Propagation ACL de GPO (AD) vers ACL du SYSVOL

Toutes les réponses

• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  Pour les ACL de type système de fichier il faut passer par une autre classe semblable à celle de l'AD :

  <tt>System.Security.AccessControl.FileSystemRights</tt>

  Le constructeur de la classe est dispo ici avec quelques exemples pratiques :

  https://technet.microsoft.com/fr-fr/library/ff730951.aspx

  Une fois ton constructeur adapté à ton besoin tu peux ensuite passer par le share directement \\mondomaine.local\sysvol pour appliquer tes ACEs dans les ACLs de Sysvol.

  Voici un exemple de constructeur pour te familiariser avec :

  $colRights=[System.Security.AccessControl.FileSystemRights]"FullControl"
  
   
  $InheritanceFlag=[System.Security.AccessControl.InheritanceFlags]::ContainerInherit,[System.Security.AccessControl.InheritanceFlags]::ObjectInherit
  
   
  $PropagationFlag= [System.Security.AccessControl.PropagationFlags]::NoPropagateInherit
  
   
  $objType= [System.Security.AccessControl.AccessControlType]::Allow
  
   
  $objUser= New-Object System.Security.Principal.NTAccount("DOM\Admins Bureautique")
  
   
  $ACE01= New-Object System.Security.AccessControl.FileSystemAccessRule($objUser,$colRights,$InheritanceFlag,$PropagationFlag,$objType)
  
  $FolderTree= gci '\\mondomaine.local\sysvol\' -recurse -ErrorAction SilentlyContinue -ErrorVariable +Global:strError
  
  Foreach ($Folder in $FolderTree.FullName)
  
  {
   
  $ColACL= Get-Acl $Folder
  $ColAcl.AddAccessRule($ACE01)
  Set-ACL -ACLObject $ColAcl -path $Folder
   
  }

  
  

  ---

  Kévin KISOKA - MCITP Entreprise Messaging Administrator, MCTS Hyper-V Server Virtualization I do not represent the organisation I work for, all the opinions expressed here, are my own. This posting is provided AS IS with no warranties or guarantees and confers no rights.

  
  
  
  

  • Modifié KISOKA Kévin vendredi 29 mai 2015 09:54 Code insertion

  jeudi 28 mai 2015 13:41

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Il n'est pas recommandé de modifié les ACL du partage sysvol !

  Quel est votre objectif ?

  • Proposé comme réponse Philippe BarthMVP mardi 30 juin 2015 05:32

  jeudi 28 mai 2015 18:35

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  Désolé du retard, pris sur d'autres chantiers, je n'avais pas mis les pieds sur le forum depuis un moment.

  L'objectif du script est la création/modification de GPO avec de la modification des autorisations appliqués/refusés.

  voila

  lundi 6 juin 2016 09:40

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Pour modifier les utilisateurs/ordinateurs ou des groupes sur lesquels les GPO s'appliquent il faut modifier le filtrage de sécurité dans la stratégie de groupe depuis la console de gestion des GPO.

  Il ne faut pas modifier les permissions ntfs des dossier dans sysvol.

  mardi 7 juin 2016 05:20

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Bonjour Philippe,

  Mais le but du script c'est l'automatisation du besoin et de ne plus passer par la console pour gagner du temps, non l'inverse.

  Merci pour votre aide.

  samedi 11 juin 2016 12:52

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Si tu veux automatiser passe par powershell qui est en mesure de gérer les GPO :

  https://technet.microsoft.com/en-us/library/ee461027.aspx

  Par exemple :

  Set-GPPermissions

  • Proposé comme réponse KISOKA Kévin samedi 22 octobre 2016 17:11

  samedi 11 juin 2016 13:25

  Réponse

  |

  Citation