[AD][NTFS]Droits d'accès a un fichier et restriction sur les autres

steph___leto · Août 2, 2007, 4:59

Bonsoir à tous,

Un client souhaite qu’un utilisateur puisse accéder à un fichier se trouvant profondément enfoui dans une arborescence et ceci uniquement en lecture seule et en n’aillant aucun accès à un autre dossier/fichier se trouvant dans les autres répertoires…

voici un schéma (très) simplifié.

Dossier1
I__Dossier11
I__Dossier12
___I__Dossier121
___I__Dossier1211
____IFichiers.xls
______I__Toto.doc
______I__Tata.pdf
___I__Dossier1212
I__Dossier13
Dossier2
Dossier3

La racine est accessible a tout le monde mais chaque dossier (Dossier1, 2 et 3) est réservé aux membres de 2 groupes associé. (Exemple share_Dossier(n)_R et share_Dossier(n)_RW ou (n) est le numéro du dossier). La gestion des droits s’arrête actuellement au premier niveau de l’arborescence et est hérité par les sous-dossiers.

Donc je voudrais que le groupe share_Fichiers_xls ne puisse accéder qu’au fichier en question sans avoir la possibilité d’entrer ou lire quoi que ce soit d’autre. Comment que je fais ?? Sachant que l’arborescence originale est bien plus complexe (8 niveaux de sous dossier :?)

Merci d’avance ! B)

Silka · Août 2, 2007, 6:12

Tu as 2 possibilités :

1°) tu fais le choix d’utiliser l’option “affichage du dossier uniquement”. En gros la personne peut browser tous les repertoires ( heritage) mais ne voit aucun fichier !

Puis sur le repertoire qu’il doit avoir accés tu rajoutes le droit Lecture ou Modif.

l’autre possiblité, c’est d’enlever l’heritage, mais cela enleve donc tout l’interet de l’heritage.
Tout cela depend donc du degré de securité.

Une autre possibiltié , que je n’ai jamais mis en place: utiliser l’option “REFUSER” B)

Tu mets en droit affichage du contenu du dossier, puis les sous dossiers, que le groupe n’a pas le droit tu coches refusé.

Voilou.

@edit: donc en gros est ce grave que les gens peuvent browser les repertoires ?
Utilises tu le plug in ABE ?

@edit2 :
@edit 2 : Sinon tu peux donner les droits acces 1 à 1 au repertoire en utilisant dans les options de securité avancé, l’option : “appliquer uniquement à ce dossier”.

Tout depend si c’est une demande ponctuelle, ou alors une demande quotidienne.

mmenfin · Août 2, 2007, 6:26

accéder au fichier via un raccourci qui pointe directement dessus, c’est pas faisable ?

(désolé si je dis une connerie monumentale hein)

Silka · Août 2, 2007, 6:29

tu fais dossier parent et tu accedes au repertoire parent B)
@edit: et si tu fais enregistrer , tu accedes au repertoire, et tu fais tout ce que tu veux.

Bref c’est pas trop un bon plan, ou alors il faut creer un partage d’acces direct, mais c’est pas ce qu’il recherche ?

steph___leto · Août 2, 2007, 7:06

En fait les données sont sur un gros SAN (NetApp 5 To) le point d’accès est le même pour tout le monde. Donc pas question de créer un nouveau partage lui donnant un accès direct et exclusif, il faut qu’il passe par le même chemin que tout le monde. La solution du raccourci impose elle aussi que l’accès jusqu’à ce fichier soit autorisé.

L’accès en question est a long terme donc il faut une structure fiable et évolutive (pas de bricolage quoi) sachant que les dossiers dans l’arborescence peuvent évoluer et que de toute façon, les membres du groupe que je veux créer ne devront quoi qu’il arrive qu’avoir accès à ce fichier.

Donc question évolution, pas question de devoir interdire l’accès de ce groupe a la mano pour chaque dossier existant ou créés dans le futur.

En fait j’avoue ne pas savoir du tout comment m’y prendre. je souhaiterais en fait autoriser a ce groupe de browser jusqu’à ce dossier (et préférerais éviter qu’il puissent aller ailleurs même s’il ne peuvent rien ouvrir)

C’est quoi le plug ABE dont tu parles Silka ?

Niveau degré de sécurité, c’est “Sensible” donc faut pas rigoler…

Voila pour les infos B)

Silka · Août 2, 2007, 7:41

ABE: Acces Base Enumeration je te rajoute pour l’environment DFS : http://support.microsoft.com/kb/907458/fr
uniquement sous Windows server 2003 sp1.

En gros grace à cela, (on l’attendait depuis NT4) les utilisateurs ne voient que ce qu’ils ont droit comme dossier.

Sans ABE

Un utilisateur accede au partage X, il voit 5 dossiers, mais n’est autorisé qu’a accédé qu’un à seul dossier, bah avec ABE, il ne voit meme pas les 4 autres dossiers, cela les masques B)

Comme cela, l’utilisateur n’a jamais :ACCES REFUSE comme message B) Et la navigation est de plus largement simplifié pour eux.
Pour les admins, il suffti de telecharger ABE chez microsoft.
De l’installer.

ET de dire d’activer ABE pour ce partage ( onglet suplementaire par le clic droit de la souris)

Donc pour toi steph, install ABE quand meme , mais si tu es obligé de faire passer tout le monde par le meme point, c’est bizarre.
Enfin chaque societe à son fonctionnement.

Tu es sur qu’il t’est impossible de créé des partages ?

Sinon la solution utilisé l’option :“afficher uniquement le contenu du dossier”

Si tu veux utiliser ABE ('je te le conseil GRANDEMENT) va dans les options avancé de securité, et tu choisis pour ce groupe et la secu : appliquer uniquement à ce dossier, et de le faire jusqu’au repertoire voulu. Et t’inquiete, ils ne verront aucun fichiers, uniquement que des repertoires ( mais selon baisse grandement l’utilité ABE)

Il faut bien savoir qu’il faut penser à l’organisation des partagse en globalité, puis normalement, cela n’evolu quasiement plus.
Donc c’est long à mettre en place, mais apres c’est niquel.

J’espere avoir été clair.

@edit : c’est comme pour le partage des imprimantes, c’est que sur windows serveur 2003 R2 bande d’E… Microsoft .

steph___leto · Août 2, 2007, 9:24

Malheureusement ça ne va pas étre possible pour ABE. En effet, le SAN émule NTFS mais je ne pense pas qu’il sache utiliser ABE.

Sinon pour ce qui est du point d’entrée bah c’est comme ça partout, sinon c’est un gros bordel !

En gros, U: pour les données perso, S: pour le service et O: pour le commun. Le commun contenant une arborescence entièrement soumise a des droits particulier. Si on cré des partage a droite et a gauche pour certaines personnes, on se retrouve rapidement avec 200 partage spécifique avec des lettre mappé n’importe chez n’importe qui et il suffit qu’un gars sous Excel face des lien de classeur avec des chemin absolu (genre O:\compta\fiche) pour que le gugus qui a un partage ailleurs ne puisse pas ouvrir le fichier. Actuellement, le système de distribution de fichier est partagé a environ 30 filiales répartis sur chaque continent (Asie, US, Brésil, Australie, Espagne, Roumanie, UK, Suede, etc…) il est distribué par une arborescence DFS et synchronisé par le système WAF de Tapestri qui permet la synchro des fichiers en mode bloc/cluster. Bref c’est un truc assez complexe et qui a été parfaitement pensé a la base… Maintenant les users veulent faire n’importe quoi et s’imaginent qu’il suffit d’un claquement de doigt pour réaliser leurs souhaits…

Bref. Mon problème est surtout de savoir s’il est possible de faire simplement mon accès pour ce groupe d’utilisateur sans devoir me retaper la sécurité de tout les dossiers a la main. Après ABE, ou pas ce n’est pas grave (quoi qu’en réfléchisant, je me demande si je n’ai pas vu un truc parlant de ce systeme de masquage de dossier dans la doc du NetApp…) ce n’est pas ça qui va faire ma gestion de droit. Je vais essayer de faire joujou avec les interdictions pour voir ^^

Merci en tout cas Silka B)

Silka · Août 3, 2007, 6:37

Si tu fais un partage géré par AD, ABE fonctionnera B)

Bah tu seras obligé de faire comme nous ^^ Tout peter et tout refaire.

Sinon tout depend apres du truc. Utiliser la fonction : uniquement à ce dossier, sera tres pratique dans ton cas. Cela evitera de propager un droit partout. Fastidieux ? Bah oui si il y a un 6 niveaux c’est chiant B)
Mais bon, chiant ca prend 5 minutes, au lieu de 30s.

Et question : tes droits sont toujours donné par rapport à un groupe et non à des users ?

djktk · Août 3, 2007, 9:19

Une autre solution (celle qu’on utilise au boulot, et on a 4500 serveurs et 10 000 workstations, ça commence à faire du monde) c’est d’utiliser un réseau novell et les propriétés avancées de gestion de l’héritage. Sinon effectivement AD permet tout ça, mais faut mettre les mains dans le cambouis (après tout, on est geek ou on l’est pas)

urdle · Août 3, 2007, 10:25

L’utilisateur doit avoir le droit avancé “parcourir le répertoire” sur la racine (pas besoin de “lire le répertoire”, il me semble), qui s’applique à “ce dossier, les sous-dossiers”.

Ensuite, tu lui donnes le droit à SON fichier (ou SON répertoire), et tu lui créés un raccourci vers le-dit fichier (ou répertoire).
En gros, il a presque plus le droit de rien faire, il peut juste atteindre un répertoire (ou un fichier) sur lequel il a les droits à la condition qu’il connaisse d’avance le chemin complet exact… ça devrait bien le limiter quand même.

Edit : petit ajout : on ne donne JAMAIS les droits à un utilisateur X. On créé un groupe dans l’AD avec un nom équivoque, un joli commentaire “donne l’accès au répertoire \serveur\machin\bidule”, on le met dans le groupe, et c’est au groupe qu’on donne les droits. Nan sinon c’est très vite un foutoir sans nom, là j’viens d’arriver dans une entreprise.
Pour faire ce que tu veux faire, en gros, ils ont donné des droits n’importe comment à des utilisateurs, y’a des héritage enlevés sur la moitié des répertoires, et ils mettent même des DENY à foison.

Soit dit en passant, le DENY pour réaliser ce genre de truc, tu l’oublies, tu le brules. On n’utilise pas de DENY sur la racine pour ce genre de tâche. JAMAIS. Sinon faut faire sauter l’héritage ailleurs, c’est le bousin.

Reuns · Août 3, 2007, 5:16

Sinon tu peux effectivement donner le droit qu’au fichier, puis créer un raccourcis à ce fichier que tu mettra sur le bureau du User.
Si il veux écrire dessus, le droit en lecture/ecriture sur le fichier ne suffit plus, il faut aussi l’appliquer au répertoire. (donc le user pourra accéder au reste du répertoire).

Pour tes problèmes de mappage réseau, Depuis Windows 2000 il existe les racines DFS !
Renseigne un bon coup là-dessus, là j’ai pas trop le temps de développer … mais c’est très simple et très pratique (et trop souvent oublié)

steph___leto · Août 14, 2007, 2:05

Vivi effectivement nous utilisons DFS avec tout le bordel site / liaison redondantes / réplication, toussa quoi maintenant, si on s’amuse a ajouter pour chaque demande un chemin dans la racine DFS pour quelques utilisateurs on va finir très rapidement par avoir une racine DFS avec 300 liens du type “Photo de M. Machin”, “Dossier de Mme turlute” etc.

Non, définitivement non. Sur une arborescence commune à environ 5000 personnes d’une multinationale, on ne fait pas de lien ou de mapping a droite ou a gauche. On utilise un point d’entrée unique justement géré par une racine DFS bien définie. Ensuite pour l’accès à des dossiers se trouvant enfouis dans l’arborescence, on doit se débrouiller avec les sécurités.

Dans notre cas, c’est un service qui gère un fichier contenant des informations sur des pièces détachés d’équipements et qui est historiquement placé profondément dans l’arborescence de leur service. Ils veulent que d’autres personnes précises appartement à un groupe bien défnini puissent voir se fichier en question sans qu’ils aillent mettre leur nez dans d’autres dossiers ou même d’autres fichiers le tout en y accédant par le point d’accès central (la racine DFS).

Ma question ne concerne pas la réorganisation de nos accès ou l’utilisation de partage supplémentaires ou de raccourci (ce qui reviens aussi a la même chose niveau droit d’accès) mais simplement s’il existe une méthode simple pour permettre l’accès jusqu’à ce fichier sans qu’ils puissent entrer dans d’autres dossiers hormis ceux nécessaires à l’accès du répertoire contenant notre fameux fichier tout en interdisant l’ouverture d’autres documents rencontrés pendant la navigation. (Système ABE ou pas cela ne change rien vu qu’il réagi justement en fonction des droits d’accés).

Après bien sûr, si nous n’avons pas d’autres choix que de couper l’héritage et de se peler a la main les autorisations pour chaque sous dossier de cette fameuse arborescence (environ 9 ou 10 niveaux !!) jusqu’au fichier qui nous intéresse, nous le ferons si le client accepte le devis d’une bonne journée de travail pénible. Il reste aussi la solution de demander le déplacement du fichier plus haut dans l’arborescence de façon a simplifier le travail. Mais hélas se fichier (Excel) contient des liens absolus avec d’autre fichiers se qui imposera aussi le déplacement des autres fichiers ou la réorganisation des liens qu’il contient tout en demandant a des tas de gens plutot réfractère au changement de modifier leurs habitudes.

Néanmoins, s’il existe un programme ou une méthode simple permettant de réaliser cette modification de droit, je reste preneur ^^

A++ B)

urdle · Août 14, 2007, 2:21

Bah tu peux donner les droits de lecture à chacun des répertoires à traverser en choisissant, dans “sécurité/avancé” d’appliquer ce droit “sur ce dossier”.
Cela donnera comme droit aux viles intrus gentils clients de voir et de lister le contenu de chaque répertoire qu’il a à traverser pour trouver le répertoire voulu, mais pas d’aller dans les autres sous-répertoires qui ne le concerne pas.
Un peu lourd, puisqu’il faut appliquer ce droit sur 10 dossiers donc.

Encore une autre méthode, toujours en utilisant “sécurité/avancé”, donner le droit sur la racine : “parcours du dossier” (traverse folder, de mémoire, en anglais), en l’appliquant “à ce dossier et ses sous-dossiers”; puis donner le droit de lecture dans le répertoire voulu.
En gros, ce droit “traverse folder” permet à l’utilisateur, sous DOS, d’utiliser la commande CD pour descendre dans les arborescences, mais pas de faire DIR. Il faut donc connaitre par coeur de chemin où l’on doit aller.
Autrement dit aussi il ne pourra pas utiliser l’explorateur pour aller jusqu’au fameux dossier, il faudra imperativement lui fournir un raccourci avec un joli chemin UNC \server\share\toto\titi\publicfolder. Il ne pourra pas lister le contenu de titi.

Evidemment quelque soit la méthode choisie, tu donneras ces droits à un groupe (et pas à un utilisateur), et tu référencera tout cela dans les notes du groupes (parceque sinon, dans 2 mois, tout le monde aura oublié où est ce répertoire à la C…) B)

Edit : Pour y avoir réfléchi (et avoir vu d’autres boites où “ça marche”), je dirais que quelquesoit la méthode, tu vas un peu dans le mur. Tu le fais pour un, tu le feras pour 50.
La meilleur méthode selon moi est celle que j’ai vu dans une autre multinationale (suédoise qui vend des camions). Il y a des répertoires dans un DFS; ces répertoires ne sont pas des répertoires dédiés à un service (j’entends par là qu’un service peut avoir plusieurs répertoires. Chaque service paye ses répertoires et la place qu’ils prennent). Chaque répertoire est ensuite assigné à un sharedfolder dans AD.

A chaque SharedFolder correspond 3 groupes : un groupe Toto-A (Admin), Toto-W (Write), Toto-R (Read). Les utilisateurs sont dans le groupe qui correspond.

Tes utilisateurs veulent un répertoire avec des droits spécifiques ? Bah on créé un nouveau répertoire et des droits de lecture/écriture comme pour tous les autres répertoires. Grâce à AD et aux groupes imbriqués si ton domaine est en mode Windows 2000 natif, ce sera un jeu d’enfants, puisque tu pourras mettre directement le groupe de ceux qui ont accès à l’autre répertoire dans le groupe Toto-W.