locked
Mappage lecteur perso avec sécurité RRS feed

  • Question

  • Bonjour,

    Je cherche, à l'ouverture de mes sessions utilisateurs qu'un lecteur perso monte à leur nom sur un partage qui se trouve sur un NAS.

    Dans mon script, pas de soucis pour la création du répertoire (donc, dans \\NAS\Perso\%USERNAME%), mais comment m'y prendre pour les autorisations?

    Car en fait j'aimerais dans la foulée que seul l'utilisateur en question puisse accéder à son dossier et pas les autres users.

    J'ai pensé à celà

    icacls \\NAS\Perso\%USERNAME% inheritance:d

    icacls \\NAS\Perso\%USERNAME% grant %USERNAME%:F

    jusque là, tout se passe comme prévu mais pas la dernière commande, pour supprimer le groupe "Utilisateurs du domaine"

    icacls \\NAS\Perso\%USERNAME% /remove Utilisateurs du domaine 

    ?? Mais il me dit que 0 fichier a été traité et les groupe Utilisateurs du domaine est toujours présent dans la sécurité.

    Quelle est ma faute?

    dimanche 7 septembre 2014 15:42

Toutes les réponses

  • Bonjour

    as tu pensé a la consome AD sur l'anaglet profile et sur home folder == choisi une lettre et tape le lien complet du partage exempel ton server share\users$\it\tonuser et sur le partge en question ( dossier parent ) tu mets tous les user comme acces change and read et pour l'admin controle totale

    a tester sur mon infra ça marche tres bien et j'ai meme appliqué les quota et filtre by user qui s'applique automatiquement

    http://msdn.microsoft.com/en-us/library/cc786749(v=ws.10).aspx


    Partager c'est avancer : Votez!SVP

    • Proposé comme réponse Nabil-IT mardi 4 novembre 2014 07:19
    dimanche 14 septembre 2014 10:48
  • Bonjour,

    Merci, c'est tout bête et je n'y avais pas pensé.

    J'essaye et je vous tiens informé du résultat.

    dimanche 14 septembre 2014 13:39
  • Je n'y arrive pas.

    Je m'explique, le dossier partagé Perso est créé par un NAS QNAP.

    Dans mes autorisations, je lui dit que les groupes Admin et Domain Users du domaine peuvent lire/ecrire sur le partage Perso (ainsi que l'admin du NAS bien entendu).

    Je décoche ensuite l'option d'applications de ces paramètres aux sous dossiers.

    Problème pourtant; car quand j'indique le chemin de création dans le profil user, je vois bien que le dossier se créé immédiatement dans \\NAS\Perso\%username%

    Mais des droits sont hérités automatiquement (en plus du %username% qui a bien un controle total), à savoir les users admin (lecture/ecriture).

    Ca ne convient donc pas, car l'utilisateur peut toujours aller à la racine de Perso et naviguer comme bon lui semble dans les autres sous dossiers.

    Je précise que j'ai aussi tenté de laisser seulement les domain users du partage e, lecture seule, mais du coup le %username% peut accéder à son dossier mais n'a aucune autorisation dedans (entrées refus plus fortes que les entrées autorisées c'est ça?).

    Bref, comment m'en sortir, quelqu'un a une idée?

    Je précise pour terminer que l'option ACL a été cochée sur le NAS afin que ce soit windows qui gère les autorisations sur les sous dossiers.

    Merci

    dimanche 14 septembre 2014 15:59
  • Bonjour

    as tu enlever tout le monde dans les autorisations  ?

    voila ma config sur mon server de partage sur le dossier user $ ( parent)

    le groupe parent qui regroupe all user et groupe a acces en lecture et ecriture sur ce meme dossier


    Partager c'est avancer : Votez!SVP

    • Proposé comme réponse Nabil-IT mardi 4 novembre 2014 07:19
    lundi 15 septembre 2014 06:56
  • Bonjour,

    Pour info mon problème est résolu depuis plusieurs jours, voici ce que j'ai fait dans un script.

    L'IP 10.165.20.3 que vous voyez est l'IP d'un NAS localement installé sur le site distant.

    @echo on
    IF EXIST "\\10.165.20.3\Perso\%USERNAME%" GOTO END

    :CREAUSERNAME
    md "\\10.165.20.3\Perso\%USERNAME%"

    :END
    echo Le lecteur perso de l'utilisateur est déjà existant.


    REM Supprime l'héritage parent et copie les ACL.
    icacls \\10.165.20.3\Perso\%USERNAME% /inheritance:d

    REM Donne l'accès complet à l'utilisateur nommé.
    icacls \\10.165.20.3\Perso\%USERNAME% /grant %USERNAME%:(OI)M
    icacls \\10.165.20.3\Perso\%USERNAME% /grant %USERNAME%:(CI)M

    REM Supprime le groupe ou utilisateur nommé dans les droits.
    icacls \\10.165.20.3\Perso\%USERNAME% /remove:g "Utilisateurs du domaine"

    pause

    echo Le répertoire a été créé.
    @exit

    • Proposé comme réponse Nabil-IT mardi 4 novembre 2014 07:19
    vendredi 31 octobre 2014 07:12