Bonjour,
Je suis en train de voir pour automatiser la création de dossiers utilisateurs sur un serveur et je ne m'en sors pas avec les différentes options de icacls.
Voici mon script jusqu'ici :
1 2 3 4 5 6 7 8 9 10 11 12
|
@echo off
echo Entrez le nom du repertoire U de l'utilisateur qui correspond a son login windows
echo exemple : test
SET /p repertoire=Nom du repertoire :
rem creation du repertoire
mkdir "D:\data\user\%repertoire%"
rem affectation des permissions
icacls "D:\data\user\%repertoire%" |
bien sur la partie icacls est à compléter.
La complexité pour moi c'est que l'on souhaite pour le répertoire créé réaliser les 3 points suivants :
- désactiver l'héritage en conservant les permissions effectives (par défaut en créant le répertoire on a juste CREATOR OWNER, SYSTEM et Administrators)
- ajouter des autorisations lecture + écriture de l'utilisateur AD dont le login est %repertoire% dans mon script => par défaut en faisant cela on a des droits sur le dossier, les sous-dossiers et les fichiers, mais on modifie cela légèrement dans la partie "avancée" pour cocher "suppression de sous-dossier et fichier" en lieu et place de "suppression" ; ceci va empêcher l'utilisateur de supprimer son répertoire de profil (%repertoire%) que l'on vient de créer mais lui laisse la possibilité de supprimer ce qui se trouve dedans
- ajouter une ACL de refus de ce même utilisateur AD dont le login est %repertoire% ; dans les paramètres avancés on cochera simplement "suppression", "modifier les autorisations" et "appropriation" ; De ce fait on verrouille à coup sûr ces permissions.
J'ai tenté un export des acl via la commande suivante :
icacls d:\data\user\test /save c:\users\toto\desktop\acl.txt
et voici le résultat qui pour moi est trop complexe pour m'en servir pour réaliser les 3 points évoqués un peu plus haut :
test
D
AI(D;OICI;SDWDWO;;;test)(A;OICIIO;FA;;;CO)(A;OICI;0x1201ff;;;test)(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)S:AI
test est le nom du répertoire (1ère ligne) et apparaît 2 fois en dessous => en lieu et place figurait le SID de mon compte AD "test"
Je pensais pouvoir me servir de cet export pour trouver les quelques commandes icacls à passer mais ça pique les yeux et j'aurais bien besoin de l'aide d'un expert.
En espérant avoir été assez clair sur mon besoin et en vous remerciant par avance pour votre aide
Partager