none
Serveurs de fichiers et compte admin RRS feed

  • Question

  • Bonjour à tous,

    Je rencontre un soucis avec mon serveur de fichier sous windows 2012 R2 (il a été migré de 2008R2 vers 2012R2 il y a peu). J'ai des comptes administrateurs nominatifs mais depuis la migration (il me semble), ils n'ont plus les autorisations ntfs sur le serveur de fichier, je me connecte bien sur le serveur de fichier en rdp par contre. En revanche si je me connecte en rdp avec un compte nominatif sur un autre serveur et que j'accède au partage avec un chemin unc je n'ai aucun problème d'accès, de création etc.

    Le compte administrateur du domaine lui fonctionne correctement.

    Je ne trouve pas la solution 

    Merci pour votre aide.

    Cordialement

    Mathieu

    mardi 14 avril 2020 18:34

Réponses

  • Salut,

    Que veux tu dire par compte nominatif ?? Et j'ai pas compris la part rdp ? Si tu peux nous expliquer un peu plus, car entre rdp etles accès unc y a aucun rapport, regardes si tes users sont membres des admins locaux, ou quel groupe est en admin local, parfois cela arrive de récupérer une ancienne gpo qui inclut un ancien groupe ou un truc du genre, après details nous comment le serveur était migrer avec robocopy ?? Et quel commande merci,


    • Marqué comme réponse Mathieu14 mardi 14 avril 2020 19:43
    mardi 14 avril 2020 18:50

Toutes les réponses

  • Salut,

    Que veux tu dire par compte nominatif ?? Et j'ai pas compris la part rdp ? Si tu peux nous expliquer un peu plus, car entre rdp etles accès unc y a aucun rapport, regardes si tes users sont membres des admins locaux, ou quel groupe est en admin local, parfois cela arrive de récupérer une ancienne gpo qui inclut un ancien groupe ou un truc du genre, après details nous comment le serveur était migrer avec robocopy ?? Et quel commande merci,


    • Marqué comme réponse Mathieu14 mardi 14 avril 2020 19:43
    mardi 14 avril 2020 18:50
  • Fais aussi un tour côté log pour voir le message d'erreur partie securité, et le message d'erreur que tu reçois autt chose essaies d'accéder au serveur avec L'@ IP à la place du unc
    mardi 14 avril 2020 18:51
  • Bonsoir,

    J'ai crée des comptes admin dans mon active directory du style admintoto qui est membre des divers groupes administrateurs (au niveau AD)

    Pour le rdp : J'ai un serveur de fichier filer sur lequel je me connecte avec admintoto, la connexion fonctionne mais je n'accède pas aux divers répertoires de d: (exemple : d:\services\info). Le compte administrateur du domaine lui n'a aucun soucis en faisant cette manipulation.

    Si je me connecte sur un de mes controlleurs de domaine avec le compte admintoto et que j'accède à \\filer\d$\services\info cela fonctionne les droits sont correctement appliqués.

    L'user admintoto est bien membres du groupes administrateurs du serveurs.

    Le serveur filer (virtuel) disposant d'un c: pour le système 2008R2 et d'un d: pour les fichiers, un serveur avec un c: système sous 2012R2 a été crée et le d: a été détaché puis rattaché depuis l'ancienne machine virtuelle. Pas top mais quand il y a des To de données à migrer c'est plus rapide....

    Niveau log je ne trouve rien

    Merci bien

    mardi 14 avril 2020 19:54
  • Rebonsoir,

    Pour faire simple, tu vas ajouter admintoto en admin du domaine pour tester seulement, et tu vois si cela fonctionne, ca veut dire que t'as un problème d'accès lier au groupes,

    Regardes aussi les droits côté securité sur le dossier en local d:\.... Car les droits d'accès partagé différents des droits d'accès en local.

    Autres choses arrives tu à accéder à un autre dossier au dessus ??

    Ces manip vont trancher sans doute, même si je suppssone un problème de droits suite au rattachement de serveur 

    mardi 14 avril 2020 20:29
  • Re bonsoir, le compte est déjà membre du groupe "admins du domaine". 

    J'ai vérifier les droits et ils sont bon, quand je suis connecté avec le compte admintoto sur un serveur et que j'accède à \\filer\d$\services\info j'ai accès sans soucis.

    Sur le serveur filer en admintoto j'accède à des dossiers dans D:\services\xxxx et d'autres je n'ai pas accès

    Ce que je ne comprend pas c'est que sur l'ancien serveur en 2008R2 pas de soucis, en admintoto connecté sur un autre serveur du domaine j'accède bien à tout mon serveur de fichier sans pb non plus. Mais dès que je suis connecté sur le serveur filer en admintoto j'ai les pb d'accès.

    mardi 14 avril 2020 21:02
  • apparement ton serveur de fichier n'aime pas admintoto, changes le et mets admintata hhhhhh

    je plaisante, regardes le journal de sécurité quand tu as un refus et dis nous ce qu'il y a.

    creuses un peu tu trouveras surement un conflit, d'autant plus que tu peux acceder à services\xxxx regardes l’héritage, ou essaies d'ajouter le compte sur le dossier spécifique à la main dans l'onglet sécurité pour voir ?? 

    mercredi 15 avril 2020 00:58
  • Bonjour avec le compte admintata même soucis alors que l'user est dans le groupe "admins du domaine" et que sur le répertoire j'ai bien le groupe "admins du domaine" en full control.

    Je n'ai aucune trace dans les logs de sécurité, juste les ouvertures et fermetures de sessions, en revanche en ajoutant le nom de l'utilisateur au répertoire cela fonctionne. 

    Ce que je ne comprend pas c'est pourquoi l'utilisateur n'a pas accès au répertoire sans ajouter son nom directement dans les droits ntfs alors qu'il est membre du groupe "admins du domaine" et que ce groupe est bien dans les droits ntfs du dossier. De plus quand je suis avec admin toto sur mes autres serveurs et que j'accède en unc à mon répertoire cela fonctionne. 

    En rajoutant mon compte admintoto à un groupe disposant des droits sur le répertoire (SER_INFO), cela fonctionne... incompréhensible....

    Quand admintoto n'est plus dans le groupe SER_INFO et qu'il est dans le groupe "admins du domaine" ce groupe disposant du contrôle total sur le répertoire d:\service\info est bien je n'est plus d'accès au répertoire.

    J'ai l'impression que le groupe "admins du domaine" à un soucis avec le serveur de fichier :/



    • Modifié Mathieu14 mercredi 15 avril 2020 12:17
    mercredi 15 avril 2020 06:29
  • Bonjour Mathieu14

    Tu dis que tu as vérifier les permissions NTFS pour admintoto ou les groupe dans lequel il se trouve. Tu confirmes que tu cherches à accéder via un partage réseau (\\serveur\partage) ? As-tu vérifié les droits sur le partage ? Entre permissions NTFS et drtois sur partager c'est le plus restrictfi des 2 qui s'applique.

    ex. : NTFS Full Control  - Droit sur partage Read ==> droit résultant : Read

    Conseil : Ne joue pas avec les droits sur le partage. Pour le partage, Everyone Full control ou pour plus de sécurité Domain Users ou Authenticated Users Full Control afin d'éviter que le partage ne soit "visible" de manière anonyme). Et sécurise avec les permisssions NTFS ... avec des groupes bien entendu, on accorde des permissions à des groupes, pas à des comptes utilisateurs (AGLP oblige).

    cordialement

    Olivier

    mercredi 15 avril 2020 20:13
  • salut,

    pour les problemes de droits du groupe, regardes si ton utilisateurs fait bien parti de ce groupe sur le serveur, ou redemarre le serveur, parfois le serveur est ouvert sur un mauvais DC par exemple que lui n'a pas bien répliquer la modification du membre du groupe.

    tapes la commande en dos sur un serveur qui marche et celui la : echo %logonserver% 

    et regardes s'ils sont logués sur le meme DC. sinon redémarre ton serveur pour voir. 

    mercredi 15 avril 2020 22:28
  • Bonjour Oliv - TheFrog,

    Je ne touche pas aux partage justement, je met "toutlemonde" en fullcontrol après je gère en droit NTFS via des groupes.

    En gros mon soucis c'est quand admintoto se connecte en rdp sur mon serveur filer et que j'accès au répertoire d:\services\info, j'ai un accès refusé. Alors que admintoto est membre du groupe "admins du domaine" et que ce groupe et bien sur le fameux dossier. En revanche si je me connecte en rdp sur un autre serveur avec le compte admintoto est bien la j'accède au répertoire sans soucis via le chemin unc.

    Autre test que j'ai fait, sur le dossier en question, je supprime tous les droits pour seulement rajouter le droit utilisateur sur mon compte admintoto est bien l'accès est normal j'accède à mon dossier. J'ai vraiment l'impression qu'il y a un pb avec le groupe admins du domaine.

    Merci pour votre aide

    Mathieu

    jeudi 16 avril 2020 07:33
  • Salut,

    L'utilisateur admintoto fait bien parti du groupes admins du domaine, je viens de vérifier via la commande est je suis bien sur le bon DC par contre je testerai un reboot un soir.

    Merci pour ton aide

    Mathieu

    jeudi 16 avril 2020 07:35
  • Salut, Malgré le reboot du serveur ca ne change rien je ne comprend vraiment pas pourquoi grrrr
    vendredi 17 avril 2020 05:59
  • rebonjour Mathieu,

    dans ton cas il te reste de solution : la première tu active via GPEDIT l'audit sur l’accès aux fichiers en échecs et réussite, et la tu verras ton erreur sur les logs et on pourra bien creuser.

    la deuxième essaies de supprimer le groupe admin du domaine, puis ajoute le sur le dossier pour voir. si cela marche tu devras tout refaire avec robocopy.

    car au départ la démarche n’était pas bonne ni recommander, je sais bien que plusieurs To c'est embêtant de les migrer, mais y a un outil de Microsoft qui permet de faire cela, sinon il faudra le faire avec robocopy, la méthode que vous avez faite n’était pas du tout bonne ni recommander. 

    une dernière question : quand n'est il des utilisateurs ? peuvent -ils accéder son problème à leur dossier ? car c'est le plus important je pense :)

    samedi 18 avril 2020 14:15
  • Re bonjour,

    Merci pour ton retour, je vais activer l'audit sur les accès j'avais peur que cela engendre beaucoup de trafic etc.

    Quel sont les outils pour une migration future ? FSMT? Robocopy ?

    Je vais re tester de supprimer et remettre le groupe admin car je pense l'avoir fait. Mais est-ce que je dois reboot le serveur afin que cela soit pris en compte je ne sais pas du tout.

    Bizarrement les users ont accès sans problème aux divers dossiers en fonction de leurs droits.

    Encore merci

    samedi 18 avril 2020 17:15
  • salut,

    non tu activeras l'audit sur le serveur concerné avec GPedit, t'as aucun Traffic à généré.

    pour les outils il me semble y avait celui la : microsoft migration https://docs.microsoft.com/fr-fr/archive/blogs/josebda/microsoft-file-server-migration-toolkit-1-2-available-as-a-free-download

    et biensur robocopy.

    le plus important que les utilisateurs ont accès, essaies de créer à la limite un nouveau groupe et mets ton admintoto dedans et ajoutes le groupe au dossier.

    samedi 18 avril 2020 22:06
  • Salut,

    Super merci je vais tester tout ça. Merci pour l'outil.... Je l'avais déjà utiliser pour une migration de fichier mais pas avec plusieur To de données.

    Oui le plus important étant que mes users aient accès au divers répertoire.

    Merci encore

    Bonne soirée

    Mathieu

    dimanche 19 avril 2020 16:25
  • Salut,

    J'ai fait le test avec la création d'un groupe avec admintoto en tant que membre, associé ce groupe à mon répertoire et tout fonctionne correctement.

    J'ai eu un id 4656 dans les logs sécurités après avoir activé l'audit, je creuse de ce coté mais j'envisage de refaire une migration de serveur de fichiers propres. même si c'est beaucoup de boulot car sur ce serveur de fichier il ya les profils itinérants, les redirections de mes documents etc. 

    La solution la plus simple serait pour moi de changer le répertoire de destination de mes redirections, profils itinérants en les passant surement en upd etc. Gros chantier en vue ^^.

    Merci pour ton aide en tout cas

    lundi 20 avril 2020 13:58