Bonjour,
 
Mon boss et moi même souhaitons mettre en place un système correct de gestion des droits de sécurité (Pour l'instant les droits sont assignés par utilisateurs ce qui s'avère assez bordélique).
On souhaite mettre une arborescence de groupe du style : Ressource --> Groupe Local --> Groupe Global --> Utilisateurs
 
Mais on a constaté un soucis :
 
* Quand on assigne les droits directement aux utilisateur, les droits de sécurité sont mis à jour en temps réel (pas besoin de réouvrir sa session)
* A l'inverse, quand on assigne les droits en passant par les groupes, là il faut réouvrir la session utilisateur sinon les droits ne sont pas mis à jour.
 
J'aurais voulu savoir s'il n'y avait pas un moyen pour que les droits assignés par groupes soient mis à jour en temps réel (Une clef de regedit, une GPO, ou n'importe quoi d'autre ^^)
 
Merci pour vos futures réponses.

C'est l'assignation User/group qui est appliquée qu'après réouverture des sessions, pas l'assignation groupe/répertoire.
 
Donc si tu users sont dans les bons groupes, tout ira bien par la suite

Ok je comprends, je n'étais pas au courant, merci pour cette clarification Pims.
 
Mais du coup ça nous pose problème car nous allons constamment Ajouter/Supprimer des utilisateurs aux groupes.
 
Nos utilisateurs ont en permanence des lourds logiciels lancés comme Autocad, 3DSMax et Photoshop, le genre de logiciel où vous ouvrez un fichier assez balèze et vous avez le temps d'aller vous chercher un café. Ils ont toujours été habitués à avoir les droits assignés en temps réel. Si du jour au lendemain on leur demande de se rouvrir leur sessions (et donc leurs logiciels) j'en connais qui vont râler
 
Il n'existe pas une solution pour ce problème ?

Je ne comprends pas pourquoi les association users/groups vont changer souvent?

Non pas de solution.
Au logon, le DC renvoie à l'utilisateur une liste de SID auquel il appartient (whoami /all). Qd il accède à une ressource, le serveur match la correspondance entre ses ACL et la liste des SID de l'utilisateur et applique la resultante la plus restrictive.
 
Donc si tu veux que se soit plus dynamique il faut assigner aux groupes les permissions et non pas assigner les utilisateurs aux groupes

Ok nous sommes donc bloqués.
Bon bah je crois que nos utilisateurs vont relancer leur sessions ^^
 
 
Pour t'éclairer Pims, sur notre serveur chaque projet est une ressource différente. On crée régulièrement de nouveaux projets, et certains utilisateurs y sont assignés.
Le principe était donc de créer pour chaque projet un groupe global READ et un autre READWRITE. Et ajouter les utilisateurs aux groupes en fonction de leur besoin. Un utilisateur peut avoir besoin de l'accès juste pour quelques heures c'est très fréquent, ce qui rendait ce système de gestion de groupe intéressant.  
Mais si l'on doit à chaque fois rouvrir la session cette technique perd tout son charme.
 
Il existe peut être une meilleure stratégie pour gérer ce genre de ressources, je vais me documenter.
 
 
Merci Je@nb pour cette réponse technique, j'y vois plus clair.
D'ailleur je n'ai pas la commande "whoami" dans mon XP, google me dit pourtant le contraire, étrange.  
Je ne l'ai même pas dans la doc de référence Windows sur la ligne de commande (%windir%\hh.exe ms-its:%windir%\Help\ntcmds.chm:ntcmds.htm)
Rien à voir mais tu ne t'appellerais pas Olivier par hasard ?

Effectivement je vois.
Nous utilisons la même technique mais nous il n'y a pas de changement par la suite.
 
Tu pourrais essayer de mettre les users dans des groupes de manière fixe et ensuite mettre les groupes dans des groupes...  
Ca me semble un peu crade mais bon faut essayer.