Auteur de questions
Propagation ACL de GPO (AD) vers ACL du SYSVOL

Question
-
Bonjour à tous,
J'ai créé un script qui met à jour les ACL de mes GPO via les commandes System.DirectoryServices.ActiveDirectoryAccessRule.
Hors cela ne change que les ACL dans l'AD.
Du coup, quand j'ouvre ma GPO via la console GPMC, j'ai la belle fenêtre qui apparaît me signalant que les autorisations de cet objet GPO dans le dossier SYSVOL sont incohérentes avec celle d'Active Directory et me propose de les rendre cohérentes.
Existe-t'il un moyen d'automatisé la cohérence de l'AD vers SYSVOL ?Merci par avance de vos réponses.
Toutes les réponses
-
Bonjour,
Pour les ACL de type système de fichier il faut passer par une autre classe semblable à celle de l'AD :
<tt>System.Security.AccessControl.FileSystemRights</tt>
Le constructeur de la classe est dispo ici avec quelques exemples pratiques :
https://technet.microsoft.com/fr-fr/library/ff730951.aspx
Une fois ton constructeur adapté à ton besoin tu peux ensuite passer par le share directement \\mondomaine.local\sysvol pour appliquer tes ACEs dans les ACLs de Sysvol.
Voici un exemple de constructeur pour te familiariser avec :
$colRights=[System.Security.AccessControl.FileSystemRights]"FullControl" $InheritanceFlag=[System.Security.AccessControl.InheritanceFlags]::ContainerInherit,[System.Security.AccessControl.InheritanceFlags]::ObjectInherit $PropagationFlag= [System.Security.AccessControl.PropagationFlags]::NoPropagateInherit $objType= [System.Security.AccessControl.AccessControlType]::Allow $objUser= New-Object System.Security.Principal.NTAccount("DOM\Admins Bureautique") $ACE01= New-Object System.Security.AccessControl.FileSystemAccessRule($objUser,$colRights,$InheritanceFlag,$PropagationFlag,$objType) $FolderTree= gci '\\mondomaine.local\sysvol\' -recurse -ErrorAction SilentlyContinue -ErrorVariable +Global:strError Foreach ($Folder in $FolderTree.FullName) { $ColACL= Get-Acl $Folder $ColAcl.AddAccessRule($ACE01) Set-ACL -ACLObject $ColAcl -path $Folder }
Kévin KISOKA - MCITP Entreprise Messaging Administrator, MCTS Hyper-V Server Virtualization I do not represent the organisation I work for, all the opinions expressed here, are my own. This posting is provided AS IS with no warranties or guarantees and confers no rights.
- Modifié KISOKA Kévin vendredi 29 mai 2015 09:54 Code insertion
-
Il n'est pas recommandé de modifié les ACL du partage sysvol !
Quel est votre objectif ?
- Proposé comme réponse Philippe BarthMVP mardi 30 juin 2015 05:32
-
-
Pour modifier les utilisateurs/ordinateurs ou des groupes sur lesquels les GPO s'appliquent il faut modifier le filtrage de sécurité dans la stratégie de groupe depuis la console de gestion des GPO.
Il ne faut pas modifier les permissions ntfs des dossier dans sysvol.
-
-
Si tu veux automatiser passe par powershell qui est en mesure de gérer les GPO :
https://technet.microsoft.com/en-us/library/ee461027.aspx
Par exemple :
Set-GPPermissions
- Proposé comme réponse KISOKA Kévin samedi 22 octobre 2016 17:11