Soit un PC sous Windows XP SP2, sur lequel se connectent plusieurs
utilisateurs d'un domaine (Samba), avec des profils itinérants donné par
le serveur.
J'aimerais interdire l'écriture à la racine du système "C:" à ces
utilisateurs (appartenant au groupe "Domain Users"), en fait qu'il ne
puissent uniquement écrire que dans leur "Documents and Settings" sur
cet ordinateur. Par contre, il faut que les administrateurs et les
"Domain Admins" puissent y écrire.
Une exploration dans le gpedit.msc n'a rien donné. et des tests en
supprimant les droit de tout le monde a la racine n'a rien donné de
probant non plus.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Claude BELLAMY
Dans le message :, Jolitorax a pris la peine d'écrire ce qui suit :
Soit un PC sous Windows XP SP2, sur lequel se connectent plusieurs utilisateurs d'un domaine (Samba), avec des profils itinérants donné par le serveur.
J'aimerais interdire l'écriture à la racine du système "C:" à ces utilisateurs (appartenant au groupe "Domain Users"), en fait qu'il ne puissent uniquement écrire que dans leur "Documents and Settings" sur cet ordinateur. Par contre, il faut que les administrateurs et les "Domain Admins" puissent y écrire. Une exploration dans le gpedit.msc n'a rien donné. et des tests en supprimant les droit de tout le monde a la racine n'a rien donné de probant non plus.
Comment peut on le faire, sans logiciels tiers.
Tout simplement en configurant correctement la liste de contrôle d'accès de la racine ! A savoir: -pour les administrateurs et le compte SYSTEM -> contrôle total - pour tout le monde -> lecture seule - pour les utilisateurs (du domaine et/ou non) -> lecture + affichage du contenu du dossier + exécution
c'est à dire la configuration par défaut ! Normalement, tu n'as rien à modifier.
Il faut, bien évidemment, que la partition soit de type NTFS.
Et pour afficher l'onglet "Sécurité" dans les propriétés des fichiers et dossiers : http://www.bellamyjc.org/fr/windowsxp2003.html#securitytab" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.bellamyjc.org/fr/windowsxp2003.html#securitytab
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Dans le message :pan.2007.01.29.22.05.33.28207@a.pas,
Jolitorax <yen@a.pas> a pris la peine d'écrire ce qui suit :
Soit un PC sous Windows XP SP2, sur lequel se connectent plusieurs
utilisateurs d'un domaine (Samba), avec des profils itinérants donné
par le serveur.
J'aimerais interdire l'écriture à la racine du système "C:" à ces
utilisateurs (appartenant au groupe "Domain Users"), en fait qu'il ne
puissent uniquement écrire que dans leur "Documents and Settings" sur
cet ordinateur. Par contre, il faut que les administrateurs et les
"Domain Admins" puissent y écrire.
Une exploration dans le gpedit.msc n'a rien donné. et des tests en
supprimant les droit de tout le monde a la racine n'a rien donné de
probant non plus.
Comment peut on le faire, sans logiciels tiers.
Tout simplement en configurant correctement la liste de contrôle d'accès de
la racine !
A savoir:
-pour les administrateurs et le compte SYSTEM
-> contrôle total
- pour tout le monde
-> lecture seule
- pour les utilisateurs (du domaine et/ou non)
-> lecture + affichage du contenu du dossier + exécution
c'est à dire la configuration par défaut !
Normalement, tu n'as rien à modifier.
Il faut, bien évidemment, que la partition soit de type NTFS.
Et pour afficher l'onglet "Sécurité" dans les propriétés des fichiers et
dossiers :
http://www.bellamyjc.org/fr/windowsxp2003.html#securitytab
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Dans le message :, Jolitorax a pris la peine d'écrire ce qui suit :
Soit un PC sous Windows XP SP2, sur lequel se connectent plusieurs utilisateurs d'un domaine (Samba), avec des profils itinérants donné par le serveur.
J'aimerais interdire l'écriture à la racine du système "C:" à ces utilisateurs (appartenant au groupe "Domain Users"), en fait qu'il ne puissent uniquement écrire que dans leur "Documents and Settings" sur cet ordinateur. Par contre, il faut que les administrateurs et les "Domain Admins" puissent y écrire. Une exploration dans le gpedit.msc n'a rien donné. et des tests en supprimant les droit de tout le monde a la racine n'a rien donné de probant non plus.
Comment peut on le faire, sans logiciels tiers.
Tout simplement en configurant correctement la liste de contrôle d'accès de la racine ! A savoir: -pour les administrateurs et le compte SYSTEM -> contrôle total - pour tout le monde -> lecture seule - pour les utilisateurs (du domaine et/ou non) -> lecture + affichage du contenu du dossier + exécution
c'est à dire la configuration par défaut ! Normalement, tu n'as rien à modifier.
Il faut, bien évidemment, que la partition soit de type NTFS.
Et pour afficher l'onglet "Sécurité" dans les propriétés des fichiers et dossiers : http://www.bellamyjc.org/fr/windowsxp2003.html#securitytab" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.bellamyjc.org/fr/windowsxp2003.html#securitytab
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Jolitorax
Jean-Claude BELLAMY nous narrait:
Tout simplement en configurant correctement la liste de contrôle d'accès de la racine ! A savoir: -pour les administrateurs et le compte SYSTEM -> contrôle total - pour tout le monde -> lecture seule - pour les utilisateurs (du domaine et/ou non) -> lecture + affichage du contenu du dossier + exécution
c'est à dire la configuration par défaut ! Normalement, tu n'as rien à modifier.
Merci pour ces précisions et désolé pour la réponse tardive
Effectivement ça marche, mais les groupes "Domain Users" et "Domain Admins" n'existaient pas par défaut.
Il faut cliquer sur propriétés du disque. Puis il faut ajouter le groupe "Domain Users" et "Domain Admins"
Il faut ensuite ajouter les propriétés suivantes dans l'onglet Autorisations
* Refuser "Domain Users" "Ce dossier seulement" "Création de données/Ajout de données"
* Autoriser "Domain Admins" "Ce dossier et sous dossiers" "Contrôle total"
* Autoriser "Domain Users" "Ce dossier seulement" "Parcours du dossier", "Liste du dossier", "Attribut de lecture", "attribut de lecture étendue", "Autorisation de lecture"
* Autoriser "Domain Users" "Les sous dossiers seulement" "Création de fichiers", "Création de dossiers"
Enfin c'est ce que j'ai compris après quelques essais, mais je ne suis pas un pro de Windows. Par défaut, les droits sont certainement corrects pour les utilisateurs locaux mais nous n'avons pas d'utilisateurs locaux. Les utilisateurs du domaine devaient récupérer des droits différents.
-- Jean Louis Mas
Jean-Claude BELLAMY nous narrait:
Tout simplement en configurant correctement la liste de contrôle
d'accès de la racine !
A savoir:
-pour les administrateurs et le compte SYSTEM
-> contrôle total
- pour tout le monde
-> lecture seule
- pour les utilisateurs (du domaine et/ou non)
-> lecture + affichage du contenu du dossier + exécution
c'est à dire la configuration par défaut ! Normalement, tu n'as rien
à modifier.
Merci pour ces précisions et désolé pour la réponse tardive
Effectivement ça marche, mais les groupes "Domain Users" et "Domain
Admins" n'existaient pas par défaut.
Il faut cliquer sur propriétés du disque. Puis il faut ajouter le
groupe "Domain Users" et "Domain Admins"
Il faut ensuite ajouter les propriétés suivantes dans l'onglet
Autorisations
* Refuser "Domain Users" "Ce dossier seulement" "Création de
données/Ajout de données"
* Autoriser "Domain Admins" "Ce dossier et sous dossiers" "Contrôle
total"
* Autoriser "Domain Users" "Ce dossier seulement" "Parcours du dossier",
"Liste du dossier", "Attribut de lecture", "attribut de lecture étendue",
"Autorisation de lecture"
* Autoriser "Domain Users" "Les sous dossiers seulement" "Création de
fichiers", "Création de dossiers"
Enfin c'est ce que j'ai compris après quelques essais, mais je ne suis
pas un pro de Windows.
Par défaut, les droits sont certainement corrects pour les utilisateurs
locaux mais nous n'avons pas d'utilisateurs locaux. Les utilisateurs du
domaine devaient récupérer des droits différents.
Tout simplement en configurant correctement la liste de contrôle d'accès de la racine ! A savoir: -pour les administrateurs et le compte SYSTEM -> contrôle total - pour tout le monde -> lecture seule - pour les utilisateurs (du domaine et/ou non) -> lecture + affichage du contenu du dossier + exécution
c'est à dire la configuration par défaut ! Normalement, tu n'as rien à modifier.
Merci pour ces précisions et désolé pour la réponse tardive
Effectivement ça marche, mais les groupes "Domain Users" et "Domain Admins" n'existaient pas par défaut.
Il faut cliquer sur propriétés du disque. Puis il faut ajouter le groupe "Domain Users" et "Domain Admins"
Il faut ensuite ajouter les propriétés suivantes dans l'onglet Autorisations
* Refuser "Domain Users" "Ce dossier seulement" "Création de données/Ajout de données"
* Autoriser "Domain Admins" "Ce dossier et sous dossiers" "Contrôle total"
* Autoriser "Domain Users" "Ce dossier seulement" "Parcours du dossier", "Liste du dossier", "Attribut de lecture", "attribut de lecture étendue", "Autorisation de lecture"
* Autoriser "Domain Users" "Les sous dossiers seulement" "Création de fichiers", "Création de dossiers"
Enfin c'est ce que j'ai compris après quelques essais, mais je ne suis pas un pro de Windows. Par défaut, les droits sont certainement corrects pour les utilisateurs locaux mais nous n'avons pas d'utilisateurs locaux. Les utilisateurs du domaine devaient récupérer des droits différents.