Comment créer un dossier en lecture seule pour certains comptes utilisateurs ?

De ORSWiki
Aller à : navigation, rechercher

Pour créer un dossier en lecture seule pour certains comptes utilisateurs, par exemple pour tester une application pour un utilisateur sans pouvoir, voici comment il faut procéder :

  • Créer un compte utilisateur simple (sans pouvoir), par exemple TestUtilisateurSimple, dans le domaine local (si vous êtes dans un annuaire réseau ActiveDirectory, le plus simple est de créer le compte par exemple dans MonAnnuaire.local, et agissant dans le domaine local MONDOMAINE)
  • Créer un dossier vide (où bon vous semble), par exemple \Test_MonApplication
  • Ouvrir les propriétés du dossier, et dans l'onglet Sécurité, cliquer sur le bouton "Paramètres avancées"
  • Décocher "Hérite de l'objet parent..."
  • Sélectionner alors le groupe "Utilisateurs authentifiés" et cliquer sur Modifier
  • Décocher les droits en écriture suivants : Création de fichier/écriture de données, Création de dossier/ajout de données, Attributs d'écriture, Ecriture d'attributs étendus, et enfin Suppression
  • Installer l'application dans le dossier \Test_MonApplication
  • Vérifier que le compte utilisateur simple (TestUtilisateurSimple) n'a qu'un droit en lecture seule sur un des fichiers de l'application : bouton droit sur le fichier : propriétés, et dans l'onglet Sécurité, cliquer sur le bouton "Paramètres avancées" : onglet "Autorisations effectives" : dans la zone "Entrer le nom de l'objet à sélectionner", taper le nom de l'utilisateur simple précédé par le nom du domaine, par exemple MONDOMAINE\TestUtilisateurSimple, et vérifier que le nom est bien trouvé via le bouton "Vérifier les noms" : résultat, les opérations d'écriture sont bien décochées
  • Tester l'application en tant qu'utilisateur simple : il peut lire mais il ne peut pas écrire (à moins d'utiliser dans le code source de l'application un mode "impersonalisation", reposant sur les droits plus élevés, en prenant soin de ne pas dévoiler le mot de passe correspondant, qui devra donc être stocké quelque part de façon cryptée)

Cette procédure a été testée avec succès dans un Windows XP Pro. faisant partie d'un domaine ActiveDirectory d'entreprise.

Voir ici pour utiliser l'impersonalisation : www.codeproject.com/KB/cs/zetaimpersonator.aspx