiés en Full Control.
    Suite à çà je positionne les droits sur le lecteur en question.
    Typiquement ça donne ceci :
    System : Full Control
    Administrateurs : Full Control
    Utilisateurs : Je l'ai supprimé volontairement pour supprimer le droits d'accès aux utilisateurs du domaine ( utilisateurs du domaine inclus automatiquement aux utilisateurs locaux a priori )

    Suite à ces changements et de façon immédiate je me vois refuser l'accès au lecteur en question du fait qu'il me manque les droits de lecture.
    Hors je fais partis du groupe toto, qui est membre de 'Administrateurs'
    En regardant les droits effectifs sur la racine du lecteur, et pour mon utilisateur, je vois que tout est au vert ( tout est coché ).
    Depuis un montage réseau aucun problèmes.

    Pour retrouver l'accès au lecteur, je suis obligé de rajouter le groupe 'toto' à la racine du lecteur.

    Est ce normal d'avoir ce comportement?

    Petite précision, étant un serveur virtualisé, j'étais connecté en RDP pour faire la gestion des droits. Je sais pas si il y a un lien.

    PS: sauf erreur les utilisateurs du domaine sont à même de faire un montage sur ce lecteur. via un net use ou graphiquement.
    Mais derrière ils se voient refuser l'accès quand ils cherchent à lister le contenu.
    Est-il possible de refuser explicitement le droit aux utilisateurs de pouvoir faire ce montage, en gardant le filtrage du partage sur 'utilisateurs authentifiés'.
    Sinon j'imagine qu'il faut supprimer le groupe 'utilisateurs authentifiés' et positionner 'Administrateurs' et peut être 'toto'

    Cordialement



    • Modifié Eclipse- jeudi 14 mai 2015 22:12
    jeudi 14 mai 2015 21:02

Réponses

  • Bonjour,

    Je ne comprends pas pourquoi vous mettez "Utilisateurs authentifiés" Contrôle total dans les autorisations du partage étant donné que vous gérez les autorisation ensuite via NTFS.

    Pour une meilleure visibilité et pour éviter les "effets collatéraux", je vous recommande de faire ceci :

    • Au niveau du partage : Tout le monde : Contrôle Total
    • Au niveau NTFS : Les autorisations dont vous avez besoin

    Comme cela, il n'y a qu'un seul niveau de filtrage, ce qui simplifie la compréhension (et réglera certainement votre problème).


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization)

    Blog : http://sylvaincoudeville.fr

    • Marqué comme réponse Eclipse- vendredi 15 mai 2015 08:55
    vendredi 15 mai 2015 06:11

Toutes les réponses

  • Bonjour,

    Je ne comprends pas pourquoi vous mettez "Utilisateurs authentifiés" Contrôle total dans les autorisations du partage étant donné que vous gérez les autorisation ensuite via NTFS.

    Pour une meilleure visibilité et pour éviter les "effets collatéraux", je vous recommande de faire ceci :

    • Au niveau du partage : Tout le monde : Contrôle Total
    • Au niveau NTFS : Les autorisations dont vous avez besoin

    Comme cela, il n'y a qu'un seul niveau de filtrage, ce qui simplifie la compréhension (et réglera certainement votre problème).


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization)

    Blog : http://sylvaincoudeville.fr

    • Marqué comme réponse Eclipse- vendredi 15 mai 2015 08:55
    vendredi 15 mai 2015 06:11
  • Bonjour,

    J'ai supposé que définir le filtrage du partage avec 'utilisateurs authentifiés' était plus propre.

    J'ai repositionné les droits sur le partage avec 'Tout le monde' en Full.

    Supprimé 'toto' de la racine.

    Et c'est ok. pas d'effet de bord.

    Merci.

    Cordialement

    vendredi 15 mai 2015 08:54
  • Dans les bonnes pratiques, il y a 2 manières de voir le droits :

    • La manière Samba (Linux) : Contrôle total sur les permissions NTFS, et on spécifie les droits au niveau du partage seulement.
      Contraintes : les utilisateurs accédant au dossier autrement que par le lecteur réseau (accès bureau distant ; accès à la console du serveur) ne sont pas impactés par les droits du partage.
      Cette méthode est donc pas recommandée
    • La manière Windows : Contrôle total sur le partage, et on spécifie les droits au niveau NTFS.
      L'avantage de cette méthode est que les droits s'appliquent aussi bien lors d'un accès via le partage, que par un accès local (console ou bureau distant).

    C'est donc cette deuxième méthode qui est recommandée.


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization)

    Blog : http://sylvaincoudeville.fr

    vendredi 15 mai 2015 08:59