A voir également:
- Réglages NTFS : empêcher la suppression.
- Exfat ou ntfs - Guide
- Refs vs ntfs - Guide
- Ouvrir réglages - Guide
- Réglages iphone - Guide
- Getdataback for ntfs - Télécharger - Récupération de données
1 réponse
brucine
Messages postés
14316
Date d'inscription
lundi 22 février 2021
Statut
Membre
Dernière intervention
25 avril 2024
1 813
15 févr. 2023 à 09:27
15 févr. 2023 à 09:27
Bonjour,
Doit pouvoir s'obtenir non pas par le paramétrage des permissions par voie graphique, mais à l'aide des commutateurs ICACLS appropriés du fait que les droits sont hérités.
S'inspirer ici du dernier exemple où sur les 3 niveaux de dossiers imbriqués l'administrateur aura tous les droits spécifiés mais qui ne devront pas être hérités, et les utilisateurs un droit en lecture seule sur l'arborescence en amont et des droits de lecture, modification... sur le niveau qui les concerne excluant celui de suppression sur le dossier parents.
Dans l'exemple en question, l'utilisateur doit bien sûr être remplacé par le groupe d'utilisateurs concerné.
https://ss64.com/nt/icacls.html
15 févr. 2023 à 09:42
Merci infiniment pour la réponse rapide, brucine.
Je vais me renseigner sur ce que sont les commutateurs ICACLS et voir si c'est à ma portée.
J'informerai des résultats.
Bonne journée.
15 févr. 2023 à 12:22
L'exemple doit pouvoir être adapté simplement en changeant le nom des dossiers (et bien sûr en exécutant ICACLS dans l'interpréteur de commandes en tant qu'administrateur), à tester:
Le groupe administrateur a tous les droits sur le dossier parent Doss_A, ils ne sont pas hérités:
icacls "chemin Doss_A" /inheritance:r /grant:r administrators:(OI)(CI)(F)
Ce droit est répercuté à tous les sous-dossiers dont l'existence est préalable:
icacls "chemin Doss_A" /grant:r administrators:(OI)(CI)(F) /T
Refuser au groupe Toto a le droit de supprimer tout sous-dossier de Doss_A:
icacls "chemin Doss_A" /deny Toto:(CI)(IO)(DC)
Lui accorder tout droit de modification par ailleurs
icacls "chemin Doss_A" /grant:r Toto:(OI)(CI)(IO)(M) /T
Lui permettre d'accéder au dossier parent:
icacls "chemin Doss_A" /grant:r Toto:(RX,WD,AD)
NB:
-je ne suis pas certain que l'interdiction de suppression affecte le dossier parent lui-même et pas seulement les sous-dossiers; au besoin, ajouter:
icacls "chemin Doss_A" /deny Toto:(DE)
-La syntaxe d'interdiction ne s'adresse en principe via (CI)(IO) qu'aux sous-dossiers, le commutateur /T non seulement traverse tous les sous-dossiers, mais aussi les fichiers, il ne doit donc en principe pas être utilisé.
-Je ne suis pas certain non plus, à vérifier, que la syntaxe interdise non seulement de supprimer un dossier mais aussi d'en modifier le nom.
-La question se pose de savoir si les utilisateurs sont habilités à créer un nouveau dossier à chacun des niveaux de l'arborescence et, si oui, s'ils pourront le supprimer.
-Le commutateur M inclut le droit de création et suppression, certes dénié par la suppression des sous-dossiers via DC, mais dont on a besoin pour les fichiers eux-mêmes.
Si je veux interdire la création de sous-dossiers, je dois rajouter au refus (DC) le commutateur (AD); si cela ne suffit pas et permet à l'utilisateur via M de créer des fichiers intempestifs par exemple à la racine de Doss_A ou à celle des Doss_B, pas trop de solution sauf peut-être d'essayer de préciser le niveau de l'arborescence: au lieu d'être appliqué à "chemin Doss_A", le commutateur M serait alors appliqué à "chemin Doss_A\*\*" (l'utilisateur n'aurait alors plus le droit de modification que sur le deuxième niveau sous Doss_A, c'est-à-dire Doss_C.
16 févr. 2023 à 09:31
Oh merci encore pour cet incroyable support très détaillé.
Je me mets au plus vite à la compréhension de ICACLS et vous retourne les résultats.
En espérant que je ne sois pas le seul à profiter de cette expertise, bonne journée !