Bonjour,  
 
J'ai un pépin de sécurité que je ne comprends pas.  
 
J'ai rajouté un lettre et un chemin de map dans les profils de mes utilisateurs dans Active Directory de manière a:  
 
Créé automatiquement un dossier personnel sur un serveur
Remonter la lettre et le map automatiquement par le réseau
 
 
Ceci afin d'avoir une gestion plus simple et rapide.  
 
J'ai mis mon partage sur \\nom serveur\d:\Utilisateurs$  
 
Jusque la tout va bien tout le monde a bien accès comme il faut, tout hérite bien du droit d'un groupe avec contrôle total dessus pour les sauvegardes.  
 
Sauf que si un utilisateurs petit malin envoie le chemin: \\nom serveur\utilisateurs$ il voit tous les dossiers des autres et pire il peut rentrer dedans!!!  
Comment puis je sécurisé ça de manière simple sans me taper une grosse gestion a la main dans les méandres des droits NTFS sur chaque dossier personnel.  
On oublie la GPO et j'ai activé ABE sur le partage utilisateurs$
 
J'ai beau chercher je ne trouve pas la solution et cela fait un moment que je suis dessus, ça urge...    
 
HELP PLEASE      

Tu as fait n'importe quoi, tu as activé les profils itinérants au lieu de la redirection de dossiers...et pour les permissions tout est sur la doc Microsoft. Et tu n'as pas besoin de monter un lecteur réseau pour ca.

Sérieux? tu me fais peur la...  
moi j'ai juste mis une lettre et un chemin dans dossier de base ici.  
Photo en exemple.  
https://www.it-connect.fr/wp-conten [...] ofil10.png
On m'avait pourtant dis en apprentissage que cela servait de dossier personnel.  
 
Les docs microsoft je les ais lu mais meme en ayant mis les bon droit j'ai une faille d'accès que je ne comprends pas.  
Je ne demanderais pas de l'aide autrement.

Tu es conscient qu'il y a marqué "Profil itinerant" dans le chemin UNC et que la variable s'appelle "Chemin du profil" ?
 
On faisait ça sous NT4, plus en 2019.
 
Si tu avais vraiment lu les docs il n'y aurait pas de faille. C'est peut-être lié aux ACL de ton groupe en CT.
 
Tu suis pas-à-pas le lien ici : https://docs.microsoft.com/en-us/wi [...] edirection
 

à priori il a configuré la partie en bas "dossier de base" donc pas les profils itinérants mais oui le reste de la remarque est toujours d'actualité, on est en 2019 on utilise plus ça.

Tu me mets un doute, mais pour moi à partir du moment que tu configures le chemin du profil c'est mort. Je vais POC ça à l'occasion.

Si tu configures chemin du profil oui mais le chemin de base non (oui je sais son screenshot est pourri c'est pas la ligne remplie qu'il a remplie )
Après ça fait des années non plus que j'ai pas touché à ça

 
Il n'est pas valide ce chemin UNC.
 
Et puis ce n'est pas le dossier commun aux dossiers des utilisateurs qu'il faut partager mais chaque dossier utilisateur.
Ainsi tu appliques dessus les droits NTFS et de partage. Ce qui permet un double check des droits.

partager chaque dossier un par un ? non on partage au dessus et les droits ntfs autorisent ou pas les dossier utilisateurs individuellement en jouant le creator owner pour fixer les bons droits au premier login/application gpo

Ben moi je partage un par un en jouant sur les droits NTFS et de partage.

si tu as 10 users et encore c'est gérable mais sinon non.
La règle c'est de mettre everyone en full access sur le partage et de gérer les permissions ntfs comme décrites par nebulios

Bah après cela se scripte la création du dossier et le positionnement des droits (et des quotas).

Mais bon j'admets ne pas être nécessairement dans les best practices.
Par contre en jouant aussi sur les droits de partage, je m'assure un peu plus que personne d'autres n'y accède.

Comment tu te pourris la vie
 
Regarde la doc de Microsoft, tu verras qu'avec les ACL NTFS  qu'ils préconisent, tu as juste besoin de les positionner sur le dossier parent, le reste se fait tout seul.
 
Pour le partage, Authenticated Users ou Everyone en Full Control, pas plus. Les accès sont contrôlés uniquement côté NTFS.
 

Pour info je n'ai pas le droit au GPO sinon c'est pas drole... J'aurais tout piloter en %username% si j'avais pu avoir une GPO.
 
Je mets bien dans le chemin de base dans AD avec la lettre de map \\nom serveur\Users$\nom dossier perso
 
J'ai des centaines d'utilisateurs donc il faut que ce soit piloter au plus simple d’où mon idée de dossier perso piloté par AD même si c'est "old school"
 
Cela marche bien ça cré le dossier en direct, le map avec sur la session utilisateur.  
 
Sur le partage par contre ca merdouille, je cherche je manip les droits dans tout les sens sans succès.  
 
Le but final c'est que les techniciens premier point d'entré puisse gérer ca de maniere ultra easy.  
 
je voudrais positionner des droits pour que quand un utilisateur arrive ils mettent le chemin dans dossier de base avec la lettre de map et basta les bons droit s'appliquent directement.  
 
C'est la que ca peche... si un petit malin tape \\nom de serveur\users$ il voit tout et peut tout modifier.  
Comment configurer pour que ce ne soit pas le cas? Que seul la personne titi au accès au dossier titi et personne ne puisse mapper titi à la main, ou voir tout le users$.  
 
J'espère avoir été plus clair?

Relis mes posts, regarde ce qu'il y a dans les liens Microsoft et tu trouveras ta réponse.
 
Et mettre en place ce genre d'infra sans GPO c'est juste débile de nos jours. Encore une fois tu bosses comme si tu étais dans un environnement NT4 (25 balais quand même).

J'avais compris Nebulios.... mais c'est pas moi qui décide.  
On m'a dit pas de GPO donc... pas de GPO.  
Je cherche des solutions avec ce que j'ai.  
 
Si tu parles de cette solution la https://docs.microsoft.com/fr-fr/wi [...] edirection
C'est pour GPO si j'ai bien compris et moi je cherche comment faire SANS GPO.

Mais pourquoi sans GPO ? C'est quoi l'objectif ?
 
Relis le doc, tu as en détail la liste des droits NTFS à poser sur le partage. Que ce soit avec ou sans GPO ce sera la même chose.

mais comment est ce possible ????
je pense qu'il y un gros probleme de construction sur ton infra systeme
deja dans l'urgence je pousserais une GPO qui interdit de taper des chemins UNC
 
d'autre part ton dossier ton dossier users$ doit evidemment etre accessible par tous les users sauf que les dossiers de ceux ci ne doivent avoir que chacun d'eux en lecture et ecriture (et un admin par ex)
ce qui fait que meme si t'as un gars qui va dans users$ il ne pourra ouvrir que son dossier
franchement je ne sais pas ce que vous foutez !

Ben je récupère une infra casse figure qui n'a presque jamais eu d'admin système.  
Impossible de tout refaire a moi seul en 3 mois en projet.  
Une fois que je pars de nouveau plus d'admin, ce sera "géré" par des techniciens.  
Le réseau est bancal aussi bref on s'en fiche c'est pas le sujet.  
 
Pas de GPO c'est la demande client je vais pas aller contre.  
J'ai tenté c'est non définitif.  
 
J'ai finis par trouvé une solution mais elle est vraiment pas idéal, je voulais vraiment que les techs aient pas besoin de rentrer dans les droits.  
 
La si je pète l'héritage c'est sécurisé mais ça oblige à rajouter un groupe admin en full contrôle à la main.  
Je continue de chercher comment éviter ça tout en sécurisant.  

Mais c'est quoi la raison de se priver de ce genre d'outils ? Le client t'a expliqué la raison de son refus ?

Bah pas de GPO tu fais pas le boulot, je vois pas le but du truc

Lol je peux pas ne pas faire le boulot je vais me faire virer si je fais ca.  
 
Ouip réseau pourri ça saute tout le temps et personne ici ne sait gérer de GPO.  
C'est des tech lambdas qui font tourner la boutique y'a pas d'admin sys et y'en aura jamais.  
Bilan tout est patché a l'arrache.  
Petite boite à taille humaine avec 0 DSI pérenne plus de 3 ans.  
 
C'est pas à moi de discuter les stratégies du client.  
Je fais ce qu'on me demande avec les outils qu'on m'accorde.  
 
Mais en fait on s'en fiche de ça, ça ne fait pas avancé la réflexion pour trouver une solution. :-)

S'il n'y a jamais eu d'admin, c'est justement toi le mieux placé pour proposer une solution technique qui tient la route. Si ton client t'interdit d'utiliser des GPO alors qu'il ne sait même pas ce que c'est, il faut lui expliquer la valeur ajoutée. Si il a déja payé 3 mois de projet, autant lui montrer que c'est à son avantage d'en tirer le plus possible profit.
 
La solution t'a déjà été donnée plus haut pour les permissions du partage. Testée et validée de nombreuses fois.

Salut,
 
Faut pas déconner, un tech même lambda formé un minimum sur Windows connait les GPO.
 
De plus, c'est quand même toi le professionnel, donc par moment faut être capable de dire au client qu'il faut évoluer.

Je suis venu chercher une solution pas un jugement de valeur merci.  
Des gpo ils en ont et n'en veulent pas pour les dossiers personnel.  
Je vais pas non plus leur mettre un couteaux sous la gorge.  
Ils ont été tres clair sur le sujet et leur tech ne savent pas gerer de gpo.  
Si on pouvait arrêter de repondre "gpo, et tu dois faire ci ou caalors que clairement ca fait pas partit des solutions possibles ce serait bien.  
Ca ne fait strictement rien avancer merci.  
On peut en revenir au sujet qui est vraiment interessant?  
Question rhétorique pas la peine de repondre.

pour le probléme de partage
un unique partage, avec des droit "partage" complet sur la racine  
\\SERVEURFICHIER\DOCUMENTS-UTILISATEUR
 
puis après on affine avec les droits NTFS
\\SERVEURFICHIER\DOCUMENTS-UTILISATEUR\USER1
\\SERVEURFICHIER\DOCUMENTS-UTILISATEUR\USER2
etc...
 
Quand un compte Ad est créé, on lui met comme dossier de base un lecteur nome P: et on le fait pointer sur son répertoire \\SERVEURFICHIER\DOCUMENTS-UTILISATEUR\USER2
 
Si tu créé le compte, alors le repertoire de l'utilisateur avec les bons droit ntfs seront créé. Tu n'as pas besoin de GPO, le lecteur sera aurtomatiqueemnt créé sur la session utilisateur.
 
 Mais sur les ordinateurs, les redirections vers p: ne fonctionnerons pas "mes documents" "mes images" etc... il faut passer par des GPO. Si tu es fort, réinvente la roue avec des scripts de connexion avec modification des clef de registre.
bonne chance