none
[Résolu] Problème de droits lors de la création de répertoire RRS feed

  • Question

  • Bonjour,

    Sur une VM Windows Server 2019 qui fait office de serveur de fichiers, et nous avons un Active Directory sur une autre VM :

    Nous avons un répertoire qui s'appelle UTILISATEURS et dessous, nous avons un sous répertoire par utilisateur, qui porte le nom USERMAME de chaque utilisateur. Il est nécessaire que chaque utilisateur n'ait accès qu'à son propre répertoire.

    Ces répertoires sont créés par un script au démarrage par GPO, qui teste si le répertoire existe, et qui le crée s'il n'existe pas.

    Problème : le script crée bien le répertoire, mais ne lui donne pas les droits en écriture pour l'utilisateur.

    Cela vient peut-être du fait que dans le répertoire UTILISATEURS, on a donné les droits en écriture pour tous les utilisateurs, mais dans "ce dossier" seulement. C'est le moyen qu'on ait trouvé pour que les utilisateurs n'aient pas accès aux autres répertoires.

    Et nous avons un autre environnement pour lequel nous avons fait pareil, et où cela fonctionne.

    Avez-vous une idée?

    Merci d'avance


    jeudi 19 septembre 2019 14:04

Réponses

  • Bonjour,

    Autre possibilité : mettre les droits suivants sur le dossier "Utilisateurs" :

    • User Account: Administrators (Local Administrators)
      • Recommended Permissions: Full Control
      • Folder: This folder, Subfolders, and files
    • User Account: Domain Admins (Optional)
      • Recommended Permissions: Full Control
      • Folder: This folder, Subfolders, and files
    • User Account: SYSTEM
      • Recommended Permissions: Full Control
      • Folder: This folder, Subfolders, and files
    • User Account: Authenticated Users
      • Recommended Permissions:
        • Traverse Folder/execute file
        • List folder/read data
        • Read Attributes
        • Create folders/append data
      • Folder: This folder only
    • User Account: CREATOR OWNER
      • Recommended Permissions: Full Control
      • Folder: Subfolders and files only


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    WWW : http://snsv.consulting | Blog : http://sylvaincoudeville.fr

    "Aléatoire" et "Mystérieux" sont des qualificatifs inventés par l'Homme pour éviter de dire qu'il n'a pas trouvé la root cause du problème...

    • Marqué comme réponse JP Liegeois mardi 24 septembre 2019 16:41
    vendredi 20 septembre 2019 06:14

Toutes les réponses

  • Bonjour,

    le même script dans un autre environnement donne le résultat attendu ?

    Possibilité de partager le script ici ?

    jeudi 19 septembre 2019 14:21
  • Bonjour, 

    Peut-etre il faut voir la difference entre les deux environnement, peux-tu créer et donner les autrosiations directement à travers le script sur le nouveau serveur, peut-etre aussi il y a un problème côté execution du script, le mieux c'est de partager plus concerant le script. 


    Vote or mark as answer if you think useful

    jeudi 19 septembre 2019 14:29
  • Voici le script

    @Echo off

    echo test > \\SERVEUR\utilisateurs\%USERNAME%\fichier.txt
    if exist \\SERVEUR\utilisateurs\%USERNAME%\fichier.txt goto EXIST

    echo repertoire non existant...
    mkdir \\SERVEUR\utilisateurs\%USERNAME%
    goto ENDOFBATCH

    :EXIST
    echo repertoire existant...
    del \\SERVEUR\utilisateurs\%USERNAME%\fichier.txt >nul

    :ENDOFBATCH
    echo fin du batch

    net use u: /delete /YES
    net use u: \\SERVEUR\utilisateurs\%username% :/persistent:yes

    Mais je ne pense pas que le problème vienne du script, car quand on crée le répertoire manuellement depuis la session de l'utilisateur, on a le même problème.

    Il y a tout de même une différence avec l'autre environnement, c'est que dans l'autre environnement, les répertoires sont créés dans le répertoire c:\users, qui contient peut-être des droits spéciaux.

    jeudi 19 septembre 2019 15:15
  • Voici le script

    @Echo off

    echo test > \\SERVEUR\utilisateurs\%USERNAME%\fichier.txt
    if exist \\SERVEUR\utilisateurs\%USERNAME%\fichier.txt goto EXIST

    echo repertoire non existant...
    mkdir \\SERVEUR\utilisateurs\%USERNAME%
    goto ENDOFBATCH

    :EXIST
    echo repertoire existant...
    del \\SERVEUR\utilisateurs\%USERNAME%\fichier.txt >nul

    :ENDOFBATCH
    echo fin du batch

    net use u: /delete /YES
    net use u: \\SERVEUR\utilisateurs\%username% :/persistent:yes

    Mais je ne pense pas que le problème vienne du script, car quand on crée le répertoire manuellement depuis la session de l'utilisateur, on a le même problème.

    Il y a tout de même une différence avec l'autre environnement, c'est que dans l'autre environnement, les répertoires sont créés dans le répertoire c:\users, qui contient peut-être des droits spéciaux.

    => Il faut donc vérifier les droits NTFS et partage sur le volume ou dossier racine qui heberge le répertoire "Utilisateurs"

    Vote or mark as answer if you think useful



    • Modifié F.ABASSI jeudi 19 septembre 2019 15:36
    jeudi 19 septembre 2019 15:36
  • Bonjour,

    Il n'y a strictement aucune gestion de droit sur le script donc c'est tout à fait normal que ca ne fonctionne pas.

    Il y a 2 solutions sans utiliser votre scripts :

    -Renseigner un champ utilisateur pour les utilisateurs dans l'AD (renseigner ce champ peut être fait en powershell)

    https://blogs.technet.microsoft.com/askds/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders/

    -Rediriger le dossier mes documents des utilisateurs sur le share

    https://docs.microsoft.com/en-us/windows-server/storage/folder-redirection/deploy-folder-redirection


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    jeudi 19 septembre 2019 17:01
  • Bonjour,

    Autre possibilité : mettre les droits suivants sur le dossier "Utilisateurs" :

    • User Account: Administrators (Local Administrators)
      • Recommended Permissions: Full Control
      • Folder: This folder, Subfolders, and files
    • User Account: Domain Admins (Optional)
      • Recommended Permissions: Full Control
      • Folder: This folder, Subfolders, and files
    • User Account: SYSTEM
      • Recommended Permissions: Full Control
      • Folder: This folder, Subfolders, and files
    • User Account: Authenticated Users
      • Recommended Permissions:
        • Traverse Folder/execute file
        • List folder/read data
        • Read Attributes
        • Create folders/append data
      • Folder: This folder only
    • User Account: CREATOR OWNER
      • Recommended Permissions: Full Control
      • Folder: Subfolders and files only


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    WWW : http://snsv.consulting | Blog : http://sylvaincoudeville.fr

    "Aléatoire" et "Mystérieux" sont des qualificatifs inventés par l'Homme pour éviter de dire qu'il n'a pas trouvé la root cause du problème...

    • Marqué comme réponse JP Liegeois mardi 24 septembre 2019 16:41
    vendredi 20 septembre 2019 06:14
  • Bonjour,

    si l'utilisateur crée lui-même le répertoire, il a (normalement) tous les droits de modifier ce dossier.

    Il suffirait d'ajouter une commande de type CACLS pour que l'utilisateur s'accorde à lui-même tous les droits sur le dossier(arborescence) qu'il vient de créer.

    cacls /T \\SERVEUR\utilisateurs\%USERNAME% /E /C /G: %username%:F

    Cela correspond au droit indiqué par Sylvain :

    User Account: CREATOR OWNER
    • Recommended Permissions: Full Control
    • Folder: Subfolders and files onl

    Maintenant, toute cette logique est inutile si l'utilise la création du dossier dans le profil utilisateur à partir d'Active Directory.

    A bientôt


    Thierry DEMAN-BARCELO. Offce Apps&Services MVP. MCSE:Messaging 2016,MCSE:Server Infrastructure 2016(87 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate https://base.faqexchange.info

    vendredi 20 septembre 2019 06:38
  • Merci à vous trois pour vos réponses. Je vais répondre à chacun :

    Matteu31400 -> j'ai lu attentivement les liens, mais ils s'appliquent au répertoire Users de WIndows. Or, le répertoire sur lequel je travaille, même s'il s'appelle UTILISATEURS, est un répertoir différent.

    Thierry -> J'avais essayé la commande cacls dans mon script, mais le script refuse de l'exécuter. L'utilisateur n'a pas les droits suffisants pour changer les droits.

    Sylvain -> Bravo, c'était la solution : dès que j'ai ajouté COntrôle total pour CREATEUR PROPRIETAIRE sur les sous-répertoires et fichiers seulement, ça fonctionne : l'utilisateur peut bien accéder au répertoire après l'avoir créé. Un grand merci !


    mardi 24 septembre 2019 16:41