[WS 2003] Héritage des droits Parents / Enfants

[_Snoopy]

Hello,

Je rencontre une bizarrerie sur un de mes serveur d'appli

J'ai un premier serveur qui héberge une première application (Server_appli_1) et un second serveur hébergeant une seconde application (Server_appli_2).

Ces deux serveurs sont sur le même domaine. Les applications étant des SaaS, nous utilisons un compte de domaine pour les faire tourner (un compte de domaine différent par appli)

Les deux comptes de domaine en question sont administrateurs des deux serveurs.

Le but de Server_appli_1 est de générer un dossier avec un nom spécifique et à l'intérieur de ce dossier un fichier spécifique. Tout ça devant être généré sur Server_appli_2,
ce qui donnerai quelque chose comme ==> D:\Dossier_parent\Dossier_généré\Fichier_généré

La création du dossier et fichier à l'intérieur sur Server_appli_2 ne pose aucun problème. Par contre, j'ai été bloqué après avoir constaté que le fichier m'était innacessible (Access Denied).

J'ai jeté un coup d'oeil au dossier dans un premier temps et tout parait normal, le groupe "Administrators" fait bien partit des utilisateurs déclarés et a bien tout les droits comme il le doit.
Par contre, le fichier contenu dans ce dossier lui ne possède aucun droit hormis celui du compte de domaine de mon appli Server_appli_1 (ce qui n'a aucun intérêt pour moi).

La question est donc, pourquoi l'héritage des droits du dossier parent fonctionne bien sur le dossier généré et pas sur le fichier généré dans ce dossier ??

Hésitez pas si je ne suis pas assez clair dans mon explication...

[suchiwa]

Citation:

Envoyé par _Snoopy

Hello,

Je rencontre une bizarrerie sur un de mes serveur d'appli

J'ai un premier serveur qui héberge une première application (Server_appli_1) et un second serveur hébergeant une seconde application (Server_appli_2).

Ces deux serveurs sont sur le même domaine. Les applications étant des SaaS, nous utilisons un compte de domaine pour les faire tourner (un compte de domaine différent par appli)

Les deux comptes de domaine en question sont administrateurs des deux serveurs.

Le but de Server_appli_1 est de générer un dossier avec un nom spécifique et à l'intérieur de ce dossier un fichier spécifique. Tout ça devant être généré sur Server_appli_2,
ce qui donnerai quelque chose comme ==> D:\Dossier_parent\Dossier_généré\Fichier_généré

La création du dossier et fichier à l'intérieur sur Server_appli_2 ne pose aucun problème. Par contre, j'ai été bloqué après avoir constaté que le fichier m'était innacessible (Access Denied).

J'ai jeté un coup d'oeil au dossier dans un premier temps et tout parait normal, le groupe "Administrators" fait bien partit des utilisateurs déclarés et a bien tout les droits comme il le doit.
Par contre, le fichier contenu dans ce dossier lui ne possède aucun droit hormis celui du compte de domaine de mon appli Server_appli_1 (ce qui n'a aucun intérêt pour moi).

La question est donc, pourquoi l'héritage des droits du dossier parent fonctionne bien sur le dossier généré et pas sur le fichier généré dans ce dossier ??

Hésitez pas si je ne suis pas assez clair dans mon explication...

Bonjour,

"Rien ne se perd, rien ne se créé, tout se transforme"
Surtout vrai en informatique.

Que disent les logs systèmes et applicatives ?

Utilises tu l'un des comptes de service utilisé par les applications pour t'identifier sur une session ?
Es tu le seul à administrer ce serveur ou fais tu parti d'une équipe ?

Avant un quelqconque changement, log toi avec les comptes, vérifie que le mot de passe est bon. Supprime le profil.

Éventuellement, retire les droits d'administrateur des comptes de service et donne leur les user right suivant (secpol.msc) :

• act as part of the system
• adjust memory quotas
• bypass traverse checking
• create a token object
• logon on as a batch
• log on as a service
• lock pages in memory
• perform volume maintenance tasks
• replace a loevel token

relance tes services

Empêche les comptes de changer leur mot de passe et mot de passe expire jamais.

Vincent

[nico1811]

Bonjour,

Par quel moyen se fait la copie du fichier ? cp, xcopy, rsync, etc. ?

[_Snoopy]

Hello,

merci pour votre aide !

Je n'utilise pas de logiciel spécifique pour la copie, c'est géré par l'application de mon 1er serveur. Il génère les fichiers directement sur le second serveur.

Ensuite concernant les logs, je n'ai rien et c'est justement ça qui m'étonne et que je ne comprends pas. Aucun moyen de savoir pourquoi ces fameux fichiers n'héritent pas des droits comme ils le devraient.

Concernant les comptes de domaine de mes appli, impossible d'ouvrir une session Windows avec, ce ne sont que des comptes de services utilisés pour le fonctionnement des appli, ils n'ont pas ce type de droit (ouverture de session) sur notre domaine.

Après sur ta petite liste, de droits, mon comptes ont à peu près tout sauf
lock pages in memory et perform volume maintenance task.
Je ne pense pas que ça vienne de là.

Si d'autres idées vous viennent, je suis preneur !

Merci

[suchiwa]

Citation:

Concernant les comptes de domaine de mes appli, impossible d'ouvrir une session Windows avec, ce ne sont que des comptes de services utilisés pour le fonctionnement des appli, ils n'ont pas ce type de droit (ouverture de session) sur notre domaine.

Bonjour,

C'est une très bonne chose que tes comptes ne se loguent pas en local, change rien.

Donc ici nous parlons bien des ACLs. Va falloir regarder les héritages du répertoire parent et nous donner les informations de l'onglet "sécurité" et "sécurité avancée".

Vincent

[_Snoopy]

Les héritages du répertoire parent sont correctement paramétrés (en tout cas comme j'en ai besoin).

En gros :
Le chemin définitif de mon appli est D:\MonAppli\Dossier1\Fichier1

MonAppli est un fichier déjà existant sur mon serveur qui hérite ses droits directement depuis D:\ et qui ensuite doit transférer ces mêmes droits à tous ses enfants (sous dossiers et fichiers).

Le Dossier1 est créé par l'application de mon 1er serveur. Lui hérite correctement des droits du dossier parent (MonAppli) et d'après les paramètres de sécurité avancé, il doit également transmettre, à son tour, les mêmes droits aux fichiers / sous-dossiers enfants.

Enfin, l'application de mon 1er serveur créé dans ce Dossier1 le Fichier1 qui malgré le paramétrage n'hérite d'aucun droit de son dossier parent

La partie de droits qui m'intéresse c'est le groupe "Administrateur". sur chaque dossier de l'arborescence, le groupe doit hérité du dossier parent et faire hériter ses enfants (ce dossier, les sous-dossiers et fichiers).

[suchiwa]

Citation:

Envoyé par _Snoopy

Les héritages du répertoire parent sont correctement paramétrés (en tout cas comme j'en ai besoin).

En gros :
Le chemin définitif de mon appli est D:\MonAppli\Dossier1\Fichier1

MonAppli est un fichier déjà existant sur mon serveur qui hérite ses droits directement depuis D:\ et qui ensuite doit transférer ces mêmes droits à tous ses enfants (sous dossiers et fichiers).

Le Dossier1 est créé par l'application de mon 1er serveur. Lui hérite correctement des droits du dossier parent (MonAppli) et d'après les paramètres de sécurité avancé, il doit également transmettre, à son tour, les mêmes droits aux fichiers / sous-dossiers enfants.

Enfin, l'application de mon 1er serveur créé dans ce Dossier1 le Fichier1 qui malgré le paramétrage n'hérite d'aucun droit de son dossier parent

La partie de droits qui m'intéresse c'est le groupe "Administrateur". sur chaque dossier de l'arborescence, le groupe doit hérité du dossier parent et faire hériter ses enfants (ce dossier, les sous-dossiers et fichiers).

Bonjour,

Dans un premier temps, manuellement peux tu affecter les droits que tu veux obtenir ?

Vincent

[_Snoopy]

Oui, si je force moi-même l'héritage des droits, ça fonctionne bien.

[suchiwa]

Citation:

Envoyé par _Snoopy

Oui, si je force moi-même l'héritage des droits, ça fonctionne bien.

Bonjour,

Donc c'est l'application qui n'affecte pas les droits.
Peux tu le paramétrer ?

Vincent

[_Snoopy]

Citation:

Envoyé par suchiwa

Bonjour,

Donc c'est l'application qui n'affecte pas les droits.
Peux tu le paramétrer ?

Vincent

c'est aussi la conclusion que je me suis faite.
J'attends un "expert" de l'appli pour savoir si c'est paramétrable et comment.

Par contre, je ne savais pas qu'une appli pouvait outrepasser les droits affectés par héritage