Discussion :

[alexis271]

Bonjour,

Je suis nouveau sur ce forum et espère pourvoir être aidé pour mes différents problèmes mais aussi aider les autres.

Donc voici mon problème :

Je suis entrain de mettre en place un serveur de fichier et je veux gérer les permissions avec la méthode AGDLP préconisé par Microsoft.

Je crée mes Users toto, titi et tata, je les mets dans un Global Group appelé GL_Commerce car ils font partis du même service dans la société. Je crée des groupes Domain Local nommé DL_Gestion et DL_Finance pour mes dossiers partagés Gestion et Finance,j'assigne le global group au domain local et c'est là que les ennuis commence.

Le problème est que je veux attribuer des droits différents aux membre d'un même groupe pour les dossiers Gestion et Finance.

Par exemple, toto et titi ont le control total sur Gestion et tata juste lecture sur Gestion, puis toto et tata ont le control total sur Finance et titi juste lecture sur Finance.

Comment faire cela alors que les users sont membres du même groupe GL_commerce. Faut il créer un Global group GL_Commerce_Gestion_CT (avec toto et titi dedans) et GL_Commerce_Gestion_RO (avec tata dedans) puis les assigner aux groupes Domain Local DL_Gestion_CT, DL_Gestion_RO et faire de même pour le dossier Finance.

Merci de votre aide

[benjamin.f]

Comment faire cela alors que les users sont membres du même groupe GL_commerce. Faut il créer un Global group GL_Commerce_Gestion_CT (avec toto et titi dedans) et GL_Commerce_Gestion_RO (avec tata dedans) puis les assigner aux groupes Domain Local DL_Gestion_CT, DL_Gestion_RO et faire de même pour le dossier Finance.

Merci de votre aide

Bonjour,

vous mettez vos users dans le groupe global pour chaque service si besoin.

Pour chaque dossier, vous créez un groupe de domain local, 1 en lecture et 1 en écriture.

Ensuite vous dispatchez les groupes globaux soit dans le DL lecture, soit dans le DL écriture.

Attention au droit spécial refusant la suppression sur le dossier seulement pour le DL en écriture !

J'ai tenté de parler de ca sur un article de blog. passer le voir, vous me direz.

Cordialement,

Benjamin

[alexis271]

Bonjour,

Pour ce qui est des groupes globaux et locaux pas de problème.

Mon problème et que j'ai les membres d'un même groupe (Commercial) qui doivent avoir des permissions différentes sur un groupe domain local, donc comment faire??

Merci

[benjamin.f]

Bonjour,

Pour ce qui est des groupes globaux et locaux pas de problème.

Mon problème et que j'ai les membres d'un même groupe (Commercial) qui doivent avoir des permissions différentes sur un groupe domain local, donc comment faire??

Merci

Voyez a faire des groupes moins globaux, CommerceA, commerceB, et commerceC, a mettre dans le groupe global commerce.

Ainsi quand il n'y a pas d’ambiguïté, vous utilisez le GG commerce.
Sinon vous restez sur les groupes globaux plus restreints que sont commerce1,...,commerce3

Je ne suis pas pour créer un GL lecture et un GL écriture a mettre dans les DL, je préfère encore mettre les users directement dans le DL si ca ne concerne qu'un dossier.

[alexis271]

Je ne suis pas pour créer un GL lecture et un GL écriture a mettre dans les DL, je préfère encore mettre les users directement dans le DL si ca ne concerne qu'un dossier.

Pourquoi, n'êtes vous pas pour un GL lecture et un GL écriture?

Merci

[benjamin.f]

Pourquoi, n'êtes vous pas pour un GL lecture et un GL écriture?

Merci

Je défini directement mes droit de lecture sur le dossier avec les groupes de domaine local.
1 DL en lecture
1 DL en écriture
C'est le rôle des DL, et ca doit le rester (c'est mon avis).

Si je commence a faire des groupes globaux en lecture et écriture a mettre dans les DL qui sont eux-même en lecture ou écriture ... on s'y retrouve plus.
Les GL me permettent de faire des groupes d'entités au besoin, mais pas a définir les droits du dossier.

[alexis271]

Du coup vous pensez que le mieux est de créer un Groupe Globaux Commerce1 et un autre groupe Commerce2 avec les bons users dedans puis assigner ces GG aux groupes DL. Ou alors assigner les users directement dans les groupes Domain Local?

[benjamin.f]

Du coup vous pensez que le mieux est de créer un Groupe Globaux Commerce1 et un autre groupe Commerce2 avec les bons users dedans puis assigner ces GG aux groupes DL. Ou alors assigner les users directement dans les groupes Domain Local?

Si toutefois "commerce1...X = un nom moins equivoque", et succeptible de recevoir a terme d'autres users dans le groupe alors c'est ce que je ferais.

Si cela ne concerne qu'un petit nombre d'utilisateurs, qui en plus n'est pas amené à être modifier régulièrement je mettrais directement les users dans le DL effectivement.

[alexis271]

Si toutefois "commerce1 = un nom moins equivoque", et succeptible de recevoir a terme d'autres users dans le groupe alors c'est ce que je ferais.

Si cela ne concerne qu'un petit nombre d'utilisateur, qui en plus n'ai pas amené à être modifier régulièrement je mettrai directement les users dans le DL effectivement.

Si on met les users directement dans les DL on a plus de GG et de ce fait on ne respecte plus AGDLP, ce n'est pas grave par exemple en cas d'audit par un gars certifié Microsoft??

[benjamin.f]

Si on met les users directement dans les DL on a plus de GG et de ce fait on ne respecte plus AGDLP, ce n'est pas grave par exemple en cas d'audit par un gars certifié Microsoft??

AGDLP est une méthode de "best Practice" de MS.
On est pas obligé de la respecter (surtout pour les petites structures)
Si MS fait un audit, ce qui l’intéressera, c'est les licences! pas qui à le droit de voir quoi!

Par contre si (par exemple) la CNIL fait un audit, sont but sera de savoir qui a accès à quoi ?
c'est la ou l'AGDLP est utile.
Tel personne ou tel groupe a accès a ce dossier!

si toto est le seul commercial de la boite (et le restera), alors il est plus simple pour moi de savoir que toto a accès au dossier commercial en lecture, pas un groupe !
Si j'audit le dossier commercial et que je vois que le groupe GL_commercial est dans le DL_commercial_Read, alors je dois aller chercher QUI est dans le GL commercial ... tout ca pour voir qu'il n'y a que toto qui peut lire le contenu ....

Alors imagine si j'ai toto dans le groupe GL_commercial_accès, et tutu dans le groupe GL_commercial_pasAccès, et que j'ai ces deux groupes dans le GL_commercial qui lui est dans le DL_commercial_read ... alors il me faudra aller voir dans 3 groupes qui à finalement accès en lecture!?

Il est plus simple de mettre tata directement dans le DL_commercial_read point barre.

Du coup, lors de l'audit de la TPE de 10 employés :

Question : qui a accès en lecture au dossier "commercial" ?
Réponse : toto

Pour une entreprise de 1000 salariés :

Question : Qui a accès au dossier "commercial" ?
Réponse : les commerciaux
Question : Qui sont les commerciaux ?
Réponse : Les membres du groupe Gl_commerciaux

=> ( qui peut lui comprendre de manière distincte plusieurs autres groupes :

GL_commerciaux_smartphones

GL_commerciaux_Tablettes

GL_...

Question : Qui sont les commerciaux du groupe GL_commerciaux_smartphones ?
Réponse :toto, tutu, tata, tonton, titi ....

[alexis271]

Pour une entreprise de 1000 salariés :

Question : Qui a accès au dossier "commercial" ?
Réponse : les commerciaux
Question : Qui sont les commerciaux ?
Réponse : Les membres du groupe Gl_commerciaux

=> ( qui peut lui comprendre de manière distincte plusieurs autres groupes :

GL_commerciaux_smartphones

GL_commerciaux_Tablettes

GL_...

Question : Qui sont les commerciaux du groupe GL_commerciaux_smartphones ?
Réponse :toto, tutu, tata, tonton, titi ....

OK donc tu peux faire en quelque sortes des sous-groupes de GL avec GL_commerciaux_smartphones et juste attribué ce sous groupe (GL_commerciaux_smartphones) aux groupes DL, c'est bien cela??

[benjamin.f]

Oui, si faire des sous-groupes vaut le coup.

[alexis271]

Merci de ton aide. Je vais essayer cela.

[Ptrous]

.......

J'ai tenté de parler de ca sur un article de blog. passer le voir, vous me direz.

Cordialement,

Benjamin

je serais vraiment ravi d avoir le lien du blog////