Sécurités NTFS

Le
bigmojo
Je n'arrive pas à obtenir ce que je souhaite avec les autorisations NTFS sur
un système 2003 server SP2

Hypothèse: soit un dossier TOTO avec dans TOTO un sous dossier TITI.

2 utilisateurs de domaine user1 et user2, utilisateur du domaine.

Le dossier TOTO a pour autorisations en modifier pour user1 et 2.

Le sous-dossier TITI n'hérite pas des sécurités NTFS de TOTO. Les
autorisations sur TITI sont en modifier pour user1 et en lecture-écriture
pour user2.(et

surtout pas supprimer)

Objectif: je veux que user2 puisse déplacer un fichier de TOTO vers TITI, et
que ce fichier prenne donc les autorisations de TITI, c'est à dire que user2
ne

pourra plus supprimer le fichier une fois déplacé dans TITI.

Ce que je constate: ça marche en faisant copier coller de TOTO vers TITI
puis supprimer dans TOTO (ça équivaut à créer dans TITI et supprimer dans
TOTO).

Dans ce cas, en observant le fichier on constate qu'il hérite de TITI.

Par contre en déplaçant le fichier dans TITI son héritage reste "objet
parent" donc les droits de TOTO et notamment la possibilité de supprimer le
fichier de

TITI, ce que je ne veux pas.

J'ai tout essayé, un fichier déplacé conserve les autorisations de son
parent, même lorsqu'on le déplace dans un répertoire avec des autorisations

différentes.

Moi j'ai besoin qu'un fichier déplace soit forcé de prendre les
autorisations du dossier de destination.

Quelqu'un a-t-il une idée sur la question ? Je sais que c'est pas marrant
comme question, ni très fun, mais c'est important pour moi. Merci d'avance.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
moi
Le #16420571
Bonjour,


bigmojo wrote:
(...)

Il y a ( au moins) deux clés qui concernent
le comportement par défaut pour le "transport" des ACL
voir en fin de message...

Ta question correspond à la seconde clé ( sous HKLM).
Attention cela va donc affecter l'ensemble du système !!!!!!!

Ainsi, par exemple, les processus d'installation qui croient faire
hériter des ACL de "Program Files" et/ou de Windows seront "dupés"...
et certains problèmes graves pourraient en découler.
(faille de sécurité ou blocage selon l'origine des fichiers d'install)

Une telle décision mérite donc mûre réflexion ...

Mieux vaut sans doute enseigner aux utilisateurs
à copier puis supprimer l'original ;o)
C'est quand même pas la mer à boire ...

A+

HB

###################################################
Si vous souhaitez que, par défaut, les autorisations d'origine
soient conservées lorsque des objets sont copiés ou sont déplacés
vers un autre volume NTFS, modifiez le Registre :

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer
Nom de valeur : ForceCopyAclwithFile
Type de données : DWORD
valeur : 1 ( 0 par défaut)

La valeur ForceCopyAclwithFile existe depuis W2000.

HKCU >>>>> Paramètre utilisateur ...

###################################################
Si vous souhaitez que, par défaut, les autorisations d'origine
soient héritées du nouveau dossier parent
lorsque des objets sont déplacés dans le même volume NTFS,
modifiez le Registre :

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
Nom de valeur : MoveSecurityAttributes
Type de données : DWORD
valeur : 0 ( 1 par défaut)

La valeur MoveSecurityAttributes existe depuis WinXP et WinServ2003.

HKLM >>>>> Paramètre machine !!!!
-----------------------------------------------------------------------------------------
bigmojo
Le #16421341
Merci beaucoup,

Effectivement jusqu'à présent un groupe d'utilisateurs utilisait la méthode
du copier-coller puis suppressin sans problème.

Mais là il s'agit de fichiers d'archivages sensibles à ne surtout pas
supprimer, et le groupe d'utilisateurs est moins performant (pour rester
coorect). Certes il y a un backup quotidien mais bon...

Le serveur n'ayant pas vocation à recevoir de nouveaux logiciels, je vais
étudier votre astuce et je vous en remercie.


"moi"
Bonjour,


bigmojo wrote:
(...)

Il y a ( au moins) deux clés qui concernent
le comportement par défaut pour le "transport" des ACL
voir en fin de message...

Ta question correspond à la seconde clé ( sous HKLM).
Attention cela va donc affecter l'ensemble du système !!!!!!!

Ainsi, par exemple, les processus d'installation qui croient faire
hériter des ACL de "Program Files" et/ou de Windows seront "dupés"...
et certains problèmes graves pourraient en découler.
(faille de sécurité ou blocage selon l'origine des fichiers d'install)

Une telle décision mérite donc mûre réflexion ...

Mieux vaut sans doute enseigner aux utilisateurs
à copier puis supprimer l'original ;o)
C'est quand même pas la mer à boire ...

A+

HB

###################################################
Si vous souhaitez que, par défaut, les autorisations d'origine
soient conservées lorsque des objets sont copiés ou sont déplacés
vers un autre volume NTFS, modifiez le Registre :

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer
Nom de valeur : ForceCopyAclwithFile
Type de données : DWORD
valeur : 1 ( 0 par défaut)

La valeur ForceCopyAclwithFile existe depuis W2000.

HKCU >>>>> Paramètre utilisateur ...

###################################################
Si vous souhaitez que, par défaut, les autorisations d'origine
soient héritées du nouveau dossier parent
lorsque des objets sont déplacés dans le même volume NTFS,
modifiez le Registre :

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
Nom de valeur : MoveSecurityAttributes
Type de données : DWORD
valeur : 0 ( 1 par défaut)

La valeur MoveSecurityAttributes existe depuis WinXP et WinServ2003.

HKLM >>>>> Paramètre machine !!!!
-----------------------------------------------------------------------------------------




Eric Giffard
Le #16421651
"bigmojo" %
Je n'arrive pas à obtenir ce que je souhaite avec les autorisations NTFS
sur un système 2003 server SP2

Hypothèse: soit un dossier TOTO avec dans TOTO un sous dossier TITI.

2 utilisateurs de domaine user1 et user2, utilisateur du domaine.

Le dossier TOTO a pour autorisations en modifier pour user1 et 2.

Le sous-dossier TITI n'hérite pas des sécurités NTFS de TOTO. Les
autorisations sur TITI sont en modifier pour user1 et en lecture-écriture
pour user2.(et

surtout pas supprimer)

Objectif: je veux que user2 puisse déplacer un fichier de TOTO vers TITI,
et que ce fichier prenne donc les autorisations de TITI, c'est à dire que
user2 ne

pourra plus supprimer le fichier une fois déplacé dans TITI.

Ce que je constate: ça marche en faisant copier coller de TOTO vers TITI
puis supprimer dans TOTO (ça équivaut à créer dans TITI et supprimer dans
TOTO).

Dans ce cas, en observant le fichier on constate qu'il hérite de TITI.

Par contre en déplaçant le fichier dans TITI son héritage reste "objet
parent" donc les droits de TOTO et notamment la possibilité de supprimer
le fichier de

TITI, ce que je ne veux pas.

J'ai tout essayé, un fichier déplacé conserve les autorisations de son
parent, même lorsqu'on le déplace dans un répertoire avec des
autorisations

différentes.

Moi j'ai besoin qu'un fichier déplace soit forcé de prendre les
autorisations du dossier de destination.

Quelqu'un a-t-il une idée sur la question ? Je sais que c'est pas marrant
comme question, ni très fun, mais c'est important pour moi. Merci
d'avance.



Bonjour
Tu as tout compris en disant :
"J'ai tout essayé, un fichier déplacé conserve les autorisations de son
parent, même lorsqu'on le déplace dans un répertoire avec des autorisations"
C'est comme çà :
Si tu le déplace d'un répertoire d'un volume (partition si tu préfère) vers
un autre répertoire du même volume, pas de changement de droits.
Si tu le déplace d'un répertoire d'un volume vers un autre répertore d'un
autre volume, changement de droits.
Si tu le copie d'un répertoire d'un volume vers un autre répertore du même
volume ou d'un autre volume, changement de droits.

A bientôt
Eric Giffard
MCSE Windows XP/2000/2003
MCT Windows 2000/2003/XP/Vista

Enlever le mot "detrop" ! pour une réponse directe

moi
Le #16421881
Bonjour,


bigmojo wrote:
Merci beaucoup,
Le serveur n'ayant pas vocation à recevoir de nouveaux logiciels, je
vais étudier votre astuce et je vous en remercie.




Attention tout de même aux
"redoutables conséquences imprévues" ...

(enregistrement de sauvegardes ; fichiers partagés ; etc ... )


HB
bigmojo
Le #16422651
Merci à tous pour vos précieux éclairages :)

"Eric Giffard" news:

"bigmojo" %
Je n'arrive pas à obtenir ce que je souhaite avec les autorisations NTFS
sur un système 2003 server SP2

Hypothèse: soit un dossier TOTO avec dans TOTO un sous dossier TITI.

2 utilisateurs de domaine user1 et user2, utilisateur du domaine.

Le dossier TOTO a pour autorisations en modifier pour user1 et 2.

Le sous-dossier TITI n'hérite pas des sécurités NTFS de TOTO. Les
autorisations sur TITI sont en modifier pour user1 et en lecture-écriture
pour user2.(et

surtout pas supprimer)

Objectif: je veux que user2 puisse déplacer un fichier de TOTO vers TITI,
et que ce fichier prenne donc les autorisations de TITI, c'est à dire que
user2 ne

pourra plus supprimer le fichier une fois déplacé dans TITI.

Ce que je constate: ça marche en faisant copier coller de TOTO vers TITI
puis supprimer dans TOTO (ça équivaut à créer dans TITI et supprimer dans
TOTO).

Dans ce cas, en observant le fichier on constate qu'il hérite de TITI.

Par contre en déplaçant le fichier dans TITI son héritage reste "objet
parent" donc les droits de TOTO et notamment la possibilité de supprimer
le fichier de

TITI, ce que je ne veux pas.

J'ai tout essayé, un fichier déplacé conserve les autorisations de son
parent, même lorsqu'on le déplace dans un répertoire avec des
autorisations

différentes.

Moi j'ai besoin qu'un fichier déplace soit forcé de prendre les
autorisations du dossier de destination.

Quelqu'un a-t-il une idée sur la question ? Je sais que c'est pas marrant
comme question, ni très fun, mais c'est important pour moi. Merci
d'avance.



Bonjour
Tu as tout compris en disant :
"J'ai tout essayé, un fichier déplacé conserve les autorisations de son
parent, même lorsqu'on le déplace dans un répertoire avec des
autorisations"
C'est comme çà :
Si tu le déplace d'un répertoire d'un volume (partition si tu préfère)
vers un autre répertoire du même volume, pas de changement de droits.
Si tu le déplace d'un répertoire d'un volume vers un autre répertore d'un
autre volume, changement de droits.
Si tu le copie d'un répertoire d'un volume vers un autre répertore du même
volume ou d'un autre volume, changement de droits.

A bientôt
Eric Giffard
MCSE Windows XP/2000/2003
MCT Windows 2000/2003/XP/Vista

Enlever le mot "detrop" ! pour une réponse directe




Publicité
Poster une réponse
Anonyme