droit ntfs sur le domaine sous windows 2000 serveu

[infernum]

bonjour,

je suis en stage dans un lycée, je désirerai mettre en place une restriction des droit ntfs sur le disque local C: en passant par une GPO ( sous windows 2000 server ),

je sais qu'il y a une possiblité de cacher et d'interdire l'acces au disque C: en Editant le fichier system.adm sur controleur de domaine par contre elle enlève le droit d'accès et de

lecture et j'aimerai justement donner le droit d'accès en lecture et excécution aux élèves car je rencontre des problèmes avec certaines applications... j'ai vu une GPO dans Computer configuration-->security setting-->File system

esceque cette stratégie qui permet de modifier les droits ntfs s'applique uniquement sur le controleur de domaine ou sur tout les station du domaine ??

merci

[overflow]

petit up pour ce sujet

[infernum]

Bonjour,

Je ne sais pas si j'ai bien formulé ma question,

J'aimerai savoir si il est possible de réduire les droits NTFS ( donc sur les disques locaux ) pour les utilisateurs du domaine sans être obligé de passer sur chaque station et d'appliquer manuellement les droits sur tout les disques.

Sous 2000 serveur ya une GPO qui cache la lettre et une autre qui désactive l'accès en lecture du disque donc certaines applications ne fonctionnent pas

Merci

[BoobZ]

Bonjour,

je ne comprend pas ce que tu cherches à faire concretement,

personnellement je me sers des lecteurs cachés et je n'ai pas de soucis meme si ce n'est pas secure du tout...

Pourrais tu etre plus precis dans ce que tu cherches à faire?

Que comptes tu appliquer comme droit?

++

[infernum]

salut,

j'aimerai cacher le disque local et autoriser uniquement la lecture et l'exécution aux utilisateurs du domaine, parceque comme tu le dis juste cacher la lettre c'est pas secure ya des petits malins qui vont s'amuser a taper le chemin.

Pour l'instant 2 GPO sont appliquées, l'une cache la lettre et l'autre empeche l'affichage du contenu du disque local, et c'est cette GPO qui pose des problème aux élèves pour excécuter certains programme ou il est nécessaire d'afficher le contenu du dossier pour qu'ils exécutent ces programmes, donc je cherche une solution pour appliquer les droits ntfs ( lecture et exécution sans être obligé de passer sur chaque machine pour appliquer les droits manuellement ) et non pas bloquer tout comme le fait la 2eme GPO.

merci

[infernum]

Pour ceux que ca intéresse il y a une solution pour déployer des droits ntfs sur le domaine, même si j'ai pas encore eu le temps de la mettre en place :

Avec l'outil xcacls plus d'infos ici, cet outil permet d'éditer les droits NTFS.

il faut excécuter le script en .vbs apres l'avoir télécharger, en ligne de commande, faut se placer dans le répertoire et l'éxécuter, un message apparait, ensuite taper "cscript /H:cscritp".

ensuite pour mettre en place les droits :

xcacls c:\ /S /E /P "domaine/utilisa. du domaine":x

c:\ ou tout autre répertoire que vous voulez éditer

/S /E /P permet d'ajouter une nouvelle entrée NTFS et d'appliquer les droits sur les sous dossiers et fichiers ( l'héritage fait le reste )

:x donne le droit de lecture et exécution

Après avoir un script avec une GPO cela devrai fonctionner, faut juste savoir si c'est la station cliente ou le serveur qui doit fournir xcacls...

[infernum]

voial le script "finalisé", cela permet à la machine cliente d'exécuter par elle même l'outil via une GPO en allant le chercher sur le serveur ( donc pas besoin de mettre le xcacls sur les stations clientes )

cscript \\IPserveur\partage\xcacls.vbs \\%COMPUTERNAME%\c$\ /E /S /P "domaine/utilisa. du domaine":x

j'ai testé avec 2 machines en reseau ca fonctionne, me reste a tester sur le domaine, l'inconvénient est que lors de l'ouverture de session ou fermeture ( suivant la GPO ) l'application des droits peu prendre jusqu'a 5 minutes( la 1ère fois ), donc éviter de laisser trainer la GPO...