none
[RESOLU]Création automatique de dossier utilisateur RRS feed

  • Question

  • Bonjour à tous! 

    Je suis un peu perdu dans la gestion des droits (NTFS sûrement ?) .
    En effet, je souhaiterais qu'un dossier situé sur mon partage SMB (disons \\SMB\Services\SAV) soit créé au format p.nom, et que SEUL l'utilisateur en question ET le service informatique aie accès au dossier, cela de manière automatisée.

    J'ai tenté de mettre en place une GPO de création de dossier, mais elle ne fonctionne que si les utilisateurs ont le droit de modification sur le dossier SAV, et par conséquent, sur tous ceux de leurs "collègues". 

    Or, il faudrait qu'ils n'aient accès qu'au Dossier "SAV" en lui même qui est commun en modification, tout en ayant aucun droit sur les dossiers personnels des autres et tous les accès sur les leurs.

    Pour schématiser 

                                                                         SAV (tous les users ont accès en modif à ce dossier)
                                                  
                                                          DOSSIER PERSO                                           DOSSIER DES COLLEGUES

                                                          TOUS LES DROITS                                         AUCUN DROIT

    J'espère avoir été clair
    Merci :) 



    • Modifié WBishop13 mardi 27 octobre 2020 23:04 RESOLU
    samedi 10 octobre 2020 07:53

Réponses

  • Tu vas pas créé ca à la main, tu crées un dossier partagé  à-partir de serveur manager, et tu accordes les droits dans la deuxième étape.

    Il faut lire avant de faire ce que tu veux, tu peux suivre la solution de Jérôme classique si tu veux t'entrainer.



    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    samedi 10 octobre 2020 16:18
  • Tiens ce lien, suis la deuxième partie et si t'as des questions n'hésite pas à nous sollicité, mais on pourra pas faire mieux.

    https://www.google.com/amp/s/rdr-it.com/en/share-a-folder-with-windows-server/amp/


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi


    • Modifié M dakhama samedi 10 octobre 2020 16:21
    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    samedi 10 octobre 2020 16:21
  • REV2

    Bonjour a vous deux,

    Exemple de solution possible :

    1. Créer un dossier dans ton serveur de fichier (2019) avec l'option "PARTAGE SMB rapide" (assistant).

    Exemple :

    C:\Shares\PARTAGE3

    Ne touche pas droit et permissions PARTAGE et NTFS.

    Dans la console DSA.msc

    Dans les propriétés des comptes utilisateurs \ onglet profil \

    2 choix possibles :

    PROFIL (itinérante) permet de créer un dossier personnel (bureau / doc etc...) automatiquement avec droit spécifique seulement pour l'utilisateur.

    Cette fonction porte le de "droit exclusifs sur documents" (seule l'utilisateur peut voir le contenu de ses dossiers).

    DE BASE permet de créer un dossier vide automatiquement mais en effet les utilisateurs peuvent avoir accès aux dossiers des autres utilisateurs (par défaut).

    Dans ce cas cela nécessite de modifier des permissions NTFS pour pouvoir isoler chaque dossiers perso des utilisateurs (retirer sur le root du lecteur / supprimer le groupe tout le monde).


    2. Possible de réaliser l’opération redirection de de PROFIL par GPO

    Exemple la redirection seulement du répertoire "documents"

    Configuration utilisateur / Stratégies / Paramètres Windows / Redirection de dossiers

    Le tutoriel ci dessous explique très bien le procédé :

    https://rdr-it.com/gpo-redirection-de-dossier-utilisateur/

    Avec par contre les options suivantes :

    Paramètre : de base - rediriger les dossiers de tout le monde vers le même emplacement

    Emplacement du dossier cible : Créer un dossier pour chaque utilisateur sous le chemin d’accès racine.

    \\server01\rep01

    (pas besoin de placer %username% le système le rajoute automatiquement)

    dans l'onglet paramètres, laisser l'option coché:

    Accorder à l’utilisateur des droits exclusifs sur document"

    -Pour finir tu peux utiliser la GPO ci dessous pour désactiver les fichier hors connexion :

    Configuration ordinateur > Stratégies > Modèles d’administration > Réseau > Fichier hors connexion.

    CONCLUSION

    Avec l'utilisation de la GPO redirection de dossier du profil :

    -Un utilisateur ne peut pas avoir accès aux autres dossiers "documents"

    -Nécessite un seule dossier partage créé par le wizard du serveur de fichier pour tous les utilisateurs.

    -Tu n'es pas obliger de toucher aux droits et permissions PARTAGES/NTFS.

    -La solution est possible aussi vers en emplacement local

    -A la suppression/modification de stratégie : par défaut celle-ci conserver le dossier dans le nouvel emplacement lorsque la stratégie est supprime.

    Donc pour tes tests fait bien attention de repartir a chaque fois avec de nouveau compte et partage afin de sortir des résultat cohérent.


    "Marquer comme réponse" les réponses qui ont résolu votre problème





    samedi 10 octobre 2020 10:47
  • Salut Wib,

    au contraire les réponses sont utile, comme celle de jerome, néomoins on veut pas faire le travail à ta place, si je te donne un script fait, cela ne t'aidera à rien, car ton objectif et d'apprendre à le faire correctement et de zéro,

    regardes le lien que je t'ai envoyé, fait le tuto, commence d'abord par créer un dossier partagé, et donné les droits aux utilisateurs dessus, en le cachant, ensuite entraine toi de ce que jérome t'avais ecris.

    une fois cette partie terminé, ouvre un nouveau poste, et on t'aidera à accorder à chaque utilisateur un dossier avec son nom


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    lundi 12 octobre 2020 08:58
  • tiens un autre tuto ,

    https://www.woutermakkinje.com/?p=588

    une fois que ton dossier partagé et correctement créer, et que les utilisateurs peuvent créer leur dossier par GPP ou directement sur leur profil, on t'aidera sur l'étape suivante


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    lundi 12 octobre 2020 09:01
  • Bonjour WBishop13

    Conseil "Evite les profils itinérants, ca t'apportera plus de soucis que d'avantages"

    • tu veux que tes users aient tous leurs documents quelque soit la machine sur laquelle ils sont ? HomeDir + GPO redirection de dossiers (MesDocuments + Desktop + .... vers HomeDir)

    Exemples de soucis :

    • raccourci sur le bureau d'une app de PC1. Ouverture de session sur PC2, on a le raccourci mais il pointe sur rien (l'App n'est pas présente sur ce poste)
    • 500 à 1 000 utilisateurs (lycéens) ouvrent et ferment leur session dans le même temps (à la sonnerie) et ce toutes les heures : le serveur de fichiers se prend une claque au niveau charge de travail. Ce n'est pas tant le réseau (ça on peut gérer en ajoutant des cartes/ports réseau dans un team), mais les accès disques en lecture/écriture. Bilan le serveur freeze et les utilisateurs mettent 10 min à fermer/ouvrir leur session.

    Beau challenge pour commencer de scripter la création de comptes en masse.

    • Prépare un fichier .csv qui te servira en input. A terme, tu le transformera en template .xlsx pour les demandes de création si nécessaires.
    • Distingues 2 types de propriétés. Celles qui sont Obligatoires by design pour la création (je dirais, Name,  SamAccountName) et ceux qui sont obligatoires pour ce client (avec éventuellement une convention de nommage p.nom@MonDomaine.local par ex.)
    • Mets juste 3 lignes dans ton .csv (le header + 2 comptes pour tester la boucle) ça sera plus rapide à traiter pour tes tests de dev'
    • Utilise un splat pour passer tes paramètres à ton New-ADUser. C'est propre, plus lisible et plus maintenable.
    $UserParams = @{Prop1 = $User.name
                    Prop2 = $User.SamAccountName
                    Prop3 = "Value3"
                    Prop4 = "Value4"
                    }
    
    New-ADUser @UserParams

    C'est intéressant quand tu commences à avoir pas mal de paramètres à passer et/ou que les dits paramètres sont longs ou résultent de queries précédentes. Ca fait des lignes courtes plus faciles à lire.

    Note bien le @ et non pas un $ quand tu passes le splat.

    [...Je ne savais pas qu'on pouvais faire du traitement en masse en GUI, merci du tips, cependant, à mon sens, c'est dommage que ayant passé moultes heures pour créer un script de création automatique d'utilisateur, je trouve ça dommage d'effectuer une action manuelle derrière ...]: entièrement d'accord, mais il y a toujours des personnes qui ne veulent rien d'autre que faire du click-click quitte à y passer des heures.

    [...le compte créé avec mon script, le home dir est bien configuré, mais il n'est pas effectif, ce qui est d'autant plus frustrant car simplement en enlevant et remttant un caractère ça fonctionne nickel comme je le souhaite...] Oui j'ai remarqué cela aussi, il faut que je me penche sur cette question, car j'ai le même soucis.

    Dans le même genre tu peux scripter facilement la création de partages, droits sur le partage et permissions NTFS et ce en respectant les bonnes pratiques.

    Cordialement

    Olivier

    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    dimanche 18 octobre 2020 06:33
  • Bonjour, 

    Un peu d'idée sur ton environnement, nas, san, server ? Quelle version ?

    Deuxième chose quel doc ou tuto as tu suivi ?

    Autre chise c'est normal que les users doivent avoir le droit modif sinon ils pourront pas creer leur propre dossier, regardes abe pour que les users ne voient pas les dossier des autres.


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    samedi 10 octobre 2020 08:45
  • Je viens de modifier mon explication par GUI.

    Pour une solution full POWERSHELL ou autre voir avec Mehdi et Olivier.

    (Ils sont bien plus fort que moi dans ce domaine).

    Par contre chaque travail mérite salaire.

    WBishop13 merci de cocher les liens utiles ( a gauche) ainsi que les réponses valides en cas de réponse valide.

    Merci et bon weekend


    "Marquer comme réponse" les réponses qui ont résolu votre problème


    dimanche 11 octobre 2020 07:04
  • Bonjour WBishop13

    Ce que tu veux créer s'appelle un Home Dir (ou répertoire personnel). En principe, on fait ceci :

    • On crée un répertoire nommé Home (mais tu le nommes comme tu veux)
    • Tu ajustes les permissions NTFS (le partage on verra après). Une chose primordiale : Tu as tes groupes d'administration qui vont bien avec les permissions NTSF associées. Si un groupe utilisateurs doit avoir accès, ce que tu dois mettre c'est Lecture/exécution - CE DOSSIER Seulement. Quand un HomeDir sera créé (on va voir après), il héritara automatiquement des permissions de son parent, donc le groupe utilisateur cité ci-avant n'y sera plus (ce répertoire seulement) et seul le propriétaire du HomeDir y aura accès (et les admin bien entendu).
    • Maintenant que les permissions NTFS sont ajustées à la racine, partageons ce réperoire Home. Je nomme le partage Home. Une chose IMPORTANTE à avoir en tête : entre les droits sur le partage et les permissions NTFS c'est le plus restrictif des 2 qui l'emporte, toujours. On doit gérer les accès avec les permissions NTFS, pas avec les droits sur le partage sinon c'est une galère sans nom quand tu as des arborescences plus ou moins complexes. Alors vérifie les droits sur le partage et mets Utilisateurs du domaine (supprime tout le monde pour des raisons de sécurité) avec les droits FullControl. AUCUN risque, ce sont les permissions NTFS qui font la limitation (aucune pour tes admin et selon les perm. NTFS pour les autres).
    • GO AD Users&Computers. : Un compte, onglet profil, section Répertoire de Base (PAS PROFIL, c'est pour passer en profil itinérant, ça n'a rien à voir avec ton besoin)
    • Saisis une lettre de lecteur si tu veux que cela soit mappé automatiquement à l'utilisateur plus tard.
    • tu saisis dans le Home Path : \\tonServeur\Home\%Username% et tu cliques sur appliquer. %UserName% est remplacé automatiquement par le logonName de l'utilisateur (le fameux p.nom). Naturellement, tu peux mettre le fameux p.nom aussi mais je te conseille de mettre %UserNameM (on verra ça plus loin)
    • That's all, si tu va faire un tour dans le partage tu constateras qu'un répertoire p.nom est apparu et que lui-seul y a accès (et les admin of course).

    Cerise sur le gâteau : tu peux faire ça graphiquement ET en masse (Oui Medhi Graphiquement ET en masse :-) ). Sélectionnes x comptes en même temps, click-droit Propriétés et là tu verras quelque chose qui ressemble à ce que tu viens de faire sur un compte mais avec moins de possibilités. Normal, comme on a sélectionné plusieurs comptes, on ne voit que ce qui peut être commun à tous les comptes. Go oNglet Profil et tu remplis comme avant en utilisant %UserName%. Appliquer. Tes 2, 5, 10, 50 ... utilisateurs ont maintenant tous un HomeDir.

    Durée d’exécution de tout ça : nettement moins que le temps que j'ai passé pour écrire ce post, c'est sans commune mesure.

    Attention le partage HOME est pour les HomeDir, rien d'autre. Tu ne peux et ne dois en aucun mixer avec d'autres usages.

    Si tu veux créer un partage SAV pour d'autres besoin, pas de pb. Mêmes principes :

    • Les droits d'accès sont gérés par les permissions NTFS pas pas les droits sur le partage
    • On donne des permissions d'accès (NTFS) à des groupes, JAMAIS à des utilisateurs (les 2 seules exceptions sont les répertoires personnels et les dossiers personnels de profil, mais c'est , comme leur nom l'indique ... personnel)

    Ce nouveau partage et d'autres, peuvent être mappés automatiquement via GPO.

    Tu veux scripter quoi ? La création du répertoire Home, l'ajustement de ces permissions NTFS et sa création ? 5 lignes mais oublies ça vu tes connaissances : avant d'utiliser une calculatrice, apprends d'abord à calculer de tête.Ce n'est pas vexatoire, juste un conseil. Un bonne admin doit être un feignant, pas un fainéant. Un fainéant, ça vient du verbe Faire et néant (rien), qui ne fait rien. Un feignant c'est le participe présent du verbe feindre (faire semblant). Etre feignant ne veut pas dire qu'on ne fait pas le boulot, ça veut juste dire qu'on le veut le faire en le moins de temps possible ... afin de faire autre chose (jouer à Tétris, dormir, bosser sur autre chose, ...). Pour être un bon feignant, il faut savoir se creuser la tête ... et c'est là que le scripting entre en oeuvre. Avant ... c'est pour les fainéants.

    Cordialement

    Olivier

    Edit : Plus long que le tien ce post, Jérome. :-)
    • Modifié Oliv - TheFrog samedi 17 octobre 2020 05:17
    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    samedi 17 octobre 2020 05:16
  • bonjour Wbishop13

    tu aurais le nom d'un applet ou module pour gérer les permissions / Droits et partages ?

    NTFSSecurity un must-have. Dis-toi juste une chose : si tu sais faire graphiquement en mode avancé, tu sauras utiliser les cmdlets à ta disposition. 

    Commences par Get-NTFSAccess, tu verras ce que cela te sort. Ensuite, Add-NTFSAccess, pour ajouter.

    C'est vraiment intuitif à utiliser.

    Cordialement

    Olivier

    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    mardi 20 octobre 2020 07:03
  • Salut,

    Fermes le posts pour que ca soit utiles pour d'autres sur la questions de base, et si t'as autres demandes recrées des posts, ici c'est un forum, il fayt que ca servent à d'autres


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi


    • Modifié M dakhama samedi 24 octobre 2020 09:48
    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:00
    samedi 24 octobre 2020 09:48

Toutes les réponses

  • Bonjour, 

    Un peu d'idée sur ton environnement, nas, san, server ? Quelle version ?

    Deuxième chose quel doc ou tuto as tu suivi ?

    Autre chise c'est normal que les users doivent avoir le droit modif sinon ils pourront pas creer leur propre dossier, regardes abe pour que les users ne voient pas les dossier des autres.


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    samedi 10 octobre 2020 08:45
  • REV2

    Bonjour a vous deux,

    Exemple de solution possible :

    1. Créer un dossier dans ton serveur de fichier (2019) avec l'option "PARTAGE SMB rapide" (assistant).

    Exemple :

    C:\Shares\PARTAGE3

    Ne touche pas droit et permissions PARTAGE et NTFS.

    Dans la console DSA.msc

    Dans les propriétés des comptes utilisateurs \ onglet profil \

    2 choix possibles :

    PROFIL (itinérante) permet de créer un dossier personnel (bureau / doc etc...) automatiquement avec droit spécifique seulement pour l'utilisateur.

    Cette fonction porte le de "droit exclusifs sur documents" (seule l'utilisateur peut voir le contenu de ses dossiers).

    DE BASE permet de créer un dossier vide automatiquement mais en effet les utilisateurs peuvent avoir accès aux dossiers des autres utilisateurs (par défaut).

    Dans ce cas cela nécessite de modifier des permissions NTFS pour pouvoir isoler chaque dossiers perso des utilisateurs (retirer sur le root du lecteur / supprimer le groupe tout le monde).


    2. Possible de réaliser l’opération redirection de de PROFIL par GPO

    Exemple la redirection seulement du répertoire "documents"

    Configuration utilisateur / Stratégies / Paramètres Windows / Redirection de dossiers

    Le tutoriel ci dessous explique très bien le procédé :

    https://rdr-it.com/gpo-redirection-de-dossier-utilisateur/

    Avec par contre les options suivantes :

    Paramètre : de base - rediriger les dossiers de tout le monde vers le même emplacement

    Emplacement du dossier cible : Créer un dossier pour chaque utilisateur sous le chemin d’accès racine.

    \\server01\rep01

    (pas besoin de placer %username% le système le rajoute automatiquement)

    dans l'onglet paramètres, laisser l'option coché:

    Accorder à l’utilisateur des droits exclusifs sur document"

    -Pour finir tu peux utiliser la GPO ci dessous pour désactiver les fichier hors connexion :

    Configuration ordinateur > Stratégies > Modèles d’administration > Réseau > Fichier hors connexion.

    CONCLUSION

    Avec l'utilisation de la GPO redirection de dossier du profil :

    -Un utilisateur ne peut pas avoir accès aux autres dossiers "documents"

    -Nécessite un seule dossier partage créé par le wizard du serveur de fichier pour tous les utilisateurs.

    -Tu n'es pas obliger de toucher aux droits et permissions PARTAGES/NTFS.

    -La solution est possible aussi vers en emplacement local

    -A la suppression/modification de stratégie : par défaut celle-ci conserver le dossier dans le nouvel emplacement lorsque la stratégie est supprime.

    Donc pour tes tests fait bien attention de repartir a chaque fois avec de nouveau compte et partage afin de sortir des résultat cohérent.


    "Marquer comme réponse" les réponses qui ont résolu votre problème





    samedi 10 octobre 2020 10:47
  • Bonjour, c'est un environnement lab donc SRV 2019 :) 

    Pas de tuto précis ^^ j'vais regarder abe je sais pas du tout ce que c'est :) 

    samedi 10 octobre 2020 15:22
  • Bonjour merci de ta réponse :) Je cherche justement à automatiser ça sans avoir à créer de dossier à la main :) et c'est la que du coup ça cafouille avec les droits, il faut les droits de modif pour créer leur dossier, donc accès aux autres dossiers

    samedi 10 octobre 2020 15:24
  • Tu vas pas créé ca à la main, tu crées un dossier partagé  à-partir de serveur manager, et tu accordes les droits dans la deuxième étape.

    Il faut lire avant de faire ce que tu veux, tu peux suivre la solution de Jérôme classique si tu veux t'entrainer.



    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    samedi 10 octobre 2020 16:18
  • Tiens ce lien, suis la deuxième partie et si t'as des questions n'hésite pas à nous sollicité, mais on pourra pas faire mieux.

    https://www.google.com/amp/s/rdr-it.com/en/share-a-folder-with-windows-server/amp/


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi


    • Modifié M dakhama samedi 10 octobre 2020 16:21
    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    samedi 10 octobre 2020 16:21
  • Je viens de modifier mon explication par GUI.

    Pour une solution full POWERSHELL ou autre voir avec Mehdi et Olivier.

    (Ils sont bien plus fort que moi dans ce domaine).

    Par contre chaque travail mérite salaire.

    WBishop13 merci de cocher les liens utiles ( a gauche) ainsi que les réponses valides en cas de réponse valide.

    Merci et bon weekend


    "Marquer comme réponse" les réponses qui ont résolu votre problème


    dimanche 11 octobre 2020 07:04
  • Merci beaucoup pour ton explication complète, je teste ça rapidement, je vais néanmoins cocher toutes vos réponses, car même si elles n'ont pas toutes été utiles pour mon cas précis, elle sont néanmoins vraies pour d'autres situations :) 
    lundi 12 octobre 2020 05:33
  • Salut Wib,

    au contraire les réponses sont utile, comme celle de jerome, néomoins on veut pas faire le travail à ta place, si je te donne un script fait, cela ne t'aidera à rien, car ton objectif et d'apprendre à le faire correctement et de zéro,

    regardes le lien que je t'ai envoyé, fait le tuto, commence d'abord par créer un dossier partagé, et donné les droits aux utilisateurs dessus, en le cachant, ensuite entraine toi de ce que jérome t'avais ecris.

    une fois cette partie terminé, ouvre un nouveau poste, et on t'aidera à accorder à chaque utilisateur un dossier avec son nom


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    lundi 12 octobre 2020 08:58
  • tiens un autre tuto ,

    https://www.woutermakkinje.com/?p=588

    une fois que ton dossier partagé et correctement créer, et que les utilisateurs peuvent créer leur dossier par GPP ou directement sur leur profil, on t'aidera sur l'étape suivante


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    lundi 12 octobre 2020 09:01
  • Merci beaucoup ! 
    Ton lien m'a énormément aidé, en lui apportant une petite modification sur les autorisations liées à l'objet "utilisateurs" afin que chacun aie accès à son dossier uniquement. La j'ai fais mes tests, et chacun à bien accès à son dossier uniquement, un grand merci ! Il faut en fait jongler avec les autorisations NTFS et les autorisations liées au partage, j'avoue ne pas avoir pensé à "mixer" les deux! 

    Ca fonctionne en faisant dans profil "Dossier de base" "Connecter" avec le chemin du dossier. 

    Maintenant je m'attaque à la création automatique de ce dossier.
    J'envisage 2 possibilités:

    GPO Création de dossier avec la variable %username% mais ça n'a pas l'air de fonctionner, en même temps sur mon lab, les GPO ont l'air d'être longues à redescendre, donc à voir d'ici demain si ça fonctionne. 

    Sinon, ajouter dans mon script de création d'utilisateur déjà en place le paramètre pour le "dossier de base" en powershell, ça doit être possible ^^

    vendredi 16 octobre 2020 20:54
  • Alors je touche au but, en powershell j'arrive bien  à faire en sorte que dans profil, il mette bien le U: avec le chemin réseau 

    \\srv-smb-pxe\test\monuser

    Cependant, ça ne monte pas le lecteur, et ça ne créé pas le dossier sur le serveur. il suffit que je supprime la dernière lettre de l'user et la retape à la main, pour que cette fois le dossier se créé et le lecteur se monte


    vendredi 16 octobre 2020 21:58
  • Bonjour WBishop13

    Ce que tu veux créer s'appelle un Home Dir (ou répertoire personnel). En principe, on fait ceci :

    • On crée un répertoire nommé Home (mais tu le nommes comme tu veux)
    • Tu ajustes les permissions NTFS (le partage on verra après). Une chose primordiale : Tu as tes groupes d'administration qui vont bien avec les permissions NTSF associées. Si un groupe utilisateurs doit avoir accès, ce que tu dois mettre c'est Lecture/exécution - CE DOSSIER Seulement. Quand un HomeDir sera créé (on va voir après), il héritara automatiquement des permissions de son parent, donc le groupe utilisateur cité ci-avant n'y sera plus (ce répertoire seulement) et seul le propriétaire du HomeDir y aura accès (et les admin bien entendu).
    • Maintenant que les permissions NTFS sont ajustées à la racine, partageons ce réperoire Home. Je nomme le partage Home. Une chose IMPORTANTE à avoir en tête : entre les droits sur le partage et les permissions NTFS c'est le plus restrictif des 2 qui l'emporte, toujours. On doit gérer les accès avec les permissions NTFS, pas avec les droits sur le partage sinon c'est une galère sans nom quand tu as des arborescences plus ou moins complexes. Alors vérifie les droits sur le partage et mets Utilisateurs du domaine (supprime tout le monde pour des raisons de sécurité) avec les droits FullControl. AUCUN risque, ce sont les permissions NTFS qui font la limitation (aucune pour tes admin et selon les perm. NTFS pour les autres).
    • GO AD Users&Computers. : Un compte, onglet profil, section Répertoire de Base (PAS PROFIL, c'est pour passer en profil itinérant, ça n'a rien à voir avec ton besoin)
    • Saisis une lettre de lecteur si tu veux que cela soit mappé automatiquement à l'utilisateur plus tard.
    • tu saisis dans le Home Path : \\tonServeur\Home\%Username% et tu cliques sur appliquer. %UserName% est remplacé automatiquement par le logonName de l'utilisateur (le fameux p.nom). Naturellement, tu peux mettre le fameux p.nom aussi mais je te conseille de mettre %UserNameM (on verra ça plus loin)
    • That's all, si tu va faire un tour dans le partage tu constateras qu'un répertoire p.nom est apparu et que lui-seul y a accès (et les admin of course).

    Cerise sur le gâteau : tu peux faire ça graphiquement ET en masse (Oui Medhi Graphiquement ET en masse :-) ). Sélectionnes x comptes en même temps, click-droit Propriétés et là tu verras quelque chose qui ressemble à ce que tu viens de faire sur un compte mais avec moins de possibilités. Normal, comme on a sélectionné plusieurs comptes, on ne voit que ce qui peut être commun à tous les comptes. Go oNglet Profil et tu remplis comme avant en utilisant %UserName%. Appliquer. Tes 2, 5, 10, 50 ... utilisateurs ont maintenant tous un HomeDir.

    Durée d’exécution de tout ça : nettement moins que le temps que j'ai passé pour écrire ce post, c'est sans commune mesure.

    Attention le partage HOME est pour les HomeDir, rien d'autre. Tu ne peux et ne dois en aucun mixer avec d'autres usages.

    Si tu veux créer un partage SAV pour d'autres besoin, pas de pb. Mêmes principes :

    • Les droits d'accès sont gérés par les permissions NTFS pas pas les droits sur le partage
    • On donne des permissions d'accès (NTFS) à des groupes, JAMAIS à des utilisateurs (les 2 seules exceptions sont les répertoires personnels et les dossiers personnels de profil, mais c'est , comme leur nom l'indique ... personnel)

    Ce nouveau partage et d'autres, peuvent être mappés automatiquement via GPO.

    Tu veux scripter quoi ? La création du répertoire Home, l'ajustement de ces permissions NTFS et sa création ? 5 lignes mais oublies ça vu tes connaissances : avant d'utiliser une calculatrice, apprends d'abord à calculer de tête.Ce n'est pas vexatoire, juste un conseil. Un bonne admin doit être un feignant, pas un fainéant. Un fainéant, ça vient du verbe Faire et néant (rien), qui ne fait rien. Un feignant c'est le participe présent du verbe feindre (faire semblant). Etre feignant ne veut pas dire qu'on ne fait pas le boulot, ça veut juste dire qu'on le veut le faire en le moins de temps possible ... afin de faire autre chose (jouer à Tétris, dormir, bosser sur autre chose, ...). Pour être un bon feignant, il faut savoir se creuser la tête ... et c'est là que le scripting entre en oeuvre. Avant ... c'est pour les fainéants.

    Cordialement

    Olivier

    Edit : Plus long que le tien ce post, Jérome. :-)
    • Modifié Oliv - TheFrog samedi 17 octobre 2020 05:17
    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    samedi 17 octobre 2020 05:16
  • Bonjour Olivier,  oui un home dir c'est bien cela, j'avais pas le terme exact au bout des doigts, je ne m'attelle pas au côté profil, vu que ce n'est pas ce qui est demandé, mais je m'y pencherais surement un peu plus tard sur un lab et pour le mettre en place dans ma boîte sur les profils itinérants (j'veut dire, sur les gens qui sont vraiment mobiles^^)
    Je te remercie pour tes précisions sur certains points.Effectivement j'avais bien en tête la proximité entre les groupes de sécurité et les droits :) 
    Donc oui, je parlais bien du home dir, mais ça se définit dans l'onglet profil, d'ou ma confusion. 
    Je te rassure, je ne me vexe pas, je suis étudiant, il serait donc prétencieux d'affirmer que je sais et n'ai rien à apprendre :) 
    Effectivement, ce que je veut scripter c'est ça, et c'est un peu ça qui me frustre c'est que en fait c'est déjà "scripté" puisque quand je me rends sur le compte créé avec mon script, le home dir est bien configuré, mais il n'est pas effectif, ce qui est d'autant plus frustrant car simplement en enlevant et remttant un caractère ça fonctionne nickel comme je le souhaite. Je ne savais pas qu'on pouvais faire du traitement en masse en GUI, merci du tips, cependant, à mon sens, c'est dommage que ayant passé moultes heures pour créer un script de création automatique d'utilisateur, je trouve ça dommage d'effectuer une action manuelle derrière (le but étant d'étayer ce script au fur et à mesure pour automatiser le max de choses) 

    Pour info, voila ce que j'ai mis dans mon script:(je ne te met que les lignes pertinentes bien entendu) 

    sam=$prenom.substring(0,1)+"."+$nom
    $path="\\srv-smb-pxe\test\"+$sam
    set-Aduser $sam -homedrive U -Homedirectory $path

    J'ai tentée de mettre directement le chemin complet après le -homediretory avec le %username% mais comme le chemin est entre côte, sur l'AD c'est le chemin avec %username% (et non la valeur de celui-ci) qui remonte)donc j'ai choisi l'option variable

    Pour être transparent, c'est en premier lieu pour un projet scolaire que je souhaite faire cela, mais une fois que cela sera pleinement fonctionnel, le déployer dans la boîte dans laquelle je suis en alternance (on a récupérer un SI en PLS, avec 3 équipes complètes qui ont changé en 4 ans, sans aucune passation, peu de process écrits, donc le SI est dans un piteux état).

    samedi 17 octobre 2020 08:34
  • Bonjour WBishop13

    Conseil "Evite les profils itinérants, ca t'apportera plus de soucis que d'avantages"

    • tu veux que tes users aient tous leurs documents quelque soit la machine sur laquelle ils sont ? HomeDir + GPO redirection de dossiers (MesDocuments + Desktop + .... vers HomeDir)

    Exemples de soucis :

    • raccourci sur le bureau d'une app de PC1. Ouverture de session sur PC2, on a le raccourci mais il pointe sur rien (l'App n'est pas présente sur ce poste)
    • 500 à 1 000 utilisateurs (lycéens) ouvrent et ferment leur session dans le même temps (à la sonnerie) et ce toutes les heures : le serveur de fichiers se prend une claque au niveau charge de travail. Ce n'est pas tant le réseau (ça on peut gérer en ajoutant des cartes/ports réseau dans un team), mais les accès disques en lecture/écriture. Bilan le serveur freeze et les utilisateurs mettent 10 min à fermer/ouvrir leur session.

    Beau challenge pour commencer de scripter la création de comptes en masse.

    • Prépare un fichier .csv qui te servira en input. A terme, tu le transformera en template .xlsx pour les demandes de création si nécessaires.
    • Distingues 2 types de propriétés. Celles qui sont Obligatoires by design pour la création (je dirais, Name,  SamAccountName) et ceux qui sont obligatoires pour ce client (avec éventuellement une convention de nommage p.nom@MonDomaine.local par ex.)
    • Mets juste 3 lignes dans ton .csv (le header + 2 comptes pour tester la boucle) ça sera plus rapide à traiter pour tes tests de dev'
    • Utilise un splat pour passer tes paramètres à ton New-ADUser. C'est propre, plus lisible et plus maintenable.
    $UserParams = @{Prop1 = $User.name
                    Prop2 = $User.SamAccountName
                    Prop3 = "Value3"
                    Prop4 = "Value4"
                    }
    
    New-ADUser @UserParams

    C'est intéressant quand tu commences à avoir pas mal de paramètres à passer et/ou que les dits paramètres sont longs ou résultent de queries précédentes. Ca fait des lignes courtes plus faciles à lire.

    Note bien le @ et non pas un $ quand tu passes le splat.

    [...Je ne savais pas qu'on pouvais faire du traitement en masse en GUI, merci du tips, cependant, à mon sens, c'est dommage que ayant passé moultes heures pour créer un script de création automatique d'utilisateur, je trouve ça dommage d'effectuer une action manuelle derrière ...]: entièrement d'accord, mais il y a toujours des personnes qui ne veulent rien d'autre que faire du click-click quitte à y passer des heures.

    [...le compte créé avec mon script, le home dir est bien configuré, mais il n'est pas effectif, ce qui est d'autant plus frustrant car simplement en enlevant et remttant un caractère ça fonctionne nickel comme je le souhaite...] Oui j'ai remarqué cela aussi, il faut que je me penche sur cette question, car j'ai le même soucis.

    Dans le même genre tu peux scripter facilement la création de partages, droits sur le partage et permissions NTFS et ce en respectant les bonnes pratiques.

    Cordialement

    Olivier

    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    dimanche 18 octobre 2020 06:33
  • Hello olivier! En effet j'avais pensé à ces problèmes d'accés simultanés, dans un monde merveilleux on a des serveurs en raid 50 / 51 de SSD, mais on est d'accord, peu de clients peuvent se permettre ce genre d'extravagances ^^ pour quoi j'me suis plus orienté sur le principe de homedir

    Si je trouve quelque chose sur ce soucis, je te tiendrais au courant

    Je connaissais pas du tout le splat, j'vais approfondir, concernant mon script, j'ai déjà une fonction de traitement via CSV qui fonctionne :) 

    Enfin, sans me mâcher le travail, tu aurais le nom d'un applet ou module pour gérer les permissions / Droits et partages ? J'ai essayé le ICACLS, mais la techno semble ancienne, et est assez compliquée à utiliser au vu des premiers tests effectués

    Cordialement

    mardi 20 octobre 2020 05:13
  • bonjour Wbishop13

    tu aurais le nom d'un applet ou module pour gérer les permissions / Droits et partages ?

    NTFSSecurity un must-have. Dis-toi juste une chose : si tu sais faire graphiquement en mode avancé, tu sauras utiliser les cmdlets à ta disposition. 

    Commences par Get-NTFSAccess, tu verras ce que cela te sort. Ensuite, Add-NTFSAccess, pour ajouter.

    C'est vraiment intuitif à utiliser.

    Cordialement

    Olivier

    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:01
    mardi 20 octobre 2020 07:03
  • ok merci beaucoup olivier. 

    Je vais laisser ça en standby quelques temps, je ferme le post ou je peut l'garder ouvert?
    samedi 24 octobre 2020 08:50
  • Salut,

    Fermes le posts pour que ca soit utiles pour d'autres sur la questions de base, et si t'as autres demandes recrées des posts, ici c'est un forum, il fayt que ca servent à d'autres


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi


    • Modifié M dakhama samedi 24 octobre 2020 09:48
    • Marqué comme réponse WBishop13 mardi 27 octobre 2020 23:00
    samedi 24 octobre 2020 09:48
  • OK merci à tous pour vos réponses en tout cas ! à bientôt j'espère

    mardi 27 octobre 2020 22:59