none
Propagation ACL de GPO (AD) vers ACL du SYSVOL RRS feed

  • Question

  • Bonjour à tous,

    J'ai créé un script qui met à jour les ACL de mes GPO via les commandes System.DirectoryServices.ActiveDirectoryAccessRule.
    Hors cela ne change que les ACL dans l'AD.
    Du coup, quand j'ouvre ma GPO via la console GPMC, j'ai la belle fenêtre qui apparaît me signalant que les autorisations de cet objet GPO dans le dossier SYSVOL sont incohérentes avec celle d'Active Directory et me propose de les rendre cohérentes.
    Existe-t'il un moyen d'automatisé la cohérence de l'AD vers SYSVOL ?

    Merci par avance de vos réponses.

    lundi 30 mars 2015 11:14

Toutes les réponses

  • Bonjour,

    Pour les ACL de type système de fichier il faut passer par une autre classe semblable à celle de l'AD :

    <tt>System.Security.AccessControl.FileSystemRights</tt>

    Le constructeur de la classe est dispo ici avec quelques exemples pratiques :

    https://technet.microsoft.com/fr-fr/library/ff730951.aspx

    Une fois ton constructeur adapté à ton besoin tu peux ensuite passer par le share directement \\mondomaine.local\sysvol pour appliquer tes ACEs dans les ACLs de Sysvol.

    Voici un exemple de constructeur pour te familiariser avec :

    $colRights=[System.Security.AccessControl.FileSystemRights]"FullControl"
    
     
    $InheritanceFlag=[System.Security.AccessControl.InheritanceFlags]::ContainerInherit,[System.Security.AccessControl.InheritanceFlags]::ObjectInherit
    
     
    $PropagationFlag= [System.Security.AccessControl.PropagationFlags]::NoPropagateInherit
    
     
    $objType= [System.Security.AccessControl.AccessControlType]::Allow
    
     
    $objUser= New-Object System.Security.Principal.NTAccount("DOM\Admins Bureautique")
    
     
    $ACE01= New-Object System.Security.AccessControl.FileSystemAccessRule($objUser,$colRights,$InheritanceFlag,$PropagationFlag,$objType)
    
    $FolderTree= gci '\\mondomaine.local\sysvol\' -recurse -ErrorAction SilentlyContinue -ErrorVariable +Global:strError
    
    Foreach ($Folder in $FolderTree.FullName)
    
    {
     
    $ColACL= Get-Acl $Folder
    $ColAcl.AddAccessRule($ACE01)
    Set-ACL -ACLObject $ColAcl -path $Folder
     
    }


    Kévin KISOKA - MCITP Entreprise Messaging Administrator, MCTS Hyper-V Server Virtualization I do not represent the organisation I work for, all the opinions expressed here, are my own. This posting is provided AS IS with no warranties or guarantees and confers no rights.




    • Modifié KISOKA Kévin vendredi 29 mai 2015 09:54 Code insertion
    jeudi 28 mai 2015 13:41
  • Il n'est pas recommandé de modifié les ACL du partage sysvol !

    Quel est votre objectif ?

    jeudi 28 mai 2015 18:35
  • Bonjour,

    Désolé du retard, pris sur d'autres chantiers, je n'avais pas mis les pieds sur le forum depuis un moment.

    L'objectif du script est la création/modification de GPO avec de la modification des autorisations appliqués/refusés.

    voila

    lundi 6 juin 2016 09:40
  • Pour modifier les utilisateurs/ordinateurs ou des groupes sur lesquels les GPO s'appliquent il faut modifier le filtrage de sécurité dans la stratégie de groupe depuis la console de gestion des GPO.

    Il ne faut pas modifier les permissions ntfs des dossier dans sysvol.

    mardi 7 juin 2016 05:20
  • Bonjour Philippe,

    Mais le but du script c'est l'automatisation du besoin et de ne plus passer par la console pour gagner du temps, non l'inverse.

    Merci pour votre aide.

    samedi 11 juin 2016 12:52
  • Si tu veux automatiser passe par powershell qui est en mesure de gérer les GPO :

    https://technet.microsoft.com/en-us/library/ee461027.aspx

    Par exemple :

    Set-GPPermissions

    • Proposé comme réponse KISOKA Kévin samedi 22 octobre 2016 17:11
    samedi 11 juin 2016 13:25