Re: Noms de partage d'un dossier

"Alain Naigeon" <anaigeon@free.fr> a écrit dans le message de
news:47435103$0$24024$426a74cc@news.free.fr...

[...]

A donner des droits d'acces différents aux utilisateurs suivant le nom du
partage.

Bonsoir et merci ! Je pensais à cette réponse... cela veut donc dire
que je pourrai(s) créer des autorisations différentes pour chaque
utilisateur distant ?!

des PARTAGES !
Ne mélange pas Autorisations (ou permissions) et Partages !

Il faut donc que je reposte mon RAPPEL à ce sujet !
(Heureusement que le copier-coller a été inventé !)

************************************************************
"partages" et "permissions" sont DEUX fonctionnalités totalement
INDÉPENDANTES!

Partages : (onglet "partage")
----------
- Concerne TOUS les types de partitions (FAT et NTFS).
- Définitions de droits d'accès DISTANTS (depuis une AUTRE machine)
- S'applique uniquement à des DOSSIERS (ou une partition complète)
et non pas à des fichiers.
- Le partage s'applique à TOUTE l'arborescence du dossier
(ou partition) partagé!

Permissions : (onglet "sécurité")
-------------
- NE concerne QUE les partitions NTFS.
- Définitions de droits d'accès LOCAUX ou DISTANTS (depuis
la MÊME machine ou une autre)
- S'applique aussi bien à des DOSSIERS (ou une partition complète)
qu'à des FICHIERS

Les permissions sont définies par des comptes ayant le contrôle total sur
ces fichiers/dossiers (en général des admins, mais ce n'est pas
obligatoire).
Le propriétaire d'un fichier/dossier est un compte qui peut définir la liste
de contrôle d'accès (= qui fait quoi?).
Tout administrateur peut redéfinir le propriétaire d'un fichier/dossier.

Donc tout admin, qui dans un 1er temps n'a pas accès à un fichier, peut se
définir lui même comme propriétaire de ce fichier, et à partir de cet
instant il peut modifier les permissions, et en particulier s'attribuer le
contrôle total sur le fichier. Cette manip, qui peut sembler absconse, est
très fréquente lors d'une nouvelle installation de Windows, quand on veut
accéder à des données utilisées lors de la précédente installation de
Windows.

Une permission peut s'appliquer uniquement à un fichier ou dossier bien
précis, et, dans le cas d'un dossier, elle peut être étendue ou non à tout
ou partie de l'arborescence du dossier.

Un utilisateur DISTANT désirant accéder à un fichier doit donc avoir :
- les droits d'accès (partage) pour le dossier partagé
qui contient le fichier
ET
- les droits d'accès (NTFS) sur le fichier

Ainsi, les permissions d'accès de l'utilisateur pour le fichier peuvent être
plus importantes que celles du dossier.
Entre partage et permissions, c'est LE PLUS RESTRICTIF qui est retenu ...
Cela ne concerne bien sûr que les accès externes (puisque, comme je l'ai
dit, la notion de "partage" n'a aucun sens en LOCAL)

On peut donc très bien avoir les "permissions" qui conviennent pour accéder
à un fichier, mais si le dossier qui le contient n'est pas partagé, et bien
l'accès n'est pas possible.
Et inversement, si dans un partage ouvert à tout le monde un fichier est
strictement réservé à un compte donné, personne d'autre que lui ne pourra y
avoir accès.
************************************************************

Donc que les noms de comptes sur la machine
distante vont être visbles sur la mienne ?!
?????????

Ce qui est défini dans le paramétrage d'accès d'un partage, ce sont
EXCLUSIVEMENT des noms de comptes de la machine sur laquelle on définit le
partage (cas d'un workgroup, bien sûr)!
C'est d'ailleurs à cause de cela qu'il faut ABSOLUMENT définir les MÊMES
COMPTES (=username+password) sur TOUTES les machines d'un workgroup.
Dans un domaine, on n'a pas ce problème, puisque les comptes globaux sont
définis une fois pour toutes dans un annuaire du domaine (Active Directory),
et sont alors connus de toutes les machines du domaine.


On PEUT définir plusieurs partages sur le même dossier, avec des
autorisations différentes, mais c'est à ÉVITER car source d'ennuis (au bout
d'un certain temps, on ne comprend plus pourquoi telle personne n'a pas
accès à tel dossier distant), et il vaut mieux se limiter à UN SEUL PARTAGE,
et "moduler" les accès à l'aide des PERMISSIONS NTFS !

A l'extrême rigueur, on pourrait utiliser plusieurs partages dans le cas où
la partition partagée est de type FAT, et non pas NTFS (on ne peut pas
définir des permissions sur une FAT)

Par exemple, j'ai défini les partages suivants sur la partition F: de la
machine GRANDBASSAM :

NET SHARE
...
share1 F: Administrateurs CT
share2 F: BART et LISA RW
share3 F: HOMER et MARGE RW
...

Comme les commentaires l'indiquent :
"share1"
partage en contrôle total réservé
au groupe des Administrateurs,
et rien d'autre
"share2"
partage en lecture et écriture réservé
aux comptes "BART" et "LISA",
et rien d'autre
"share3"
partage en lecture et écriture réservé
aux comptes "HOMER" et "MARGE",
et rien d'autre

Depuis la machine "POUDENAS" je peux voir les partages de "GRANDBASSAM" :

NET VIEW \GRANDBASSAM
Ressources partagées de \GRANDBASSAM
Station JCB
Nom du partage Type Utilisé comme Commentaire
...
share1 Disque Administrateurs CT
share2 Disque BART et LISA RW
share3 Disque HOMER et MARGE RW
...


Sur "POUDENAS", je suis sous un compte "BELLAMY" qui se retrouve (avec le
même mot de passe) dans le groupe des administrateurs de GRANDBASSAM.

Si j'exécute la commande
dir \GRANBASSAMshare1
j'obtiens :
Le volume dans le lecteur \GRANDBASSAMshare1 s'appelle GRAVURE
Le numéro de série du volume est 6C42-0D66
Répertoire de \GRANDBASSAMshare1
15/11/2007 03:05 <REP> $hf_mig$
19/03/2007 18:47 <REP> audacity_temp
...
donc aucun problème

Par contre, la commande
dir \GRANBASSAMshare2
se solde logiquement par :
Accès refusé.


MAIS, et c'est pourquoi je n'aime pas ces partages multiples, un montage par
la commande NET USE sera toujours accepté, même si les autorisations du
partage ne contiennent pas le compte qui exécute le montage :

C:>net use x: \GRANDBASSAMshare1
La commande s'est terminée correctement.

Vérification depuis l'explorateur : http://cjoint.com/?lvkdpDJkmK
Çà, c'est normal, puisque mon compte est bien défini dans le partage SHARE1.



C:>net use y: \GRANDBASSAMshare2
La commande s'est terminée correctement.

Çà, ce n'est pas très logique, puisque seuls les comptes BART et LISA sont
définis dans le partage SHARE2.


Mais malgré tout la "morale est sauve", car :
C:>dir y:
Accès refusé.
ou encore, depuis l'explorateur : http://cjoint.com/?lvkeBPl2L6
(heureusement!)


En conclusion :

1) Utiliser partout des partitions NTFS
2) Créer UN SEUL partage pour un répertoire
donné
3) Particulariser les accès en définissant
les permissions NTFS "qui vont bien".

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

Notre ami Jean-Claude BELLAMY tapota :

(...)

En conclusion :

1) Utiliser partout des partitions NTFS
2) Créer UN SEUL partage pour un répertoire
donné
3) Particulariser les accès en définissant
les permissions NTFS "qui vont bien".

Ouf ...

C'est donc bien ce qui me semblait ;o)

HB

"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> a écrit dans le
message de news: 88E77920-9C63-4E0A-8BE7-6F15D86EDE4F@microsoft.com...

"Alain Naigeon" <anaigeon@free.fr> a écrit dans le message de
news:47435103$0$24024$426a74cc@news.free.fr...

[...]

A donner des droits d'acces différents aux utilisateurs suivant le nom du
partage.

Bonsoir et merci ! Je pensais à cette réponse... cela veut donc dire
que je pourrai(s) créer des autorisations différentes pour chaque
utilisateur distant ?!

des PARTAGES !
Ne mélange pas Autorisations (ou permissions) et Partages !

Il faut donc que je reposte mon RAPPEL à ce sujet !
(Heureusement que le copier-coller a été inventé !)

Bonsoir,

Vraiment désolé.. et, sans rire, j'ai pensé à toi en postant, pour avoir
déjà vu cette mise en garde. Je croyais vraiment avoir évité la confusion
en disant "autorisations" par opposition à "Droit d'accès" (NTFS).

Ci-dessous, sur le fond, tu m'apportes beaucoup d'informations inconnues
de moi (ou même corrigeant une compréhension erronée). Pourtant, question
vocabulaire - et en marchant sur des oeufs :-) - je plaide les
circonstances
atténuantes ; je te laisse juge : sur l'onglet partage, j'ai un bouton bel
et bien
appelé "Autorisations" !
Qui plus est, en l'activant j'obtiens une autre boîte de dialogue
ressemblant
furieusement à celle des droits d'accès au sens NTFS (bah oui, c'est une
liste de comptes).
C'est ce qui me faisait croire que :

Donc que les noms de comptes sur la machine
distante vont être visbles sur la mienne ?!

A quoi tu me réponds :

?????????
[oh je suis bien heureux d'avoir échappé à des '?' majuscules

nul doute que tu n'aurais pas hésité :-) ]

... Jusque là, bien compris
- local, NTFS seul, noeuds ou feuilles, récursivité contrôlable
- distant, FAT ou NTFS, noeuds seuls, récursivité par construction.

Un utilisateur DISTANT désirant accéder à un fichier doit donc avoir :
- les droits d'accès (partage) pour le dossier partagé
qui contient le fichier
ET
- les droits d'accès (NTFS) sur le fichier

Ainsi, les permissions d'accès de l'utilisateur pour le fichier peuvent
être plus importantes que celles du dossier.
Entre partage et permissions, c'est LE PLUS RESTRICTIF qui est retenu ...
Cela ne concerne bien sûr que les accès externes (puisque, comme je l'ai
dit, la notion de "partage" n'a aucun sens en LOCAL)

Ok !

Ce qui est défini dans le paramétrage d'accès d'un partage, ce sont
EXCLUSIVEMENT des noms de comptes de la machine sur laquelle on définit le
partage (cas d'un workgroup, bien sûr)!

Aha...

C'est d'ailleurs à cause de cela qu'il faut ABSOLUMENT définir les MÊMES
COMPTES (=username+password) sur TOUTES les machines d'un workgroup.

!! Je n'arrive pas à trouver ça logique, mais je te crois !
Je me disais que les autorisations liées à un partage, ça voulait dire :
"qui, *là-bas*, a le droit de ...". Et logiquement, qui là-bas, dans mon
esprit, ça se rapportait à un compte là-bas. Certes, il est évident que la
machine
sur laquelle je définis cette autorisation doit en garder trace en local,
mais
je pensais que ça se faisait automatiquement dans les coulisses du système.
Et là tu me dis que je dois le faire moi-même en créant un compte identique,
je trouve ça bizarre de créer un tel compte visible alors que peut-être
aucun
login local ne s'en servira jamais.
Ceci dit, je suis d'accord que tu n'y es pour rien ;-)

Mais c'est quand même fou ce truc : si un utilisateur change son mot de
passe
sur une machine du workgroup, il doit venir le faire sur toutes, alors ?!!

Dans un domaine, on n'a pas ce problème, puisque les comptes globaux sont
définis une fois pour toutes dans un annuaire du domaine (Active
Directory), et sont alors connus de toutes les machines du domaine.

Ouaaah, mais alors, est-ce que le Français moyen, il peut (XP Pro)
créer un domaine plutôt qu'un workgroup, ou bien faut-il une floppée
de trucs que probablement je n'ai pas ?

Encore que... ce sera encore plus subtil, car de la problématique :
"qui, quelque part, a le droit de faire ci ou ça chez moi"

on va avoir à gérer celle-ci :
"qui, quelque part, a le droit de faire ci ou ça, et *chez qui*".

Autrement dit, actuellement (workgroup), le partage d'un dossier
local se définit sur la machine hébergeant le dossier ; dans le cas
du domaine que tu évoques, c'est beaucoup moins clair pour moi.
(curiosité intellectuelle même si pas concerné).

On PEUT définir plusieurs partages sur le même dossier, avec des
autorisations différentes, mais c'est à ÉVITER car source d'ennuis (au
bout d'un certain temps, on ne comprend plus pourquoi telle personne n'a
pas accès à tel dossier distant), et il vaut mieux se limiter à UN SEUL
PARTAGE, et "moduler" les accès à l'aide des PERMISSIONS NTFS !

Ok, j'en tiendrai compte !

[...]

Sur "POUDENAS", je suis sous un compte "BELLAMY" qui se retrouve (avec le
même mot de passe) dans le groupe des administrateurs de GRANDBASSAM.

Attends, là je *dois* comprendre !
BELLAMY existe sur les deux machines avec le même mot de passe.
Il appartient à Administrateurs sur GRANDBASSAM
Mais : *doit*-il aussi appartenir à Administrateurs sur POUDENAS ?


Quoiqu'il en soit déjà, merci !

--

Français *==> "Musique renaissance" <==* English
midi - facsimiles - ligatures - mensuration
http://anaigeon.free.fr | http://www.medieval.org/emfaq/anaigeon/
Alain Naigeon - anaigeon@free.fr - Oberhoffen/Moder, France

"Alain Naigeon" <anaigeon@free.fr> a écrit dans le message de
news:4744bf96$0$10870$426a74cc@news.free.fr...

"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> a écrit dans le
message de news: 88E77920-9C63-4E0A-8BE7-6F15D86EDE4F@microsoft.com...

[...]
Ci-dessous, sur le fond, tu m'apportes beaucoup d'informations inconnues
de moi (ou même corrigeant une compréhension erronée). Pourtant, question
vocabulaire - et en marchant sur des oeufs :-) - je plaide les
circonstances atténuantes ; je te laisse juge : sur l'onglet partage, j'ai
un bouton bel et bien appelé "Autorisations" !
Voui ! ;-)

Qui plus est, en l'activant j'obtiens une autre boîte de dialogue
ressemblant furieusement à celle des droits d'accès au sens NTFS
(bah oui, c'est une liste de comptes).
Toujours d'accord !

Microsoft adore semer la confusion chez l'utilisateur ! ;-)
Très perfidement je dirais que c'est parce que les concepteurs de
l'interface maitrisent MAL leur sujet ! ;-)

[...]

Ce qui est défini dans le paramétrage d'accès d'un partage, ce sont
EXCLUSIVEMENT des noms de comptes de la machine sur laquelle on définit
le partage (cas d'un workgroup, bien sûr)!

Aha...

C'est d'ailleurs à cause de cela qu'il faut ABSOLUMENT définir les MÊMES
COMPTES (=username+password) sur TOUTES les machines d'un workgroup.

!! Je n'arrive pas à trouver ça logique, mais je te crois !

Si, c'est logique pour la simple et bonne raison qu'un PC en workgroup (cela
date de Windows 3.11 16 bits) est en fin de compte ISOLÉ !
Il ne connait rien des autres machines, et encore moins de leurs
administrations respectives.
Un PC en workgroup est parfaitement égocentrique ! (;-))

En réalité, il existe une API - Net API32.dll - qui permet à n'importe
quelle machine d'un workgroup d'énumérer p.ex. les comptes d'une autre
machine (je mets cela à profit dans SUPEREXEC), mais elle n'a pas été
utilisée pour gérér les partages dans le cas d'un workgroup, car cela aurait
considérablement compliqué tout le système.

Et c'est afin de réaliser une VRAIE COMMUNAUTÉ que l'architecture en DOMAINE
a été conçue, qui est en réalité beaucoup plus simple !

Je me disais que les autorisations liées à un partage, ça voulait dire :
"qui, *là-bas*, a le droit de ...". Et logiquement, qui là-bas, dans mon
esprit, ça se rapportait à un compte là-bas.

Ce n'est pas possible dans le cas d'une machine en workgroup !
http://cjoint.com/?lwjrU7SoAs
Tu peux constater que SEULE la machine locale est affichée, parce qu'une
machine en workgroup ne connait qu'elle-même au niveau des comptes.

Par contre c'est opérationnel dans le cas d'un domaine :
http://cjoint.com/?lwjtnufuVO
Tu vois sur cette capture (réalisée sur une station W2K PRO appartenant à un
domaine W2K3) que je peux sélectionner les utilisateurs autorisés au partage
aussi bien sur la machine locale ("NIAMEY") que parmi le domaine "JCB.ORG"
(Active Directory W2K3) que le domaine "JCBNT4" (domaine d'un serveur NT4)
Ayant sélectionné un domaine (ici "JCB.ORG"), je vois dans une listbox
située en dessous une liste d'ordinateurs du domaine.
Je peux aussi, bien sûr, sélectionner directement (dans la même listbox) un
utilisateur ou un groupe parmi ceux du domaine :
http://cjoint.com/?lwjyxUrRli

[...]
Et là tu me dis que je dois le faire moi-même en créant un compte
identique,
je trouve ça bizarre de créer un tel compte visible alors que peut-être
aucun login local ne s'en servira jamais.

Ah mais qu'il y ait ou non ouverture locale de session, le système s'en
tamponne totalement !
Il voit que "Duschmurz" veut accéder à un dossier ou fichier, que ce soit
localement ou à distance, DONC il faut que "Duschmurz" soit répertorié dans
la liste des comptes utilisateurs!

Ceci dit, je suis d'accord que tu n'y es pour rien ;-)
Il est vrai que je n'y suis pour rien, mais j'approuve entièrement cette

fonctionnalité!
Elle est parfaitement LOGIQUE !

Mais c'est quand même fou ce truc : si un utilisateur change son mot de
passe sur une machine du workgroup, il doit venir le faire sur toutes,
alors ?!!
EXACTEMENT !

Puisque PAR DÉFAUT, le nom du compte LOCAL + le password (haché!) sont
transmis automatiquement à la machine distante.
Sinon, lorsque les passwords sont différents, il faudra à chaque fois monter
le partage depuis l'explorateur ou avec la commande "NET USE" en spécifiant
le mot de passe du compte sur la machine distante.

C'est bien pour remédier à cette gêne que la notion de DOMAINE a été
inventée !

Dans un domaine, on n'a pas ce problème, puisque les comptes globaux sont
définis une fois pour toutes dans un annuaire du domaine (Active
Directory), et sont alors connus de toutes les machines du domaine.

Ouaaah, mais alors, est-ce que le Français moyen, il peut (XP Pro)
créer un domaine plutôt qu'un workgroup, ou bien faut-il une floppée
de trucs que probablement je n'ai pas ?

Il lui faut ...un réseau + un SERVEUR DE DOMAINE !

C'est à dire un ordinateur (réel ou virtuel, p.ex. chez moi j'ai 2 serveurs
de domaine qui tournent dans des machines virtuelles sous VMWare, tout çà
sous XP) dans lequel on a installé un OS SERVEUR de domaine, p.ex. :
- NT4 Serveur (un peu dépassé maintenant!!!)
- Windows 2000 Serveur (une valeur sûre, même si date de 7 ans)
- Windows 2003 Serveur (est à W2K SRV ce que XP est à W2K PRO)
- Linux (toute version) avec le service SAMBA
- et pour les beta-testeurs W2K8 (Windows 2008 Serveur, ex "Longhorn
server")

Au niveau coût, Linux+Samba est évidemment imbattable, par rapport aux
licences de Windows serveur qui ne sont pas spécialement données, encore
que "SBS" ("Small Business Server") de Microsoft est une solution abordable
pour les PME/PMI!

[...] Autrement dit, actuellement (workgroup), le partage d'un dossier
local se définit sur la machine hébergeant le dossier ; dans le cas
du domaine que tu évoques, c'est beaucoup moins clair pour moi.
(curiosité intellectuelle même si pas concerné).

Dans le cas d'un domaine, c'est la même chose : le partage se définit depuis
la machine concernée (qui partage), mais - par rapport à un workgroup -
quand on veut définir les droits de partage, on accède à la base de données
(annuaire) de TOUT le domaine, et non pas seulement de la machine locale.

[...]

Sur "POUDENAS", je suis sous un compte "BELLAMY" qui se retrouve (avec le
même mot de passe) dans le groupe des administrateurs de GRANDBASSAM.

Attends, là je *dois* comprendre !
BELLAMY existe sur les deux machines avec le même mot de passe.
OUI.

Il appartient à Administrateurs sur GRANDBASSAM
Mais : *doit*-il aussi appartenir à Administrateurs sur POUDENAS ?
NON !

En ce qui me concerne, je suis admin sur toutes mes babasses (je ne veux pas
chercher les complications!) mais un compte peut très bien être admin sur
une machine et simple utilisateur ou même invité sur une autre.


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org