none
Ecraser les droits du groupe "utilisateurs du domaines" RRS feed

  • Question

  • Bonjour,

    Dans l'entreprise, nous possédons un partage réseau sur un nas. Disons \\nas\partage\dossier1 pour simplifier, et un AD sous 2008R2.

    Je souhaite que toute l'entreprise accède en lecture seul au dossier1, et que seuls quelques utilisateurs y accèdes en lecture/écriture. Jusque là, rien de compliqué.

    Je souhaite utiliser le groupe "utilisateurs du domaine" pour définir le droit de lecture/exécution à tout mes utilisateurs, et un groupe g_partage_dossier1_RW pour donner les droits de lecture/écriture à mes quelques utilisateurs.

    Mon problème vient du fait que tout les utilisateurs du domaine n'ont accès qu'en lecture/exécution, même ceux appartenant au groupe g_partage_dossier1_RW. C'est comme si le groupe utilisateur du domaine écrasait le groupe de partage. Pourtant il n'y a aucune case "refusé" de cocher au niveau des droits.

    Existe-il un moyen d'outre-passer cela ?



    mardi 1 décembre 2015 11:12

Réponses

  • Salut,

    Quels sont les droits au niveau de ton partage \\nas\partage\dossier1 ?

    Je te conseille de mettre Everyone en FullControl si ce n'est pas le cas, comme ci-dessous :

    Ensuite tu gères les permissions NTFS dans l'onglet Security ;

        Domain Users en lecture seule.

        groupe g_partage_dossier1_RW en lecture/ecriture

        SYSTEM + Admins du domaine en FullControl

    et puis rien d'autre.

    ++

    mardi 1 décembre 2015 18:39
  • Bingo, Merci Bruce JDC.

    Mon problème venait du fait que je ne fermais pas les sessions utilisateurs après un changement de groupe. Du coup, le changement était mal pris en compte.

    Au final, les droits sur mon dossiers sont bien ce que j'avais prévu au début, c'est à dire :

    - Admins du système : full control

    - Utilisateurs du système : Lecture seule

    - G_partage_dossier1_RW : Lecture/écriture

    Et c'est tout.

    Merci aux autres utilisateur pour le temps donné à ce dossier.

    • Marqué comme réponse Yoann Abherve mardi 15 décembre 2015 14:12
    mardi 15 décembre 2015 14:12

Toutes les réponses

  • Salut,

    Quels sont les droits au niveau de ton partage \\nas\partage\dossier1 ?

    Je te conseille de mettre Everyone en FullControl si ce n'est pas le cas, comme ci-dessous :

    Ensuite tu gères les permissions NTFS dans l'onglet Security ;

        Domain Users en lecture seule.

        groupe g_partage_dossier1_RW en lecture/ecriture

        SYSTEM + Admins du domaine en FullControl

    et puis rien d'autre.

    ++

    mardi 1 décembre 2015 18:39
  • Bonjour, et merci de votre réponse.

    Le fait d'autoriser tout le monde à avoir le contrôle total sur le dossier est une faille de sécurité en soit.

    Pour le reste des droits, c'est ce qui est déjà en place, et qui me pose problème

    mercredi 2 décembre 2015 16:25
  • Salut,

    Non ce n'est pas une faille de sécurité, les permissions sont entièrement gérées au niveau NTFS c'est tout. Après si tu considères que NTFS représente une faille de sécurité.. c'est autre chose. Et c'est une des méthodes recommandées par Microsoft (https://technet.microsoft.com/en-us/library/cc754178.aspx?f=255&MSPPError=-2147217396 ) :

    Quels sont les permissions au niveau de ton share ?

    Si ton groupe g_partage_dossier1_RW n'a pas au moins les droits 'Change" au niveau du Share, les permissions NTFS ne servent à rien (c'est toujours la plus restrictive qui prend le dessus).

    jeudi 3 décembre 2015 08:33
  • Pas d'inquiétude à avoir pour le full access.

    C'est tout simplement parce que les permissions ntfs sont toujours celles qui sont prioritaires.

    jeudi 3 décembre 2015 09:12
  • Bonjour,

    De retour de vacances je reprends le dossier.

    J'ai donc testé ce que vous m'avez dit, et je n'arrive toujours pas à obtenir ce que je veux.

    J'applique les droits suivant sur le dossier :

     - Tout le monde : full control

     - Admins du système : full control

     - Utilisateurs du système : Lecture seule

     - G_partage_dossier1_RW : Lecture/écriture

    Dans ce cas là, il se trouve que toute le monde possède tout les droits. Un utilisateur fraichement créer peut faire des modifications dans le dossier, alors qu'il n’appartient qu'au groupe utilisateurs du système

    Lorsque je retire le droit "tout le monde" tout les utilisateurs (y compris ceux du groupe G_partage_dossier1_RW) ne possède que le droit de lecture.

    Je trouve quand même dingue d'être bloqué de la sorte sur un problème d'apparence aussi simple ^^


    lundi 14 décembre 2015 12:56
  • Vous pouvez consulter l'onglet de sécurité avancé pour voir les permissions effectives. Il ne faut pas non plus oublier qu'un utilisateur fraîchement inclus dans un groupe ne récupère le SID de ce groupe qu'après une ouverture de session.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    lundi 14 décembre 2015 13:06
  • Bingo, Merci Bruce JDC.

    Mon problème venait du fait que je ne fermais pas les sessions utilisateurs après un changement de groupe. Du coup, le changement était mal pris en compte.

    Au final, les droits sur mon dossiers sont bien ce que j'avais prévu au début, c'est à dire :

    - Admins du système : full control

    - Utilisateurs du système : Lecture seule

    - G_partage_dossier1_RW : Lecture/écriture

    Et c'est tout.

    Merci aux autres utilisateur pour le temps donné à ce dossier.

    • Marqué comme réponse Yoann Abherve mardi 15 décembre 2015 14:12
    mardi 15 décembre 2015 14:12