Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1616 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Droits sur Groupe Local - Global AD

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Droits sur Groupe Local - Global AD

n°59694
MProject4
Posté le 28-10-2009 à 09:59:14  profilanswer
 

Bonjour à tous,
 
J'ai un petit (gros) soucis avec les droits sous Win2003. Je dois totalement reconfigurer un serveur de fichier et un Active Directory qui n'a pas été mis à jour depuis un bon bout de temps... J'essaye donc de faire un truc propre. Je me suis documenté sur l'architecture typique a adopter avec l'active directory, et je tombe régulièrement sur le principe de AGDLP.
 
D'après ce site :  
 
http://www.laboratoire-microsoft.o [...] groupes/2/
 
Et la réponse d'akabis dans ce topic :  
 
http://forum.hardware.fr/hfr/syste [...] t_13_3.htm pre.  
 
L'architecture parfaite devrait se décomposer comme cela (si j'ai bien tout compris...) :  
 
http://img229.imageshack.us/img229/9862/permissionswindows.jpg
 
Mais j'ai un problème. Je n'arrive pas à mettre les droits des groupes locaux sur les répertoires partagés du serveur. Il n'y a pas de problème avec les globaux, mais il ne trouve pas les groupes locaux. En gros, pour suivre mon shéma, j'arrive bien à mettre des droits pour "Pistons" et "Bielles" mais pas pour "Moteur". Pourtant, akabis dit bien dans son post :  
 
"Pour chaque groupe local sur la ressource, on affecte les droit qui vont bien."
 
Mais sur le site supinfo, le gars dit qu'il faut ajouter les membres directement au LocalDomain (alors que son schéma montre l'inverse...)
 
Bref, je suis un peu paumé, il y a surement quelque chose que je n'ai pas bien saisi, je compte donc sur vous pour me dire où je me plante...
 
Merci d'avance ;)


Message édité par MProject4 le 28-10-2009 à 10:01:21
mood
Publicité
Posté le 28-10-2009 à 09:59:14  profilanswer
 

n°59705
akabis
.
Posté le 28-10-2009 à 12:06:37  profilanswer
 

Un petit schema pour expliquer l'Agdlp:
http://upload.wikimedia.org/wikipedia/en/3/3f/Agdlp_implemented.gif
 
Donc sur ton partage, le dossier, bouton droit/sécurité tu ajoutes tes groupes locaux (de sécurité) et en dessous tu affectes, en cochant ce qui va bien, les droits accordés. Rien de plus a faire pour que ça fonctionne.  

n°59706
MProject4
Posté le 28-10-2009 à 12:28:05  profilanswer
 

Salut akabis et merci pour ta réponse ;)
 
Ca me rassure, j'avais bien compris ce principe. Le problème se situe dans la partie 3, concernant la mise en place des permissions.
 
Pour reprendre ton schéma, j'arrive correctement à attribuer des permissions sur les global group (ici UK sales), mais il est impossible d'attribuer des permissions aux local group (ici US Sales). En effet, quand je fais bouton droit/sécurité, il ne trouve pas le local group, par contre il trouve bien le global group. Mais suivant ton schéma, il faut bien mettre les permissions sur le fichier au local group non ?
 
 :(


Message édité par MProject4 le 28-10-2009 à 12:30:37
n°59712
akabis
.
Posté le 28-10-2009 à 16:03:20  profilanswer
 

1ere étape:
Dans active Directory
-création des comptes users
-création des groupes globaux
-création des groupes locaux (ce que je fais en général: 3 groupes par partage, Controle Total (les admins)/lecture/lecture-ecriture)
ex: partage1_CT / partage1_R/ partage1_RW
 
2eme etape:
Dans chaque partage, sur le dossier lui même: bouton droit/securité et ajouter: ajouter les groupes locaux. L'emplacement doit etre le domaine et non la machine. (tu ajoutes partage1_CT et partage1_R et partage1_RW)
Pour chaque groupe local, mettre les droits qui vont bien (dans l'onglet securité, tu selectionnes ton groupe local (il passe en surbrillance blue) et dans la partie du dessous tu coches les cases en fonction des droits accordés)
 
3eme étape:
Assigner les users à des groupes globaux
Assigner les groupes globaux aux groupes locaux concernés
 
Et normalement il n'y a pas de soucis, je viens même de refaire le test sur un serveur rien que pour toi :-)


Message édité par akabis le 28-10-2009 à 16:09:28
n°59713
MProject4
Posté le 28-10-2009 à 16:09:19  profilanswer
 

Merci encore pour ta réponse akabis,
 
Le problème est dans ton étape 2. Il ne trouve pas les groupes Locaux ! Je cherche bien sur mon domaine (pas ma machine), la preuve, il trouve correctement les groupes Globaux...
 
Tout mon problème est là...
 
Bonne idée les 3 groupes par partage, je vais faire de même ;)

n°59714
akabis
.
Posté le 28-10-2009 à 16:15:25  profilanswer
 

dans ton AD, créée un nouveau groupe local de sécurité.
Dans AD: bouton droit/nouveau/groupe
Nomme le, coche les cases "local" pour "étendue de groupe" et "sécurité" pour "type de groupe".
Toujours dans AD, à la racine de ton domaine: bouton droit/rechercher:
champs rechercher: utilisateur/contact/groupe
champs domaine: ton domaine.
S'il (le nouveau groupe local) apparait en résultat, il n'y a pas de raison de ne pouvoir l'ajouter sur un partage.


Message édité par akabis le 28-10-2009 à 16:16:01
n°59715
MProject4
Posté le 28-10-2009 à 16:29:28  profilanswer
 

Tous mes groupes locaux sont bien visibles dans la fonction rechercher de l'AD.
 
Je viens créer un autre groupe en suivant à la lettre ce que tu viens de me dire.
 
Le nouveau groupe apparait bien dans la fonction "rechercher", mais je n'arrive pas à rajouter ce groupe dans un partage.

n°59717
MProject4
Posté le 28-10-2009 à 16:32:13  profilanswer
 

Le problème viens effectivement du serveur.
 
J'ai essayé de rajouter mes groupes locaux sur un partage d'un autre serveur et tout est ok.
 
Mon nouveau serveur est :
 
- sur le bon domaine
- communique bien avec le contrôleur de domaine
 
 
Le truc que je pige pas, c'est pourquoi il peut rajouter les groupes globaux mais pas locaux  :pt1cable:  
 
On se rapproche du but, mais...

n°59719
akabis
.
Posté le 28-10-2009 à 16:34:26  profilanswer
 

windaube inside?

n°59720
MProject4
Posté le 28-10-2009 à 16:39:43  profilanswer
 

J'en sais rien... Je pense pas... Je crois que c'est plus une petite manip à faire qui pose ce problème...

mood
Publicité
Posté le 28-10-2009 à 16:39:43  profilanswer
 

n°59721
MProject4
Posté le 28-10-2009 à 17:10:06  profilanswer
 

En cherchant sur le net, certains parle de mode mixte/natif.
Mon mode de niveau fonctionnel est "Windows 2000 mixte". Est-ce que ca pose un problème ?
Edit : http://www.forum-microsoft.org/topic61152.html
Edit : http://www.archivum.info/microsoft [...] es_groupes
 
Exactement le même problème que moi  :heink:  
 
 
PS : C'est dingue tous les postes que tu as fait sur l'AGDLP akabis...

Message cité 1 fois
Message édité par MProject4 le 28-10-2009 à 18:28:28
n°59739
akabis
.
Posté le 29-10-2009 à 10:17:12  profilanswer
 

MProject4 a écrit :

En cherchant sur le net, certains parle de mode mixte/natif.
Mon mode de niveau fonctionnel est "Windows 2000 mixte". Est-ce que ca pose un problème ?


Normalement non, le fait d'être en mixte permet (dans le cas de W2K) d'integrer des serveurs NT dans ton domaine en tant que DC. En natif tu restes sur du 2000.
 

MProject4 a écrit :


PS : C'est dingue tous les postes que tu as fait sur l'AGDLP akabis...


Plein de monde se plaint que sa gestion de droits est bordelique alors qu'en suivant ce simple principe ça devient tout simple. Et vu que c'est régulier comme demande, faut faire des piqures de rappel... je posterai peut être un truc dans les tuto la dessus.


Message édité par akabis le 29-10-2009 à 10:19:10
n°59740
MProject4
Posté le 29-10-2009 à 10:42:40  profilanswer
 

Oui, j'ai bien compris l'avantage d'une telle solution.  C'est pour ca que j'essaye de l'appliquer...
 
J'ai sortis mon serveur du domaine, puis je l'ai re-rentré, rien n'y fait, je ne vois toujours pas mes groupes locaux du contrôleur de domaine (toujours pas de soucis avec les globaux...).
 
Petite question (éclaircissement): Mon serveur de fichier n'est pas mon contrôleur de domaine. Autrement dit, j'ai deux serveurs. CDDomaine - Fichier.
L'AGDLP n'est-il pas un mode d'organisation uniquement réalisable lorsque le contrôleur de domaine est le serveur de fichier ? Ça me parait impossible étant donné que la plupart des boites ont des serveurs bien distinct mais bon...

n°59741
akabis
.
Posté le 29-10-2009 à 10:57:32  profilanswer
 


Lebut est d'utiliser l'annuaire Active directory et rien que lui dans l'organisation.
Pour chaque partage existant ou à venir, tu crées les groupe locaux que tu assignes à tes partages avec les droits qui vont bien et ensuite tu gères les utilisateurs et groupes globaux et leurs autorisations sur les ressources via l'AD (et non plus sur les serveurs).
Ca se limite à ça, donc quelque soit le rôle du serveur ça ne change rien.
L'AGDLP est une "bonne pratique" et non pas une technique (c'est donc indépendant du rôle du serveur).  
Il doit y avoir un petit souci sur ton install serveur, il faut chercher dans la KB microsoft.


Message édité par akabis le 29-10-2009 à 11:05:10
n°59745
MProject4
Posté le 29-10-2009 à 11:37:39  profilanswer
 

Merci pour ces précisions.
 
Je viens de tester sur les autres serveurs du parc, aucun ne voit les groupes locaux sur le CDDomaine...
 
Le problème vient donc de la conf du contrôleur de domaine, ou du contrôleur de domaine lui-même...
 
Je continue à chercher...


Message édité par MProject4 le 29-10-2009 à 11:41:10
n°59782
Profil sup​primé
Posté le 30-10-2009 à 06:31:25  answer
 

:)

n°59787
MProject4
Posté le 30-10-2009 à 09:23:02  profilanswer
 

Après mise à jour et reboot du Contrôleur de Domaine, toujours rien, les groupes locaux sont introuvables.  :(  
 
Sachant que je ne gère qu'un seul domaine, est-il important que les groupes globaux soit englobé dans des groupes locaux ?
 
Je veux dire, pourquoi ne pas englober les groupes globaux dans d'autres groupes globaux qui eux sont visibles sur les autres serveurs ?
 
 :??:


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Droits sur Groupe Local - Global AD

 

Sujets relatifs
Droits sur répertoire Win2003.Rechercher un utilisateur de l'AD depuis Windows 7
gestion des droits utilisateur[Win Server 2003] droit sur répertoire avec groupe global contenant un
Dans quel groupe mettre un utilisateur se connectant à IIS6 ?Domaine et catalogue global
[AD sous 2008] désactiver la complexité des mdp[AD] 3 DC, 3 sites et 1 domaine
Serveur de mail en local 
Plus de sujets relatifs à : Droits sur Groupe Local - Global AD


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR