Il est important de mettre en place une bonne organisation des répertoires sur un partage réseau, et ce dès la création du partage. Modifier des droits sur des sous-sous-sous-répertoires ou sur les répertoires racines contenant des centaines de milliers de documents peut en effet s’avérer contraignant, tant en terme de temps qu’au niveau des performances du serveur de fichiers.
Voici la structure de répertoire que j’ai mise en place sur mes serveurs de fichiers :
Le principe est de créer des répertoires service par service, puis des sous-répertoires accessibles à certains groupes de personnes. Les répertoires Public seront accessibles à tous les utilisateurs du domaine, les répertoires Team à tous les membres de l’équipe associée au répertoire parent et le répertoire Management uniquement aux chefs d’équipe. Un membre du groupe de niveau 3 aura donc accès aux répertoires de niveau 2 et 1 alors qu’un membre de niveau 2 n’aura pas accès au niveau 3. Il est également possible de rendre invisibles les répertoires non accessibles à un utilisateur au moyen de Windows Server 2003 Access-based Enumeration.
Il est bien sûr possible d’ajouter d’autres niveaux, par exemple Direction ou Accounting avec des droits spécifiques. En utilisant cette méthode par niveaux de droits, il est simple de gérer les accès aux fichiers et les modifications peuvent se faire rapidement au niveau des groupes Active Directory.
Je vais à présent détailler les propriétés de Partage et de Sécurité de chacun des répertoires.
- Files : se sera le répertoire partagé accessible aux utilisateurs par le réseau. Au niveau des Autorisations de Partage donnez le Contrôle Total au groupe Tout le monde. Les droits de Sécurité seront gérés par Active Directory au niveau NTFS comme suit :
- Administrateurs de l’entreprise : ajoutez le groupe dans l’onglet Sécurité et attribuez lui le Contrôle total. Allez ensuite dans les Paramètres avancés et décochez la case Permettre aux autorisations héritées du parent de se propager à cet objet et aux objets enfants. Cela inclut les objets dont les entrées sont spécifiquement définies ici. Cliquez ensuite sur Supprimer. Cela évitera aux autorisations de se propager aux sous-répertoires.
- Utilisa. du domaine : ajoutez le groupe, sélectionnez-le puis cliquez sur Paramètres avancés, cliquez de nouveau sur le groupe, puis cliquez sur Modifier. Sélectionnez Ce dossier seulement et laissez les cases cochées par défaut (Parcours du dossier/exécuter le fichier, Liste du dossier/lecture de données, Attributs de lecture, Lecture des attributs étendus et Autorisation de lecture). Les utilisateurs ne pourront ainsi que traverser ce répertoire sans pouvoir ajouter de fichiers ou créer de nouveaux répertoires.
- Cliquez ensuite sur OK pour fermer la fenêtre de gestion des autorisations de Partage et de Sécurité.
- Services : ces répertoires sont à créer service par service. Les droits à attribuer sont identiques aux droits précédents à un détail près :
- Administrateurs de l’entreprise : ajoutez le groupe dans l’onglet Sécurité et attribuez lui le Contrôle total. Allez ensuite dans les Paramètres avancés et décochez la case Permettre aux autorisations héritées du parent de se propager à cet objet et aux objets enfants. Cela inclut les objets dont les entrées sont spécifiquement définies ici. La différence par rapport aux droits précédents est qu’il faut cliquer sur Modifier puis vérifier que Ce dossier, les sous-dossiers et les fichiers est bien sélectionné. Cliquez ensuite sur Supprimer.
- Utilisa. du domaine : ajoutez le groupe, sélectionnez-le puis cliquez sur Paramètres avancés, cliquez de nouveau sur le groupe, puis cliquez sur Modifier. Sélectionnez Ce dossier seulement et laissez les cases cochées par défaut (Parcours du dossier/exécuter le fichier, Liste du dossier/lecture de données, Attributs de lecture, Lecture des attributs étendus et Autorisation de lecture). Les utilisateurs ne pourront ainsi que traverser ce répertoire sans pouvoir ajouter de fichiers ou créer de nouveaux répertoires.
- Cliquez ensuite sur OK pour fermer la fenêtre de gestion des autorisations de Partage et de Sécurité.
- Répertoires de niveau 1 :
- Administrateurs de l’entreprise : le groupe devrait déjà être présent et configuré grâce à la modification effectuée dans le répertoire du Service.
- Utilisa. du domaine : ajoutez le groupe, sélectionnez-le puis donnez-lui les droits en Modification. Dans les Paramètres avancés, sélectionnez le groupe, cliquez sur Modifier et vérifiez que Ce dossier, les sous-dossiers et les fichiers est bien sélectionné. Tous les utilisateurs pourront ici créer de nouveaux fichiers et répertoires, les modifier et les supprimer.
- Cliquez ensuite sur OK pour fermer la fenêtre de gestion des autorisations de Partage et de Sécurité.
- Répertoires de niveau 2 :
- Administrateurs de l’entreprise : le groupe devrait déjà être présent et configuré grâce à la modification effectuée dans le répertoire du Service.
- GRP_Service : il faut ici utiliser un groupe Active Directory contenant les utilisateurs du Service. Ajoutez le groupe, sélectionnez-le puis donnez-lui les droits en Modification. Dans les Paramètres avancés, sélectionnez le groupe, cliquez sur Modifier et vérifiez que Ce dossier, les sous-dossiers et les fichiers est bien sélectionné. Seuls les utilisateurs du service pourront accéder à ce répertoire, créer de nouveaux fichiers et répertoires, les modifier et les supprimer.
- GRP_Management : il faut ici utiliser un groupe Active Directory contenant les chefs d’équipe du Service. Ajoutez le groupe, sélectionnez-le puis donnez-lui les droits en Modification. Dans les Paramètres avancés, sélectionnez le groupe, cliquez sur Modifier et vérifiez que Ce dossier, les sous-dossiers et les fichiers est bien sélectionné.
- Cliquez ensuite sur OK pour fermer la fenêtre de gestion des autorisations de Partage et de Sécurité.
- Répertoires de niveau 3 :
- Administrateurs de l’entreprise : le groupe devrait déjà être présent et configuré grâce à la modification effectuée dans le répertoire du Service.
- GRP_Management : il faut ici utiliser un groupe Active Directory contenant les chefs d’équipe du Service. Ajoutez le groupe, sélectionnez-le puis donnez-lui les droits en Modification. Dans les Paramètres avancés, sélectionnez le groupe, cliquez sur Modifier et vérifiez que Ce dossier, les sous-dossiers et les fichiers est bien sélectionné. Seuls les chefs d’équipe du service pourront accéder à ce répertoire, créer de nouveaux fichiers et répertoires, les modifier et les supprimer.
- Cliquez ensuite sur OK pour fermer la fenêtre de gestion des autorisations de Partage et de Sécurité.