Les permissions sur un partage ne sont jamais données à un compte utilisateur ou un groupe global... seulement à un groupe local.
La stratégie AGLP consiste à:
dans un groupe local on met un groupe global et dans un groupe global on met des comptes. Et on associe les permissions sur un partage à un groupe local.
Tu as des permissions à changer (ajouter/enlever des personnes): tu geres ça depuis la console AD et non directement sur les serveurs.
Idem, tu déclares tes partages dans l'AD, les comptes exchanges, les imprimantes...
Dans un domaine sous AD, tout peut être gerer depuis l'AD... qui est un annuaire.
Le but: tout gérer depuis active directory et ne plus intervenir sur les serveurs.
Ex:
Comptes: toto, titi, tata, tutu
groupes globaux: finance, tech
dans le groupe global finances (lecture/ecriture sur finance et lecture sur tech)tu as: toto et titi
dans le groupe global tech (lecture/ecriture sur tech, rien sur finance) tu as: tata et tutu
2 partages: serveur1_finance, serveur2_tech
tu crées 3 groupes locaux par partage dans l'AD:
groupe local pour le partage serveur1_finance: serveur1_financeR, serveur1_financeRW, serveur1_financeCT
groupe local pour le partage serveur2_tech: serveur2_techR, serveur2_techRW, serveur2_techCT
Sur chaque partage (sur le serveur) tu donnes les droits d'acces aux groupes locaux avec droits:
en lecture seul pour: serveur1_techR
en lecture ecriture pour: serveur1_techRW
control total pour:serveur1_techCT
Dans active directory tu mets les groupes globaux dans les groupes locaux.
dans serveur1_techCT tu mets les groupes admin.
serveur1_techR tu mets le groupe global finance.
serveur1_techRW tu mets le groupe global tech.
Et voila, une strategie AGLP en place.
Dorenavant pour les permissions sur les partages, tu n'as plus à faire quoique ce soit sur un seul serveur. La console AD sera le seul outil que tu utilisera pour gerer tes permissions sur le réseau.
Message édité par akabis le 01-12-2006 à 12:09:58
