Discussion :

[Danevic]

Bonjour,

Et tant que sysadmin, je suis confronté à un problème récurrent et viens donc demander conseil à votre communauté :

Pour le système de fichier suivant :

dossier A

public

privé

dossier B

public

privé

les dossiers publiques ont comme droit :
- Administrateur du domaine : propriétaire, contrôle total
- Utilisateur du domaine : modification

les dossiers privés ont comme droit :
- Administrateur du domaine : propriétaire, contrôle total
- Groupe A pour le dossier A et Groupe B pour le dossier B : Modification

Les fichiers/sous-dossiers héritent des permissions de ces fichiers.


Jusque là, tout va bien ^^.

Maintenant un utilisateur du groupe A fait un copier/coller d'un fichier de dossier A/privé vers dossier B/public,
puis un utilisateur du groupe B fait un copier/coller de ce fichier de dossier B/public vers dossier B/privé.

Chacun a agit selon ses permissions toutefois dans dossier B/privé se trouve maintenant un fichier utilisable ni par le groupe A ni par le groupe B.

En effet, le groupe A n'a pas les droits sur le dossier B/privé (par définition), et le groupe B n'a pas les droits sur ce fichier spécifique puisque malgré le copier/coller il est toujours réservé au groupe A.

Étant le seul, en tant qu'admin à avoir les droits, je dois venir les modifier à la main, très régulièrement.


N'y a t-il pas une structure de permission de dossier pour palier à ce problème ?

J'ai essayé d'être le plus compréhensible possible, mais n'hésitez pas à demander des info complémentaires si ce n'est pas le cas.

Merci d'avance pour vos potentielles suggestions.

[Incorporated]

Bonjour,

A partir du moment où vous devez régulièrement venir changer vos droits utilisateurs, le problème peut-être le suivant :

• Votre arborescence n'est pas bonne
• La méthode utilisé n'est pas bonne

Ce que j'entend par la c'est de ne pas forcément réfléchir à la structure permettant d'effectuer ceci mais plutôt de réfléchir a "Est-ce que mon arborescence est pertinente ?"

Dans votre cas, la question que je me pose c'est "Pourquoi les utilisateur A doivent copier des fichiers d'un dossier A vers un dossier B alors qu'il n'ont pas les droits spécifiques ?"

Et autre question, pourquoi votre dossier A comprends des droits sur Tous les utilisateurs du domaine, alors que l'autre est dédié à des groupes ?

Est-ce que ces dossiers se situe sur le même serveur, dans le même dossier ?

A mon avis, l'astuce serait de retirer vos droits du dossier A pour tous les utilisateurs du domaine et de spécifié vos groupes existants et de nouveaux groupes si d'autres utilisateurs doivent y accéder.

En tant que sysadmin, vous devez savoir que la règle du moins de droit possible doit s'appliquer au mieux dans un SI. (je n'ai pas, bien sur, toutes les informations sur votre organisation)

Conclusion : Si uniquement les personnes du groupe A et B nécessite d'accéder aux dossiers A et B alors modifier vos droits.

PS : N'oublions pas non plus que l'utilisation des droits d'héritages dans un partage de fichier est globalement toujours un problème donc à votre place, j'enlèverai l'héritage et ajouterai les droits comme mentionnés ci-dessus.

[Danevic]

A partir du moment où vous devez régulièrement venir changer vos droits utilisateurs, le problème peut-être le suivant :

Votre arborescence n'est pas bonne
La méthode utilisé n'est pas bonne

Ce que j'entends par la c'est de ne pas forcément réfléchir à la structure permettant d'effectuer ceci mais plutôt de réfléchir a "Est-ce que mon arborescence est pertinente ?"

Cette organisation de dossiers/fichiers est antérieur à mon arrivée dans l'organisation et envisageant aujourd'hui une refonte de ce système, ma question est bien mon arborescence est elle pertinente ? et si non ; quelle arborescence le serait ?

Dans votre cas, la question que je me pose c'est "Pourquoi les utilisateur A doivent copier des fichiers d'un dossier A vers un dossier B alors qu'il n'ont pas les droits spécifiques ?"

Chaque dossier à la racine représente un service de mon organisation, chaque service ayant sa GPO. Toutefois la communication de fichiers inter-service doit être possible sans qu'un service accède aux fichiers privés d'un autre service. D'autre part, créer un dossier "Echange" à la racine permettant cette communication inter-service ne me parait pas tenable au vu de l'importance de ces échanges.

Et autre question, pourquoi votre dossier A comprends des droits sur Tous les utilisateurs du domaine, alors que l'autre est dédié à des groupes ?

NON, je vois que ma formulation porte ici à confusion.
Chaque dossier à la racine (dossier a, dossier b, etc) est accessible par tout utilisateur du domaine. Chacun de ces dossiers comporte deux sous-dossiers : un public permettant à un autre service d'y déposer des dossiers/fichiers et un privé réservé aux membres du service.

Est-ce que ces dossiers se situe sur le même serveur, dans le même dossier ?

Oui. C'est un serveur de fichiers.

En tant que sysadmin, vous devez savoir que la règle du moins de droit possible doit s'appliquer au mieux dans un SI. (je n'ai pas, bien sur, toutes les informations sur votre organisation)

La règle de moins de droit possible, bien sur ^^.
Je ne fournirai que le minimum nécessaire d'informations sur mon organisation, pour des raisons évidentes de sécurité et de légalité.
Tout comme la structure que je présente est une représentation simplifiée d'un système réel plus complexe, par exemple chaque service a plusieurs GPO (et donc des permissions NTFS différentes) en fonction des accréditations aux sein dudit service, mais restons simple, restons compréhensible.

PS : N'oublions pas non plus que l'utilisation des droits d'héritages dans un partage de fichier est globalement toujours un problème donc à votre place, j'enlèverai l'héritage et ajouterai les droits comme mentionnés ci-dessus.

Effectivement, il y a de l'héritage partout et c'est une plaie.

Je pense que le principe mis en place par mes prédécesseurs était le suivant :
Les dossiers/fichiers dans un dossier privé (créé par les utilisateurs) doivent hériter des droits du dossier parent afin qu'ils restent réservés aux groupes accrédités même s'ils sont copier/coller par erreur hors du dossier de service.

Théoriquement, les utilisateurs non accrédités ne pouvant traverser les dossiers privés, cela suffit à assurer la protection des dossiers/fichiers enfants, toutefois pour la raison précédemment citée cela reviens à faire confiance à l'utilisateur accrédité, or on sais ce qu'on dit de la confiance à l'utilisateur.

Quel est votre avis sur ce point ?

Dans un même ordre d'idée, puisque les utilisateurs peuvent créés eux-même leurs dossiers/fichiers, celui qui créé le dossier en est propriétaire avec contrôle total alors que seul les admins du domaine devrait avoir le droit de modifier les permissions associés.

Il y aurait-il alors une autre solution pour l'admin que je suis que de se réapproprier récursivement tout les dossiers (CRON power) ?

P.S. En tout cas merci pour votre réponse/temps consacré.

[Incorporated]

Donc aujourd'hui vous avez une arborescence d'organisation par service et celle-ci ne satisfait pas votre demande.

La nouvelle organisation sur laquelle vous pourriez vous pencher c'est non pas de faire une arborescence par service mais une arborescence par outils / applications avec des droits non hérité uniquement géré par des groupes. Ne connaissant pas votre infrastructure, je ne sais pas si celle-ci est faisable au vue de votre refonte. Evidemment, de modifier l'arborescence complète va s'ajouter un accompagnement aux changements auprès des utilisateurs.

Je pense que le principe mis en place par mes prédécesseurs était le suivant :
Les dossiers/fichiers dans un dossier privé (créé par les utilisateurs) doivent hériter des droits du dossier parent afin qu'ils restent réservés aux groupes accrédités même s'ils sont copier/coller par erreur hors du dossier de service.

Théoriquement, les utilisateurs non accrédités ne pouvant traverser les dossiers privés, cela suffit à assurer la protection des dossiers/fichiers enfants, toutefois pour la raison précédemment citée cela reviens à faire confiance à l'utilisateur accrédité, or on sais ce qu'on dit de la confiance à l'utilisateur.

Quel est votre avis sur ce point ?

Je suis de votre avis sur le fait qu'on ne peut pas s'accorder uniquement sur la confiance de l'utilisateur, c'est indéniable. C'est pour cette raison que d'essayer d'aborder l'arborescence sous un autre angle avec des droits bien spécifiques est nécessaire. Une entreprise évolue et donc son système de fichier également. L'ancienne méthode d'effectuer une arborescence par service était viable autrefois, aujourd'hui, elle peut rester viable selon les structures mais peut également s'avérer compliqué comme vous le subissez aujourd'hui.

je suis conscient que modifier votre système de fichier ne sera pas tâche aisé et demandera vraiment, mais vraiment beaucoup de temps. Je ne connait pas l'ampleur de votre infrastructure mais une migration sur 1 / 2 ans ne m'étonnerais pas !

Ensuite, vous avez également une autre possibilité qui juridiquement est viable, et qui commence à se répandre de plus en plus, c'est d'attribuer les droits aux utilisateurs.

Je m'explique, nous sommes d'accord que le responsable de production par exemple, possède son dossier service. Il faudrait donc modifier le propriétaire de ce dossier par le responsable de production et c'est lui qui, après une formation, ajoutera les personnes devant accéder à ses groupes. En termes de sécurité informatique, cette notion permet d'éviter que des comptes "administrateurs du domaine" aient des accès partout puisque tout autre compte sera supprimé des droits d'accès sur les dossiers. Cela permet également au sysadmin de se décharger d'une responsabilité qui peut très rapidement lui prendre énormément de temps.

Si vous souhaitez plus de détail sur cette notion, n'hésitez pas à me demander.

J'espère que je ne vous ait pas perdu en vous expliquant diverses méthodes (j'ai peur d'aller un peu trop dans tout les sens mais c'est compliqué par écrit d'expliquer tout ceci).

[Danevic]

Vous êtes très clair, parfaitement compréhensible .

Au final, le système de fichier va avoir une arborescence mixte entre Service, Application et Domaine afin de s'adapter aux évolutions de la structure, comme vous le conseillez.

Je soumettrai l'idée de responsabiliser les chefs de services, bien que je ne pense pas que cela soit accepté, ce serait une solution pour une partie de l'arborescence.

Toutefois, mon problème d'origine reste présent (ces dossiers/fichiers accessibles par personne).

Le parfait compromis serait, je pense, la suppression/non conservation des permissions (héritées ou non) sur un dossier/fichier lorsqu'il est collé :

Des bidouille comme le passage de la valeur ForceCopyAclwithFile à 1 du registre serveur HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer (cf sources) permettrait cette non conservation des permissions dans un même volume NTFS mais cela nécessiterait que l'utilisateur effectuant le copier/coller ait le droit de modifier les autorisations (donc du contrôle total ou presque).
L'existence de dossier/fichier sans permission pouvant être géré par l’exécution à intervalle régulier d'un script réappliquant les permission nécessaires (une forme d'héritage externe).

Mais n'y aurait il pas une façon plus "propre" de ne pas conserver ces permissions ?

Sources : https://docs.microsoft.com/fr-fr/tro...g-moving-files

[Incorporated]

Et bien tant mieux si je suis parfaitement claire

La seule manière propre restera la suppression des droits hérités et l'ajout de droit exclusif je pense.

La comme ça, je ne vois pas d'autres solutions qui me viennent à l'esprit..

[Danevic]

Comme souvent la bonne solution était simple : un dossier par permission différente et ajuster les PGO utilisateurs en fonction.

Un grand merci pour cet échange qui m'a bien aidé.