Question
Modification d'ACLs
il y a 8 ans 2 jours #25187
par Philippe
Réponse de Philippe sur le sujet Re:Script pour répertoire AD
ta copie d'écran montre bien que les utilisateurs \"ISL\ginnsz\" et \"Tout le monde\" ne sont pas complètement supprimer par le remove
il reste certains droits spéciaux du fullcontrol
le remove doit etre utilisé avec le fullcontrol
[code:1]remove-NTFSAccess –Path \"V:\thirion\test\" -Account \"ISL\ginnsz\", \"Tout le monde\" -AccessRights FullControl
add-NTFSAccess –Path \"V:\thirion\test\" -Account \"ISL\ginnsz\", \"Tout le monde\" -AccessRights ReadAndExecute
[/code:1]
dernière info et la plus importante que je n'avais pas donner avant
il faut être en elevation en tend qu'administrateur pour exécuté le script sinon tu a le message d'erreur suivant :
[code:1]add-NTFSAccess : (5) Accès refusé: [\\?\V:\thirion\test]
Au caractère Ligne:2 : 1
+ add-NTFSAccess –Path \"V:\thirion\test\" -Account \"ISL\ginnsz\", \"Tout ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : WriteError: (V:\thirion\test:«»String) [Add-NTFSAccess], UnauthorizedAccessException
+ FullyQualifiedErrorId : AddAceError,NTFSSecurity.AddAccess[/code:1]
car sans l'elevation le script comme un utilisateur \"tout le monde\" et dans ta situation ne peut plus modifier les droits du dossiers
(test fais en local sur mon ordi)
Message édité par: 6ratgus, à: 21/03/18 18:52<br><br>Message édité par: 6ratgus, à: 21/03/18 18:53
il reste certains droits spéciaux du fullcontrol
le remove doit etre utilisé avec le fullcontrol
[code:1]remove-NTFSAccess –Path \"V:\thirion\test\" -Account \"ISL\ginnsz\", \"Tout le monde\" -AccessRights FullControl
add-NTFSAccess –Path \"V:\thirion\test\" -Account \"ISL\ginnsz\", \"Tout le monde\" -AccessRights ReadAndExecute
[/code:1]
dernière info et la plus importante que je n'avais pas donner avant
il faut être en elevation en tend qu'administrateur pour exécuté le script sinon tu a le message d'erreur suivant :
[code:1]add-NTFSAccess : (5) Accès refusé: [\\?\V:\thirion\test]
Au caractère Ligne:2 : 1
+ add-NTFSAccess –Path \"V:\thirion\test\" -Account \"ISL\ginnsz\", \"Tout ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : WriteError: (V:\thirion\test:«»String) [Add-NTFSAccess], UnauthorizedAccessException
+ FullyQualifiedErrorId : AddAceError,NTFSSecurity.AddAccess[/code:1]
car sans l'elevation le script comme un utilisateur \"tout le monde\" et dans ta situation ne peut plus modifier les droits du dossiers
(test fais en local sur mon ordi)
Message édité par: 6ratgus, à: 21/03/18 18:52<br><br>Message édité par: 6ratgus, à: 21/03/18 18:53
Connexion ou Créer un compte pour participer à la conversation.
il y a 8 ans 1 jour #25188
par Samy
Réponse de Samy sur le sujet Re:Script pour répertoire AD
Ça me semblait logique pour cette info, mais merci de le préciser 
En revanche, je n'arrive pas à trouver le droit de \"déplacer\" un sous dossier dans la liste que tu as fournit, ou alors peut-être faut-il utiliser le Deny pour avoir cette fonction ?
(Pour faire simple, je veux que le groupe \"Tout le monde\" n'ai pas la possibilité de bouger les dossiers et fichier se trouvant dans le répertoire T:\ Je sais où trouver l'option pour indiquer les dossiers et fichier, mais pour pour trouver \"Bouger\")
Encore merci pour votre aide !
En revanche, je n'arrive pas à trouver le droit de \"déplacer\" un sous dossier dans la liste que tu as fournit, ou alors peut-être faut-il utiliser le Deny pour avoir cette fonction ?
(Pour faire simple, je veux que le groupe \"Tout le monde\" n'ai pas la possibilité de bouger les dossiers et fichier se trouvant dans le répertoire T:\ Je sais où trouver l'option pour indiquer les dossiers et fichier, mais pour pour trouver \"Bouger\")
Encore merci pour votre aide !
Connexion ou Créer un compte pour participer à la conversation.
il y a 8 ans 1 jour #25189
par Arnaud Petitjean
MVP PowerShell et créateur de ce magnifique forum
Auteur de 6 livres PowerShell aux éditions ENI
Fondateur de la société Start-Scripting
Besoin d'une formation PowerShell ?
Réponse de Arnaud Petitjean sur le sujet Re:Script pour répertoire AD
Hello,
Donner des accès au groupe \"tout le monde\" est quelque chose que l'on évite en général.
Il vaut mieux donner accès au groupe \"Utilisateurs authentifiés\" ou au groupe \"Utilisateurs du domaine\" plutôt qu'à \"tout le monde\". En effet \"tout le monde\" signifie que même un compte extérieur au domaine peut avoir accès à ces données; ce qui n'est en général pas souhaitable.
Ensuite la règle d'or avec les ACLs c'est \"Simpler is Better\"...
Donc, est-ce que le droit \"Lecture seule\" ne serait pas suffisant ? Sinon, bonjour pour trouver le bon droit... Et puis nous ne pourrons pas t'aider car là ce n'est plus une problématique PowerShell mais plutôt une problématique Windows et de gestion des ACLs...
Arnaud
Donner des accès au groupe \"tout le monde\" est quelque chose que l'on évite en général.
Il vaut mieux donner accès au groupe \"Utilisateurs authentifiés\" ou au groupe \"Utilisateurs du domaine\" plutôt qu'à \"tout le monde\". En effet \"tout le monde\" signifie que même un compte extérieur au domaine peut avoir accès à ces données; ce qui n'est en général pas souhaitable.
Ensuite la règle d'or avec les ACLs c'est \"Simpler is Better\"...
Donc, est-ce que le droit \"Lecture seule\" ne serait pas suffisant ? Sinon, bonjour pour trouver le bon droit... Et puis nous ne pourrons pas t'aider car là ce n'est plus une problématique PowerShell mais plutôt une problématique Windows et de gestion des ACLs...
Arnaud
MVP PowerShell et créateur de ce magnifique forum
Auteur de 6 livres PowerShell aux éditions ENI
Fondateur de la société Start-Scripting
Besoin d'une formation PowerShell ?
Connexion ou Créer un compte pour participer à la conversation.
Temps de génération de la page : 0.041 secondes
- Vous êtes ici :
-
Accueil
-
forum
-
PowerShell
-
Entraide pour les débutants
- Modification d'ACLs