Bonjour,
petite question héritage de droits...
J'ai un serveur de fichiers sous Windows 2019 lié à un active directory 2019.
j'ai une partition dans laquelle se trouve une arborescence. J'ai laissé à des gens la possibilité de donner de façon granulaire aux sous dossiers, donc j'ai créé des dossiers dans cerre arborescence liés à des groupes AD. Voici un schéma qui sera plus simple pour montrer. L'arborescence ci-dessous est figée, càd que les gens ne peuvent pas modifier, renommer, déplacer, etc. Mais dans les dossiers finaux 01, 02, 03 ils font ce qu'ils veulent.
Le provisionning des groupes de sécurité est fait par un autre outil (qui fait une requête LDAP), ce n'est pas le sujet ici.
FILIALE_1
COMPTA
01_En_cours
02_Traites
03_Archives
DIRECTION
01_RH
02_Projets
03_Juridique
AUTRES
01_Divers
02_Documentation
FILIALE_2
...
FILIALE_3
...
FILIALE_X
COMPTA
01_En_cours
02_Traites
03_Archives
DIRECTION
01_RH
02_Projets
03_Juridique
AUTRES
01_Divers
02_Documentation
|
Le besoin initial : que certains salariés aient accès à la rubrique "02_Projets" de la direction, mais pas "03_Juridique" ni "01_RH", par exemple. D'où ma granularité appliquée en bout de chaine.
côté AD, j'ai créé ces groupes de sécurité (je ne mets que la filiale 1 à titre d'exemple, mais c'est décliné pareil pour les autres):
un groupe général :
- GRP_FILIALE_1
un groupe par catégorie de dossier de chaque filiale. Chacun de ces groupes de sécurité est contenu dans le groupe filiale_1 parent :
- GRP_FILIALE_1_COMPTA,
- GRP_FILIALE_1_DIRECTION,
- GRP_FILIALE_1_AUTRES
pour mettre les permissions des gens, un groupe par dossier. ces sous-groupes sont chacun membre du groupe catégorie (ci-dessus) correspondant :
- GRP_FILIALE_1_COMPTA_01, GRP_FILIALE_1_COMPTA_02, GRP_FILIALE_1_COMPTA_03
- GRP_FILIALE_1_DIRECTION_01, GRP_FILIALE_1_DIRECTION_02, GRP_FILIALE_1_DIRECTION_03
- GRP_FILIALE_1_AUTRES_01, GRP_FILIALE_1_AUTRES_02
L'idée étant que Robert à la compta soit membre du groupe GRP_FILIALE_1_COMPTA_02 par exemple, il aura ainsi accès à Filiale_1 / Compta / 02 mais pas au reste.
Côté droits NTFS, toujours pour cette filiale, j'ai coupé les héritages et ai défini les droits comme suit :
FILIALE_1 ==> accès en lecture seule au GRP_FILIALE_1
COMPTA ==> accès en lecture seule au GRP_FILIALE_1_COMPTA
01_En_cours
02_Traites ==> pour chaque dossier "final", des droits avancés (OI)(CI)(RX,R,W,DC) /Q càd suppression/modif de toute le contenu mais ne pas toucher à ce dossier précisément
03_Archives
DIRECTION
01_RH
02_Projets
03_Juridique
AUTRES
01_Divers
02_Documentation
|
Ceci est fonctionnel, tous les droits sont bien appliqués.
Le problème est quand Robert (qui a déjà un membership Compta_02) est rajouté dans Compta_03, il a bien accès aux 2 dossiers au final mais s'il déplace ou copie/colle un élément de Compta\02_Traites dans Compta\03_Archives, le fichier ou dossier (et son contenu) garde le droit NTFS de Compta_02, même positionné comme enfant du dossier Compta\03_Archive, ce qui pose souci quand quelqu'un qui n'est pas dans Compta/02 veut y accéder...
Si je repropage les droits, le dossier déplacé initialement de Compta\02 récupère alors bien le droit NTFS de son parent (qui est désormais Compta_03 dans cet exemple), mais c'est une action que je fais manuellement.
Ma question : pour le moment je repasse régulièrement repropager les droits dès demande (je pourrais voir si on peut l'automatiser, mais pas sûr) mais c'est pas une solution pérenne ...
Est-ce que j'ai loupé un truc ?
Je sais que les droits ne se conservent pas si on change de partition, mais je vais pas créer 1 partition par dossier final ...
Merci pour vos lumières