locked
Comment permettre de parcourir une arborescence "non authorisée" jusqu'à un dossier disposant des droits en lecture RRS feed

  • Question

  • Bonjour,

    Je migre actuellement depuis netware sur active directory et suis confronté à un problème de droits dans mes partages. Voici l'arborescence de mon partage.

    Z:   // partage (accès en lecture)

    Z:\dossier1 // pas d'accès

    Z:\dossier1\dossier2 // accès en lecture

    Cela marche en accès direct mais je souhaiterais que l'utilisateur puisse parcourir le chemin vers ce dossier en ne voyant que ce à quoi il a droit. C'est à dire rien en amont de mon dossier. Sous Netware, je ne verrais que le chemin vers le dossier pour lequel je dispose de droits.

    J'ai essayé d'utiliser la stratégie locale "Bypass traverse checking" sans succès. Avez vous des suggestions pour résoudre ce problème?

    Cordialement,

    mercredi 17 octobre 2012 14:02

Réponses

  • Donne un accès avancé au dossier1 de "lire" (de dossier, pas de fichier), et donne l'accès pour seulement ce dossier. Cela va lui permettre de voir le contenue du dossier1, mais juste les dossier, pas les fichiers.

    Donc tu va devoir mettre des droits sur genre z:\dossier1\dossier3, pour etre certain que ce n'est pas ouvert a tout le monde aussi.

    Windows 2008 cache les dossier que l'usager na pas les accès, donc le dossier3 ne va pas lui apparaitre.


    MCP | MCTS 70-236: Exchange Server 2007, Configuring

    Want to follow me ?  |  Blog: http://www.jabea.net | http://blogs.technet.com/b/wikininjas/

    • Marqué comme réponse fdubrez jeudi 18 octobre 2012 09:59
    jeudi 18 octobre 2012 02:09
  • J'ai activé "l'access based enumeration" et ça marche! Le seul problème est qu'il faut donner les droits manuellement sur les dossiers parents quand on veux donner accès à une ressource plus bas dans l'arborescence...
    • Marqué comme réponse fdubrez lundi 22 octobre 2012 09:36
    lundi 22 octobre 2012 09:36

Toutes les réponses

  • Donne un accès avancé au dossier1 de "lire" (de dossier, pas de fichier), et donne l'accès pour seulement ce dossier. Cela va lui permettre de voir le contenue du dossier1, mais juste les dossier, pas les fichiers.

    Donc tu va devoir mettre des droits sur genre z:\dossier1\dossier3, pour etre certain que ce n'est pas ouvert a tout le monde aussi.

    Windows 2008 cache les dossier que l'usager na pas les accès, donc le dossier3 ne va pas lui apparaitre.


    MCP | MCTS 70-236: Exchange Server 2007, Configuring

    Want to follow me ?  |  Blog: http://www.jabea.net | http://blogs.technet.com/b/wikininjas/

    • Marqué comme réponse fdubrez jeudi 18 octobre 2012 09:59
    jeudi 18 octobre 2012 02:09
  • Quand est-il des droits appliqués au plus haut niveau?

    Notamment au niveau des propriétés du partage (onglet "Share permissions" et "Security"). Quelles sont vos recommandations? Actuellement je ne peux utiliser seulement le droit "list folder/read data" je suis obligé de lui donner aussi le droit "traverse folder" pour qu'il puisse entrer dans le dossier. Avez vous des suggestions?

    Je pense que je vois les dossiers et fichiers sur lesquels je n'ai aucun droit car le filer NetApp ne doit pas se comporter comme un serveur 2008, qu'en pensez vous?

    jeudi 18 octobre 2012 15:32
  • J'ai tendance a laisser la sécurité du share a everyone->full control, et je sécurise avec les sécurité ntfs.

    Le Bypass traverse checking est-il encore activé ? Cela pourrait expliquer le NetApp qui liste les dossier a laquel l'usager na pas le droit.


    MCP | MCTS 70-236: Exchange Server 2007, Configuring

    Want to follow me ?  |  Blog: http://www.jabea.net | http://blogs.technet.com/b/wikininjas/


    jeudi 18 octobre 2012 20:43
  • J'ai essayé sur une des VMs "vide" avec une install standard de 2008 R2 avec AD et un client Windows 7 sp1. Même résultat... J'avoue ne pas comprendre.

    Sur mon serveur 2008 R2:

    Dossier "partage", share: Everyone/Full control, NTFS Everyone/list content read data sur ce dossier seulement.

    à l'intérieur

    Z:\dossier1 // user1/list content read data

    Z:\dossier1\dossier2 // user1/Modify

    Je peux bien sur traverser l'arborescence des dossiers autorisés explicitement. Mais je vois les dossier et fichiers (sans pouvoir les ouvrir bien sur). J'ai défini les stratégies locale "bypass traverse checking" dans la default domain policy dans l'ad et avec gpedit.msc sur le client en enlevant tous les groupes. 

    vendredi 19 octobre 2012 10:19
  • J'ai activé "l'access based enumeration" et ça marche! Le seul problème est qu'il faut donner les droits manuellement sur les dossiers parents quand on veux donner accès à une ressource plus bas dans l'arborescence...
    • Marqué comme réponse fdubrez lundi 22 octobre 2012 09:36
    lundi 22 octobre 2012 09:36