Méthode AGDLP, l'intêret [AD] - Windows & Software
Marsh Posté le 01-12-2006 à 12:03:59
Les permissions sur un partage ne sont jamais données à un compte utilisateur ou un groupe global... seulement à un groupe local.
La stratégie AGLP consiste à:
dans un groupe local on met un groupe global et dans un groupe global on met des comptes. Et on associe les permissions sur un partage à un groupe local.
Tu as des permissions à changer (ajouter/enlever des personnes): tu geres ça depuis la console AD et non directement sur les serveurs.
Idem, tu déclares tes partages dans l'AD, les comptes exchanges, les imprimantes...
Dans un domaine sous AD, tout peut être gerer depuis l'AD... qui est un annuaire.
Le but: tout gérer depuis active directory et ne plus intervenir sur les serveurs.
Ex:
Comptes: toto, titi, tata, tutu
groupes globaux: finance, tech
dans le groupe global finances (lecture/ecriture sur finance et lecture sur tech)tu as: toto et titi
dans le groupe global tech (lecture/ecriture sur tech, rien sur finance) tu as: tata et tutu
2 partages: serveur1_finance, serveur2_tech
tu crées 3 groupes locaux par partage dans l'AD:
groupe local pour le partage serveur1_finance: serveur1_financeR, serveur1_financeRW, serveur1_financeCT
groupe local pour le partage serveur2_tech: serveur2_techR, serveur2_techRW, serveur2_techCT
Sur chaque partage (sur le serveur) tu donnes les droits d'acces aux groupes locaux avec droits:
en lecture seul pour: serveur1_techR
en lecture ecriture pour: serveur1_techRW
control total pour:serveur1_techCT
Dans active directory tu mets les groupes globaux dans les groupes locaux.
dans serveur1_techCT tu mets les groupes admin.
serveur1_techR tu mets le groupe global finance.
serveur1_techRW tu mets le groupe global tech.
Et voila, une strategie AGLP en place.
Dorenavant pour les permissions sur les partages, tu n'as plus à faire quoique ce soit sur un seul serveur. La console AD sera le seul outil que tu utilisera pour gerer tes permissions sur le réseau.
Marsh Posté le 30-11-2006 à 19:47:09
Bonjour,
J'essaie de me renseigner sur l'intérêt que représente cette méthode AGDLP au niveau des groupes.
Je sais que Microsoft préconise d'utiliser cette méthode quand on monte un AD en mode natif qui consiste à suivre cette procédure:
* Création de comptes utilisateurs (Account)
* Inclusion des utilisateurs dans des groupes globaux (Global groups)
* Inclusion des groupes globaux dans des groupes de domaine locaux (Domain Local groups)
* Ajustement à laide des groupes de domaine locaux de permissions appropriées (Permissions) sur les ressources réseaux
Quelqu'un peut il me donner un exemple concret de l'utilité de cette méthode, en vous remerciant par avance