locked
Définir des permissions à un répertoire local par GPO RRS feed

  • Question

  • Bonjour à tous,

     

    Je cherche à appliquer via les stratégies de groupe (définies depuis mon serveur AD (W2K3)) une interdiction d'accès à un répertoire local (le conteneur d'une application logicielle) sur la machine d'une partie des utilisateurs du domaine (WindowsXP)).

     

    J'ai défini précédemment une GPO qui leur empêche de lancer l'exécutable de ce programme, via une restriction logicielle, mais les utilisateurs ont toujours accès au contenu du répertoire (et sont susceptibles de "toucher" aux données créées par les utilisateurs qui peuvent lancer le programme).

     

    Mon prédécesseur réalisait cette interdiction en créant sur AD un groupe exclusif d'utilisateurs, et plaçait localement sur chaque machine une autorisation d'écriture et exécution sur ce répertoire pour le groupe précité, et excluait ainsi tous les autres.

    Le problème, c'est que les machines ont toutes été réinstallées sans la définition des permissions de ce groupe local (et il y a plusieurs centaines de machines concernées (!)), sans compter sur le fait que chaque année, il devait modifier les utilisateurs de ce groupe sur son serveur, avec les nouveaux "clients" (à limiter) et les anciens "clients" (qui peuvent disposer de cet accès)

    (précision : je travaille dans une école supérieure, et les étudiants de première année ne peuvent avoir accès à certaines applications, qui leur sont autorisées ensuite à partir de la deuxième)

     

    Savez-vous s'il est possible de réaliser cette modification de permission locale depuis mon serveur (par GPO ou autre) ?

     

    Merci encore !

    • Déplacé SachinW jeudi 4 février 2010 00:52 Forum Consolidation (Origine :Windows Server 2003 – Sécurité)
    mardi 25 novembre 2008 11:48

Réponses

  • Bonsoir,

     

    l'utilisation d'un script dans une stratégie utilisant la commande CACLS (ou XCACLS) pour affecter les refus nécessaires sur les dossiers locaux.

     

    Attention, les refus sont à manier avec précautions... Il vaut mieux retirer les groupes non autorisés, et ne laisser que les groupes autorisés.

    A+

     

     

    mardi 25 novembre 2008 20:49

Toutes les réponses

  • Bonsoir,

     

    l'utilisation d'un script dans une stratégie utilisant la commande CACLS (ou XCACLS) pour affecter les refus nécessaires sur les dossiers locaux.

     

    Attention, les refus sont à manier avec précautions... Il vaut mieux retirer les groupes non autorisés, et ne laisser que les groupes autorisés.

    A+

     

     

    mardi 25 novembre 2008 20:49
  • Bonsoir Thierry,

    Merci encore pour tes précisions !
    J'ai déjà commencé à travailler sur l'élaboration du script (test à venir "incessamment sous peu"), mais après avoir parcouru quelques articles sur CACLS et XCACLS, j'ai pas mal entendu parler d'un petit exécutable open source "SetACL.exe" qui ne présenterait
    pas (s'il faut en croire ce qu'on peut en lire) certaines limitations des deux exécutables de Microsoft (je ne sais pas si tu as déjà eu l'occasion de le tester de ton côté) ...

    Bon, on va toujours essayer ce petit programme dans un premier temps (les tests que j'ai fais jusque ici, en local dans un premier temps, sont assez bluffants : d'une ligne de code, on rajoute un groupe ou un utilisateur
    aux permissions d'un répertoire, ou on modifie un niveau de permission, ou on supprime encore l'héritage en imposant ou non la propagation des permissions, ... on peut obtenir un listing de ces dernières sur les répertoires sélectionnés et il y a même des outils qui permettent le basculement de folders entiers (sans pertes des droits) lors de la migration d'un serveur).

    Il me reste à voir le fonctionnement du tout au sein du domaine, au départ d'un script, avant de me prononcer définitivement.

    Si tout est opérationnel, je déposerai ici quelques lignes de commande "type" avec SetACL.exe, au cas où cela vienne en aide à quelqu'un à l'occasion ...

    Merci encore !
    jeudi 27 novembre 2008 20:42
  • Bonjour,

    J'ai un pb similaire. Je vais passer mes utilisateurs (actuellement administrateurs de leur poste) en utilisateurs avec pouvoir. Le souci c'est que certaines applications métier ont besoin les droits complets sur les dossiers les concernant. Il faut alors que je créé une GPO pour donner les droits d'écriture sur ces dossiers qui sont en local sur les machines. Le pb se complique, car il s'agit de plusieurs répertoires différents. J'ai un script .bat qui se lance au démarrage de chaque session qui monte les lecteurs réseaux. Je pensais rajouter au  bout la commande cacls ou bien setacl, sauf que je ne sais pas quel nom de dossier je dois mettre. Le chemin d'accès ex: c:\...? est-ce que chaque pc va se reconnaître? Après il va falloir que j'écrive autant de lignes pour chaque répertoire? Y a t-il peut être une autre solution plus simple et moins lourde à gérer. Comment fonctionne la stratégie "fichiers"? Car lorsque l'on veut ajouter un fichier il nous propose les dossiers sur le DC sur lequel je dois créer une stratégie...Merci d'avance pour votre aide.

    P.S

    Je ne sais pas si j'ai été claire, alors n'hésitez pas à me demander des précisions.

    mardi 18 septembre 2012 15:47