Droit sur un serveur win 2003

"viny" <alain.terranova@gmail.com> a écrit dans le message de news:
1139568799.745721.323600@f14g2000cwb.googlegroups.com...

Supposons que je veuille partage un sous répertoire nommé "Ma
société" pour tous les utilisateurs du domain.

Que dans ce sous répertoire je crée deux sous répertoires:

- Compta
ET
- Info

Et que je veuille que les utilisateurs du group comptabilité ne
voient
et n'aient accès qu'au sous répertoire compta, et que les
utilisateurs du group Informatique ne voient et n'aient accès qu'au
sous répertoire Informatique

Est-ce possible... et comment dois-je faire?

bonjour aussi,

pourquoi alors partager "ma societe" ? partage "compta" et "info"

de rien, aussi

merci pour ta réponse...

alors en effet j'y ai pensé je pourrais partager les différents
répertoires... maintenant cela signifie que pour chaque "ajout d'un
groupe" je dois modifier le script de login et créer un mapping
supplémentaire...
Imaginons maintenant que je veuille dans le cas du sous répertoire
Informatique, créer en dessous de lui deux sous répertoire, par
exemple développeur et administrateur avec la même "découpe" au
niveau des droits que pour Informatique et compta... et je risque de me
retrouver avec plusieurs mapping où mes utilisateurs vont avoir du mal
à savoir où est quoi...

maintenant s'il n'existe pas d'autre solution....


kurtz_le_pirate schreef:

"viny" <alain.terranova@gmail.com> a écrit dans le message de news:
1139568799.745721.323600@f14g2000cwb.googlegroups.com...

Supposons que je veuille partage un sous répertoire nommé "Ma
société" pour tous les utilisateurs du domain.

Que dans ce sous répertoire je crée deux sous répertoires:

- Compta
ET
- Info

Et que je veuille que les utilisateurs du group comptabilité ne
voient
et n'aient accès qu'au sous répertoire compta, et que les
utilisateurs du group Informatique ne voient et n'aient accès qu'au
sous répertoire Informatique

Est-ce possible... et comment dois-je faire?

bonjour aussi,

pourquoi alors partager "ma societe" ? partage "compta" et "info"

de rien, aussi

Tout à fait possible. Le plus simple est de commencer par le dossier de
base, "Ma société" en l'occurrence, puis de descendre progressivement dans
l'arborescence où on modifieria les permissions selon les besoins.

Tout se fait via l'onglet "Sécurité" des répertoires en question. Ne pas
oublier d'aller dans les "paramètres avancés" pour:

1) désactiver l'héritage des permissions du dossier parent
2) remplacer les entrées des dossiers enfants

Jacques

"viny" <alain.terranova@gmail.com> wrote in message
news:1139568799.745721.323600@f14g2000cwb.googlegroups.com...
Supposons que je veuille partage un sous répertoire nommé "Ma
société" pour tous les utilisateurs du domain.

Que dans ce sous répertoire je crée deux sous répertoires:

- Compta
ET
- Info

Et que je veuille que les utilisateurs du group comptabilité ne voient
et n'aient accès qu'au sous répertoire compta, et que les
utilisateurs du group Informatique ne voient et n'aient accès qu'au
sous répertoire Informatique

Est-ce possible... et comment dois-je faire?

"Jacques Barathon [MS]" <jbaratho@online.microsoft.com> a écrit dans
le message de news: eQl82jkLGHA.1424@TK2MSFTNGP12.phx.gbl...

Tout à fait possible. Le plus simple est de commencer par le dossier
de base, "Ma société" en l'occurrence, puis de descendre
progressivement dans l'arborescence où on modifieria les permissions
selon les besoins.

Tout se fait via l'onglet "Sécurité" des répertoires en question. Ne
pas oublier d'aller dans les "paramètres avancés" pour:

1) désactiver l'héritage des permissions du dossier parent
2) remplacer les entrées des dossiers enfants

la, tu réponds à la moitié de la question. tu as réglé le problème des
droits,
pas celui du masquage.

rappel de la demande (puisque tu réponds en dessus et que ça casse la
discussion) :
"et que je veuille que les utilisateurs du group comptabilité ne
VOIENT
et N'AIENT ACCES qu'au sous répertoire compta"


mais je me souviens avoir vu chez microsoft un nouveau truc justement
qui permettait de masquer le dossiers sur lesquels on avait pas de
droits... je me me rappele plus le nom

Bonjour Jacques,

Peux-tu m'éclairer d'avantage.

Je prend l'exemple que je viens de tester à l'instant.

Je me connecte sur mon dossier partager qui se nomme "ma societe" avec
le login "alain".
"alain" fait seulement partie du groupe "Domain users"

Au niveau:
- des droits de partage de "ma societe", les droit sont les suivant
"Everyone->Read" (Rien d'autres de cocher)
- des Security "Everyone" à seuleement "Read->Allow" (Rien d'autres de
cocher)
Je suis allé dans les paramètres avancés et j'ai décoché
l'héritage parent.

Dans le sous répertoire "ma societe", j'ai créé deux sous
repertoire:

- Le premier "Developement" -> Dans l'onglet sécurity, il n'y a que le
group "Developer" qui a accès à ce sous répertoire (Rien d'autres)
et pourtant quand je mappe le sous répertoire partagé (Ma société)
avec le login "alain" qui ne fait pas partie du group "Developer", je
vois et j'accède quand même au sous répertoire en question.... Je
précise j'ai aussi désactivé dans l'héritage parent sur le sous
repertoire "developer" ....

- Le deuxième sous répertoire s'appelle "Test" et est visible par
everyone... je le vois donc une fois connecté avec mon user Alain mais
cela me semble normal...

Donc en résumé ce que j'aimerai faire... c'est me loguer en tant que
user "alain" et ne voir que le sous répertoire "Test" puisque Alain ne
fait pas partie du group "Developer"...

merci pour votre aide ...

re kurtz,

même si la solution ne me satisfait pas totalement, je veux bien
partir dans une solution où les users voient les sous répertoires
auxquels ils n'ont pas accès.

je présume et arrête moi si je me trompe que dans ce cas je devrais
ajouter des droits "deny" sur mon sous répertoires.

donc prenons un exemple simpe... je partage un sous repertoire dont le
nom est "ma société" -> droit de partage "everyone"

je crée un group et un sous répertoire "informatique" sous le sous
répertoier "ma société"
je créer un group et un sous répertoire "compta" sous le sous
répertoier "ma société"

sur le sous rep informatique je dis droit pour le group informatique
(allow read, write,...) et au group compta (deny full access)
sur le sous rep compta j'inverse les droits c-à-d informatique (deny
full access) et au group compta (allow read, write, ...)

mon problème dans ce cas là, c'est que si un jour je veux donner un
acces à un user au deux sous repertoire en même temps... je dois
créer un troisième group... cela signifie que chaque fois que je
crée un sous répertoire en racine de "Ma société" je multiplie par
une exponentielle les possibilités de group à créer ... ca risque
rapidement de devenir ingérable...

pourtant doit bien avoir une solution...

merci de votre aide...

"kurtz_le_pirate" <kurtzlepirate@yahoo.fr> wrote in message
news:uhADbIlLGHA.2036@TK2MSFTNGP14.phx.gbl...

"Jacques Barathon [MS]" <jbaratho@online.microsoft.com> a écrit dans le
message de news: eQl82jkLGHA.1424@TK2MSFTNGP12.phx.gbl...
<snip>

la, tu réponds à la moitié de la question. tu as réglé le problème des
droits,
pas celui du masquage.

C'est la moitié de la question, mais c'est déjà ça. Franchement, je n'avais
pas vu le "ne voient" dans la question, d'où ma réponse orientée uniquement
sur le problème d'accès.

Cela dit, comme tu l'indiques ci-dessous, il existe un add-on pour Windows
Server 2003 SP1 qui s'appelle ABE (Access-Based Enumeration) et qui masque
aux utilisateurs les répertoires et fichiers auxquels ils n'ont pas accès:

http://www.microsoft.com/windowsserver2003/techinfo/overview/abe.mspx

Bien qu'étant dispo en anglais uniquement, des utilisateurs ont déjà
rapporté l'avoir installé avec succès sur des Windows en français.

rappel de la demande (puisque tu réponds en dessus et que ça casse la
discussion) :
<snip>

Je réponds où je veux, et surtout où je peux. Quand je clique "reply" dans
OE, 99% des messages sont annotés avec des ">" en début de ligne, ce qui me
permet d'insérer mes réponses dans le texte initial (comme je le fais ici).
Mais parfois, pour des raisons que j'ignore (texte HTML? autre?) les ">" ne
sont pas ajoutés. Il devient alors compliqué de distinguer mes réponses du
texte initial, à moins d'éditer tout le contenu à la main.

Dans ces cas-là, je peux préférer répondre au-dessus. C'est ce que j'ai fait
avec le message de Viny. Cela dit, je ne vois pas grand mal à cela. Son
message initial était toujours lisible juste en dessous.

Quand on a des discussions dans Outlook (pas OE, Outlook), les messages
s'accumulent ainsi avec les réponses les plus récentes en tête de message,
et c'est très clair pour tout le monde (à part ceux pour qui ça ne l'est
pas...). Mais bon, on ne va pas recommencer un troll sur le sujet...

mais je me souviens avoir vu chez microsoft un nouveau truc justement qui
permettait de masquer le dossiers sur lesquels on avait pas de droits...
je me me rappele plus le nom

Voir ma réponse ci-dessus :-)

Jacques

Malgré l'absence de ">", voir mes réponses dans le texte pour M. Kurtz...

"viny" <alain.terranova@gmail.com> wrote in message
news:1139584853.794721.30610@f14g2000cwb.googlegroups.com...
<snip>
Au niveau:
- des droits de partage de "ma societe", les droit sont les suivant
"Everyone->Read" (Rien d'autres de cocher)
- des Security "Everyone" à seuleement "Read->Allow" (Rien d'autres de
cocher)

[Jacques]
D'abord, évite "everyone". Utilise plutôt "Authenticated Users" à la place.
C'est plus sûr.
Ensuite, si tu veux autoriser des utilisateurs à modifier les données dans
un sous-répertoire, mets les droits de partage à "change".
[/Jacques]

<snip>
Dans le sous répertoire "ma societe", j'ai créé deux sous
repertoire:

- Le premier "Developement" -> Dans l'onglet sécurity, il n'y a que le
group "Developer" qui a accès à ce sous répertoire (Rien d'autres)
et pourtant quand je mappe le sous répertoire partagé (Ma société)
avec le login "alain" qui ne fait pas partie du group "Developer", je
vois et j'accède quand même au sous répertoire en question.... Je
précise j'ai aussi désactivé dans l'héritage parent sur le sous
repertoire "developer" ....

- Le deuxième sous répertoire s'appelle "Test" et est visible par
everyone... je le vois donc une fois connecté avec mon user Alain mais
cela me semble normal...

[Jacques]
Très curieux... Je viens de tester exactement ce que tu décris ci-dessus, et
ça marche comme prévu, à savoir Alain a accès à tout sauf le dossier
Developpement. En essayant d'y accéder il a un "access denied".

Es-tu sûr d'avoir bien désactivé l'héritage sur le dossier Developpement? Et
qu'Alain n'est pas membre du groupe Developer? Et que seul le groupe
Developer a un accès sur le dossier?
[/Jacques]

Donc en résumé ce que j'aimerai faire... c'est me loguer en tant que
user "alain" et ne voir que le sous répertoire "Test" puisque Alain ne
fait pas partie du group "Developer"...

[Jacques]
Pour ce qui est de "voir" ou "ne pas voir", les permissions standard de
Windows ne permettent pas de masquer les répertoires. Il faut installer ABE,
voir mon autre réponse à Kurtz.

Egalement, tu suggères à un moment de mettre des "deny". Ceux-ci sont
inutiles (quand tout est bien configuré :-) ) à moins que tu veuilles
explicitement interdire l'accès à des utilisateurs même si par d'autres
biais ils sont autorisés à accéder au répertoire.
[/Jacques]

Salut Jacques,

Je te remercie beaucoup pour toutes tes réponses qui m'ont
énormément aidées.

J'ai donc suivi tes conseils, j'ai mis mon partage sur "Authenticated
Users". J'ai supprimé tous les accès "deny"... Et ca focntionne.

En fait mon erreur était de ne pas me "re-loguer" entre le moment ou
j'attribuais au login "alain" le group developement et/ou le moment où
je lui retirais... Du coup mes tests étaient érronés... Encore une
question est-il possible de forcer les modifications que je pourrais
faire (ajout/supprimer des users de certains group) sans devoir
attendre que mes uses se re-logue...?

merci pour tout...

Encore une chose j'ai aussi installé le programme "Windows Server 2003
Access-based Enumeration" sur mon serveur qui est en version
anglaise... ca marche d'enfer! :-) mes users ne voient plus les sous
répertoires auxquels ils n'ont pas d'accès...