locked
Problème d'application de droits avec ICACLS pour des droits spéciaux avec gestion de l'héritage RRS feed

  • Question

  • Bonjour,

    Environnement :

    WINDOWS SERVER 2008 R2 STANDARD

    je souhaite appliquer des droits NTFS spéciaux à un dossier pour que des personnes puissent y déposer des données sans pouvoir les récupérer/modifier/lire. Pour cela j'utilise la commande icacls telle que :

    mkdir %MonDossier%

    icacls %MonDossier% /inheritance:d

    icalcs %MonDossier% /remove:g %Paul% /T

    icacls %MonDossier% /grant:r %Paul%:(OI)(CI)(X,RD,WD,AD) /T

    * Paul est mon utilisateur

    lorsque je consulte les autorisations avancées des droits NTFS, j'obtiens bien l'ensemble des droits voulus qui sont cochés dans le tableau ainsi que l'application de ces droits sur les bon objets. Or lorsque je test avec le compte utilisateur Paul, je ne parviens pas à entrer dans ce dossier (accès via chemin UNC \\%MonServeur%\%MonDosssier%) car j'ai un accès refusé. Il suffit que je décoche puis recoche un des droits NTFS utilisés, que j'applique le changement de configuration pour que l'ensemble des droits fonctionne (j'accède au dossier avec les bons droits).

    Lorsque je fais un icacls %MonDossier% /save %MonFichierACL% /T après mes lignes de commande et avant modification manuelle, j'obtiens comme valeur : D:PAI(A;;FA;;;BA)(A;OICI;CCDCLCWP;;;%SIDdePaul%)...
    Lorsque je fais ma modification manuelle et son application, j'obtiens par la même commande :
    D:PAI(A;;FA;;;BA)(A;OICI;0x100027;;;%SIDdePaul%)...

    A quoi cela est il dû, est-ce un bug de icacls ou me manque t'il quelque chose dans mes commandes. Au niveau des droits j'ai 4 utilisateurs différents (dont Paul) qui ont accès à ce dossier, issue de l'héritage du dossier parent (seul Paul est "réinitialisé" afin de lui appliquer d'autres droits)

    Merci d'avance à ceux qui pourront m'éclairer sur ce problème.

    Cordialement,

    Olivier.

    • Modifié Opium2064 mercredi 30 mai 2012 17:56
    mercredi 30 mai 2012 17:40

Réponses

  • Bonjour,

    je vois que personne n'a d'idée sur mon problème, je vous joins un bidouillage permettant de contourner ce problème. Je suis passé par un export des bon droits et un import pour tout nouveaux dossiers, soit :

    icacls %MonDossier% /save %MonDossierDeConfig%\%MonFichierACL% :

    je récupère quelque chose comme :

    %MonDossier%
    D:PAI(A;;FA;;;BA)(A;OICI;0x100027;;;%SIDdePau%l)...

    Ensuite à chaque occurrence de création du dossier, j'importe ces droits à partir du dossier parent à %MonDossier%, soit :

    icacls %DossierParentAMonDossier% /restore %MonDossierDeConfig%\%MonFichierACL% /T

    En espérant que ça aide certains utilisateurs !

    Cordialement,

    Olivier.


    • Modifié Opium2064 lundi 4 juin 2012 09:18
    • Marqué comme réponse Opium2064 lundi 4 juin 2012 09:18
    lundi 4 juin 2012 09:18