Droit/sécurité sur un partage windows server 2008 r2

sonicz49120 · Septembre 17, 2012, 8:09

Bonjour,

Malgrès mais recherche je ne trouve pas de solutions.
Pour une association j’ai mis en place un partage sous windows Server 2008 R2.
Jusque là tous fonctionne bien pas de souci.

Mais j’ai une demande de des comptables sur les droits sur les dossiers.

J’ai un Dossier “A” avec 2 sous-dossier “A1” et “A2”.
Les comptable ont accès a tous donc pas de souci vu que je met les droit et héritage des droits sur tous les dossier fichiers et sous dossier.

Maintenant les autres personnes ne doivent avoir accès qu’à “A2”. J’ai bien pensé aller dans la sécurité désactiver l’héritage. Puis donner les droits sur le Dossier “A2” pour tous le monde. Ca fonctionne bien mais dans le cas de mon arborescence qui n’est pas limiter à 2 niveau et qui contient plein de cas comme celui là c’est vite le bazard car il faut le faire pour tous les dossiers

Sinon j’ai aussi essayer de donner sur le dossier parent le droit pour tous le monde en “Affichage du contenu du dossier”, certe c’est plus simple pour donner les droits après mais les utilisateurs sont noyés dans une arborescence dont ils n’ont pas besoin et la discretion sur les nom de dossier visible pour tous c’est limite.

Qui aurais une idée pour ce problème?

Koin-Koin · Septembre 17, 2012, 10:40

Bienvenu dans le merveilleux monde de l’administration de dossier partagés :ane:

Quelques petits conseils (non exhaustifs loin s’en faut):

il n’ y a aucune méthode toutes faites applicable à tous les cas de figure, il faut donc bien réfléchir à son cas à soi
ne pas hésiter à tout reprendre à zéro
utiliser plusieurs partages selon les populations peut faciliter la gestion
ne jamais donner le droit “contrôle total” aux utilisateurs (enfin c’est mon avis) mais plutôt modification
utiliser des partages cachés (en ajoutant un $ à la fin du nom de partage) pour éviter la curiosité
ne pas hésiter à être dirigiste avec les utilisateurs, la contrepartie étant de bien leur expliquer pourquoi il faut faire de telle manière et en quoi c’est préférable pour eux comme pour la personne qui gère les accès

On trouve souvent l’organisation suivante:

un partage commun accessible pour tout les utilisateurs
un partage par service ou groupe d’utilisateurs ayant les mêmes accès
un partage perso pour chaque utilisateur

Maintenant il faut bien évidemment l’adapter à ton environnement :neutre:

sonicz49120 · Septembre 18, 2012, 1:59

Bonjour,

Merci pour les conseil qui sont je l’avoue bienvenue.
J’avaie bien penssé à faire plusieurs partages pour différentes zone, mais ça rajoute pas mal de lecteur réseau. Mais sur le coup tu m’a donnée l’idée pour le faire pour la partie comptable.

N’empêche que la gestion des droits est un vrai bazard que ce soit windows ou linux.

Avant il y avait une solution de type GED, mais ce n’était pas adapter et contourné. Le besoin étant un partage de fichier.

La notion de population est très difficile à mettre en oeuvre car elle est très mélangé au finale et la gestion des droit par utilisateur est finalement nécessaire.

Enfin bon on va faire comme ça pour l’instant en priant qu’une solution plus souple en terme de management arrive. Ba quoi on peut bien croire au père noel

Koin-Koin · Septembre 18, 2012, 2:27

Comme je le disais, il n’y a pas de solution miracle, chaque environnement est particulier :neutre:

Pour faire simple je dirais que l’équation est la suivante:

plus de souplesse et de granularité au niveau des utilisateurs -> plus de complexité dans la gestion et de problèmes potentiels
gestion plus simple -> moins de souplesse

Il faut trouver le point d’équilibre dans ton environnement.

Le gros avantage de pouvoir gérer des populations type est de ne pas avoir à gérer de cas particulier, ce qui est (à mon sens) le pire ennemi de l’administrateur.

Si la population d’utilisateur est restreinte tu peux te permettre de faire du cas par cas, mais au delà de quelques dizaines ça devient vite ingérable.

Dans tout les cas, je t’invite à ne jamais donner les droits sur les dossiers ou partages à un utilisateur mais toujours passer par un groupe (même pour une personne). Si ça n’a pas forcément de sens quand tu mets ça en place, il a de grande chance que ce soit le cas à un moment ou à un autre dans l’avenir.

Si tu veux tenter quand même de remettre à plat ton infra, n’hésites pas. Par contre il faudra quand même fournir un minimum d’info sur ton environnement (rien de confidentiel je te rassure) comme le volume d’utilisateurs et autres.

Mais rassure toi, tu n’est pas le premier a être confronté à ce genre de chose, tu ne sera pas le dernier et je peux te garantir que dans beaucoup de boites c’est un vrai bazar :ane:

Koin-Koin · Septembre 20, 2012, 5:28

Ah oui j’oubliais: un dernier truc pour la route.

Si au début il est assez simple de gérer quelques partages, on se rend assez vite compte que si (par exemple) on a un partage par utilisateur, entre les création, modification, suppression, ça devient vite embêtant.

Le truc est de n’avoir qu’un nombre restreint de partages (cachés de préférence) par exemple:
User$

Lequel contient les répertoires persos de chaque utilisateurs sur lesquels on ne donne les droits qu’a qui de droit.
\User1
\User2
…

Au lieu de mapper le lecteur directement à la racine du partage, il est tout a fait possible de mapper au niveau du répertoire sous le partage:
net use x: \user$\user1

voili, voulou :icon_biggrin: