1 votes

Bekoj avatar

Autorisation Windows - Refuser la création de sous-dossiers mais autoriser la modification des fichiers.

Demandé el 16 de Octobre, 2019
Quand la question a-t-elle été
1504 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie actuellement de configurer un dossier sur un serveur de fichiers (Windows Server 2012 r2) où certains utilisateurs peuvent créer et modifier des fichiers, mais pas créer de sous-dossiers. J'ai supposé que ce serait facile avec les autorisations avancées, il suffit de décocher "Créer / ajouter des dossiers" devrait faire l'affaire, alors j'ai fait exactement cela.

Cependant, lorsque je fais cela, les utilisateurs disposant de ces autorisations ne peuvent ouvrir les fichiers du dossier qu'en mode lecture seule. Ce qui est encore plus déroutant, c'est qu'ils peuvent toujours faire tout le reste, comme enregistrer sous un autre nom, créer un fichier, supprimer un fichier... donc, d'une certaine manière, ils peuvent toujours modifier un fichier (en l'enregistrant sous le nom "fichier2", en supprimant "fichier1", puis en renommant "fichier2" en "fichier1"), mais c'est très pénible.

J'ai essayé avec des fichiers Excel, Word et même .txt. Je peux donc supposer que tous les types de fichiers sont concernés.

Je suis tombé sur este J'ai essayé de trouver mon problème sur Google, mais l'ajout d'une règle de refus comme suggéré ne me donne que le même résultat.

Il y a quelque chose que j'ai manqué ?

Par ailleurs, si cela a une quelconque importance, cela se produit à la fois sur les clients Windows 10 et sur un RDP W2012R2.

Demandé el 16 de Octobre, 2019 par Bekoj

0 votes

Avatar de Harry Johnston

Réponse rapide : vous devez explicitement définir des autorisations différentes pour les fichiers du dossier et pour le dossier lui-même, ce que vous pouvez faire dans l'interface graphique en utilisant les options "s'applique à". Si personne d'autre n'a posté une réponse complète, j'essaierai de revenir et de le faire plus tard dans la journée.

Commenté el 16 de Octobre, 2019 par Harry Johnston

0 votes

Avatar de Bekoj

C'est la bonne réponse. Je viens de l'essayer et ça marche, merci beaucoup ! Donc juste pour être clair : sous l'onglet Sécurité->Avancé, vous devez définir 2 jeux de permissions pour tout groupe concerné : Un appliqué aux dossiers, sous-dossiers et fichiers où vous décochez la permission "Créer/appliquer des dossiers". Et un autre appliqué AUX FICHIERS SEULEMENT où vous leur donnez des autorisations d'édition normales. Je dois quand même dire que c'est incroyablement contre-intuitif que le fait de décocher la case "Créer/appliquer des dossiers" affecte d'autres choses que les dossiers. Cela va à l'encontre du but recherché.

Commenté el 17 de Octobre, 2019 par Bekoj

Réponses

Trop de publicités?

0voto

Bekoj avatar
Bekoj Points 13

J'ai donc trouvé la solution grâce au commentaire de Harry Johnston, bravo à lui :

Sous l'onglet Sécurité->Avancé, vous devez définir deux ensembles de permissions pour tout groupe concerné :

-Un appliqué aux dossiers, sous-dossiers et fichiers (par défaut) où vous décochez la permission "Créer/appliquer des dossiers".

-Un appliqué AUX FICHIERS UNIQUEMENT où vous leur donnez des droits d'édition réguliers.

Je dois quand même dire que c'est incroyablement contre-intuitif que de décocher la case "Créer/appliquer des dossiers" affecte d'autres choses que les dossiers. Cela va à l'encontre du but recherché.

Répondu el 17 de Octobre, 2019 par Bekoj (13 Points )

1 votes

Avatar de Harry Johnston

Sur mon système, il est indiqué "Créer des dossiers / ajouter des données", ce qui, bien que pouvant prêter à confusion, est au moins techniquement exact. Utilisez-vous Windows dans une autre langue que l'anglais ? Il y a peut-être eu un problème de traduction.

Commenté el 17 de Octobre, 2019 par Harry Johnston

0voto

Harry Johnston avatar
Harry Johnston Points 5785

Je le mettrais en place comme ça :

Advanced Security Settings example

Au cas où vous trouveriez l'image difficile à lire, voici les entrées sous forme de texte :

  • Administrateurs : Contrôle total, s'applique à ce dossier, aux sous-dossiers et aux fichiers.
  • Utilisateurs : Contrôle total, s'applique uniquement aux fichiers
  • Utilisateurs : Créer des fichiers / écrire des données, s'applique uniquement à ce dossier.
  • Utilisateurs : Lecture et exécution, s'applique à ce dossier, aux sous-dossiers et aux fichiers.

(La variante décrite dans votre auto-réponse fonctionnera aussi, en procédant de cette manière, l'intention sera juste un peu plus claire pour quelqu'un qui la regardera plus tard).

Le problème sous-jacent est que les fichiers et les dossiers partagent le même ensemble d'autorisations, et que certaines d'entre elles ont une signification différente pour les fichiers et pour les dossiers.

En particulier, le droit d'accès "créer des dossiers / ajouter des données" a ces effets :

  • Pour un dossier, elle vous permet de créer de nouveaux sous-dossiers dans le dossier.
  • Pour un fichier, elle permet d'ajouter des données à la fin du fichier.

Donc si une application n'a pas ce droit sur un fichier particulier, elle ne peut pas rendre ce fichier plus long qu'il ne l'est déjà. D'ailleurs, selon une lecture stricte de la documentation, elle ne peut pas non plus le rendre plus petit - mais je ne suis pas sûr que ce soit réellement vrai :-)

Quoi qu'il en soit, cela signifie généralement que l'application ne peut pas ouvrir le fichier en écriture. La plupart des applications demandent un accès générique en écriture lorsqu'elles ouvrent des fichiers pour les modifier, et cela inclut le droit d'ajouter des données. Dans ce scénario, cela ne fonctionnera pas et l'application échouera complètement ou repassera en mode lecture seule.

Répondu el 17 de Octobre, 2019 par Harry Johnston (5785 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X