Droits et partages dans Active Directory

Droits et partages dans Active Directory - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 15-06-2009 à 13:51:43    

Bonjour,
comment donner l'accès à un dossier partagé à un utilisateur faisant partie de 2 groupes?  
par exemple groupe 1: administration; groupe 2: service commercial; comment autorisé un administrateur du service commercial à acceder à un dossier en partage?
 
En vous remerciant d'avance.

Reply

Marsh Posté le 15-06-2009 à 13:51:43   

Reply

Marsh Posté le 15-06-2009 à 14:03:10    

salut,
 
tu donne les droit d'accès au répertoire a l'utilisateur et non pas au groupe complet.

Reply

Marsh Posté le 15-06-2009 à 14:15:04    

oui mais ceci peut-être long et contraignant s'il y à de nombreux utilisateurs, je cherche à exploiter les possibilitées d'active directory.

Reply

Marsh Posté le 15-06-2009 à 14:36:55    

dans se cas, tu peux créer un autre groupe que tu nomme "administrateur de service".
tu ajoute dans se groupe la liste des tes user, et ensuite tu autorise le groupe "administrateur de service" sur ton fichier.

Reply

Marsh Posté le 15-06-2009 à 14:43:14    

le problème est qu'en procédant ainsi cela ne me facilite pas la tache étant donnée que j'aurai encore une 3eme sous catégorie, en procedant ainsi j'aurai à la fin 5 principales catégories, multiplié par 3 sous catégories, multiplié par 4 sous sous catégories = 5 * 3 * 4 = 60 groupes !
C'est pour cela qu'utiliser des sorte de ET logique me faciliterait beaucoup la tache..
 
Y aurait-il une solution?

Reply

Marsh Posté le 15-06-2009 à 15:18:50    

a m'a connaissance non, tu va forcément etre bloqué dans un sens ou dans l'autre. moi je voie que les 2 solutions la, soit créer un groupe suplémentaire, mais si c'est pour y mettre 1 ou 2 personne ca ne vaux pas le coup.
soit tu donne l'autorisation a ton répertoire avec tes groupes actuelle et pour ce qui est de "l'administrateur du services" tu lui donne accès grace a son login.
 
si tu trouve une autres solution, elle m'interesse, c'est toujours interessant d'avoir d'autre methode de travail ;)

Reply

Marsh Posté le 15-06-2009 à 15:42:40    

ben_d74 a écrit :

Bonjour,
comment donner l'accès à un dossier partagé à un utilisateur faisant partie de 2 groupes?  
par exemple groupe 1: administration; groupe 2: service commercial; comment autorisé un administrateur du service commercial à accéder à un dossier en partage?
 
En vous remerciant d'avance.


Ces 2 groupes contiennent ton utilisateurs mais également d'autres utilisateurs dont tu ne souhaites pas qu'ils aient accès ? c'est ça ?
si c'est le cas, tu ne peux pas utiliser ces groupes ... ca parait logique.
Donc soit tu mets l'users en accès direct sur le partage ( solution moche), soit tu créés un nouveau groupe mais tu ne pourras pas utiliser tes groupes existants comme te l'as précisé SPQR59
++


---------------
www.google.fr  
Reply

Marsh Posté le 15-06-2009 à 15:56:37    

Oui c'est bien ça,
je vous remercie pour vos réponses, je pense gérer ça utilisateur par utilisateur..
 
bonne journée :)

Reply

Marsh Posté le 15-06-2009 à 16:30:23    

Suffit de mettre ton groupe admin avec les droit et ne pas mettre tes groupes "de service". Par défaut tu as un deny.
Par contre faut pas ajouter tes groupes de services et mettre un deny explicite

Reply

Marsh Posté le 15-06-2009 à 16:34:27    

Sinon il faut appliquer les stratégies de sécurité AGLP, préconisé par Microsoft.
 
Késako AGLP :Accounts Global Local Permissions
 
Sur un partage on n'autorise que des groupes locaux. Aux groupes locaux (GL), on affecte des groupes globaux (GG).  
Aux GG, on affecte des comptes utilisateurs ou d'autres GG.
On ne gère jamais les autorisations sur un partage directement avec un GG ou un compte utilisateur... sinon il n'y a aucun interêt à utiliser un annuaire.
 
Un ex:
Soit la ressource \\serveur\Partage
On créé 3 GL:
Partage_R: partage avec droit en lecture
Partage_RW:partage avec droit en lecture/ecriture
Partage_CT: partage avec droit control total.
Dans ton partage, tu affectes à ses GL avec les droits correspondants.
Et ensuite, à chaque GL, tu affectes le ou les GG qui vont bien.
 
Ensuite tu as plusieurs methodes pour les groupes globaux.
En voici une qui pourrait régler ton pb:
Pour chaque GL(R et RW), tu crées un GG
partage_R (GL) => partage_R (GG) [à toi de les nommer de façon à ne pas s'embrouiller en faisant bien la distinction GG et GL]
Dans ton GG, tu peux mettre les groupes existants (par service je suppose) mais aussi des comptes utilisateurs.
 
La mise en place risque d'être un peu chronophage, par contre la gestion au quotidien sera plus aisée et ce même si ça augmente le nombre de groupes, surtout dans les cas ou tu dois affecter des autorisations provisoires (pour des projets par ex)
 
Autres avantages de la methode  
=> Une fois les GL en place, tu ne touches plus à tes serveurs, toutes les autorisations se gèrent via Active Directory (tout gérer depuis un annuaire, la raison d'être d'AD)
=> Vérification de qui a accès à quoi simplifiée et plus rapide
 
... en esperant avoir été clair :)


Message édité par akabis le 15-06-2009 à 16:50:11
Reply

Marsh Posté le 15-06-2009 à 16:34:27   

Reply

Marsh Posté le 15-06-2009 à 17:00:20    

Je@nb a écrit :

Suffit de mettre ton groupe admin avec les droit et ne pas mettre tes groupes "de service". Par défaut tu as un deny.
Par contre faut pas ajouter tes groupes de services et mettre un deny explicite


Oui mais son groupe admin est composé de personnes ne devant pas accéder aux partages ...


---------------
www.google.fr  
Reply

Marsh Posté le 15-06-2009 à 17:03:14    

Ah j'avais pas vu ce point là :D
Ouais donc c mort :D a moins de créer un groupe "d'exclusion" :D

Reply

Marsh Posté le 15-06-2009 à 20:14:15    

Merci bien pour cette réponse complète Je@nb. Tu parle de groupe d'exclusion, cela est-il possible ?

Reply

Marsh Posté le 15-06-2009 à 20:20:15    

bah tu mets tes users à exclure dans ce groupe et tu met un deny sur la ressources

Reply

Marsh Posté le 19-06-2009 à 21:44:13    

C'est un peu miteux ce genre de trucs...
Normalement, selon Crosoft, 1 besoin de droits => 1 groupe global + 1 groupe local.
 
AGDLP

Reply

Marsh Posté le 19-06-2009 à 22:03:13    

Je dis pas le contraire :D mais à la base j'avais pas la notion des gens à exclure.

 

Et c'est plutôt AGUDLP :o (enfin là on est monodomaine)

Message cité 1 fois
Message édité par Je@nb le 19-06-2009 à 22:03:25
Reply

Marsh Posté le 23-06-2009 à 15:49:18    

Je@nb a écrit :

Je dis pas le contraire :D mais à la base j'avais pas la notion des gens à exclure.
 
Et c'est plutôt AGUDLP :o (enfin là on est monodomaine)


 
Comme dit michalatore et comme je l'ai dit juste avant (ici), avec les stratégies AGLP (vous ajoutez ce que vous volulez comme lettre dans le sigle) on évite les montages calamiteux qui sont proposé ici et on règle le problème.


Message édité par akabis le 23-06-2009 à 15:51:24
Reply

Marsh Posté le 23-06-2009 à 15:53:09    

ça va hein, pète un coup :o

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed