Voilà, je me suis mit il y a peu sur Active Directory (dans la cadre de la formation que je suis actuellement) et je me retrouve confronté à un problème que j'aimerais résoudre (obviously...).
Je vous explique donc ma situation. :)
Mon AD est installé sur un Windows Serveur 2008 R2. J'ai créé un domaine où je simule un environnement d'entreprise avec quelque comptes utilisateurs différents...
J'aimerai faire un sorte que chaque utilisateur possède un espace personnel sur le domaine avec un lecteur réseau menant à cet espace dans leur session.
Pour cela, je sais que plusieurs solution s'offre à moi mais chacune d'entre elles ne me convient pas parfaitement...
Je m'explique en vous exposant les deux différentes méthodes que j'ai essayées et ce pourquoi elles me dérangent :
1 : Dans ma console de gestion AD, sur chaque utilisateur, dans l'onglet "profil", je leur indique un l'emplacement personnel que je souhaite mappé sur leur session comme illustré ci-dessous.
Cette méthode marche bien mais est assez redondante car à chaque nouvel utilisateur que je rajoute à mon domaine, je dois éditer son profil pour lui indiquer un chemin...
2 : Je créé une GPO que j'affecte à l'UO qui contient mes utilisateurs et qui fait en sorte que lorsqu'un utilisateur se connecte, celui-ci créé son propre dossier Perso à l'emplacement réseau désiré et ajoute lui même un lecteur réseau correspondant à l'emplacement de ce dossier.
Voici un aperçu de la GPO en question.
Cette méthode règle le problème d'intervention manuelle pour chaque utilisateur mais pose une contrainte. En effet, pour que l'utilisateur puisse créer son dossier Perso à l'emplacement réseau désiré, il lui faut les autorisations d'écriture nécessaires sans quoi il ne pourra créer son dossier. Ceci me pose problème car je ne veux pas que l'utilisateur ai accès au dossier parent où se trouve non seulement son dossier personnel mais aussi celui des autres utilisateurs du domaine ! Dans la première méthode, je peux restreindre l'accès au dossier parent contenant les différents dossiers personnels de chaque utilisateur.
Voilà, je ne sais pas si c'est clair pour tous le monde, je pourrais sans doute être plus précis mais je pense que cela est suffisant pour être compris. :)
Merci d'avance pour vos réponse qui j'espère vont m'éclairer !
Hummm... Tu n'as pas dû bien comprendre.
Rien à toucher dans quel méthode ? Dans chacune d'entre elles quelque chose me dérange.
Je t'invite à relire mon post et/ou me donner une réponse plus détaillée si tu le peux. :)
Dans la methose avec GPO, dans l'emplacement, tu mets \\nom_serveur\partage\%utilisateur% et le dossier se crée tout seul . Si en plus, tu mappes le lecteur Z directement sur \\nom_serveur\partage\%utilisateur% alors l'utilisateur ne pourra pas aller voir le fichier parent. Et de toute facon n'aura pas les droits sur le autres dossiers utilisateurs.
Si vraiment tu veux caher ton partage, tu peux rajouter un $ au dossier parent : \\nom_serveur\partage$ ....
Bon ! Alors en effet tu n'as pas bien compris. Si tu le permet je vais te faire un petit rappel. :)
Alors pour l'emplacement du dossier le chemin est plutôt \\nom__du_serveur\dossier_partagé\%LOGON%
Et je met le même chemin pour le lecteur mappé comme tu as dis.
Mais prends bien en considération le fait que cette GPO fait en sorte qu'à l'ouverture de la session d'un utilisateur assujetti à cette même GPO, c'est l'UTILISATEUR qui crée le dossier et qui met en place le lecteur mappé ! Et pour ce faire, l'utilisateur en question doit être autorisé à écrire dans \\nom_du_serveur\dossier_partagé !
De ce fait, l'utilisateur peut tout à fait se rendre manuellement dans \\nom_du_serveur\dossier_partagé et, par exemple, renommé son dossier personnel ce qui peut mettre le bazar dans dossier_partagé car lors d'une seconde connexion par exemple, un nouveau dossier \\nom__du_serveur\dossier_partagé\%LOGON% sera créer étant donné que l'ancien à changé de nom.
Tu comprends alors mon problème non ? De plus, je ne souhaite pas que les utilisateurs puisse accéder au dossier \\nom__du_serveur\dossier_partagé ! :)
J'ai demandé de l'aide au près de mon formateur mais il n'a pas su me répondre. Il utilise lui la première méthode indiquée dans mon post soit la création préalable des dossiers personnels pour chaque utilisateurs par un istrateur.
En gros, je reformule ma demande initiale...
J'aimerai pouvoir avoir le côté dynamique de la création de dossier par GPO tout en pouvant interdire l'accès au dossier parent aux utilisateurs !
Et pour ce faire, l'utilisateur en question doit être autorisé à écrire dans \\nom_du_serveur\dossier_partagé !
De plus, je ne souhaite pas que les utilisateurs puisse accéder au dossier \\nom__du_serveur\dossier_partagé !
Il faut choisir, si tu veux que les s puissent créer des folders mais pas y accéder ... ça va coincer hein.
-
Tu veux un coté dynamique - Mouais ...
Tu l'as si tu revoies ton process de création de . Et on ne créé pas des nouveaux s avec une console AD quand on est bien organisé - j'entends utilisateurs standards, avec boite aux lettres/lync etc ... soit, pour les comptes de services ça peut se faire.
C'est ton process de provisionning qui doit créer les ACLs qui vont bien si tu veux verrouiller comme tu le décris.
-
Sinon, après tu as la redirection de folder par GPO qui marchent bien aussi.
Dans les deux cas (GPP ou folder redirection) : voici les ACLs qu'il faut mettre en place (je ne sais pas si tu as joué avec les paramètres avancés des ACLs - notamment avec "ce dossier uniquement" ) :
Après rassure toi, si les s voient les dossiers des autres s, c'est vraiment pas dramatique.
Pourquoi ? Ils ont un compte dans un annuaire AD, et peuvent déja consulter toutes les informations des utilisateurs ... alors voir un dossier d'un compte sans y accéder tu sais ... c'est pas dramatique , il y aura bien plus d'infos pertinentes dans l'annuaire.
C'est pas trop le fait qu'il puisse voir les dossiers des autres utilisateurs qui me perturbe mais plutôt le fait qu'il puisse renommer le leur et foutre le bordel dans le répertoire...
Je consulterai tes liens quand je serai à tête reposée. Actuellement je fais autre chose.
Ça fait 2 mois et demi que je suis entré en formation réseau. Je débute donc ! :)
Rien à toucher dans quel méthode ? Dans chacune d'entre elles quelque chose me dérange.
Je t'invite à relire mon post et/ou me donner une réponse plus détaillée si tu le peux. :)
Si vraiment tu veux caher ton partage, tu peux rajouter un $ au dossier parent : \\nom_serveur\partage$ ....
Ou alors j'ai pas compris la question ;-)
Alors pour l'emplacement du dossier le chemin est plutôt
\\nom__du_serveur\dossier_partagé\%LOGON%
Et je met le même chemin pour le lecteur mappé comme tu as dis.
Mais prends bien en considération le fait que cette GPO fait en sorte qu'à l'ouverture de la session d'un utilisateur assujetti à cette même GPO, c'est l'UTILISATEUR qui crée le dossier et qui met en place le lecteur mappé ! Et pour ce faire, l'utilisateur en question doit être autorisé à écrire dans \\nom_du_serveur\dossier_partagé !
De ce fait, l'utilisateur peut tout à fait se rendre manuellement dans \\nom_du_serveur\dossier_partagé et, par exemple, renommé son dossier personnel ce qui peut mettre le bazar dans dossier_partagé car lors d'une seconde connexion par exemple, un nouveau dossier \\nom__du_serveur\dossier_partagé\%LOGON% sera créer étant donné que l'ancien à changé de nom.
Tu comprends alors mon problème non ? De plus, je ne souhaite pas que les utilisateurs puisse accéder au dossier \\nom__du_serveur\dossier_partagé ! :)
J'ai demandé de l'aide au près de mon formateur mais il n'a pas su me répondre. Il utilise lui la première méthode indiquée dans mon post soit la création préalable des dossiers personnels pour chaque utilisateurs par un istrateur.
En gros, je reformule ma demande initiale...
J'aimerai pouvoir avoir le côté dynamique de la création de dossier par GPO tout en pouvant interdire l'accès au dossier parent aux utilisateurs !