Droits NTFS et partages, comment gerer ca

[doum]

Bonjour a tous, je vous explique notre soucis

On a une partition partagée sur un cluster Windows 2003, sur laquelle des partages ont été créés.
Disons qu'on obtient cette forme:

\\cluster\partage$ est la racine et la dessous on a un certain nombre de dossier avec des droits NTFS positionnés.


\\cluster\partage$\dossier1
\\cluster\partage$\dossier2
...

Les gens n'ayant acces qu'au dossier 1 n'ont bien acces qu'a ce dossier et idem pour le dossier 2.
La ou le probleme se pose, c'est pour les gens ayant accès aux 2 dossiers. Si jamais ils copient des fichiers du dossier 1 vers le 2, les droits sur les fichiers restent comme ceux du dossier 1, du coup les gens ayant acces qu'au dossier 2 ne peuvent acceder aux fichiers déplacés puisqu'ils n'ont pas les droits.
A priori c'est le fonctionnement normal puisqu'on copie sur la meme partition, seulement c'est un petit brin tres problematique , y'a-t-il un moyen de forcer les droits pour qu'ils s'appliquent selon les droits du dossier supérieur?

[kazer]

Quelle est le rapport avec AD?

[thorvdr]

salut,

Si jamais ils copient des fichiers du dossier 1 vers le 2, les droits sur les fichiers restent comme ceux du dossier 1.

=>les fichiers copiés héritent des permissions du dossier cible.
=>les fichiers déplacés conservent les permissions du dossier source.

@+

[ygainche]

Effectivement, aucun rapport avec AD.

Je déplace vers Windows 2003.

[ygainche]

Bonjour,

S'il n'y a que 2 dossiers alors fais des partages individuels :

\\cluster\dossier1
\\cluster\dossier2

Pour les utilisateurs, c'est plus génant car il y a 2 partages mais du point de vue du poste, ce sont les règles de la copie qui vont s'appliquer, donc on hérite des droits du dossier cible.

Cordialement,

[doum]

Effectivement aucun rapport avec AD si ce n'est que les droits sont donnés par des groupes AD, désolé pour le post dans la mauvaise section.

ygainche il y a environ 250 dossiers , donc on peut pas trop faire de partages individuels.

thorvdr si je comprends bien ca veut dire que les gens ne doivent pas faire de CTRL X sinon les droits restent ceux du dossier source...ca va pas etre evident de faire passer le mot

Me demande pourquoi microsoft ont fait un fonctionnement différent selon que ce soit une copie ou un deplacement.

[ygainche]

Me demande pourquoi microsoft ont fait un fonctionnement différent selon que ce soit une copie ou un deplacement.

Ce n'est pas de la faute de MS.
Ils ont choisi de mettre en oeuvre un contrôle d'accès de type 'Contrôle d'accès discrétionnaire' et ils en appliquent les règles. Cela permet de garantir le droit des utilisateurs sur les objets qu'ils créent.

Quand un utilisateur crée un fichier, il en est le propriétaire et il possède sur sont fichier des droits imprescriptibles.
Donc quand un utilisateur déplace un fichier, il s’agit toujours du même objet avec le même propriétaire. Celui-ci doit donc conserver les droits sur son fichier et il doit aussi conserver les droits qu’il a octroyés à d’autres que lui. C’est pour cette raison que tous les droits des fichiers sont conservés en cas de déplacement.

En revanche, pour une copie, ce n’est pas forcément le propriétaire de l’objet qui crée la copie mais un utilisateur ayant un droit de lecture. La personne qui fait la copie crée un nouvel objet dont il est le propriétaire. Il possède donc des droits sur cet objet qui pour commencer va hériter par défaut des droits définis sur le dossier hébergeant la copie. L’utilisateur sera libre ensuite de modifier les droits.

[doum]

Merci 1000 fois pour cette explication détaillé.

En fait c'est logique, mais pas vraiment pratique dans mon cas.

[doum]

Que représente alors le groupe "Créateur propriétaire"?

Ca a un rapport?
Car il n'est positionné sur aucun dossier.

[ygainche]

Que représente alors le groupe "Créateur propriétaire"?

Ca a un rapport?
Car il n'est positionné sur aucun dossier.

Pour des raisons de compatibilité avec POSIX, les utilisateurs sont membre d'un groupe en tant que groupe principal. Par défaut, c'est le groupe des utilisateurs du domaine.

Créateur Propriétaire permet de donner des droits par défauts au créateur de d'un objet sans qu'il ait a le faire lui-même (souvent il ne sait pas le faire).

Le groupe créateur permet de donner des droits par défaut au groupe dont le créateur de l'objet est membre en tant que groupe principal.

[doum]

Il n'est donc pas obligatoire.

On ne veut pas que le createur est plus de droit que le groupe auquel il appartient

[ygainche]

Il n'est donc pas obligatoire.

On ne veut pas que le createur est plus de droit que le groupe auquel il appartient

Je crois que tu n'as pas bien compris ce qu'était un contrôle d'accès discrétionaire : il est à la discrétion du propriétaire qui as tous les droits sur ses propres fichiers.