 Gestion des quotas sous Windows Server 2003 R2 avec la console File Server Ressource Manager (FSRM)
Accueil > Articles > Système
|
|
Auteurs
|
|
 |
|
|
123819
88/390
|
3. Mise en place des groupes de fichiers et de la restriction
Passons maintenant à la deuxième partie de cette nouvelle console :
File Screening Managementt !
Avant de
commencer à parler de restriction de fichiers à proprement parlé sur les quotas,
il est important de comprendre la notion de groupe de fichiers. Un groupe de
fichiers consistent simplement en un ensemble d'extensions de fichiers, qui sont
regroupés en un package afin de définir soit des règles d'inclusion soit
d'exclusion.
Les fichiers inclus représentent, comme son nom l'indique, l'ensemble des
types de fichiers pris en compte dans le groupe. Par contre les fichiers exclus
ne sont pas, comme on pourrait le penser, tous les autres types de fichiers mais
plutôt des exceptions !
Prenons un exemple concret : vous souhaitez interdire à vos utilisateurs de
déposer de la musique sur vos partage où des quotas sont appliqués !
Rien de plus de simple que de créer un groupe de fichier prenant en compte
les formats audio, donc vous créez un groupe avec comme fichier inclus : *.mp*
afin d'englober les fichiers MP2, MP3 etc etc. Le problème c'est que vos
utilisateurs utilisent également Microsoft Project qui génère des fichiers du
type *.mpp, du coup il leur sera impossible de les sauvegarder sur leur partage.
Pour éviter ce genre de désagrément, il vous suffit d'exclure du groupe les
fichiers *.mpp, ce qui résoudra tous vos problèmes, sans baisser votre niveau de
sécurité.
 Bien évidemment la console
FSRM, vous propose par défaut un certain nombre de
groupes de fichiers, mais vous pouvez tout à fait en ajouter ou alors
modifier ceux existant en changeant les fichiers inclus ou exclus. Voici la
liste des groupes présent lors de l'installation de la console. Le nom de ces
groupes étant assez explicites, nous n'allons pas les décrire. On remarquera
quand même qu'il n'y a aucun fichier exclus configurés pour ces groupes (donc
c'est à vous de les modifier si besoin est).
Voici la procédure à suivre pour créer un nouveau groupe de
fichiers :
Faîtes un clique droit sur le nœud "File Groups" puis
sélectionnez "Create File Group...". Une nouvelle fenêtre s'ouvre alors.
Commencez par donner un nom explicite à votre groupe afin de vous y retrouver
plus facilement par la suite. Ensuite ajoutez les fichiers à inclure en
remplissant le champ "Files to include" et également les fichiers à exclure en
complétant le champ "File to exclude". Puis cliquez sur le bouton "OK" pour
valider. Votre groupe de fichiers se rajoute donc à la liste dans le panneau de
détails, si ce n'est pas le cas, utilisez la fonction de "Refresh".
Pour supprimer, un groupe de fichiers, il vous suffit de le
sélectionner et dans le menu contextuel de cliquer sur "Delete File Groups".
Voyons maintenant comment mettre en place une restriction se
basant sur les groupes de fichiers vus précédemment. Au même titre que les
quotas, il existe des modèles de restriction appelés "File Screen Templates", 5
au total. Le principe de ces modèles est exactement le même que pour les quotas,
vous pouvez ainsi créer des restrictions à partir d'un modèle afin de gagner du
temps, et le jour où vous modifiez le modèle, toutes les restrictions créées à
partir de celui-ci seront mises à jour.
Pour créer une nouvelle restriction, faîtes un clique droit
sur "File Screens" puis sélectionnez "Create File Screen..." (ou utilisez le
troisième volet de la console, tant qu'à faire...). Dans la nouvelle fenêtre,
rentrez un chemin sur lequel la restriction va s'appliquer (par exemple
D:\Ventes\Docs). Vous ne pouvez mettre
qu'un seul chemin par restriction. Ensuite, choisissez l'un des 5 modèles
disponibles par défaut dans la liste déroulante en laissant cochée la case : "Dervive
properties from ths file screen template" ou alors sélectionnez l'option : "Define
custom file screen properties" afin de définir votre restriction et
cliquez sur le bouton "Custom Propertiers"(c'est ce que nous allons choisir pour
notre exemple).
Vous pouvez partir d'un modèle en le copiant puis en
modifiant juste la partie qui vous intéresse ou alors partir de zéro. La deuxième
chose à faire est de choisir le type de restriction : Actif ou passif ! Le
type actif vous permet donc d'empêcher les utilisateurs de mettre sur le
partage les types de fichier définis dans le ou les groupes joint à la
restriction. Par contre ce n'empêche pas les utilisateurs d'accéder à des
fichiers interdits qui étaient présent avant le déploiement de la restriction.
Le type passif n'interdit pas aux utilisateurs de mettre les fichiers
concernés mais active quand même les fonctionnalités de notification définies
dans les propriétés (envoie d'email à l'utilisateur et/ou administrateur,
enregistrement d'événements, exécution de commandes, génération de rapport).
Nous ne reviendrons pas sur la partie notification étant donné que celle-ci a
été suffisamment développé dans le chapitre précédent et que c'est sensiblement
la même chose.
La dernière partie consiste simplement à ajouter nos groupes
de fichiers en cochant la case correspondante. Une fois, toutes vos
configurations effectuées, cliquez sur le bouton "Create" une fenêtre s'ouvre
alors vous demandant si vous souhaitez enregistrer la nouvelle restriction comme
un modèle ou non ? Sélectionnez l'option de votre choix.
Notre restriction apparaît donc le volet de détail :
 il s'agît
ici d'une restriction de type active qui s'applique sur le dossier
C:\Restriction et qui bloque les fichiers
Audio, Vidéo et Images, elle immédiatement "active" sur notre dossier.
Si nous essayons maintenant de copier un fichier musical
(musique.mp3) dans notre répertoire, nous recevons immédiatement le message
suivant : "Cannot move Musique : Acces is denied". Preuve que notre restriction
fonctionne à merveille.
Vous me direz, "Ba il suffit de changer
l'extension, pour passer outre ?" et je vous répondrez alors en toute
sérénité "Ba oui !".
Alors pourquoi mettre en place ce type de
restriction ? Il s'agît tout simplement d'une mesure simple et rapide pour
éviter que vos partages ou dossiers de profils ne soient rapidement submerger
par des fichiers qui n'ont pas leur place sur vos serveurs. Alors bien
évidemment cette méthode à ses limites et n'est infaillible. Cependant pour
compliquer la tâche de vos utilisateurs dans le domaine, vous pouvez masquer les
extensions des fichiers connus (dans les options de dossiers de l'explorateur
Windows) via GPO, il faudra alors passer par l'invite de commandes MS-DOS
(blocable aussi via GPO) donc au final la tâche devient un petit plus ardue pour
de simples utilisateurs mais toujours contournable :).
Maintenant que vous avez mis en place votre restriction sur
le dossier de partage des vos utilisateurs, il se peut que vous souhaitiez faire
une exception pour un groupe de personnes en particulier. Par exemple vous ne
souhaitez pas que les utilisateurs puissent mettre de la musique sur le partage
sauf les membres de l'équipe audio auxquels vous voulez leur configurer une
exception. Pour cela, il va falloir leur créer un dossier enfant à la
racine de votre partage. En effet il est impossible de définir sur un même
dossier une restriction et une exception (ce qui est est un peu logique).
Pour continuer dans notre exemple, nous allons créer un répertoire nommé "Admin"
dans l'arborescence C:\Restriction. Par
défaut, la restriction mise en place, dans la partie précédente, s'applique bien
à tous les sous-dossiers. C'est à dire qu'il est impossible à l'heure actuelle
de mettre des fichiers de type .mp3 dans le répertoire
C:\Restiction\Admin.
Nous allons donc mettre en place une exception sur ce
dossier. Dans la console FSRM, clique droit sur "File Screens" puis sur
 . La première
chose à faire est de rentrer le "Exception Path" et ensuite sélectionnez
le ou les groupes de fichiers qui devront être appliqués dans cette exception
(pour notre exemple nous prendrons .mp3).
Dans le panneau de détail nous retrouvons nos deux paramètres
:
Maintenant nous pouvons copier des fichiers .mp3 dans le
répertoire Admin. Ensuite il suffit de jouer avec les autorisations
NTFS pour limiter l'accès aux différents sous dossiers en fonction des
exceptions.
Nous allons maintenant passer à la dernière partie de cette
article traitant de la génération de rapports de stockage. Le but étant de faire de l'audit et d'être toujours au courant de l'évolution de
nos quotas et restrictions.
 Introduction
1. Présentation de la console : "File Server Ressource Manager"
1.1 Installation de la console
1.2 Présentation de la console
1.3 Utilisation des lignes de commande pour FSRM
1.4 Configuration de la notification par email
2. Mise en place des quotas
2.1 Introduction aux quotas
2.2 Création de modèles de quota
2.3 Création de quotas
2.4 Mise à jour des quotas à partir du modèle
2.5 Création automatique de quotas
2.6 Surveillance des quotas
3. Mise en place des groupes de fichiers et de la restriction
3.1 Présentation et création de groupes de fichiers
3.2 Mise en place d'une restriction
3.3 Configuration d'une exception à votre restriction
4. Génération de rapports de stockage
Conclusion
|
|
|
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
