none
[CLOS] [ISILON] Gestion droits NTFS dossiers partagés RRS feed

  • Question

  • Bonjour,

    Mon entreprise possède un système de stockage ISILON de 1,5P.

    Je dois mettre en place le modèle RBAC pour une gestion simplifié des droits d'accès NTFS, je souhaite ajouter sur tous mes dossiers partagés 3 groupes : un avec les droits en écriture, un avec les droits d'écriture et un dernier avec les droits contrôle total.

    Je rencontre des problèmes de modifications des droits sur certains dossier, par exemple "accès refusé" ou bien "fichier verrouillé" alors que le compte administrateur a les droits accès Full Control sur tous les dossiers et fichiers .

    J'obtiens les même résultats avec la commande icacls.

    Auriez-vous une méthode pour gérer les droits accès et forcer l'application des droits d'accès?

    Merci de votre aide.

    D.


    • Modifié Daivy lundi 25 juin 2018 12:41
    lundi 25 juin 2018 10:21

Réponses

  • Bonjour,

    pour les fichiers "verrouillés", on ne peut pas faire grand chose. Un fichier ouvert en écriture est totalement bloqué, même pour l'administrateur, même en ayant tous les droits.

    => Il faut retirer fermer toutes les connexions et les fichiers ouverts, pour ne pas avoir ce problème. Sinon, le fichier hérite normalement des droits du dossier, donc il est souvent inutile de passer par là.

    Pour les accès refusés, il faut utiliser un compte qui possède réellement les droits sur tous les dossiers et fichiers, ou tout au moins sur l'arborescence à modifier.

    => Si aucun compte (Groupe, Administrateur) n'a gardé ce type de droits, cela va être compliqué à gérer. Partout où l'héritage a été cassé, et où les administrateurs n'ont pas/plus les droits, il faut forcer la propriété, remettre les droits pour les administrateurs, puis remettre les droits spécifiques (si on les connaît ou si on a pu les lire)... Les scripts qui font cela bien sont peu nombreux. Le risque est important de perdre des droits particuliers mis sur un sous-niveau.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    • Marqué comme réponse Daivy lundi 25 juin 2018 12:41
    lundi 25 juin 2018 10:44

Toutes les réponses

  • Bonjour,

    pour les fichiers "verrouillés", on ne peut pas faire grand chose. Un fichier ouvert en écriture est totalement bloqué, même pour l'administrateur, même en ayant tous les droits.

    => Il faut retirer fermer toutes les connexions et les fichiers ouverts, pour ne pas avoir ce problème. Sinon, le fichier hérite normalement des droits du dossier, donc il est souvent inutile de passer par là.

    Pour les accès refusés, il faut utiliser un compte qui possède réellement les droits sur tous les dossiers et fichiers, ou tout au moins sur l'arborescence à modifier.

    => Si aucun compte (Groupe, Administrateur) n'a gardé ce type de droits, cela va être compliqué à gérer. Partout où l'héritage a été cassé, et où les administrateurs n'ont pas/plus les droits, il faut forcer la propriété, remettre les droits pour les administrateurs, puis remettre les droits spécifiques (si on les connaît ou si on a pu les lire)... Les scripts qui font cela bien sont peu nombreux. Le risque est important de perdre des droits particuliers mis sur un sous-niveau.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    • Marqué comme réponse Daivy lundi 25 juin 2018 12:41
    lundi 25 juin 2018 10:44
  • Bonjour,

    Merci de votre réponse rapide et pour votre aide.

    C'est bien ce que je pensais, je vais galérer pour remettre des bonnes pratiques sur notre stockage.

    J'ai trouvé un contournement que je n'aime pas trop, je modifie les droits avec le compte root de notre stockage.

    Belle journée à vous et encore merci.

    D.

    lundi 25 juin 2018 12:41
  • Du coup, le compte "root" est une bonne méthode...

    Mais tout le monde n'a pas cette chance.


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    lundi 25 juin 2018 17:18