Exercice posé en stage sur sécurité ntfs d'un dossier, je sèche. [Fermé]

Signaler
Messages postés
3
Date d'inscription
jeudi 5 novembre 2015
Statut
Membre
Dernière intervention
5 novembre 2015
-
Messages postés
20481
Date d'inscription
mercredi 18 avril 2007
Statut
Contributeur
Dernière intervention
22 février 2021
-
Bonjour, à tous ou plutôt bonsoir,
En stage active directory actuellement, mon formateur m'a posé un problème que je n'arrive pas à résoudre.

Travaillant donc sur les notions de partage et sécurité Ntfs et c'est justement sur les sécurités qu'il me propose un exercice.

En fait j'ai un dossier "T1" avec des droits en contrôle total pour un utilisateur "test", sauf suppression du dit dossier.
A l'intérieur de ce dossier se trouve un fichier "F1" que "test" peut lire/modifier mais pas supprimer et c'est bien là mon problème.

C'est que "test" qui a le doit de lire/modifier ce fichier "F1", a aussi des droits sur le dossier Parent "T1" notamment de supprimer les sous dossiers et fichiers qu'il contient (vu qu'il a le contrôle total de "T1").
Or je ne veux pas qu'elle supprime le fichier "F1" et même si dans les permissions ntfs du fichier "F1" je lui refuse la suppression ça ne fonctionne pas.
Comment faire? Avez vous des idées car je sèche depuis tout cet après midi et pourtant j'ai essayé.
Merci

2 réponses

Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020
402
Hello,

Il était une fois la notion d'héritage ...
Il était aussi une autre fois les paramètres avancés (permissions avancées/spéciales) de NTFS ;-)

Note : outre le fait de manipuler des droits pour comprendre ; On évite d'utiliser les droits "refuser", ils sont prioritaires sur les droits "autoriser" ; et ça complique énormément l'administration/l'exploitation/l'évolution.
Ce qui pourrait être la solution, ne l'est pas forcément sur le long terme (ou mise à l'échelle de milliers d'utilisateurs/droits).
Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020
402
Méfiez vous avec le Contrôle total, on peut modifier les autorisations.

Les droits ne se cumulent pas, ne le croyez surtout pas. Un droit "refuser" écrase un droit "autoriser".
Il a le CT sur le contenant (le dossier) et non sur le contenu.
Par contre, il faut que vous regardiez plus loin au niveau des droits du dossier, dans les propriétés avancées : ce dossier uniquement.les sous-dossiers et fichiers...la piste est là.

Après il faudra que je l'adapte avec des groupes globaux et/ou des groupes de domaines locaux le cas échéant.

Dans l'usage on positionne ce type de droits (NTFS) uniquement sur des groupes de domaine local. Ensuite on y imbrique des users ou des groupes globaux. (cf. modèle AGDLP - voire AGUDLP si foret multi domaines).
Messages postés
3
Date d'inscription
jeudi 5 novembre 2015
Statut
Membre
Dernière intervention
5 novembre 2015
>
Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020

Les droits ne se cumulent pas, ne le croyez surtout pas. Un droit "refuser" écrase un droit "autoriser".
Oui effectivement c'est ce que me disais mon formateur mais je n'y arrive pas.
J'ai cherché également du coté des propriétés avancées "ce dossier uniquement, etc.." mais ça ne donne rien.
Donc du coup j'avais tenté de refuser la suppression sur le fichier "F1" pour qu'il "prenne le dessus" sur l'autorisation du dossier parent "T1" de supprimer les fichiers et sous dossiers qu'il contient. Mais encore une fois mon utilisateur "test" peut supprimer "F1" malgré le refuser la suppression. Vraiment je rame.

Dans l'usage on positionne ce type de droits (NTFS) uniquement sur des groupes de domaine local. Ensuite on y imbrique des users ou des groupes globaux. (cf. modèle AGDLP - voire AGUDLP si foret multi domaines)

Effectivement je créer des GDL dans lesquels j'intègre des groupes globaux qui contiennent eux meme des users. Et c'est bien c'est GDL qui ont des permissions ntfs sur les dossiers/fichiers.
Mais dans l'exercice je n'arrive même pas à le faire à un seul utilisateur alors ça ne risque pas de fonctionner pour un groupe.
Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020
402
Bon on va reprendre.

Donc du coup j'avais tenté de refuser la suppression sur le fichier "F1" pour qu'il "prenne le dessus" sur l'autorisation du dossier parent "T1" de supprimer les fichiers et sous dossiers qu'il contient. Mais encore une fois mon utilisateur "test" peut supprimer "F1" malgré le refuser la suppression. Vraiment je rame.


Vous donnez des droits de CT au niveau du contenant (et de tous les enfants, donc sous dossiers et fichiers) , donc peu importe ce que vous allez faire en dessous vous pourrez le supprimer, droits refuser ou non ...

1. Ne mettez pas du controle total sur le contenant ; d'ailleurs si vous mettez le CT sur "uniquement ce dossier", que se passe t il pour le contenu ?

2. A quoi ça sert de mettre du CT pour refuser derrière ?

Donnez juste les droits en permissions qu'il faut ; il ne faut pas trop "autoriser" pour ensuite refuser, ce n'est pas comme cela qu'on fait.
Donner le CT sur des données partagées à des utilisateurs lambda, pensez vous que ce soit judicieux d'ailleurs ?
Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020
402
D'autre part les tests sont réalisés comment ?
Si vous travaillez en local, ça ne reflètera pas la réalité.
Messages postés
20481
Date d'inscription
mercredi 18 avril 2007
Statut
Contributeur
Dernière intervention
22 février 2021
1 576
On évite d'utiliser les droits "refuser"
ha ha ha...
que de souvenirs... quand un soit disant admin réseau (en tout cas, c'est ce qui était marqué sur sa fiche de paye), n'arrivant pas à retirer le controle total à fait 'refuser controle total' à 'tous les utilisateurs'.
quelle poilade...
Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020
402
l'exercice qui t'a été demandé se situe plus sur la partie Droits sur les ressources.
Moi je vais t'en proposer un qui se fait plus sur la logique AGDLP.
(présente le à ton manager, on verra s'il trouve, ça sera une bonne occasion d'échanger aussi)

-

- Périmètre : 1 forêt, 3 domaines.
- Les niveaux fonctionnels des domaines et foret sont au maximum.
- Les comptables de chaque domaine doivent avoir le Contrôle total sur leur base de données comptabilité uniquement sur leur domaine.
- Les comptables de tous les domaines de la forêt doivent accéder en lecture seule aux bases de données comptables des autres domaines.

Comment bricoler ça avec des groupes ?


ps : l'exercice n'est pas de moi, mais je l'utilise très fréquemment pour imager.


Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....