Windows Server 2022 et FSRM – Message d’erreur personnalisé sur un accès refusé

I. Présentation

Dans ce tutoriel, nous allons apprendre à mettre en place un message d'erreur personnalisé lorsqu'un utilisateur sous Windows essaie d'accéder à un répertoire sur lequel il n'a pas les droits. En complément, nous pourrons aussi lui permettre d'effectuer une demande d'assistance, toujours à partir de cette même fenêtre !

Le constat : sous Windows, lorsqu'un utilisateur essaie d'accéder à un répertoire partagé auquel il n'a pas accès, une erreur "Windows ne peut pas accéder à \\....." s'affiche à l'écran, et dans le détail c'est clairement qu'il s'agit d'un problème d'autorisation. Ce message bloque l'utilisateur, mais ne lui indique pas la marche à suivre s'il estime qu'il devrait avoir accès à ce répertoire.

Pour trouver une solution, il faut s'orienter vers la console FSRM que nous allons continuer d'explorer après avoir vu la gestion des quotas et le filtrage de fichiers. FSRM va nous offrir la possibilité de :

• Définir un message d'erreur global
  • Configurer les options > Assistance en cas d'accès refusé > Afficher le message suivant
• Définir un message d'erreur spécifique pour un dossier ou une arborescence
  • Gestion de la classification > Propriétés de classification > Définir les propriétés de gestion des dossiers > Message d'assistance en cas d'accès refusé > Ajouter

Voyons dans la pratique comment effectuer cette configuration.

II. FSRM et l'assistance en cas d'accès refusé

Tout d'abord, à partir de la console FSRM, effectuez un clic droit sur la racine de l'arborescence et choisissez "Configurer les options".

Ici, c'est l'onglet "Assistance en cas d'accès refusé" qui va nous intéresser. Nous devons cocher l'option "Activer l'assistance en cas d'accès refusé" et définir un message d'erreur personnalisé (zone de texte en dessous). Ce message s'affichera lorsqu'un accès refusé sera généré sur Windows (comme celui montré en introduction).

Cliquez ensuite sur le bouton "Configurer les demandes par courrier électronique". Si vous souhaitez permettre à l'utilisateur de faire une demande d'accès par e-mail, c'est cette section qu'il faut renseigner. Tout d'abord, il faut cocher l'option "Autoriser les utilisateurs à demander de l'assistance" avant de s'intéresser aux autres options.

Quand votre configuration est prête, cliquez sur le bouton "Aperçu" visible sur la fenêtre principale des options. Cela permet d'avoir une prévisualisation de la fenêtre "Accès refusé" telle qu'elle sera côté utilisateur.

III. Tester la configuration

Après avoir mis en place cette configuration, nous allons effectuer un test comme à chaque fois. Ici, il suffit de prendre un utilisateur n'ayant pas accès à un répertoire spécifique, que ce soit un sous-répertoire d'un partage ou un répertoire racine. Et là, on voit le message "Problème d'accès à \\...." qui s'affiche avec :

• Le message d'erreur personnalisé défini dans FSRM
• Le bouton pour demander de l'aide

Si l'on clique sur le bouton "Demander de l'aide", une zone de saisie s'affiche afin que l'utilisateur puisse expliquer pourquoi il a besoin d'accéder à ce répertoire. Une fois qu'il a complété sa demande, il ne lui reste plus qu'à cliquer sur "Envoyer un message".

Côté administrateur, un e-mail sera reçu (envoyé depuis FSRM) avec les détails de la demande : utilisateur à l'origine de la mande, chemin d'accès concerné, justification de l'utilisateur, ainsi que les autorisations actuelles de cet utilisateur. Ensuite, libre à vous de répondre positivement ou non à cette demande.

IV. Message d'erreur spécifique sur un dossier

Nous venons de configurer un message d'erreur spécifique qui s'appliquera sur les différents répertoires partagés du serveur. Si l'on souhaite définir un message spécifique sur un répertoire spécifique, c'est possible aussi, toujours via la console FSRM.

Pour configurer ce message, il faut accéder à "Gestion de la classification" et faire un clic droit sur "Propriétés de classification" pour cliquer sur "Définir les propriétés de gestion des dossiers".

Ici, on va choisir la propriété "Message d'assistance en cas d'accès refusé" et cliquer sur le bouton "Ajouter" car la liste est vide par défaut.

On sélectionne le répertoire, par exemple "P:\Partage\PrivéAdm" et on indique le message d'erreur spécifique à ce répertoire dans la zone "Valeur". On valide.

Désormais, lorsqu'un utilisateur va tenter d'accéder à ce répertoire, il aura le message personnalisé grâce à la règle que nous venons de créer. Voici un exemple :

Pour aller plus loin, il convient de configurer aussi la propriété "Adresse de messagerie du propriétaire du dossier". Ce qui va permettre d'alerter la bonne personne lorsqu'il y a une demande d'aide : on pourrait préciser ici l'adresse e-mail du responsable de service, s'il s'agit d'un répertoire propre à un service de l'entreprise. Généralement, c'est le responsable du service en question qui donne son accord ou non lorsqu'il y a une demande d'accès, et ensuite, elle est mise en place par le service informatique.

V. Conclusion

Grâce à cette fonctionnalité très intéressante de FSRM mais qui est un peu cachée on va dire, nous pouvons rendre plus accessible les demandes d'accès aux répertoires partagés sans avoir besoin d'utiliser un outil tiers, ou sans obliger l'utilisateur à faire la demande par e-mail. Ici, le flux est géré par FSRM et la demande d'aide va générer aussi un événement visible dans l'Observateur d'événements de Windows Server.

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio