Reprise du message précédent :
salut tout le monde,
en esperant que ce topic est encore vivant.
 
je galère sur mon serveur de données ou les droits sont en vrac.
en fait on a migré de domaine et je dois virer tous les anciens comptes de mon ancien domaine.  
le soucis etant qu'il y a enormement de repertoires qui s'etalent sur beaucoup de niveaux (jusqu' 10-12)
Donc ce que je veux faire c'est virer les comptes a la mano sur les 3 premiers niveaux, je suis obligé de casser l'heritage car sinon je ne peux pas supprimer certains comptes, ensuite quand j'applique aux enfant, ce la ne fonctionne pas, je retrouve encore des comptes de mon ancien domaine avec des autorisations speciales qui a priori ont été heritées puisqu'e la case est grisé.... si je remonte dans l'arborescence je n'ai pourtant aucune trace de ce compte.
 
C'est clair ou incomprehensible  ?  
une idée de troubleshoot ?

 
 
j'ai déjà eu ce problème :
 
http://reseauvoillaume.free.fr/scripts/rstchldrn.php
 
ce script m'a permis de limiter le boulot,
 
1 l'administrateur s'approprie les répertoire
2 il fait un reset des sécurités en se donnant le CT le propage à ses héritiers
donc, dans le script seul les lignes 1,2 et 4 sont utiles
 
j'avais réécrit ce script, en une ligne, si tu es intéressé
 
 
il faut peut être refaire tourner le script plusieurs fois , l'idéal serait de détecter l'erreur et de refaire un propagation des droits (on descend d'un répertoire de plus à chaque fois)
 
voilà

merci de ta réponse !
par contre je suis une quiche en scripting   c'est du vbs ?

 
non, c'est du batch,  
 
en fait ça utilise l'utilitaire setacl qui est parfait pour retoucher les sécurités (à télécharger)
 

ok je vais jeter un oeil la dessus, merci encore....
sinon j'ai choppé subinacl qui a l'air super complet, le truc c'est que je suis un peu debordé en ce moment pour faire les tests....

 
Cette methode n'est pas la bonne car elle ne respecte absolument pas les préconisations d'application des stratégies de sécurité AGLP (Accounts Global Local Permissions)
 
On n'octroie jamais sur une ressource les permissions par un groupe global ou un utilisateur.
 
L'AGLP est définie comme suit:
 
Users --> groupe global --> groupe local --> permissions sur la ressource
 
Exemple:
Soit un dossier: Mon_dossier, sur lequel on veut donner le CT au admin, lecture seule à Mrs Toto et Titi, lecture/ecriture à Mrs Tata et Tutu.
Toto et Titi sont dans le groupe global GG1
Tata et Tutu sont dans le groupe global GG2
Les admins, dans le groupe global GGadmins
 
Pour la ressource Mon_dossier, on créé 3 groupes locaux minimun:
Mon_dossierCT (contrôle totale sur le dossier)
Mon_dossierLecEcr (lecture/ecriture sur le dossier)
Mon_dossierLec (lecture seule sur le dossier)
Pour chaque groupe local sur la ressource, on affecte les droit qui vont bien.
 
Dans groupe local Mon_dossierCT on met le groupe global GGadmin
Dans groupe local Mon_dossierLecEcr on met le groupe global GG1
Dans groupe local Mon_dossierLec on met le groupe global GG2
 
Pourquoi?
reponse: gestion Active directory.
Une fois les groupes locaux mis en place, on a plus a retourner sur les serveurs pour gérer les autorisations. Tous se gère via Active Directory aux travers des groupes Globaux et Locaux.

Diantre, j'avais pas vu ce topic !
 
Je c/c mon post alors
 
-------------------
 
Bonjour à tous ,
 
J'ai une question très bête à vous soumettre
 
Voici la situation :
J'ai un groupe "Utilisateurs" et dedans un utilisateur "Temperance"
 
Sur un partage de dossier, je donne au groupe "Utilisateurs" la permission de lecture.
Et je refuse la permission de lecture à "Temperance".
Donc au final, Temperance ne peut pas lire le fichier, OK
 
Mais si j'inverse :
Je refuse la permission de lecture au groupe "Utilisateurs".
Je donne la permission de lecture à l'utilisateur "Temperance".
Est-ce que Temperance peut lire le fichier ou bien le refus reste prioritaire ?
 
Si je veux que Temperance puisse lire le fichier mais tous les autres utilisateurs non, je suis obligé de créer un autre groupe ?
 
 
Merci d'avance

Ce sont toujours les permissions les plus restrictives qui s'appliquent.
Si Temperance fait partie du groupe Utilisateurs, il n'aura pas accès au partage.
 
Si tu ne veux pas que tes utilisateurs aient accès à la ressources, il faut les virer tout simplement (dans la boite de dialogue permissions, tu supprimes le groupe: attention, il faut que toi en tant qu'admin tu t'octroies d'abord les droits au risque de ne plus avoir accès... il faudra sinon passer par le compte admin local) et ne mettre que celui à qui tu veux donner accès (et les admins bien sure).
 
Par contre mieux vaut utiliser la methode que je décris juste avant ton post

Salut, je me pose une petite question, est ce qu'il est possible de mettre des autorisation sur un dossier parent telles que:
L'utilisateur a le droit de :  

• créer un sous-dossier avec le nom qu'il souhaite
• créer des fichier avec le nom qu'il souhaite
• modifier le contenu des fichiers
• ne pas pouvoir supprimer les fichiers

J'ai essaye de faire ca en mettant les droits complets et je décoche les droit de suppressions, mais il semble que si on n'autorise pas la suppression, on ne peut pas renommer un fichier. Ya moyen de contourner?

Jsuis en train de récupérer les données de mon voinsin provenant d'une sauvegarde de son vista vérollé, qu'est-ce que je me prendre la tete
Je modifie les permissions dans un dossier, ca ne le prend pas récursivement.
 
Je modifie une fichier tout seul, et la ca fonctionne...
Je crois que je vais essayer de récup. tout ca avec un live CD linux, parce que la c'est trop la merde

il me semble que supercopier, copie les droits.... par contre il supporte pas les fichiers au dessus de 2go (sans prevenir)

Bonjour à tous,
 
J'aurais une petite question.
Je suis en train de refaire une arbo avec partage NTFS.
 
Je respecte bien la règle de user dans groupe global lui même dans un groupe de domaine local lui même sur la ressource.
 
Je fonctionne avec des groupes portant le nom de chacune des ressources. (EX : Compta_R, Compta_RW et Compta_CT).
 
Mes droits SMB sont "ouvert" (Tous le monde -> RW), et je gère donc mes droit NTFS.
 
Je dois mettre toute la boite en lecture sur plusieurs ressources.
 
Est-ce que je met directement tous le monde en lecture sur ma ressource ? (cette solution ne plait pas)
 
Comment faire ?
 
Merci à vous
 

Utilisateurs du domaine ?

Que je met dans mon groupe compta_R par exemple ?

Au niveau des droits SMB tu remplaces Tout le monde par Utilisateurs authentifiés.
 
Ensuite tu créés un groupe "Toute ta boîte" (en incluant de dans les autres groupes) en lecture sur les ressources qui vont bien.
 
 
Ce topic va connaître un coup de jeune avec les changements sur Windows Server 2012 et le DAC  

Trop chiant à config le DAC