Question [Résolu] Pb d'héritage après modif droits NTFS

Bonjour,

Je parcoure le forum de temps en temps, j'y ai trouvé à plusieurs reprise tout un tas de chose intéressantes et utiles ; donc merci bien à tous ceux qui le font exister.

Et du coup je me permets de vous demander un peu d'aide sur un truc qui commence à bien me faire tourner en bourrique...

Mon Pb :

Je dois corriger tout un tas de chose dans une AD et notamment des dossiers partagés.

J’ai pas eu trop de Pb pour faire la création et le partage mais j'ai une grosse galère à l'ajout des droits NTFS sur le partage

Que ce soit avec la méthode \"classique\" :
[code:1]
$acl = Get-Acl \"$ServeurSite\$NomDossier\"
$acl.SetAccessRuleProtection($false, $False)
$permission = \"$NomDomain\$NomUtilisateur\",\"Modify\",\"ContainerInherit, ObjectInherit\",\"None\",\"Allow\"
$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule $permission
$acl.addAccessRule($accessRule)
$acl | Set-Acl \"$ServeurSite\$NomDossier\" -PassThru 1>>$journal
[/code:1]
Ou avec le méthode \"module NTFSSecurity\":

[code:1]
Add-NTFSAccess –Path \"$ServeurSite\$NomDossier\" -Account $NomUtilisateur -AccessRights Modify

[/code:1]


J'ai exactement le même Pb :
Avant l'ajout d'un utilisateur j'ai bien les autorisations de bases héritées du parent, avec notamment l'AUTORITE NT\Système et le compte admin domaine en FullControl
Après ajout d'un utilisateur, il n'y a plus que cet utilisateur

Si je fais un :
[code:1]Get-acl $ServeurSite\$NomDossier | Format-List[/code:1]
ou un :
[code:1]Get-NTFSAccess -path $ServeurSite\$NomDossier[/code:1]

Il n'y a plus que le nouvel utilisateur...
Comme si l'héritage était désactivé...

Et le plus étrange, que ce soit avec un Get-Acl ou un Get-NTFSAccess, tous deux affirment que l'héritage est actif.
De même si je vais manuellement sur le serveur de fichier, via l'interface graphique, plus personne n'a de droits sur le partage à par le nouvel utilisateur.
Mais si j'ajoute un utilisateur à la main, là je récup tout l'héritage admin, autorité nt, groupe info, etc...

Voilà, à la base je voudrai juste pouvoir ajouter des utilisateurs ou des groups à la volé...
Mais un truc aussi simple que \"clique droit, propriété, sécurité, ajouté utilisateur\"... ben c'est une vraie galère !!
Alors que d'habitude le PowerShell, c'est plutôt simple et efficace...

Si quelqu'un à une idée d'où peut venir le Pb...

Je vous remercie d'avance.
Note : version PS = 5.1

Message édité par: Arnaud, à: 20/03/18 15:30<br><br>Message édité par: Arnaud, à: 20/03/18 15:32

salut 6809

après quelques tests, je n'ai pas pu reproduire ton problème

peut être que le problème n'est pas la ou tu le cherche

tu parle souvent de dossier partage
les ACL ne concerne que la sécurité (permission) des dossiers

ta description d'une manip manuel ressemble au problème d'un dossier déplacer !

ton script fait il d'autre chose avant ou après ce changement de permission ?

Bonjour,

Merci pour la réponse 6ratgus.

En fait c’est de ma faute !! Une belle erreur de débutant !

Et je voie d’après ta réponse qu’en plus je me suis mal exprimé.

Le script doit mettre ou remettre en place des partages sur différents serveurs répartis sur différents sites. (donc oui il fait plein de trucs avant pour récup et tri des données, positionnement des ressources, etc... )

Et comme un c**, j’ai zapper une règle de base :
La modification de droits sur une racine de partage distant supprime les droits hérités en place… C’est un fonctionnement tout à fait normal !!

Du coup la correction est très simple :

Remplacer
[code:1]$acl | Set-Acl \&quot;$ServeurSite\$NomDossier\&quot; -PassThru 1&gt;&gt;$journal
[/code:1]
Par
[code:1]Invoke-Command -ComputerName $NomServeurSite -argumentlist $acl,$NomDossier -ScriptBlock {$($args[0]) | Set-Acl \&quot;Z:_PartagesCommuns\$($args[1])\&quot; -PassThru} 1&gt;&gt; $Journal
[/code:1]
Pour que le commande de mise en place des droits soit exécutée localement sur le serveur d’hébergement concerné.

Voilà, désolé pour le dérangement…
En tout cas merci pour la disponibilité et la réactivité.
Et merci encore pour le site et le forum, j’y trouve régulièrement tout un tas de chose bien utile.<br><br>Message édité par: Arnaud, à: 20/03/18 15:30

En fait c’est de ma faute !! Une belle erreur de débutant !

sur les ACL on est tous debutants
c'est un truc assez compliquer a géré par script surtout avec les commande get-acl/set-acl