bonjour,
mon entreprise tourne sous windows 2003 server avec des ad
On veut passer en tse
J'ai un logiciel  (mal programmé) qui veut absolument ecrire un .ini a la racine de c du serveur tse
En fait lorsque je le lance sur une session rdp, il efface le .ini et en recrée un autre.
Le probleme est que mes utilisateurs du domaine sont sans pouvoir.(heureusement)
Je pourrai les mettre les users tse en en admin mais s'ils me font un del tree c: je suis mal.
Je voudrai donc savoir si avec une gpo on pourrait contourner le pb.
Est-ce qu'on peut faire une gpo qui autorise  a un type de users pour une application a effacer et ecrire a la racine que ce fichier .ini
Si quelqu'un sait ou peut m'aider. Merci

Personne n'a d'idée?

Tu peux gérer des autorisations NTFS par GPO au niveau de la configuration ordinateur dans les paramètres de sécurité.

Et de manière plus précise :
Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Système de fichier.
La, clic droit, ajouter un fichier, tu rentre le chemin d'accès que tu veux gérer, tu valides et tu as une fenêtre te permettant de gérer la liste des contrôles d'accès.

Déja merci
Je suis admin débutant.
Si j'ai bien compris oswalk,
je fais  
1 gpedit.msc
2 je déoule computer configuration,windows setting, security settings
3 Une fois la, je n'ai que : Account policies,local policies, public key policies,software restriction policies et ip security policies on local  
computer
Mais pas systeme de fichier (=file system)
Qu'est ce que j'ai loupé?
 
 

Pour avoir ça il faut bien faire une GPO, et pas chercher a modifier la stratégie locale.
 
Mais bon, ça ne t'aidera pas, tout ce que ça va faire c'est modifier les droits par une GPO plutot que de le faire a la main sur la machine. La vu que ça ne concerne qu'une seule machine ça n'a donc pas grand intérêt, surtout que ça ne change rien au probleme de base : si tu donnes les droits sur le c: aux utilisateurs par ce biais ou en modifiant localement, les utilisateurs ont les mêmes droits.

j'ai fais ta procédure oswalk
clique droit sur mon OU TSE et j'ai crée une gpo, je suis allé dans file system et j'ai ajouté mon point ini, ajouté le groupe remote user en controle total pour ce fichier Puis quand j'ai appuyé sur ok j'ai laissé Propagate inheritable permissions to all subfolders and files.
Ensuite gpudate /force
mais ca marche pas.
je pense que c'est parceque le soft l'efface et réecrit le point ini.
Il n'aurait fait que le modifier cela serait passé.

Ok,
 
Et en applicant les autorisations dont tu as besoin sur le c: directement pour ton groupe remote user ?
Le problème est alors que tous les users de ton groupe vont etre en ct sur ton c: donc a voir en ne propageant pas l'heritage des autorisations..
 
Ton serveur TS est bien dans l'OU TSE ? Tu as fait le gpupadate ou ?
 
Autre question, cette application n'utilise t elle pas un compte de service particulier ?

avec un peu de courage (et surtout quelques tests !!), coupe tous les héritages sur tous les répertoires du C:, et mets les droits dont tu as besoin pour tes users.  
 
mais fais des tests et une sauvegarde avant, je n'ai jamais fais ce genre de manip.

merci pour vos réponses.
j'ai mis full controle au groupe rdp sur le c: et je ne propage pas cela.
Concrètement j'ai fait clique droit sur c propriété onglet security puis add selection du group remote et je lui ai mis full controle. puis sur advance et la je n'ai pas coché Replace permission entries on all child objects with entries shown here
ca marche mais le groupe rdp peut m'effacer le dossier windows par ex.
 
dans mon ou tse il n'y a que des comptes users
 
le gpupdate a été fait sur le serveur et le client ensuite
 
non pas de compte de service particulier
 
je n'ai pas trouvé de gpo qui permette a une application nommé d'ecrire dans un endroit précis.
 
Je continue a chercher

Avant de te prendre la tête sur des question de droits pour ton fichier INI, je pense que tu devrais te poser une autre question : comment cela se passe lorsque plusieurs utilisateurs vont travailler en même temps ?  
Même si tu positionnes correctement tes droits, pense que pendant qu'un utilisateur travaille sur l'appli, d'autres vont venir, chacun va effacer son fichier INI et recréer le sien. T'es-tu assuré que les sessions déjà ouvertes ne vont pas perdre les pédales ?

Remarque très pertinente Wolfmann.
J'ai pensé exactement à la même chose vendredi soir.
J'ai donc appelé les gars du soft pour qu'il ajoute un paramètre pour pouvoir stocker le .ini ou je veux notamment P:\Courtage3\%username%
Merci pour tout à tous

+1, c'est la seule solution propre pour rendre compatible ton appli en client-léger

Ou mettre le .ini dans les profils TS