WS 2003 droits sur un dossier et sous dossier [Résolu]

[mac7474]

Bonjour,

Dans ma société, sur le dossier compta on m'a demandé de restreindre l'accès, au seul groupe compta.
Sur serveur réseaux 2003 server j'ai fait clic droit sur le dossier compta, et j'ai voulu ne laisser les droits qu'à l'administrateur et le groupe compta.
Je vire un groupe nommé utilisateurs (pensant que ça correspondait à tout utilisateur par défaut sur le domaine) et là je n'ai plus accès au dossier compta que ce soit en administrateur ou en utilisateur du groupe compta.

J'ai lu ici même que dans ce genre de situation il faut redonner les droits administrateur au dossier, mais ça ne me parle pas spécialement.

Mais j'aimerai comprendre comment le dossier compta avec comme droits modifier, lire etc... accordé au groupe compta ne peut plus être accessible aux utilisateurs compta ni à moi-même, alors que l'administrateur à tous les droits (lire modifier etc...), enfin d'après ce que je vois dans l'interface d'administration et non d'après les faits.

J'avoue que ça me dépasse et que c'est emmerdant.
Une notion de base de WS2k3 semble me faire défaut.
Merci de bien vouloir m'éclairer.

Cordialement
Philippe Rivière

[plastic8]

Bonjour,

En matière de droits sur les dossiers partagés, il ne faut jamais enlever le groupe "Utilisateurs" car l'administrateur est lui aussi membre des utilisateurs du domaine. Pour remettre les autorisations, il faut aller dans les paramètres de partage avancés du dossier et ajouter l'administrateur comme propriétaire du dossier. Si cela ne fonctionne pas, créer temporairement dans l'AD un nouvel utilisateur avec les privilèges administrateur pour remettre les droits "contrôle total" à "Administrateur" sur le dossier. Ne pas oublier de remettre le groupe "Utilisateurs".

[mac7474]

Citation:

Envoyé par plastic8

Bonjour,

En matière de droits sur les dossiers partagés, il ne faut jamais enlever le groupe "Utilisateurs" car l'administrateur est lui aussi membre des utilisateurs du domaine. Pour remettre les autorisations, il faut aller dans les paramètres de partage avancés du dossier et ajouter l'administrateur comme propriétaire du dossier. Si cela ne fonctionne pas, créer temporairement dans l'AD un nouvel utilisateur avec les privilèges administrateur pour remettre les droits "contrôle total" à "Administrateur" sur le dossier. Ne pas oublier de remettre le groupe "Utilisateurs".

Merci pour votre réponse, j'y vois plus clair concernant la source de mon erreur.
J'ai créée un nouvel utilisateur allright dans l'AD, appartenant par défaut à utilisateurs et auquel j'ai rajouté l'appartenance au groupe administrateurs.

Voici maintenant la situation :

Je n'ai toujours pas les droits d'accès sur le dossier compta, soit en me logant en administrateur ou en allright (appartenant à utilisateurs et administrateurs).
J'ai dû louper une étape.

Voici les propriétés du dossier compta :

Groupe administrateurs (contrôle totale coché jusqu'à écriture) le tout en grisé.
Idem pour system et utilisateurs.
Le user allright et le groupe comptabilité : (contrôle totale coché jusqu'à écriture) le tout non grisé.

Paramètres de sécurité avancé sur le dossier compta/ autorisation
Le user allright et le groupe comptabilité : non hérité
Le reste est en objet parent

De plus il est coché "permettre aux autorisation hérité du parent ..."
Est décoché "remplacer les entrées d'autorisation..."

Paramètres de sécurité avancé sur le dossier compta/ propriétaire
Le propriétaire est administrateur
Est décoché : "Remplacer le propriétaire des sous conteneurs et des objets..."

Peut être dois-je cocher l'une des cases précédemment citées ?

[suchiwa]

Citation:

Envoyé par mac7474

Mais j'aimerai comprendre comment le dossier compta avec comme droits modifier, lire etc... accordé au groupe compta ne peut plus être accessible aux utilisateurs compta ni à moi-même, alors que l'administrateur à tous les droits (lire modifier etc...), enfin d'après ce que je vois dans l'interface d'administration et non d'après les faits.

Bonjour Philippe,

Quand tu parles des droits, se sont les droits au niveau NTFS ou au niveau du partage ?

Y accèdes-tu en local ?

Vincent

[mac7474]

Citation:

Envoyé par suchiwa

Bonjour Philippe,

Quand tu parles des droits, se sont les droits au niveau NTFS ou au niveau du partage ?

Y accèdes-tu en local ?

Vincent

Pour le dossier Compta, ce sont des droits au niveau NTFS car il n'est pas partagé, mais le dossier parent est partagé avec un max d'autorisation pour tout le monde.

Je n' accédais pas non plus au dossier compta en local en me loguant en administrateur.

J'ai résolu le problème en faisant des tests sur un autre dossier, et en fait, changer de propriétaire ne résolvait pas le blocage, il fallait juste cocher "remplacer toutes les autorisations de tous les objets enfants par les objets ici qui s'appliquent aux objets enfants" et ensuite j'avais à nouveau la main ainsi que le groupe compta.

Je ne comprends toujours pas, pourquoi avec tous les droits sur le dossier compta les groupes compta et administrateur n'y avait pas accès, malgré avoir remis le groupe utilisateurs avec tous les droits également.
Merci de bien vouloir m'éclairer là dessus.

[suchiwa]

Citation:

Envoyé par mac7474

Pour le dossier Compta, ce sont des droits au niveau NTFS car il n'est pas partagé, mais le dossier parent est partagé avec un max d'autorisation pour tout le monde.

Je n' accédais pas non plus au dossier compta en local en me loguant en administrateur.

J'ai résolu le problème en faisant des tests sur un autre dossier, et en fait, changer de propriétaire ne résolvait pas le blocage, il fallait juste cocher "remplacer toutes les autorisations de tous les objets enfants par les objets ici qui s'appliquent aux objets enfants" et ensuite j'avais à nouveau la main ainsi que le groupe compta.

Je ne comprends toujours pas, pourquoi avec tous les droits sur le dossier compta les groupes compta et administrateur n'y avait pas accès, malgré avoir remis le groupe utilisateurs avec tous les droits également.
Merci de bien vouloir m'éclairer là dessus.

Bonjour,

L'affectation des droits n'est pas une chose évidente en entreprise.
Pour exemple, j'utilise la méthode Microsoft AGDLP.

Donc pour autoriser un utilisateur sur un dossier, je créé pas moins de 4 groupes :

Pour un dossier appelé Marketing :

Marketing_R_DL
Marketing_W_DL
Marketing_R_DG
Marketing_W_DG

Où :

R = Read (lecture)
W= Write (ecriture)
DL = Domain Local
DG = Domain Global

On peut même ajouter 2 autres groupes pour les administrateurs

Marketing_F_DG
Marketing_F_DG

F = Full Control (Contrôle total)

Ne pas oublier d'affecter le groupe avec les bonnes autorisations.
Ce qui peut être automatisé en powershell.

Il faut savoir qu'il y a des best practice sur les droits, au niveau NTFS et partage, on ne les attribue pas au hasard.

Pour ton problème rencontré, je pense qu'il y a un mélange de tout ça.
Sachant qu'un token ID est généré lors de l'ouverture de session, il est important de ne prendre en compte les changements qu'après fermeture/ouverture de la session.

Citation:

Je vire un groupe nommé utilisateurs (pensant que ça correspondait à tout utilisateur par défaut sur le domaine) et là je n'ai plus accès au dossier compta que ce soit en administrateur ou en utilisateur du groupe compta.

Ici, il y a des dépendances avec le dossier parent.
Le groupe Utilisateurs n'est pas le groupe Tout le monde.

Une documentation qui présente bien le sujet:

http://www.lirmm.fr/~lepinay/securite%20fichier.pdf

Vincent

[mac7474]

Citation:

Envoyé par suchiwa

Bonjour,

L'affectation des droits n'est pas une chose évidente en entreprise.
Pour exemple, j'utilise la méthode Microsoft AGDLP.

Donc pour autoriser un utilisateur sur un dossier, je créé pas moins de 4 groupes :

Pour un dossier appelé Marketing :

Marketing_R_DL
Marketing_W_DL
Marketing_R_DG
Marketing_W_DG

Où :

R = Read (lecture)
W= Write (ecriture)
DL = Domain Local
DG = Domain Global

On peut même ajouter 2 autres groupes pour les administrateurs

Marketing_F_DG
Marketing_F_DG

F = Full Control (Contrôle total)

Ne pas oublier d'affecter le groupe avec les bonnes autorisations.
Ce qui peut être automatisé en powershell.

Il faut savoir qu'il y a des best practice sur les droits, au niveau NTFS et partage, on ne les attribue pas au hasard.

Pour ton problème rencontré, je pense qu'il y a un mélange de tout ça.
Sachant qu'un token ID est généré lors de l'ouverture de session, il est important de ne prendre en compte les changements qu'après fermeture/ouverture de la session.



Ici, il y a des dépendances avec le dossier parent.
Le groupe Utilisateurs n'est pas le groupe Tout le monde.

Une documentation qui présente bien le sujet:

http://www.lirmm.fr/~lepinay/securite%20fichier.pdf

Vincent

Ok merci, je vais pouvoir étudier ton pdf, qui me semble bien fait et qui devrait me permettre d'y voir plus clair.

Cordialement
Philippe Rivière