Si on met les users directement dans les DL on a plus de GG et de ce fait on ne respecte plus AGDLP, ce n'est pas grave par exemple en cas d'audit par un gars certifié Microsoft??
AGDLP est une méthode de "best Practice" de MS.
On est pas obligé de la respecter (surtout pour les petites structures)
Si MS fait un audit, ce qui l’intéressera, c'est les licences! pas qui à le droit de voir quoi!
Par contre si (par exemple) la CNIL fait un audit, sont but sera de savoir qui a accès à quoi ?
c'est la ou l'AGDLP est utile.
Tel personne ou tel groupe a accès a ce dossier!
si toto est le seul commercial de la boite (et le restera), alors il est plus simple pour moi de savoir que toto a accès au dossier commercial en lecture, pas un groupe !
Si j'audit le dossier commercial et que je vois que le groupe GL_commercial est dans le DL_commercial_Read, alors je dois aller chercher QUI est dans le GL commercial ... tout ca pour voir qu'il n'y a que toto qui peut lire le contenu ....
Alors imagine si j'ai toto dans le groupe GL_commercial_accès, et tutu dans le groupe GL_commercial_pasAccès, et que j'ai ces deux groupes dans le GL_commercial qui lui est dans le DL_commercial_read ... alors il me faudra aller voir dans 3 groupes qui à finalement accès en lecture!?
Il est plus simple de mettre tata directement dans le DL_commercial_read point barre.
Du coup, lors de l'audit de la TPE de 10 employés :
Question : qui a accès en lecture au dossier "commercial" ?
Réponse : toto
Pour une entreprise de 1000 salariés :
Question : Qui a accès au dossier "commercial" ?
Réponse : les commerciaux
Question : Qui sont les commerciaux ?
Réponse : Les membres du groupe Gl_commerciaux
=> ( qui peut lui comprendre de manière distincte plusieurs autres groupes :
GL_commerciaux_smartphones
GL_commerciaux_Tablettes
GL_...
Question : Qui sont les commerciaux du groupe GL_commerciaux_smartphones ?
Réponse :toto, tutu, tata, tonton, titi ....
Partager