Bonjour,
 
Au niveau de l'attribution des droits NTFS sur un dossier comportants les fichiers de mes utilisateurs, il vaut mieux utiliser des groupes de sécurité globaux, de domaine local ou universel ?
Sachant qu'il vaut mieux éviter de mettre les utilisateurs directement.
 
Merci

Avec les utilisateurs et les resources dans un meme domaine le modele recommandé est le fameux AGLP :
Accounts > Global Groups > Domain Local Groups > Permissions

Soit les utilisateurs dans des groupes globaux, placés dans les groupes locaux auquels on attribu des permissions sur les ressources en evitant de remmetre les meme groupes locaux sur des ressources différentes.

Je vois que tu poses pas mal de question relativement basique de ce genre, tu ferais peut etre bien de te payer/faire payer un bouquin ou une formation généraliste sur les réseaux AD pour avoir une bonne base theorique sur tout ça.

la théorie c'est une chose mais la pratique en est une autre.
 
Voici ce que je lis sur le groupe universel :
Utilisez des groupes avec une étendue universelle pour consolider des groupes qui s'étendent sur plusieurs domaines. Pour y parvenir, ajoutez les comptes à des groupes qui ont une étendue globale et imbriquez ces groupes à l'intérieur de groupes qui ont une étendue universelle. Avec cette stratégie, aucune modification apportée à l'appartenance aux groupes d'étendue globale n'affectera les groupes qui ont une étendue universelle.
 
Par exemple, dans un réseau qui comporte deux domaines, Europe et ÉtatsUnis, et un groupe d'étendue globale appelé ComptabilitéGL dans chaque domaine, créez un groupe avec une étendue universelle appelé ComptabilitéU, qui aura comme membres les deux groupes ComptabilitéGL, ÉtatsUnis\ComptabilitéGL et Europe\ComptabilitéGL. Le groupe ComptabilitéU peut ensuite être utilisé n'importe où dans l'entreprise. Les modifications apportées à l'appartenance aux groupes ComptabilitéGL individuels ne provoqueront pas la réplication du groupe ComptabilitéU.
 
Pourtant ceci n'est pas valable entre 2 domaines chacun dans sa forêt lié par une appro bidirectionnelle !
 
Je me documente un minimum avant de poser une question. Désolé si ça saoul    
 
En tout cas un gand merci El Pollo Diablo

Quoi qu'on en dise la pratique est quand meme quasiment toujours sensiblement plus simple si on maitrise déjà un minimum la théorie

CQFD : on peut attribuer des permissions a un groupe universel dans un domaine d'une autre foret que la sienne, mais un groupe universel ne peut avoir des membres que de sa propre forêt. Ton exemple c'est typiquement le genre de chose qu'on peut pas inventer, qui sera forcement détaillé dans un bouquin ou une formation AD, et qu'on aura du mal a retrouver si on ne sait pas ce qu'on cherche

C'est surtout pour toi, si tu bloques souvent dans ton taf pour ce genre de truc c'est avant tout ton temps que tu perds, si ça me soulait je m'abstiendrais simplement de repondre