benjamin.f

Dans ce tout premier billet, je vais vous présenter une façon de gérer de manière simple un serveur de fichiers dans un domaine Active Directory.

Je ne me pencherai pas sur les notions approfondies, vous pourrez néanmoins faire des recherches par vous même sur certains termes.

Cette méthode est particulièrement adaptée au petite à moyenne entreprise et permet une gestion efficace de l’administrateur, sans forcement avoir de notions avancées en Active Directory.


Introduction

Pour rappel: L'accès aux ressources est critique. Il doit être accompagné d'une gestion rigoureuse et d'un plan de sauvegarde.
De manière général, les droits NTFS, mieux vaut éviter d'y toucher une fois en place.

Même dans les petites entreprises, cela peut devenir très vite complexe par la multiplication des droits donnés à différents utilisateurs sur un même dossier.
Encore plus quand il faut donner des droits différents à ces même utilisateurs dans les sous-dossiers.

Les besoins de base envers un dossier sont eux assez simples:

• Y faire ce que l'on veut Lire, modifier, ajouter, et supprimer des fichiers.
• Lire les fichiers d'un dossier, sans pouvoir les modifier
  (rien n’empêche de copier le fichier sur le bureau pour le modifier en local, mais celui-ci ne pourra pas remplacer le fichier existant dans le dossier racine.)
• Ne pas y avoir accès.

La méthode que je vais vous présenter se base sur les points suivants :

• Pas de sous-partage.
• Pas de gestion des droits dans les sous-dossiers.
• Touts les dossiers sont gérés sur la racine du partage.
• Un groupe de Domaine Locale avec des droits en lecture sur le dossier racine.
• Un groupe de Domaine Locale avec des droits en écriture sur le dossier racine.
• Activer ABE.

Ainsi, une fois en place, il n'y aura plus à toucher au droits définis sur les dossiers créés.
Si un utilisateur ou un groupe défini d'utilisateurs doit avoir un accès à un dossier, il n'y aura qu'a le mettre dans le groupe adéquate depuis Active directory.
Les utilisateurs ne verront que les dossiers racine auxquels ils au minimum un droit de lecture.


La méthode dans la pratique

Énoncé de l'exercice

2 utilisateurs, "user1" et "user2" auront accès à un partage "TEST" sur lequel se trouvera les dossiers racines.
Le partage sera effectué sur un serveur de fichier Windows 2012r2 appelé SRV-FIC2.

• User1 pourra lire et écrire dans le dossier "Dossier1" et lire les fichiers du dossier "Dossier2".
• User2 pourra lire et écrire dans le dossier "Dossier2" mais n'aura aucun droits sur le dossier "Dossier1".
• Pour une meilleur lisibilité, nous utiliseront ABE pour que user2 ne voit que le dossier sur lequel il a des droits.

Les groupes

Chaque groupe portera le même nom que le dossier pour l'identifier facilement, plus une lettre qui nous indiquera si il s'agit du groupe de lecture ou du groupe d'écriture.

Dans AD, j'utilise une nouvelle O.U appelée Groupes_GDL pour Groupes de Domaine Locale.
On créer dedans les groupes Dossier1_R, Dossier1_W, Dossier2_R, et Dossier2_W.

Pour suivre la méthode AGDLP, ces groupes seront des groupes de Domaine Locale.

Vous pourrez par la suite crééer des groupe globaux qui réuniront les utilisateurs d'un même service.
Par exemple Commerciaux, direction, RH, secrétaires,...
Ensuite il faudra mettre les groupes globaux des services dans les groupes de domaine Locale auxquels ils ont des droits.

Pour les besoins de l'exercice, on va mettre directement les utilisateurs dans les groupes de domaine local.

Donc selon l’énoncé:
L'utilisateur User1 qui a des droit en écriture sur dossier 1 et en lecture sur dossier2 ira dans les groupes Dossier1_W et dossier2_R
L'utilisateur User2, qui a des droits en écriture sur le dossier2 mais aucun droit sur dossier 1 n'ira que dans le groupe dossier2_W.

Le partage

Sur le serveur de fichier, attachez un nouveau disque NTFS nommé DATA.
Sur le disque DATA, créer un nouveau dossier "TEST".
Utilisez le mode de partage avancé pour donner des droits de partage en contrôle total au groupe "tout le monde".



Nous allons gérer les droits via NTFS:

• Allez dans les propriétés/onglet sécurité/bouton avancé.
• Désactivez l'héritage, et supprimez toutes les autorisations héritées de l'objet.
• Ajoutez admins du domaine en contrôle total (CT).
• Ajoutez utilisateurs du domaine que vous laissez en lecture (valeur par défaut )

Les dossiers

Une fois le partage effectué, on va pouvoir créer les dossiers gérés, aux-quels on définira les droits d'accès via NTFS.

• On créer les dossiers "dossier1" et "dossier2".

La première chose est de désactiver l'héritage.
Donc clic droit sur le dossier/propriétés/avancer/modifier les autorisations, et on désactive l'héritage.

Soit on réinjecte les droits déjà présent, soit on part sur une base vierge.
Cela ne changera pas grand chose ici.

• On supprime les autorisations héritées (pour cet exemple, on va repartir sur une base vierge).
• On ajoute le groupe "admins du domaine" en contrôle total.
• On ajoute le groupe "Dossier1_R", et on lui laisse ces droits de base en "Default value".
• On ajoute Dossier1_W auquel on rajoute "modification" aux droits de base, le droit écriture va se mettre automatiquement.

Pour éviter toute catastrophe, on va maintenant rajouter un refus pour le groupe en écriture
Dans les autorisations avancées, on rajoute le groupe "Dossier1_W".

On spécifie un "REFUS" sur "ce dossier seulement" pour l'attribut "suppression".

Attention, bien spécifier "Ce dossier seulement" car les refus l'emporte toujours sur les autorisations.

Pour vérification, vous devez vous retrouver avec ces droits :



On fait maintenant la même chose pour le dossier "Dossier2", en lui configurant ses groupes de la même façon.

On récapitule

On doit donc avoir:

• 2 utilisateurs : User1 et User2
• 4 groupes de domaine Locale : Dossier1_R, Dossier1_W, Dossier2_r, et Dossier2_W
• User1 est dans Dossier1_W et Dossier2_R
• User2 est dans Dossier2_W
• un dossier TEST partagé en "CT" pour le groupe "tout le monde" avec des droits NTFS de base en lecture pour les utilisateurs du domaine.
• Les dossiers racine "Dossier1" et "Dossier2" sur lesquels ont défini les droits sur les groupes respectifs

Connexions de test

On se connecte en User1, on doit pouvoir:

• Lire et écrire dans le dossier Dossier1
• Lire ce qu'il y a dans le dossier Dossier2

En se connectant en User2, on ne peut que lire et ecrire dans le dossier "Dossier2"

ABE

Il faut aller sur le serveur de fichier pour activer Access Based Enumeration.

Connectez vous dans le gestionnaire de serveur, et allez dans le menu de gauche "Services de fichiers et de stockage".

Ensuite allez dans "Partages".
Vous y trouverez la liste de tous les partages référencés sur le serveur.
Sélectionnez le partage "TEST", et allez dans les propriétés puis "paramètres".



Maintenant, les utilisateurs ne verront plus que les dossiers auxquels ils ont le droit.

Recherches associées

Pour commencer à aller plus loin, vous pouvez faire des recherches concernant les termes suivants:

• Droits NTFS
• Active directory
• AGDLP
• ABE (Access-based Enumeration)

Conclusion

C'est la méthode que j'utilise actuellement en 3 partages montés en lecteurs réseaux.
L'effort d'administration est faible, ce qui me permet de traiter les demandes d'accès rapidement avec un faible risque d'erreur.

A vous de me dire si cette méthode vous convient autant qu'à moi .