Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1731 connectés 

 


 Mot :   Pseudo :  
 
 Page :   1  2  3
Page Suivante
Auteur Sujet :

[Topic unique]Les Permissions NTFS.

n°44515
xanack
Posté le 13-10-2008 à 16:35:31  profilanswer
 

Reprise du message précédent :
salut tout le monde,
en esperant que ce topic est encore vivant.
 
je galère sur mon serveur de données ou les droits sont en vrac.
en fait on a migré de domaine et je dois virer tous les anciens comptes de mon ancien domaine.  
le soucis etant qu'il y a enormement de repertoires qui s'etalent sur beaucoup de niveaux (jusqu' 10-12)
Donc ce que je veux faire c'est virer les comptes a la mano sur les 3 premiers niveaux, je suis obligé de casser l'heritage car sinon je ne peux pas supprimer certains comptes, ensuite quand j'applique aux enfant, ce la ne fonctionne pas, je retrouve encore des comptes de mon ancien domaine avec des autorisations speciales qui a priori ont été heritées puisqu'e la case est grisé.... si je remonte dans l'arborescence je n'ai pourtant aucune trace de ce compte.
 
C'est clair ou incomprehensible  ?  :)
une idée de troubleshoot ?

Message cité 1 fois
Message édité par xanack le 13-10-2008 à 16:42:15
mood
Publicité
Posté le 13-10-2008 à 16:35:31  profilanswer
 

n°44527
capslock
Posté le 13-10-2008 à 21:18:05  profilanswer
 

xanack a écrit :

salut tout le monde,
en esperant que ce topic est encore vivant.
 
je galère sur mon serveur de données ou les droits sont en vrac.
en fait on a migré de domaine et je dois virer tous les anciens comptes de mon ancien domaine.  
le soucis etant qu'il y a enormement de repertoires qui s'etalent sur beaucoup de niveaux (jusqu' 10-12)
Donc ce que je veux faire c'est virer les comptes a la mano sur les 3 premiers niveaux, je suis obligé de casser l'heritage car sinon je ne peux pas supprimer certains comptes, ensuite quand j'applique aux enfant, ce la ne fonctionne pas, je retrouve encore des comptes de mon ancien domaine avec des autorisations speciales qui a priori ont été heritées puisqu'e la case est grisé.... si je remonte dans l'arborescence je n'ai pourtant aucune trace de ce compte.
 
C'est clair ou incomprehensible  ?  :)
une idée de troubleshoot ?


 
 
j'ai déjà eu ce problème :
 
http://reseauvoillaume.free.fr/scripts/rstchldrn.php
 
ce script m'a permis de limiter le boulot,
 
1 l'administrateur s'approprie les répertoire
2 il fait un reset des sécurités en se donnant le CT le propage à ses héritiers
donc, dans le script seul les lignes 1,2 et 4 sont utiles
 
j'avais réécrit ce script, en une ligne, si tu es intéressé
 
 
il faut peut être refaire tourner le script plusieurs fois , l'idéal serait de détecter l'erreur et de refaire un propagation des droits (on descend d'un répertoire de plus à chaque fois)
 
voilà

n°44528
xanack
Posté le 13-10-2008 à 21:50:42  profilanswer
 

merci de ta réponse !
par contre je suis une quiche en scripting :/   c'est du vbs ?

n°44530
capslock
Posté le 13-10-2008 à 22:05:31  profilanswer
 

xanack a écrit :

merci de ta réponse !
par contre je suis une quiche en scripting :/   c'est du vbs ?


 
non, c'est du batch,  
 
en fait ça utilise l'utilitaire setacl qui est parfait pour retoucher les sécurités (à télécharger)
 

n°44544
xanack
Posté le 14-10-2008 à 09:38:02  profilanswer
 

ok je vais jeter un oeil la dessus, merci encore....
sinon j'ai choppé subinacl qui a l'air super complet, le truc c'est que je suis un peu debordé en ce moment pour faire les tests....

n°46582
akabis
.
Posté le 27-11-2008 à 11:09:10  profilanswer
 

cvb a écrit :


Exemple 1 :
 
Sur le dossier « London » les permissions sont les suivantes.
 

  • CT total pour l’utilisateur Dupont  
  • Lire pour le groupe informatique
  • Aucun accès pour le groupe « responsable »


La permission au final ne sera aucun accès. La plus restrictive (Aucun accès) prend le pas sur les deux autres.
 
 
Exemple 2 :
 
Sur le dossier « London » les permissions sont les suivantes.
 

  • Ecrire pour l’utilisateur Dupont
  • Lire pour le groupe informatique


La permission au final sera CT
C’est la somme des droits qui prime dans ce cas là : Ecrire + lire = CT (c'est pas tout à fait vrai, on peut lire et écrire sans avoir le CT totale sur le fichier ou le dossier)

 


 
Cette methode n'est pas la bonne car elle ne respecte absolument pas les préconisations d'application des stratégies de sécurité AGLP (Accounts Global Local Permissions)
 
On n'octroie jamais sur une ressource les permissions par un groupe global ou un utilisateur.
 
L'AGLP est définie comme suit:
 
Users --> groupe global --> groupe local --> permissions sur la ressource
 
Exemple:
Soit un dossier: Mon_dossier, sur lequel on veut donner le CT au admin, lecture seule à Mrs Toto et Titi, lecture/ecriture à Mrs Tata et Tutu.
Toto et Titi sont dans le groupe global GG1
Tata et Tutu sont dans le groupe global GG2
Les admins, dans le groupe global GGadmins
 
Pour la ressource Mon_dossier, on créé 3 groupes locaux minimun:
Mon_dossierCT (contrôle totale sur le dossier)
Mon_dossierLecEcr (lecture/ecriture sur le dossier)
Mon_dossierLec (lecture seule sur le dossier)
Pour chaque groupe local sur la ressource, on affecte les droit qui vont bien.
 
Dans groupe local Mon_dossierCT on met le groupe global GGadmin
Dans groupe local Mon_dossierLecEcr on met le groupe global GG1
Dans groupe local Mon_dossierLec on met le groupe global GG2
 
Pourquoi?
reponse: gestion Active directory.
Une fois les groupes locaux mis en place, on a plus a retourner sur les serveurs pour gérer les autorisations. Tous se gère via Active Directory aux travers des groupes Globaux et Locaux.


Message édité par akabis le 27-11-2008 à 11:13:19
n°46599
Temperance
Dr Evans & Mister House
Posté le 27-11-2008 à 13:24:58  profilanswer
 

Diantre, j'avais pas vu ce topic !
 
Je c/c mon post alors :D
 
-------------------
 
Bonjour à tous :hello:,
 
J'ai une question très bête à vous soumettre :o
 
Voici la situation :
J'ai un groupe "Utilisateurs" et dedans un utilisateur "Temperance" :D
 
Sur un partage de dossier, je donne au groupe "Utilisateurs" la permission de lecture.
Et je refuse la permission de lecture à "Temperance".
Donc au final, Temperance ne peut pas lire le fichier, OK :jap:
 
Mais si j'inverse :
Je refuse la permission de lecture au groupe "Utilisateurs".
Je donne la permission de lecture à l'utilisateur "Temperance".
Est-ce que Temperance peut lire le fichier ou bien le refus reste prioritaire ?
 
Si je veux que Temperance puisse lire le fichier mais tous les autres utilisateurs non, je suis obligé de créer un autre groupe ?
 
 
Merci d'avance :)

n°46641
akabis
.
Posté le 27-11-2008 à 21:42:48  profilanswer
 

Ce sont toujours les permissions les plus restrictives qui s'appliquent.
Si Temperance fait partie du groupe Utilisateurs, il n'aura pas accès au partage.
 
Si tu ne veux pas que tes utilisateurs aient accès à la ressources, il faut les virer tout simplement (dans la boite de dialogue permissions, tu supprimes le groupe: attention, il faut que toi en tant qu'admin tu t'octroies d'abord les droits au risque de ne plus avoir accès... il faudra sinon passer par le compte admin local) et ne mettre que celui à qui tu veux donner accès (et les admins bien sure).
 
Par contre mieux vaut utiliser la methode que je décris juste avant ton post


Message édité par akabis le 27-11-2008 à 21:43:35
n°46732
int0x13
Si ça saigne, ça peut mourrir.
Posté le 29-11-2008 à 22:49:35  profilanswer
 

Salut, je me pose une petite question, est ce qu'il est possible de mettre des autorisation sur un dossier parent telles que:
L'utilisateur a le droit de :  

  • créer un sous-dossier avec le nom qu'il souhaite
  • créer des fichier avec le nom qu'il souhaite
  • modifier le contenu des fichiers
  • ne pas pouvoir supprimer les fichiers


J'ai essaye de faire ca en mettant les droits complets et je décoche les droit de suppressions, mais il semble que si on n'autorise pas la suppression, on ne peut pas renommer un fichier. Ya moyen de contourner?

n°88316
DaV-X
PSN : kaldor37
Posté le 06-12-2011 à 21:13:51  profilanswer
 

Jsuis en train de récupérer les données de mon voinsin provenant d'une sauvegarde de son vista vérollé, qu'est-ce que je me prendre la tete :/
Je modifie les permissions dans un dossier, ca ne le prend pas récursivement.
 
Je modifie une fichier tout seul, et la ca fonctionne...
Je crois que je vais essayer de récup. tout ca avec un live CD linux, parce que la c'est trop la merde :/

mood
Publicité
Posté le 06-12-2011 à 21:13:51  profilanswer
 

n°91892
xanack
Posté le 18-02-2012 à 15:31:31  profilanswer
 

il me semble que supercopier, copie les droits.... par contre il supporte pas les fichiers au dessus de 2go (sans prevenir)

n°100897
Dezerd
Posté le 19-09-2012 à 16:20:39  profilanswer
 

Bonjour à tous, :)
 
J'aurais une petite question.
Je suis en train de refaire une arbo avec partage NTFS.
 
Je respecte bien la règle de user dans groupe global lui même dans un groupe de domaine local lui même sur la ressource.
 
Je fonctionne avec des groupes portant le nom de chacune des ressources. (EX : Compta_R, Compta_RW et Compta_CT).
 
Mes droits SMB sont "ouvert" (Tous le monde -> RW), et je gère donc mes droit NTFS.
 
Je dois mettre toute la boite en lecture sur plusieurs ressources.
 
Est-ce que je met directement tous le monde en lecture sur ma ressource ? (cette solution ne plait pas)
 
Comment faire ? :D
 
Merci à vous
 


---------------
503 Service Unavailable
n°100901
boobaka
Posté le 19-09-2012 à 16:52:21  profilanswer
 

Utilisateurs du domaine ?


---------------
www.google.fr  
n°100903
Dezerd
Posté le 19-09-2012 à 17:11:51  profilanswer
 

Que je met dans mon groupe compta_R par exemple ?


---------------
503 Service Unavailable
n°100906
nebulios
Posté le 19-09-2012 à 18:04:41  profilanswer
 

Au niveau des droits SMB tu remplaces Tout le monde par Utilisateurs authentifiés.
 
Ensuite tu créés un groupe "Toute ta boîte" (en incluant de dans les autres groupes) en lecture sur les ressources qui vont bien.
 
 
Ce topic va connaître un coup de jeune avec les changements sur Windows Server 2012 et le DAC  :D

n°100910
Je@nb
Modérateur
Kindly give dime
Posté le 19-09-2012 à 21:19:15  profilanswer
 

Trop chiant à config le DAC :D

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3
Page Suivante

Aller à :
Ajouter une réponse
 

Sujets relatifs
Administrateur Réseaux ---> Inventaire du parc info [Topic Unique] 
Plus de sujets relatifs à : [Topic unique]Les Permissions NTFS.


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR