Droit -> Gestion Groupe Et Invisibilit

[t5uk454]

Bonjour à tous,

Je m'arrache les cheveux sur une configuration qui semble pourtant banale.

Je croix que seule votre aide pourra me permettre de venir à bout de cette configuration. J'ai cherché sur divers forums et tuto mais sans trouver ce que je souhaite.

Mon but est de créer une arborescence de dossier pour une gestion "type entreprise".

Arborescence

Mon arboorescence est la suivante :

/Partages

/Partages/Devis

/Partages/Factures

Groupes

Comptabilite

Commerciaux

Utilisateurs

Elisa associé uniquement à "Comptabilite" (et "users" bien sûr)

Patrice associé uniquement à "Commerciaux" (et "users" bien sûr)

Ce que je souhaite

Je souhaite que lorsqu'Elisa se connecte sur l'interface web DSM, via son filestation, elle puisse avoir accès au répertoire "Comptabilité" et tout ce qui s'y trouve MAIS sans pouvoir voir le dossier "Commerciaux", ni son contenu.

Le principe est le même pour Patrice qui ne doit pas voir le dossier "Comptabilité".

Par ailleurs, il ne faut pas qu'Elisa et Patrice puissent créer des fichiers ou dossier à la racine de "Partages".

Ma configuration

Le dossier "Partages" est un dossier partagé. J'ai ajouter uniquement le droit "Traverser les dossiers/Executer les fichiers" à "everyone".

J'ai créé un dossier dans "Partages" nommé "Factures" pour lequel j'ai mis tous les droits d'écriture et de lecture au groupe "Comptabilite".

J'ai essayé de m'inspirer des configurations initiales des dossiers "home" et "homes" mais d'appliquer la logique à un groupe plutôt qu'à un utilisateur.

J'ai passé des heures sur ce sujet et j'ai besoin de votre aide. J'ai probablement loupé quelque chose ou une info qui me manque.

Est-ce qu'utiliser le droit "Traverser les dossiers/Executer les fichiers" est une bonne idée? Il me semble que oui car si j'ajoute "Lister les dossiers/lire les fichiers", cela permet aux utilisateurs d'avoir accès à leur dossier (ce que je souhaite) mais peuvent voir les dossiers et fichiers des autres groupes...

Merci pour votre aide. Je suis dispo pour répondre rapidement aux questions.

Mika

[domlas]

Oui moi aussi il y a quelques années ces histoires m'ont coûté des cheveux !

Si j'ai bien compris tu as créé (dans le DSM) le Dossier Partagé (DP) "Partages" et dans ce DP le sous-répertoire "Devis" et le sous-répertoire "factures" ?

Dans ce cas lorsque tu donneras la "permission" à un utilisateur (toto par exemple) cette permission sera pour le DP "Partages" et tout ce qu'il contient donc les deux sous-répertoires. Tu ne pourras pas autoriser Tot à alles dans "Devis" et pas dans "Factures". Si c'est ton besoin il faut faire un DP "Devis" et un autre "Factures".

Le cas du Groupe "users". C'est un groupe créé d'office et qui est un peu particulier. D'une part ce groupe possède toutes les permissions vers tous les DP du syno, existants ou à venir. Cela tu peux le modifier. Le gros problème vient du fait que tout nouvel utilisateur inscrit dans le syno va automatiquement être versé dans "users" et aura donc toutes les permissions, ce groupe étant prioritaire.

On ne peut pas ni supprimer ce groupe, ni y supprimer le utilisateurs. On ne peut que lui désactiver ses permissions (décocher toutes les cases en face de chaque DP).

Dernier point : chaque ordinateur en service lors de l'installation du syno verra le nom de sa session active et son pass inscrits comme utilisateur dans le syno. Si un ordi n'était pas en activité à ce moment là on peut toujours par la suite l'nregistrer comme utilisateur en entrant son nom de session et son pass. Si le groupe "users" a été désactivé ce seront les "perissions" données à chaque "utilisateur" qui prévaudront.

Ansi si "session_de_toto" a la persission sur le DP "Partages", à l'allumage de cet ordi, en cliquant sur "réseaux" dans le poste de travail et en cliquant sur le nom du syno il verra se dérouler le DP "Partages" et tout ce que ce dernier contient. et rien d'autre.

[t5uk454]

Merci Domlas pour ta réponse.

Si j'ai bien compris tu as créé (dans le DSM) le Dossier Partagé (DP) "Partages" et dans ce DP le sous-répertoire "Devis" et le sous-répertoire "factures" ?

Oui, tout à fait, c'est exactement ça.

Dans ce cas lorsque tu donneras la "permission" à un utilisateur (toto par exemple) cette permission sera pour le DP "Partages" et tout ce qu'il contient donc les deux sous-répertoires. Tu ne pourras pas autoriser Tot à alles dans "Devis" et pas dans "Factures". Si c'est ton besoin il faut faire un DP "Devis" et un autre "Factures".

Ca signifie techniquement que j'ai besoin d'autant de répertoires partagés que j'ai de besoin de segmenter mes répertoires. Si je veux un dossier pour "Compta"+"Commerciaux", il me faut un 3ème DP. Au final, l'arborescence de mon NAS va être chargée puisque tous les DP sont à la racine.

C'est bien ça?

Le cas du Groupe "users". C'est un groupe créé d'office et qui est un peu particulier. D'une part ce groupe possède toutes les permissions vers tous les DP du syno, existants ou à venir. Cela tu peux le modifier. Le gros problème vient du fait que tout nouvel utilisateur inscrit dans le syno va automatiquement être versé dans "users" et aura donc toutes les permissions, ce groupe étant prioritaire.

On ne peut pas ni supprimer ce groupe, ni y supprimer le utilisateurs. On ne peut que lui désactiver ses permissions (décocher toutes les cases en face de chaque DP).

Aucun soucis, pour ça. C'est clair pour moi. J'ai ajouté de la confusion en précisant qu'ils étaient dans ce groupe. Désolé

Au final, il semble que mon désir de structurer l'arborescence du NAS soit complexe en terme de gestion des droits.

Tous mes DP sont forcements placés à la racine de mon NAS, c'est ce pas?

Merci Domlas pour ta réponse et si tu as une idée pour m'aider à structurer l'arbo du NAS, je suis preneur

[domlas]

Points 1 et 2 :

Oui c'est exactement ça. En fait les DP sont très spéciaux. Seul l'administrateur du syno peut au travers du DSM les créer, les modifier ou les supprimer. Pas les utilisateurs courants. Eux ne peuvent qu'y lire les données ou en mettre des données, créer des sous répertoires et qu'à la condition qu'ils aient reçu la permission "lecture/écriture"

Alors oui il te faudra autant de DP différents que de "rangements" que tu veux séparés mais aussi en fonction de ceux qui y ont ou pas droit d'accès. Ca peut devenir très vite très pointu.

Par exemple en "compta" tu peux avoir une rubrique "achat outillage" et une autre "frais du patron". Tu pourrais désirer que le magasinier puisse avoir accès aux "achats d'outillage" mais pas aux "frais du patron". Dans ce cas tu pourrais créer un DP "ComptaAchatOutillage" et un autre "ComptaFraisPatron". Le comptable et le patron auront droit d'accès aux deux DP et le magasinier à seulement le premier. Il est normal et très logique d'avoir beaucoup de DP sur un tel genre de serveur. C'est la preuve même d'une bonne organisation.

Point 3 : Je préférais bien spécifier ce point sur le groupe users car c'est lui qui m'a fait tourner en bourrique un bon bout de temps.

Point 4 : Oui les DP sont tous placés à la racine. En fait un utilisateur lambda ne verra que les dossiers partagés qui lui sont autorisés et pas les autres, un peu comme des disques virtuels séparés.

On peut aller très loin dans ce genre de combinaisons. Si un ordi peut être systématiquement reconnu comme utilisateur direct avec son nom de session on peut aussi pour la compta par exemple ne pas donner la permission au nom de session pour accès à compta mais créer un utilisateur séparé (toto par exemple avec un pass) et donner la permission d'accès à compta qu'à Toto. Dès lors quand Toto voudra accéder à la compta et malgré que son ordi doit pourtant connecté au syno, il lui sera demander son identifiant et son pass expressément.

En fait (et on me rigole au nez à chaque fois) il faut prendre les vieilles méthodes avec un papier et un crayon, faire la liste de tous les services ou secteurs qui deviendront des DP et par ailleurs la liste de tous les utilisateurs, établir qui peut aller où et de là voir comment établir la liste définitive des DP et les ensuite établir les permissions.

En plus du papier et du crayon, une bonne gomme peut avoir une utilité !

Ce qui trompe ici bon nombre d'usagers en que la plupart des clients veulent voir dans un syno un "super jukebox" pour entasser des milliers d'heures de films. Evidemment un syno (comme tout autre serveur) peut le faire mais ce n'est utiliser que le millième (et encore) de ses possibilités qui restent complètements oubliées.

Dernier point très important : aucun utilisateur lambda ne doit avoir l'accès au DSM malgré une croyance trop répandue ici. Le DSM est le "moteur" du syno et que seuls un ou deux administrateurs ne devraient y avoir accès. Sinon chacun va arranger le machin à sa petite sauce et ça va très vite devenir un vrai capharnaüm !

Modifié le 16 janvier 2015 par domlas