AGDLP/AGUDLP - Comment bien gérer les droits sur un serveur de fichiers Windows Serveur

Originally published at: https://rdr-it.com/blog/agdlp-agudlp-comment-bien-gerer-les-droits-sur-un-serveur-de-fichiers-windows-serveur/

Bonjour à tous, Aujourd’hui ce n’est pas un tutoriel que je vous propose, mais un article (qui risque d’être long et de donner mal à la tête) sur la gestion des droits au niveau des serveurs de fichiers Windows. Avant de parler de gestion des droits avec les méthodes AGDLP/AGUDLP qui sont les préconisations (bonne…

Bonjour merci pour ce tutoriel !

Mais j’ai plusieurs questions actuellement quand je crée un groupe de mon active directory et que j’assigne à des membres puis que j’affecte à mes dossiers ce même groupe.

Mes membres n’ont pas accès aux dossiers tout de suite il leur faut un certain moment avant que sa se répercute. (On a deux serveurs un pour les dossiers et un autre pour l’ad)

sAvez-vous pourquoi ? et si oui avez-vous une solution. Car je me retrouve à devoir mettre les droits manuellement par utilisateur !

Bonjour Maxime,

  • Une petite phrase toute simple - et pour tout comprendre : « Les droits d’accès sont acquis avec le Token ».

  • Quoi, mais Kesako ?

  • Quand un utilisateur s’authentifie, il récupère un ticket Kerberos ou token. Dans ce token, il y a tous les groupes auxquels le compte appartient. Ensuite, quand l’utilisateur veut utiliser une ressource (par exemple accéder à un partage, une app, …), Il présente son token. C’est comme à l’entrée des boites de nuit. Il y a un gardien « dsl c’est soirée VIP », et là, tu sors ton Token et si tu es membre du groupe VIP tu rentres, sinon retour à la maison.
    Revenons à nos moutons. On vient d’ajouter ton compte dans un groupe pour que tu puisses accéder à une ressource. Est-ce qu’il y a ce nouveau groupe dans ton token ? He bien, non que nenni, nada, … il faudra attendre que tu renouvèles ton tiket Kerberos.

  • Mais me diras-tu, après que l’on m’ai ajouté, j’ai fermé ma session (pas verrouillé, mais ben fermé), puis ré-ouvert celle-ci. Si j’ai tout bien suivi, j’ai donc un token réactualisé.

  • Si fait, si mon jeune ami, mais quand ton admin préféré a ajouté ton compte au groupe, l’action s’est effectuée sur un DC, et ce n’est peut-être pas celui qui t’as authentifié, … par conséquent, ton token a bien été re-actualisé, mais il n’a pas été alimenté avec ce nouveau groupe.

  • Alors c’est bon au bout de combien de temps ?

  • Réponse de Normand : « Ca dépend ». Ca dépend si le DC mis à jour est sur le même site que le DC sur lequel tu t’authentifies. La réplication Intra-site (au sens Sites&Services AD) n’est pas la même qu’inter-site. Et ca dépend également si l’intervalle en 2 réplication inter-sites a été modifiée ou si c’est le « default ».

  • « Car je me retrouve à mettre les droits manuellement » : Pas bon ça !

  • Mais pas le même effet, c’est immédiat.

  • Bien sur, si tu as bien suivi, on a pas ajouté le compte dans un groupe, on a juste accordé des droits en direct, et c’est immédiat. Mais cela n’en est pas moins une mauvaise pratique d’administration.

  • Pourquoi ?

  • Simple j’ai rajouté Dupont sur 100 ressources, fait chi… je suis obligé aller faire un tour sur ces 100 ressources (et en espérant qu’il n’y en ai pas d’autres que j’aurais oublié, ce n’est garanti)… Alors que si je t’ai ajouté dans un ou des groupes et que les accès aux ressources sont accordés à ces dits groupes, il me suffit de prendre ton compte, et de supprimer ton appartenance à tous ces groupes, et finito. Simple, rapide, efficace, et « secure ». Tu comprends donc maintenant tout l’intérêt du tuto qui a été présenté.

Bonne administration à toi.

P.S. : tes utilisateurs ne sont pas à la minutes, ou ils n’avaient qu’à anticiper leur demande. Tu n’es pas leur esclave dévoué qui réalise tout quand ils claquent des doigts. Vas donc leur demander tel ou tel formulaire pour voir s’il te le fournisse dans la minute. :slight_smile: Qu’ils aillent boire un café et patientent quelques minutes.

1 « J'aime »

Bonjour

Merci de ta réponse complète, franchement je pensais pas avoir ce genre de réponse aussi claire et détailler mais effectivement en fermant la session de l’utilisateur le Token est réattribué à ce moment là.

PS: Je trouve ta phrase vraiment cool et sera réutilisé !

Si c’est clair et utile, objectif atteint. La connaissance s’accroit … quand on la partage.