none
Attribution des droits d'accès sur AD RRS feed

  • Question

  • Bonjour à tous,

    Dans notre organisation nous avons actuellement Novell et nous voulons passer à Active Directoy.  Nous avons réussi à nous monter une infrastructure AD sur un Windows server 2012.  Nous avons créé des usagers, des groupes et des OU.  Cependant, j'ai commencé à tester les attributions de droits d'accès pour différents répertoires et je rencontre des problèmes.  Je sais qu'en gros, je dois créer un "share" de départ qui permettra à Tout le monde d'avoir des droits pour toute l'arborescence de répertoires, et que je dois ensuite restreindre les sous-répertoires pour bien définir les sécurités.  Cependant, lorsque je tente de donner des droits d'accès à des sous-répertoires qui sont situés beaucoup plus bas que les répertoires de tête, il m'est impossible de les atteindre en les parcourant .  Pourtant, j'ai le share de départ qui me permettrait de voir tous les répertoires qui sont plus hauts.  De plus, je sais que je peux supprimer les héritages et redéfinir les sécurités mais ça ne fonctionne pas plus....

    Par un exemple, voici ce que je veux arriver à faire:


    VOLUME1 "partagé" avec Tout le monde en full control

    Partage1
            SousRepertoire1   --->  droits retirés à tous par défaut
                    SousRepertoire2   --->  "user1" a tous les droits
    Partage2

    Ce que je veux arriver à faire et de permettre à "user1" d'accéder à SousRepertoire2 SEULEMENT.  En principe, ce user devrait voir dans l'explorateur windows seulement Partage1, et ensuite seulement SousRepertoire2.  Il ne doit pas pouvoir accéder aux autres répertoires, pas mes les "voir".

    J'ai défini les permissions du share sur le volume direct en donnant les droits de lecture seule à "Tout le monde", et en définissant les droits d'accès de sécurité directement à SousRepertoire2 pour le user en question. Mais le résultat est que le user voit toute la structure (lecture seule). Sans la définition du Share, je ne vois plus rien..


    Merci de votre support !

    DM


    jeudi 14 mars 2013 19:13

Réponses

  • Bonsoir,

    La fonctionnalité pour masquer les répertoires pour lesquels un utilisateur n'a pas les droits s'appelle Access-based Enumeration (ABE).

    Attention  :

    - ABE fonctionne avec les droits NTFS et non avec les droits du partage

    - ABE s'applique aux sous-répertoires du partage, vous ne pourrez pas masquer un partage avec ABE

    http://msmvps.com/blogs/erikr/archive/2008/06/28/access-based-enumeration-abe.aspx

    http://blogs.technet.com/b/aralves/archive/2007/09/20/windows-server-2008-access-based-enumeration.aspx

    Cdt,

    • Marqué comme réponse Florin Ciuca lundi 18 mars 2013 10:22
    jeudi 14 mars 2013 20:19
  • Bonsoir,

    En fait, la fonctionnalité ABE est à double tranchant !

    Lorsque le mode ABE n'est pas positionné. Par défaut, le droit "transverse" est positionné, et permet à un utilisateur de parcourir les dossiers jusqu'au niveau où il a des droits. En revanche, l'utilisateur ne verra que le 1er niveau des dossiers sur lesquels il n'a aucun droit, et ne pourra pas les parcourir.

    Si le mode ADE est positionné. Le mode Transverse reste actif, mais l'utilisateur doit connaitre le chemin complet du dossier sur lequel il a des droits. Il n'obtient pas la visualisation de l'arborescence jusqu'au dossier où il a pourtant des droits.

    Donc, lorsque l'on donne un droit sur un dossier particulier de l'arborescence, il faudra donner un droit de lecture (sans aucun héritage pour éviter de montrer tous les autres dossiers non souhaités) sur chaque dossier jusqu'à la racine du partage !!!

    Lors d'une migration Novell vers MS, j'utilise un script pour générer ces droits à partir de l'exportation des Trustees de Novell. Recréer cela manuellement serait mortel.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013 (75 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    • Marqué comme réponse Florin Ciuca lundi 18 mars 2013 10:22
    jeudi 14 mars 2013 20:53

Toutes les réponses

  • Bonsoir,

    La fonctionnalité pour masquer les répertoires pour lesquels un utilisateur n'a pas les droits s'appelle Access-based Enumeration (ABE).

    Attention  :

    - ABE fonctionne avec les droits NTFS et non avec les droits du partage

    - ABE s'applique aux sous-répertoires du partage, vous ne pourrez pas masquer un partage avec ABE

    http://msmvps.com/blogs/erikr/archive/2008/06/28/access-based-enumeration-abe.aspx

    http://blogs.technet.com/b/aralves/archive/2007/09/20/windows-server-2008-access-based-enumeration.aspx

    Cdt,

    • Marqué comme réponse Florin Ciuca lundi 18 mars 2013 10:22
    jeudi 14 mars 2013 20:19
  • Bonsoir,

    En fait, la fonctionnalité ABE est à double tranchant !

    Lorsque le mode ABE n'est pas positionné. Par défaut, le droit "transverse" est positionné, et permet à un utilisateur de parcourir les dossiers jusqu'au niveau où il a des droits. En revanche, l'utilisateur ne verra que le 1er niveau des dossiers sur lesquels il n'a aucun droit, et ne pourra pas les parcourir.

    Si le mode ADE est positionné. Le mode Transverse reste actif, mais l'utilisateur doit connaitre le chemin complet du dossier sur lequel il a des droits. Il n'obtient pas la visualisation de l'arborescence jusqu'au dossier où il a pourtant des droits.

    Donc, lorsque l'on donne un droit sur un dossier particulier de l'arborescence, il faudra donner un droit de lecture (sans aucun héritage pour éviter de montrer tous les autres dossiers non souhaités) sur chaque dossier jusqu'à la racine du partage !!!

    Lors d'une migration Novell vers MS, j'utilise un script pour générer ces droits à partir de l'exportation des Trustees de Novell. Recréer cela manuellement serait mortel.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013 (75 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    • Marqué comme réponse Florin Ciuca lundi 18 mars 2013 10:22
    jeudi 14 mars 2013 20:53
  • ok merci pour vos informations, je vais explorer la fonctionnalité ABE et je note bien les mises en garde

    merci!

    DM

    vendredi 15 mars 2013 13:24