Serveur de fichier 2012r2 droit ntfs
Fermé
helrigh
Messages postés
6
Date d'inscription
mardi 24 janvier 2017
Statut
Membre
Dernière intervention
21 février 2017
-
Modifié par helrigh le 24/01/2017 à 16:02
helrigh Messages postés 6 Date d'inscription mardi 24 janvier 2017 Statut Membre Dernière intervention 21 février 2017 - 25 janv. 2017 à 18:05
helrigh Messages postés 6 Date d'inscription mardi 24 janvier 2017 Statut Membre Dernière intervention 21 février 2017 - 25 janv. 2017 à 18:05
A voir également:
- Serveur de fichier 2012r2 droit ntfs
- Fichier rar - Guide
- Fichier host - Guide
- Fichier iso - Guide
- Comment réduire la taille d'un fichier - Guide
- Ouvrir fichier .bin - Guide
3 réponses
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
Modifié par kelux le 24/01/2017 à 19:45
Modifié par kelux le 24/01/2017 à 19:45
Salut,
Alors déja avant d'aller plus loin, je te préconise quelques changements qui vont largement t'être bénéfiques pour la suite.
On ne met jamais de groupes Globaux en direct sur les ACLs (la sécurité NTFS) de partage ou de dossiers comme tu le fais.
En gros il ne faut pas mettre les groupes correspondants aux services et leur donner des droits directement.
Il faudrait que tu étudies un peu le modèle AGDLP et par extension le modèle AGUDLP, dans le cas de forêts multi-domaines et/ou avec des domaines/forêts approuvés.
A . Pour faire simple :
- Tu créées des groupes de domaine local qui portent le nom des dossiers et du type d'accès. Exemple :
- DL_SRV1_SHARES_AGENCE_GRENOBLE_R : pour un accès en lecture (R= Read)
- DL_SRV1_SHARES_AGENCE_GRENOBLE_W : accès en écriture (Write)
Ensuite tu positionnes les droits de ces groupes dans tes ACLS sur les dossiers qui vont bien. Tu as donc au moins 2 groupes de Domaine Local par "dossier" à sécuriser.
-
B. imbrication des groupes Globaux
Une fois que tu as fait ton modèle de données avec tous les groupes qui vont bien et les accès ; tu rajoutes les groupes Globaux des utilisateurs dans les groupes DL pour donner tel ou tel accès ; généralement on fait des groupes par services, comme tu l'as dans ton exemple.
Si les groupes des services sont pas en Groupe Global, il faudra penser à les changer.
-
C. Le principal avantage : si tu as 500 Go de données où tu dois modifier la sécurité pour ajouter (et supprimer) tel ou tel droit pour des utilisateurs, que va t il se passer ?
Tu devras réécrire les ACLS des 500 Go pour faire les modifications : pendant ce temps l'accès aux données il est exécrable. Tes users vont gueuler.
Et surtout tu n'as pas la main pour faire plusieurs modifications , tu dois attendre que ça se termine ... autant te dire que ta méthode n'est vraiment pas à conseiller et performante.
Là avec la méthode que je t'ai expliquée, tu ne modifies que des groupes AD, et pas les ACLS. (enfin tu le fais 1 fois,au début, à la mise en place du dossier...)
De plus, un autre avantage, pour auditer les accès : "qui a quoi comme droits et où" --> tu audites les groupes DL ... pas besoin de se coltiner tous les serveurs de fichiers et ensuite consolider les résultats.
Cette méthode ; c'est ce qu'on fait pour des grosses infrastructures, autant que tu le fasses aussi, même si ton périmètre est plus petit.
-
D. Pour la problématique des dossiers et des sous dossiers :
Evite de trop imbriquer des dossiers avec des sous dossiers et encore et encore... Commence par un seul niveau en prenant le modèle que je te préconise ; ensuite tu rajouteras un second niveau d'arborescence.
Tu dois faire attention à ce qu'on appelle "l'héritage" : si tu décides d'isoler un dossier, tu dois casser l'héritage, ensuite tu repositionnes les ACLS.
Fais plusieurs tests pour comprendre comment marche l'héritage : en gros par défaut un sous-dossier hérite des droits du dossier parent.
Parfois certaines personnes veulent restreindre l'accès à un sous-dossier, donc on casse l'héritage et on repositionne des nouveaux droits avec des nouveaux groupes DL.
-
Pour finir, pour administrer tout ça, pense à laisser dans les ACLS, un groupe en Full control , tu créés un groupes DL_SRV1_Shares_FC et tu le rajoutes pour chaque dossier/sous dossiers en Full Control.
Tu y ajouteras les personnes qui devront gérer les répertoires. (généralement des équipes techniques - pas des users)
Tu peux également laisser en Full control le groupe local du serveur "Administrators" ; tout dépend qui doit administrer le serveur de fichier. (ou les serveurs de fichiers).
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Alors déja avant d'aller plus loin, je te préconise quelques changements qui vont largement t'être bénéfiques pour la suite.
On ne met jamais de groupes Globaux en direct sur les ACLs (la sécurité NTFS) de partage ou de dossiers comme tu le fais.
En gros il ne faut pas mettre les groupes correspondants aux services et leur donner des droits directement.
Il faudrait que tu étudies un peu le modèle AGDLP et par extension le modèle AGUDLP, dans le cas de forêts multi-domaines et/ou avec des domaines/forêts approuvés.
A . Pour faire simple :
- Tu créées des groupes de domaine local qui portent le nom des dossiers et du type d'accès. Exemple :
- DL_SRV1_SHARES_AGENCE_GRENOBLE_R : pour un accès en lecture (R= Read)
- DL_SRV1_SHARES_AGENCE_GRENOBLE_W : accès en écriture (Write)
Ensuite tu positionnes les droits de ces groupes dans tes ACLS sur les dossiers qui vont bien. Tu as donc au moins 2 groupes de Domaine Local par "dossier" à sécuriser.
-
B. imbrication des groupes Globaux
Une fois que tu as fait ton modèle de données avec tous les groupes qui vont bien et les accès ; tu rajoutes les groupes Globaux des utilisateurs dans les groupes DL pour donner tel ou tel accès ; généralement on fait des groupes par services, comme tu l'as dans ton exemple.
Si les groupes des services sont pas en Groupe Global, il faudra penser à les changer.
-
C. Le principal avantage : si tu as 500 Go de données où tu dois modifier la sécurité pour ajouter (et supprimer) tel ou tel droit pour des utilisateurs, que va t il se passer ?
Tu devras réécrire les ACLS des 500 Go pour faire les modifications : pendant ce temps l'accès aux données il est exécrable. Tes users vont gueuler.
Et surtout tu n'as pas la main pour faire plusieurs modifications , tu dois attendre que ça se termine ... autant te dire que ta méthode n'est vraiment pas à conseiller et performante.
Là avec la méthode que je t'ai expliquée, tu ne modifies que des groupes AD, et pas les ACLS. (enfin tu le fais 1 fois,au début, à la mise en place du dossier...)
De plus, un autre avantage, pour auditer les accès : "qui a quoi comme droits et où" --> tu audites les groupes DL ... pas besoin de se coltiner tous les serveurs de fichiers et ensuite consolider les résultats.
Cette méthode ; c'est ce qu'on fait pour des grosses infrastructures, autant que tu le fasses aussi, même si ton périmètre est plus petit.
-
D. Pour la problématique des dossiers et des sous dossiers :
Evite de trop imbriquer des dossiers avec des sous dossiers et encore et encore... Commence par un seul niveau en prenant le modèle que je te préconise ; ensuite tu rajouteras un second niveau d'arborescence.
Tu dois faire attention à ce qu'on appelle "l'héritage" : si tu décides d'isoler un dossier, tu dois casser l'héritage, ensuite tu repositionnes les ACLS.
Fais plusieurs tests pour comprendre comment marche l'héritage : en gros par défaut un sous-dossier hérite des droits du dossier parent.
Parfois certaines personnes veulent restreindre l'accès à un sous-dossier, donc on casse l'héritage et on repositionne des nouveaux droits avec des nouveaux groupes DL.
-
Pour finir, pour administrer tout ça, pense à laisser dans les ACLS, un groupe en Full control , tu créés un groupes DL_SRV1_Shares_FC et tu le rajoutes pour chaque dossier/sous dossiers en Full Control.
Tu y ajouteras les personnes qui devront gérer les répertoires. (généralement des équipes techniques - pas des users)
Tu peux également laisser en Full control le groupe local du serveur "Administrators" ; tout dépend qui doit administrer le serveur de fichier. (ou les serveurs de fichiers).
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
24 janv. 2017 à 20:21
24 janv. 2017 à 20:21
Seconde réponse :
Par défaut dans la partie
Autorisations pour gp_gre / Autoriser / Refuser
cela va me cocher seulement "autorisations spéciales"
sur les dossier de niveau 2 je ne peux pas créer de dossier
par contre sur les dossier de niveau 3 je peux créer des dossier.
Ton problème globalement est lié à la gestion de l'héritage.Mais aussi lié aux droits avancés (applicable à : dossier/sous-dossier/etc ...)
Quand tu voies affiché la coche dans "Autorisations spéciales", c'est que tu as donné des droits qui s'appliquent à autre chose que "ce dossier, les sous-dossier et les fichiers".
Par défaut dans la partie
Autorisations pour gp_gre / Autoriser / Refuser
cela va me cocher seulement "autorisations spéciales"
sur les dossier de niveau 2 je ne peux pas créer de dossier
par contre sur les dossier de niveau 3 je peux créer des dossier.
Ton problème globalement est lié à la gestion de l'héritage.Mais aussi lié aux droits avancés (applicable à : dossier/sous-dossier/etc ...)
Quand tu voies affiché la coche dans "Autorisations spéciales", c'est que tu as donné des droits qui s'appliquent à autre chose que "ce dossier, les sous-dossier et les fichiers".
helrigh
Messages postés
6
Date d'inscription
mardi 24 janvier 2017
Statut
Membre
Dernière intervention
21 février 2017
25 janv. 2017 à 18:05
25 janv. 2017 à 18:05
Bonjour,
Merci pour votre réponse, je me suis renseigné sur AGDLP cette méthode à ses avantages, je suis d'ailleurs en train de l'appliqué.
Par contre la contrainte c'est qu'il faut désactiver l'héritage, j'étais assez contente d'avoir réussi ce que je voulais sans désactivé l'héritage nul part,
mais la société pour laquelle je travaille est encore en pleine expansion, je pense que sur le long terme suivre les Bests Practices ne peut etre une mauvaise chose :/
Encore merci pour votre aide :)
Merci pour votre réponse, je me suis renseigné sur AGDLP cette méthode à ses avantages, je suis d'ailleurs en train de l'appliqué.
Par contre la contrainte c'est qu'il faut désactiver l'héritage, j'étais assez contente d'avoir réussi ce que je voulais sans désactivé l'héritage nul part,
mais la société pour laquelle je travaille est encore en pleine expansion, je pense que sur le long terme suivre les Bests Practices ne peut etre une mauvaise chose :/
Encore merci pour votre aide :)
