Sécurité sur les dossiers utilisateurs

Des droits d’accès mal positionnés sur les dossiers des profils itinérants ou de homedrives peuvent conduire a des problèmes rencontrés dans beaucoup de sociétés : les administrateurs n’ont pas accès aux dossiers de certains utilisateurs, et des profils ne sont pas chargés suite à des accès refusés.

Pour éviter ce genre de problèmes, il faut veiller à bien définir les sécurités sur le dossier de base du partage.

 

Il y a plusieurs solutions pour définir la sécurité sur les dossiers des utilisateurs :

  • Soit les permissions sont définies « à la main » (ou par script) pour chaque utilisateur lors de sa création,
  • Soit le dossier est créé lors de la première ouverture de session, dans le contexte de sécurité de l’utilisateur.

Nous allons nous intéresser à cette deuxième solution, qui est la plus intéressante.
L’idée est que chaque utilisateur dispose d’un accès à la racine du partage, et d’un droit de création de sous-dossier dans cet emplacement.
L’utilisateur « Créateur propriétaire », qui correspond au compte qui a créé le dossier, est ensuite définit comme ayant le contrôle total sur les sous-dossiers.

Le résultat est le suivant : Si l’utilisateur créé un dossier dans le partage des profils, il sera désigné comme ayant le contrôle total de ce dossier (car il en est le « créateur propriétaire »), d’où l’importance de laisser le système créer les dossiers ! En effet, si ceux-ci sont créés avec un compte d’administrateur, seul ce compte y aura accès, et l’utilisateur ouvrira une session avec un profil temporaire.

 

Pour que les administrateurs puisse accéder aux sous-dossiers, il faut qu’ils soient désignés à la racine du partage.

 

Au final, les droits à la racine du partage sont les suivants :

Les droits NTFS à la racine du partage

 

Les utilisateurs dispose d’un droit de lecture et de création de dossier sur ce dossier seulement :

Les droits des utilisateurs à la racine du partage

 

Le créateur propriétaire dispose quand à lui d’un contrôle total sur les sous-dossiers seulement :

Les droits NTFS de Createur propriétaire

 

Remarque : Il est possible de connaitre et de modifier le propriétaire d’un dossier en utilisant l’onglet correspondant dans les droits NTFS :

Le propriétaire d’un dossier

 

Remarque bis : Si le dossier créé est un profil itinérant, il faut jouer avec la policy ordinateur « Système\Profil des utilisateurs\Ajouter le groupe de sécurité administrateurs aux profils itinérants utilisateurs » pour que les administrateurs puissent accéder au dossier.

Dans le cas d’une redirection de dossiers, il faut décocher la case « Accorder à l’utilisateur des droits exclusifs sur le dossier » dans les options de la redirection.

par .

4 Commentaires

  1. paul dit :

    Bonjour,
    Concernant ta « remarque bis »: J’ai oublié de configurer cette option lors du déploiement de mes serveurs RDS. Du coup, les profils itinérants ne sont accessible qu’a partir du compte utilisateur.

    J’ai essayé avec la commande cacls, mais j’ai un accès refusé.

    Une solution?

    • David dit :

      Hello

      Je ne connais malheureusement pas de solution rapide pour repositionner les sécurité NTFS des dossiers de profils itinérants. Il faut que tu réinitialise la sécurité sur le dossier parent, en forçant le remplacement des dossiers enfants.

      Tu pourras alors utiliser cacls dans un script pour repositionner les droits des utilisateurs sur leurs dossiers, en ajoutant les administrateurs (ou le faire à la main si tu as peu d’utilisateurs).

      David.

  2. Nicolas dit :

    Bonjour,

    Cet article est très intéressant.

    Sur quels ordinateurs faut-il appliquer la GPO de la remarque bis : Ajouter le groupe de sécurité administrateurs aux profils itinérants utilisateurs ?
    – Le serveur qui héberge les profils
    – les serveurs Citrix
    – les PC

    Merci d’avance

Laisser un commentaire

*