Difficultés dans la gestion des droits

[chov]

Bonjour à tous,
J'administre un NAS utilisé par de nombreuses personnes appartenant à différentes sections. Il y a donc un dossier partagé par secteur.
J'ai créé un groupe R (accès en lecture) et un groupe W (accès en écriture) pour chaque secteur;
En affectant divers groupes à un utilisateur, je peux gérer finement les accès à chaque dossier. Et si un utilisateur change de secteur, ce n'est pas difficile à mettre à jour.
Dans chaque dossier partagé correspondant à un secteur, les utilisateurs avec droit d'écriture peuvent placer une arborescence de fichiers qui héritera des droits d'accès de ce secteur.

Je souhaite maintenant mettre un répertoire "compta" comme sous-dossier du "secteur3". (pour qu'il soit évident que c'est la compta du secteur3)
Je souhaite que ce dossier compta n'hérite pas des accès de son parent pour que le comptable soit seul à pouvoir y écrire, et que d'autres utilisateurs ne puissent que lire ce dossier.

Par contre, il y a des données confidentielles dans le dossier "secteur3" que je ne souhaite pas que le comptable voie... Et c'est là le problème:

Pour que le comptable accède au dossier "compta", il doit passer par le dossier "secteur3". Ce dossier doit donc afficher son contenu pour que le comptable voie le dossier "compta" et puisse y entrer. Pour cela, dans "secteur3",j'ai coché les cases "traverser dossiers_exécuter fichiers" et "Lister dossiers-Lire fichiers" .
Tout fonctionne bien (déjà depuis plusieurs années), sauf que le comptable voit aussi tout le contenu de "secteur3", ce que je voudrais maintenant éviter.

Une solution serait de créer le dossier compta comme dossier partagé, au même niveau que les autres dossiers partagés, mais je voudrais vraiment éviter cette solution pour garder une logique dans l'arborescence. (La situation réelle est plus complexe que ce que j'ai décrit ci dessus, raison pour laquelle je souhaite garder "compta" dans "secteur3".

Si vous avez des idées à me proposer, elles sont bienvenues.
Déjà merci de m'avoir lu jusqu'ici.

[Mic13710]

Ce n'est pas simple de gérer des droits différents sur des dossiers à l'intérieur de dossiers partagés. Et il arrive toujours un moment où la gestion se complexifie et où on se retrouve avec des failles ou des trous dans la raquette. La seule solution qui me parait la plus fiable et surtout plus simple a gérer c'est la création d'un dossier partagé dédié.

[chov]

Bonjour Mic13710,

C'est bien ce que je craignais... J'essaye de garder une certaine logique dans l'arborescence, ce qui sera mieux pour les utilisateurs.

Mais si ce n’est pas possible, je passerai à la solution que tu proposes.

Je laisse encore ce post en "non résolu" pendant quelques jours dans l'espoir que quelqu'un sorte l'idée à laquelle personne n'avait encore pensé.

Merci pour ta réponse.
Christian.

[PiwiLAbruti]

Autre solution, ne faire qu'un seul dossier partagé avec les dossiers sur lesquels les droits sont appliqués :

• compta
• secteur1
• secteur2
• secteur3

Ainsi, il n'y a qu'un seul dossier partagé à monter.

L'inconvénient (il me semble) est qu'il n'est pas possible de masquer les dossiers auxquels les utilisateurs n'ont pas accès. De ce que j'ai compris du tutoriel donné par @Mic13710, c'est possible.

Pour les droits, il peut être intéressant de ne les gérer qu'avec des groupes (compta-R, compta-W, secteur1-R, secteur1-W, secteur2-R, …) dans lesquels les utilisateurs sont répartis. Ces groupes ne sont ainsi appliqués qu'une seule fois aux dossiers correspondants. Lorsqu'un utilisateur doit être déplacé, il suffit de le changer de groupe sans toucher aux droits appliqués aux dossiers.

Modifié mardi à 10:22 par PiwiLAbruti

[Mic13710]

Peut-être aussi que ce tuto pourrait vous aider :

 

[chov]

il y a 28 minutes, PiwiLAbruti a dit :

Pour les droits, il peut être intéressant de ne les gérer qu'avec des groupes (compta-R, compta-W, secteur1-R, secteur1-W, secteur2-R, …) dans lesquels les utilisateurs sont répartis. Ces groupes ne sont ainsi appliqués qu'une seule fois aux dossiers correspondants. Lorsqu'un utilisateur doit être déplacé, il suffit de le changer de groupe sans toucher aux droits appliqués aux dossiers.

C'est effectivement comme cela que je fonctionne depuis plusieurs années... Et effectivement, je change l'appartenance des utilisateurs à un groupe pour modifier leurs droits d'accès.

Avec un grand avantage: dans "control panel/users & groups" il est possible d'exporter les utilisateurs et groupes en csv. En traitant cela dans une feuille de calcul, on peut générer un tableau qui montre les droits de chaque utilisateur pour tous les dossiers d'accès.

J'appelle "dossier d'accès" les dossiers auxquels j'ai affecté les droits d'une paire de groupe. Ce ne sont pas forcément des dossiers partagés, mais cela peut être des sous-dossiers.  Par exemple le dossier secteur2 auquel je donne les droits de lecture du groupe secteur 2_R et auquel je donne les droits d'écriture du groupe secteur2_W.

Je vais encore lire attentivement le tuto envoyé par Mic13710