gestion et délégation de droits ACLs

Le
phil
Bonjour à tous,

Sur un serveur de fichiers windows 2008, je souhaite déléguer la possibilité
à certains utilisateurs d'administrer les ayants-droits de leur dossiers et
sous dossiers situés dans un partage ou l'ABE est en place.

Je souhaite que l'administrateur de domaine puisse rester présent sur ces
dossiers en question (problème accès/gestion sauvegarde par exemple).

Or, dans mes tests, je vois que j'attribue la possibilité, à l'utilisateur
délégué, d'enlever l'admin de domaine.

Bref, je ne sais pas quelle est la bonne méthode
A la racine du partage, j'ai mis le contrôle total à l'admin et à un
utilisateur délégué, puis lecture exécution pour tout le monde.
Ensuite, dans les sous dossiers, j'affine avec les ACLs, mais le délégué a
toujours le pouvoir de sortir l'admin (param avancés, il décoche la case
"hérite de l'objet parent).

Merci pour votre aide.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Mathieu CHATEAU
Le #19193821
Bonjour,

pouvoir rime souvent avec responsabilités...

Je ne connais pas de méthode pour empêcher qu'il sorte le groupe.

En revanche, vous pouvez passer un script toutes les nuits afin de
remettre au minimum domain admins & system

Comment faire pour utiliser Xcacls.vbs pour modifier des autorisations NTFS
http://support.microsoft.com/kb/825751

Cordialement,
Mathieu CHATEAU
french blog: http://www.lotp.fr
english blog: http://lordoftheping.blogspot.com


phil a écrit :
Bonjour à tous,

Sur un serveur de fichiers windows 2008, je souhaite déléguer la possibilité
à certains utilisateurs d'administrer les ayants-droits de leur dossiers et
sous dossiers situés dans un partage ou l'ABE est en place.

Je souhaite que l'administrateur de domaine puisse rester présent sur ces
dossiers en question (problème accès/gestion sauvegarde par exemple).

Or, dans mes tests, je vois que j'attribue la possibilité, à l'utilisateur
délégué, d'enlever l'admin de domaine.

Bref, je ne sais pas quelle est la bonne méthode...
A la racine du partage, j'ai mis le contrôle total à l'admin et à un
utilisateur délégué, puis lecture exécution pour tout le monde.
Ensuite, dans les sous dossiers, j'affine avec les ACLs, mais le délégué a
toujours le pouvoir de sortir l'admin (param avancés, il décoche la case
"hérite de l'objet parent...).

Merci pour votre aide.






Publicité
Poster une réponse
Anonyme