Bonjour à tous,
 
J'ai un petit (gros) soucis avec les droits sous Win2003. Je dois totalement reconfigurer un serveur de fichier et un Active Directory qui n'a pas été mis à jour depuis un bon bout de temps... J'essaye donc de faire un truc propre. Je me suis documenté sur l'architecture typique a adopter avec l'active directory, et je tombe régulièrement sur le principe de AGDLP.
 
D'après ce site :  
 
http://www.laboratoire-microsoft.o [...] groupes/2/
 
Et la réponse d'akabis dans ce topic :  
 
http://forum.hardware.fr/hfr/syste [...] t_13_3.htm pre.  
 
L'architecture parfaite devrait se décomposer comme cela (si j'ai bien tout compris...) :  
 

 
Mais j'ai un problème. Je n'arrive pas à mettre les droits des groupes locaux sur les répertoires partagés du serveur. Il n'y a pas de problème avec les globaux, mais il ne trouve pas les groupes locaux. En gros, pour suivre mon shéma, j'arrive bien à mettre des droits pour "Pistons" et "Bielles" mais pas pour "Moteur". Pourtant, akabis dit bien dans son post :  
 
"Pour chaque groupe local sur la ressource, on affecte les droit qui vont bien."
 
Mais sur le site supinfo, le gars dit qu'il faut ajouter les membres directement au LocalDomain (alors que son schéma montre l'inverse...)
 
Bref, je suis un peu paumé, il y a surement quelque chose que je n'ai pas bien saisi, je compte donc sur vous pour me dire où je me plante...
 
Merci d'avance

Un petit schema pour expliquer l'Agdlp:

 
Donc sur ton partage, le dossier, bouton droit/sécurité tu ajoutes tes groupes locaux (de sécurité) et en dessous tu affectes, en cochant ce qui va bien, les droits accordés. Rien de plus a faire pour que ça fonctionne.  

Salut akabis et merci pour ta réponse
 
Ca me rassure, j'avais bien compris ce principe. Le problème se situe dans la partie 3, concernant la mise en place des permissions.
 
Pour reprendre ton schéma, j'arrive correctement à attribuer des permissions sur les global group (ici UK sales), mais il est impossible d'attribuer des permissions aux local group (ici US Sales). En effet, quand je fais bouton droit/sécurité, il ne trouve pas le local group, par contre il trouve bien le global group. Mais suivant ton schéma, il faut bien mettre les permissions sur le fichier au local group non ?
 
 

1ere étape:
Dans active Directory
-création des comptes users
-création des groupes globaux
-création des groupes locaux (ce que je fais en général: 3 groupes par partage, Controle Total (les admins)/lecture/lecture-ecriture)
ex: partage1_CT / partage1_R/ partage1_RW
 
2eme etape:
Dans chaque partage, sur le dossier lui même: bouton droit/securité et ajouter: ajouter les groupes locaux. L'emplacement doit etre le domaine et non la machine. (tu ajoutes partage1_CT et partage1_R et partage1_RW)
Pour chaque groupe local, mettre les droits qui vont bien (dans l'onglet securité, tu selectionnes ton groupe local (il passe en surbrillance blue) et dans la partie du dessous tu coches les cases en fonction des droits accordés)
 
3eme étape:
Assigner les users à des groupes globaux
Assigner les groupes globaux aux groupes locaux concernés
 
Et normalement il n'y a pas de soucis, je viens même de refaire le test sur un serveur rien que pour toi :-)

Merci encore pour ta réponse akabis,
 
Le problème est dans ton étape 2. Il ne trouve pas les groupes Locaux ! Je cherche bien sur mon domaine (pas ma machine), la preuve, il trouve correctement les groupes Globaux...
 
Tout mon problème est là...
 
Bonne idée les 3 groupes par partage, je vais faire de même

dans ton AD, créée un nouveau groupe local de sécurité.
Dans AD: bouton droit/nouveau/groupe
Nomme le, coche les cases "local" pour "étendue de groupe" et "sécurité" pour "type de groupe".
Toujours dans AD, à la racine de ton domaine: bouton droit/rechercher:
champs rechercher: utilisateur/contact/groupe
champs domaine: ton domaine.
S'il (le nouveau groupe local) apparait en résultat, il n'y a pas de raison de ne pouvoir l'ajouter sur un partage.

Tous mes groupes locaux sont bien visibles dans la fonction rechercher de l'AD.
 
Je viens créer un autre groupe en suivant à la lettre ce que tu viens de me dire.
 
Le nouveau groupe apparait bien dans la fonction "rechercher", mais je n'arrive pas à rajouter ce groupe dans un partage.

Le problème viens effectivement du serveur.
 
J'ai essayé de rajouter mes groupes locaux sur un partage d'un autre serveur et tout est ok.
 
Mon nouveau serveur est :
 
- sur le bon domaine
- communique bien avec le contrôleur de domaine
 
 
Le truc que je pige pas, c'est pourquoi il peut rajouter les groupes globaux mais pas locaux    
 
On se rapproche du but, mais...

windaube inside?

J'en sais rien... Je pense pas... Je crois que c'est plus une petite manip à faire qui pose ce problème...

En cherchant sur le net, certains parle de mode mixte/natif.
Mon mode de niveau fonctionnel est "Windows 2000 mixte". Est-ce que ca pose un problème ?
Edit : http://www.forum-microsoft.org/topic61152.html
Edit : http://www.archivum.info/microsoft [...] es_groupes
 
Exactement le même problème que moi    
 
 
PS : C'est dingue tous les postes que tu as fait sur l'AGDLP akabis...

Normalement non, le fait d'être en mixte permet (dans le cas de W2K) d'integrer des serveurs NT dans ton domaine en tant que DC. En natif tu restes sur du 2000.
 

Plein de monde se plaint que sa gestion de droits est bordelique alors qu'en suivant ce simple principe ça devient tout simple. Et vu que c'est régulier comme demande, faut faire des piqures de rappel... je posterai peut être un truc dans les tuto la dessus.

Oui, j'ai bien compris l'avantage d'une telle solution.  C'est pour ca que j'essaye de l'appliquer...
 
J'ai sortis mon serveur du domaine, puis je l'ai re-rentré, rien n'y fait, je ne vois toujours pas mes groupes locaux du contrôleur de domaine (toujours pas de soucis avec les globaux...).
 
Petite question (éclaircissement): Mon serveur de fichier n'est pas mon contrôleur de domaine. Autrement dit, j'ai deux serveurs. CDDomaine - Fichier.
L'AGDLP n'est-il pas un mode d'organisation uniquement réalisable lorsque le contrôleur de domaine est le serveur de fichier ? Ça me parait impossible étant donné que la plupart des boites ont des serveurs bien distinct mais bon...

Lebut est d'utiliser l'annuaire Active directory et rien que lui dans l'organisation.
Pour chaque partage existant ou à venir, tu crées les groupe locaux que tu assignes à tes partages avec les droits qui vont bien et ensuite tu gères les utilisateurs et groupes globaux et leurs autorisations sur les ressources via l'AD (et non plus sur les serveurs).
Ca se limite à ça, donc quelque soit le rôle du serveur ça ne change rien.
L'AGDLP est une "bonne pratique" et non pas une technique (c'est donc indépendant du rôle du serveur).  
Il doit y avoir un petit souci sur ton install serveur, il faut chercher dans la KB microsoft.

Merci pour ces précisions.
 
Je viens de tester sur les autres serveurs du parc, aucun ne voit les groupes locaux sur le CDDomaine...
 
Le problème vient donc de la conf du contrôleur de domaine, ou du contrôleur de domaine lui-même...
 
Je continue à chercher...

Après mise à jour et reboot du Contrôleur de Domaine, toujours rien, les groupes locaux sont introuvables.    
 
Sachant que je ne gère qu'un seul domaine, est-il important que les groupes globaux soit englobé dans des groupes locaux ?
 
Je veux dire, pourquoi ne pas englober les groupes globaux dans d'autres groupes globaux qui eux sont visibles sur les autres serveurs ?