Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1558 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Droits et partages dans Active Directory

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Droits et partages dans Active Directory

n°54673
ben_d74
Posté le 15-06-2009 à 13:51:43  profilanswer
 

Bonjour,
comment donner l'accès à un dossier partagé à un utilisateur faisant partie de 2 groupes?  
par exemple groupe 1: administration; groupe 2: service commercial; comment autorisé un administrateur du service commercial à acceder à un dossier en partage?
 
En vous remerciant d'avance.

mood
Publicité
Posté le 15-06-2009 à 13:51:43  profilanswer
 

n°54675
SPQR59
Posté le 15-06-2009 à 14:03:10  profilanswer
 

salut,
 
tu donne les droit d'accès au répertoire a l'utilisateur et non pas au groupe complet.

n°54678
ben_d74
Posté le 15-06-2009 à 14:15:04  profilanswer
 

oui mais ceci peut-être long et contraignant s'il y à de nombreux utilisateurs, je cherche à exploiter les possibilitées d'active directory.

n°54688
SPQR59
Posté le 15-06-2009 à 14:36:55  profilanswer
 

dans se cas, tu peux créer un autre groupe que tu nomme "administrateur de service".
tu ajoute dans se groupe la liste des tes user, et ensuite tu autorise le groupe "administrateur de service" sur ton fichier.

n°54690
ben_d74
Posté le 15-06-2009 à 14:43:14  profilanswer
 

le problème est qu'en procédant ainsi cela ne me facilite pas la tache étant donnée que j'aurai encore une 3eme sous catégorie, en procedant ainsi j'aurai à la fin 5 principales catégories, multiplié par 3 sous catégories, multiplié par 4 sous sous catégories = 5 * 3 * 4 = 60 groupes !
C'est pour cela qu'utiliser des sorte de ET logique me faciliterait beaucoup la tache..
 
Y aurait-il une solution?

n°54694
SPQR59
Posté le 15-06-2009 à 15:18:50  profilanswer
 

a m'a connaissance non, tu va forcément etre bloqué dans un sens ou dans l'autre. moi je voie que les 2 solutions la, soit créer un groupe suplémentaire, mais si c'est pour y mettre 1 ou 2 personne ca ne vaux pas le coup.
soit tu donne l'autorisation a ton répertoire avec tes groupes actuelle et pour ce qui est de "l'administrateur du services" tu lui donne accès grace a son login.
 
si tu trouve une autres solution, elle m'interesse, c'est toujours interessant d'avoir d'autre methode de travail ;)

n°54696
boobaka
Posté le 15-06-2009 à 15:42:40  profilanswer
 

ben_d74 a écrit :

Bonjour,
comment donner l'accès à un dossier partagé à un utilisateur faisant partie de 2 groupes?  
par exemple groupe 1: administration; groupe 2: service commercial; comment autorisé un administrateur du service commercial à accéder à un dossier en partage?
 
En vous remerciant d'avance.


Ces 2 groupes contiennent ton utilisateurs mais également d'autres utilisateurs dont tu ne souhaites pas qu'ils aient accès ? c'est ça ?
si c'est le cas, tu ne peux pas utiliser ces groupes ... ca parait logique.
Donc soit tu mets l'users en accès direct sur le partage ( solution moche), soit tu créés un nouveau groupe mais tu ne pourras pas utiliser tes groupes existants comme te l'as précisé SPQR59
++


---------------
www.google.fr  
n°54698
ben_d74
Posté le 15-06-2009 à 15:56:37  profilanswer
 

Oui c'est bien ça,
je vous remercie pour vos réponses, je pense gérer ça utilisateur par utilisateur..
 
bonne journée :)

n°54703
Je@nb
Modérateur
Kindly give dime
Posté le 15-06-2009 à 16:30:23  profilanswer
 

Suffit de mettre ton groupe admin avec les droit et ne pas mettre tes groupes "de service". Par défaut tu as un deny.
Par contre faut pas ajouter tes groupes de services et mettre un deny explicite

n°54705
akabis
.
Posté le 15-06-2009 à 16:34:27  profilanswer
 

Sinon il faut appliquer les stratégies de sécurité AGLP, préconisé par Microsoft.
 
Késako AGLP :Accounts Global Local Permissions
 
Sur un partage on n'autorise que des groupes locaux. Aux groupes locaux (GL), on affecte des groupes globaux (GG).  
Aux GG, on affecte des comptes utilisateurs ou d'autres GG.
On ne gère jamais les autorisations sur un partage directement avec un GG ou un compte utilisateur... sinon il n'y a aucun interêt à utiliser un annuaire.
 
Un ex:
Soit la ressource \\serveur\Partage
On créé 3 GL:
Partage_R: partage avec droit en lecture
Partage_RW:partage avec droit en lecture/ecriture
Partage_CT: partage avec droit control total.
Dans ton partage, tu affectes à ses GL avec les droits correspondants.
Et ensuite, à chaque GL, tu affectes le ou les GG qui vont bien.
 
Ensuite tu as plusieurs methodes pour les groupes globaux.
En voici une qui pourrait régler ton pb:
Pour chaque GL(R et RW), tu crées un GG
partage_R (GL) => partage_R (GG) [à toi de les nommer de façon à ne pas s'embrouiller en faisant bien la distinction GG et GL]
Dans ton GG, tu peux mettre les groupes existants (par service je suppose) mais aussi des comptes utilisateurs.
 
La mise en place risque d'être un peu chronophage, par contre la gestion au quotidien sera plus aisée et ce même si ça augmente le nombre de groupes, surtout dans les cas ou tu dois affecter des autorisations provisoires (pour des projets par ex)
 
Autres avantages de la methode  
=> Une fois les GL en place, tu ne touches plus à tes serveurs, toutes les autorisations se gèrent via Active Directory (tout gérer depuis un annuaire, la raison d'être d'AD)
=> Vérification de qui a accès à quoi simplifiée et plus rapide
 
... en esperant avoir été clair :)


Message édité par akabis le 15-06-2009 à 16:50:11
mood
Publicité
Posté le 15-06-2009 à 16:34:27  profilanswer
 

n°54706
boobaka
Posté le 15-06-2009 à 17:00:20  profilanswer
 

Je@nb a écrit :

Suffit de mettre ton groupe admin avec les droit et ne pas mettre tes groupes "de service". Par défaut tu as un deny.
Par contre faut pas ajouter tes groupes de services et mettre un deny explicite


Oui mais son groupe admin est composé de personnes ne devant pas accéder aux partages ...


---------------
www.google.fr  
n°54709
Je@nb
Modérateur
Kindly give dime
Posté le 15-06-2009 à 17:03:14  profilanswer
 

Ah j'avais pas vu ce point là :D
Ouais donc c mort :D a moins de créer un groupe "d'exclusion" :D

n°54722
ben_d74
Posté le 15-06-2009 à 20:14:15  profilanswer
 

Merci bien pour cette réponse complète Je@nb. Tu parle de groupe d'exclusion, cela est-il possible ?

n°54723
Je@nb
Modérateur
Kindly give dime
Posté le 15-06-2009 à 20:20:15  profilanswer
 

bah tu mets tes users à exclure dans ce groupe et tu met un deny sur la ressources

n°54928
elliotdoe
Posté le 19-06-2009 à 21:44:13  profilanswer
 

C'est un peu miteux ce genre de trucs...
Normalement, selon Crosoft, 1 besoin de droits => 1 groupe global + 1 groupe local.
 
AGDLP

n°54930
Je@nb
Modérateur
Kindly give dime
Posté le 19-06-2009 à 22:03:13  profilanswer
 

Je dis pas le contraire :D mais à la base j'avais pas la notion des gens à exclure.

 

Et c'est plutôt AGUDLP :o (enfin là on est monodomaine)

Message cité 1 fois
Message édité par Je@nb le 19-06-2009 à 22:03:25
n°55086
akabis
.
Posté le 23-06-2009 à 15:49:18  profilanswer
 

Je@nb a écrit :

Je dis pas le contraire :D mais à la base j'avais pas la notion des gens à exclure.
 
Et c'est plutôt AGUDLP :o (enfin là on est monodomaine)


 
Comme dit michalatore et comme je l'ai dit juste avant (ici), avec les stratégies AGLP (vous ajoutez ce que vous volulez comme lettre dans le sigle) on évite les montages calamiteux qui sont proposé ici et on règle le problème.


Message édité par akabis le 23-06-2009 à 15:51:24
n°55087
Je@nb
Modérateur
Kindly give dime
Posté le 23-06-2009 à 15:53:09  profilanswer
 

ça va hein, pète un coup :o


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Droits et partages dans Active Directory

 

Sujets relatifs
[RESOLU] Perte des droits administrateurs (domaine et local)Connexion profil Active directory très très long
PDC ldap/samba comment donner des droits à un utilisateur ?Visualiser les droits sur repertoire
Sureveiller les actions dans les partages sambadroits des différents types de comptes 2003
étendre les droits utilisateursRESOLU [Active directory] comment modifier les paramètres dns des XP
Plus de sujets relatifs à : Droits et partages dans Active Directory


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR