Organisation de serveur de fichiers

Posté par :  

10

Juil

Il est important de mettre en place une bonne organisation des répertoires sur un partage réseau, et ce dès la création du partage. Modifier des droits sur des sous-sous-sous-répertoires ou sur les répertoires racines contenant des centaines de milliers de documents peut en effet s’avérer contraignant, tant en terme de temps qu’au niveau des performances du serveur de fichiers.

Voici la structure de répertoire que j’ai mise en place sur mes serveurs de fichiers :

Structure de répertoires

Structure de répertoire

Le principe est de créer des répertoires service par service, puis des sous-répertoires accessibles à certains groupes de personnes. Les répertoires Public seront accessibles à tous les utilisateurs du domaine, les répertoires Team à tous les membres de l’équipe associée au répertoire parent et le répertoire Management uniquement aux chefs d’équipe. Un membre du groupe de niveau 3 aura donc accès aux répertoires de niveau 2 et 1 alors qu’un membre de niveau 2 n’aura pas accès au niveau 3. Il est également possible de rendre invisibles les répertoires non accessibles à un utilisateur au moyen de Windows Server 2003 Access-based Enumeration.

Il est bien sûr possible d’ajouter d’autres niveaux, par exemple Direction ou Accounting avec des droits spécifiques. En utilisant cette méthode par niveaux de droits, il est simple de gérer les accès aux fichiers et les modifications peuvent se faire rapidement au niveau des groupes Active Directory.

Je vais à présent détailler les propriétés de Partage et de Sécurité de chacun des répertoires.

  • Files : se sera le répertoire partagé accessible aux utilisateurs par le réseau. Au niveau des Autorisations de Partage donnez le Contrôle Total au groupe Tout le monde. Les droits de Sécurité seront gérés par Active Directory au niveau NTFS  comme suit :
    • Administrateurs de l’entreprise : ajoutez le groupe dans l’onglet Sécurité et attribuez lui le Contrôle total. Allez ensuite dans les Paramètres avancés et décochez la case Permettre aux autorisations héritées du parent de se propager à cet objet et aux objets enfants. Cela inclut les objets dont les entrées sont spécifiquement définies ici. Cliquez ensuite sur Supprimer. Cela évitera aux autorisations de se propager aux sous-répertoires.
    • Utilisa. du domaine : ajoutez le groupe, sélectionnez-le puis cliquez sur Paramètres avancés, cliquez de nouveau sur le groupe, puis cliquez sur Modifier. Sélectionnez Ce dossier seulement et laissez les cases cochées par défaut (Parcours du dossier/exécuter le fichier, Liste du dossier/lecture de données, Attributs de lecture, Lecture des attributs étendus et Autorisation de lecture). Les utilisateurs ne pourront ainsi que traverser ce répertoire sans pouvoir ajouter de fichiers ou créer de nouveaux répertoires.
    • Cliquez ensuite sur OK pour fermer la fenêtre de gestion des autorisations de Partage et de Sécurité.
  • Services : ces répertoires sont à créer service par service. Les droits à attribuer sont identiques aux droits précédents à un détail près :
    • Administrateurs de l’entreprise : ajoutez le groupe dans l’onglet Sécurité et attribuez lui le Contrôle total. Allez ensuite dans les Paramètres avancés et décochez la case Permettre aux autorisations héritées du parent de se propager à cet objet et aux objets enfants. Cela inclut les objets dont les entrées sont spécifiquement définies ici. La différence par rapport aux droits précédents est qu’il faut cliquer sur Modifier puis vérifier que Ce dossier, les sous-dossiers et les fichiers est bien sélectionné. Cliquez ensuite sur Supprimer.
    • Utilisa. du domaine : ajoutez le groupe, sélectionnez-le puis cliquez sur Paramètres avancés, cliquez de nouveau sur le groupe, puis cliquez sur Modifier. Sélectionnez Ce dossier seulement et laissez les cases cochées par défaut (Parcours du dossier/exécuter le fichier, Liste du dossier/lecture de données, Attributs de lecture, Lecture des attributs étendus et Autorisation de lecture). Les utilisateurs ne pourront ainsi que traverser ce répertoire sans pouvoir ajouter de fichiers ou créer de nouveaux répertoires.
    • Cliquez ensuite sur OK pour fermer la fenêtre de gestion des autorisations de Partage et de Sécurité.
  • Répertoires de niveau 1 :
    • Administrateurs de l’entreprise : le groupe devrait déjà être présent et configuré grâce à la modification effectuée dans le répertoire du Service.
    • Utilisa. du domaine : ajoutez le groupe, sélectionnez-le puis donnez-lui les droits en Modification. Dans les Paramètres avancés, sélectionnez le groupe, cliquez sur Modifier et vérifiez que Ce dossier, les sous-dossiers et les fichiers est bien sélectionné. Tous les utilisateurs pourront ici créer de nouveaux fichiers et répertoires, les modifier et les supprimer.
    • Cliquez ensuite sur OK pour fermer la fenêtre de gestion des autorisations de Partage et de Sécurité.
  • Répertoires de niveau 2 :
    • Administrateurs de l’entreprise : le groupe devrait déjà être présent et configuré grâce à la modification effectuée dans le répertoire du Service.
    • GRP_Service : il faut ici utiliser un groupe Active Directory contenant les utilisateurs du Service. Ajoutez le groupe, sélectionnez-le puis donnez-lui les droits en Modification. Dans les Paramètres avancés, sélectionnez le groupe, cliquez sur Modifier et vérifiez que Ce dossier, les sous-dossiers et les fichiers est bien sélectionné. Seuls les utilisateurs du service pourront accéder à ce répertoire, créer de nouveaux fichiers et répertoires, les modifier et les supprimer.
    • GRP_Management : il faut ici utiliser un groupe Active Directory contenant les chefs d’équipe du Service. Ajoutez le groupe, sélectionnez-le puis donnez-lui les droits en Modification. Dans les Paramètres avancés, sélectionnez le groupe, cliquez sur Modifier et vérifiez que Ce dossier, les sous-dossiers et les fichiers est bien sélectionné.
    • Cliquez ensuite sur OK pour fermer la fenêtre de gestion des autorisations de Partage et de Sécurité.
  • Répertoires de niveau 3 :
    • Administrateurs de l’entreprise : le groupe devrait déjà être présent et configuré grâce à la modification effectuée dans le répertoire du Service.
    • GRP_Management : il faut ici utiliser un groupe Active Directory contenant les chefs d’équipe du Service. Ajoutez le groupe, sélectionnez-le puis donnez-lui les droits en Modification. Dans les Paramètres avancés, sélectionnez le groupe, cliquez sur Modifier et vérifiez que Ce dossier, les sous-dossiers et les fichiers est bien sélectionné. Seuls les chefs d’équipe du service pourront accéder à ce répertoire, créer de nouveaux fichiers et répertoires, les modifier et les supprimer.
    • Cliquez ensuite sur OK pour fermer la fenêtre de gestion des autorisations de Partage et de Sécurité.
Tags : ,

    Articles liés

    4 commentaire(s) sur ce sujet
    Suivre ce sujet : RSS Commentaires ou URL TrackBack
    Mr Xhark a écrit le 20-7-2009 à 13:32:27    

    Très bon résumé !
    Je procède également comme toi en mettant le contrôle total sur le partage, et en filtrant au niveau des autorisations NTFS

    foobar47 a écrit le 23-10-2009 à 14:04:14    

    Bonjour,

    Je pense que le mieux est de mettre le filtrage sur les 2 niveaux, partages et NTFS, et d’activer l’audit des échec sur les objets, voir des succès pour les objets sensibles.

    Tout dépend ce qu’on veut faire.
    A+

    jo a écrit le 10-12-2009 à 11:45:48    

    je viens de découvrir ton site, et pas mal de trucs intéressant! mais sur cet article, je découvre, ô joie, le Windows Server 2003 Access-based Enumeration…depuis le temps que je cherchais un outil de ce genre! honte sur moi je ne connaissais pas 🙂

    Seb a écrit le 10-12-2009 à 11:54:20    

    Ah mais oui c’est génial ça ! C’est ce qu’on appelle la sécurité par l’obscurité : les utilisateurs ne savent même pas que les répertoires existent 🙂

    Ajouter un commentaire

     Nom (*requis)

     Email (Il ne sera pas affiché)

     Site Web (*optionnel)

     

    Blogs mis à jour