locked
Empêcher création répertoire sur c: RRS feed

  • Question

  • Bonjour à tous(tes),

    Je me tourne vers vous car j'ai un petit soucis avec un ordinateur sous Windows 7 dans un domaine. J'essaie d'empêcher la création de répertoires à la racine de c: par les utilisateurs du domaine. Connaissez vous une manière "élégante" de le faire. Savez-vous si il existe une gpo possible ?

    Merci de votre aide, je continue mes recherches en attendant. ( je mettrai à jour).

    jeudi 11 avril 2013 07:46

Réponses

  • Le jeudi 11/04/2013 09:46:27, Mike-eul a écrit dans le message <news:b4a18994-c394-4c36-a0f4-52522c53afad@communitybridge.codeplex.com> ce qui suit :

    Bonjour à tous(tes),

    Je me tourne vers vous car j'ai un petit soucis avec un ordinateur sous Windows 7 dans un domaine. J'essaie d'empêcher la création de répertoires à la racine de c: par les utilisateurs du domaine. Connaissez vous une manière "élégante" de le faire. Savez-vous si il existe une gpo possible ?

    Il suffit de configurer la LCA de "C:\" en conséquence, tout simplement!

    A savoir retirer la possibilité de création de dossiers à tout utilisateur non administrateur de la machine.

    Ce qui veut dire que si tu as déclaré chaque utilisateur du domaine comme administrateur LOCAL de sa machine, ce qui se fait souvent, et bien cette manip n'est pas possible, à moins de "dégrader" localement chaque utilisateur.


    May the Force be with You!
    La Connaissance s'accroît quand on la partage
    ----------------------------------------------------------
    Jean-Claude BELLAMY
    http://www.bellamyjc.fr ou http://www.bellamyjc.org

    • Marqué comme réponse Mike-eul jeudi 11 avril 2013 10:39
    jeudi 11 avril 2013 08:08

Toutes les réponses

  • Le jeudi 11/04/2013 09:46:27, Mike-eul a écrit dans le message <news:b4a18994-c394-4c36-a0f4-52522c53afad@communitybridge.codeplex.com> ce qui suit :

    Bonjour à tous(tes),

    Je me tourne vers vous car j'ai un petit soucis avec un ordinateur sous Windows 7 dans un domaine. J'essaie d'empêcher la création de répertoires à la racine de c: par les utilisateurs du domaine. Connaissez vous une manière "élégante" de le faire. Savez-vous si il existe une gpo possible ?

    Il suffit de configurer la LCA de "C:\" en conséquence, tout simplement!

    A savoir retirer la possibilité de création de dossiers à tout utilisateur non administrateur de la machine.

    Ce qui veut dire que si tu as déclaré chaque utilisateur du domaine comme administrateur LOCAL de sa machine, ce qui se fait souvent, et bien cette manip n'est pas possible, à moins de "dégrader" localement chaque utilisateur.


    May the Force be with You!
    La Connaissance s'accroît quand on la partage
    ----------------------------------------------------------
    Jean-Claude BELLAMY
    http://www.bellamyjc.fr ou http://www.bellamyjc.org

    • Marqué comme réponse Mike-eul jeudi 11 avril 2013 10:39
    jeudi 11 avril 2013 08:08
  • Merci, Jean-Claude  pour la réponse rapide,

    Dans mon domaine, les utilisateurs ne sont pas admin ouf... j'ai supprimer l'autorisation et cela fonctionne , donc suppression du droit de création de répertoire pour "utilisateur authentifié". (j'avais fais un screen, mais je ne peux pas le poster, pas encore le droit)

    En deuxième soluce, "sans intervention" j'ai créé une stratégie de groupe dans configuration de l'ordinateur=>Stratégies=>Paramètres Windows=>Paramètres de

    sécurité=>Système de fichiers, j'y ai ajouté %Systemdrive% et refusé aux utilisateurs authentifiés la création de dossier "pour ce dossier seulement".


    Cela fonctionne, mais je ne sais pas si c'est la "best practice" dans ce cas la.

    Si il existe d'autres solutions, n'hésitez pas à les poster. Je suis preneur.

    tks

    jeudi 11 avril 2013 10:44
  • Le jeudi 11/04/2013 12:44:00, Mike-eul a écrit dans le message <news:6b77daad-7ca8-4c3a-bfb4-6d3355a6cc37@communitybridge.codeplex.com> ce qui suit :

    Merci, Jean-Claude  pour la réponse rapide,

    Dans mon domaine, les utilisateurs ne sont pas admin ouf... j'ai supprimer l'autorisation et cela fonctionne , donc suppression du droit de création de répertoire pour "utilisateur authentifié". (j'avais fais un screen, mais je ne peux pas le poster, pas encore le droit)

    En deuxième soluce, "sans intervention" j'ai créé une stratégie de groupe dans configuration de l'ordinateur=>Stratégies=>Paramètres Windows=>Paramètres de

    sécurité=>Système de fichiers, j'y ai ajouté %Systemdrive% et refusé aux utilisateurs authentifiés la création de dossier "pour ce dossier seulement".


    Cela fonctionne, mais je ne sais pas si c'est la "best practice" dans ce cas la.

    C'est la solution la plus simple et la plus naturelle, DONC c'est la MEILLEURE !!!!
    Inutile de chercher ailleurs, le "mieux" est toujours ennemi du "bien"!

    Plus un truc est complexe ou compliqué, et plus il y a des risques que ça foire!
     Tu as refusé la création de dossiers aux utilisateurs authentifiés : très bien. (cela évite des interdictions non désirées aux comptes de service)

    Mais VÉRIFIE BIEN que les admins ne font pas partie également de ce groupe !!!!
     Il y en a plus d'un qui s'est fait avoir (moi p.ex.!), avec un compte admin qui appartenait A LA FOIS au groupe des admins (normal) mais aussi à un autre groupe plus général tel que "utilisateurs".

    Et en interdisant l'accès aux "utilisateurs", vu qu'une interdiction l'emporte TOUJOURS sur une autorisation quand il y a contradiction, et bien le compte admin se voyait LUI AUSSI interdit d'accès!

    Le genre de "gag" qui fait perdre un temps fou avant qu'il soit résolu!
     -- May the Force be with You!
    La Connaissance s'accroît quand on la partage
    ----------------------------------------------------------
    Jean-Claude BELLAMY
    http://www.bellamyjc.fr ou http://www.bellamyjc.org

    jeudi 11 avril 2013 11:15
  • Encore juste Jean-Claude, Je ne pouvais pas, même avec mon compte admin, créer de dossier.

    j'ai donc arrêté d'"interdire", et tout fonctionne à merveille via ma statégie de groupe. J'y redéfini complètement les autorisation en omettant celle qui autorise un utilisateur authentifié  à créer un dossier.

    Merci beaucoup pour tes conseils et ton partage.

    ;)

    jeudi 11 avril 2013 13:38
  • Bonjour a vous deux, c'est quoi finalement la solution?

    Merci a vous

    jeudi 30 juillet 2015 14:12