Bonjour à tous,
 
Je cherche un document Microsoft contenant les recommandations concernant l'arborescence d'un serveur de fichiers.
 
Pouvez-vous m'aider ?
 
Je cherche d'ailleurs des conseils pour la création d'une nouvelle arborescence (création, attribution des droits, héritage, groupe locaux, groupes globaux, etc...).
 
Merci.

Voici ce que je suis entrain de mettre en place :
-création d'un répertoire par service (lecture seule pour tout le monde ou groupe prédéfini)
-création des répertoires enfants à chaque service (2 groupes d'accès à chaque fois, lecture/écriture et lecture seule)
Pas de gestion des accès sur le reste de l'arborescence (qui hérite alors des accès des dossiers enfants).

Pour ma part :  
 
J'organise de la facon suivante :
Répertoire Racine :  
Ensuite dans ce répertoire je créai des répertoires par PROCESSUS
 
Exemple : Expediction, Comptable, etc...  
Sur chaque répertoire j'ai crée un 3 groupe de distribution :  
GRP_"nom du process"_LECTURE
GRP_"nom du process"_ECRITURE
GRP_"nom du process"_CONTROLE Total
 
Et ca pour chaque dossier crée.
 
J'interdis aux restes des utilisateurs d'accéder.
 
Ensuite dans chaque processus, j'ai crée un dossier PARTAGE.
Dans ce dossier PARTAGE, les gens peuvent mettre des dossiers disponibles pour d'autres processus. Ils appelent le service informatique pour ajouter des droits ensuite..
 
Avantage de ce type d'architecture :
- très organisé
- sécurité controlé
- moins de dossier genre public avec tout est n'importe quoi
- chaque responsable de pole est responsable de son dossier.
 
Inconvenient :  
- Augmentation du support (demande d'ouverture de droit)
- Long à mettre en place.
 
 
Voici l'exemple :  
 
[img]
 
[/img]

Ce qu'il faut absolument éviter de faire c'est de mettre des droits d'accès directement à un user sur une ressource car tu t'y perds forcément et ensuite impossible de dire qui a accès à quoi.
Le plus chiant c'est donc de créer les différents groupes d'accès et d'y intégrer les membres.

+1 c'est ça
IL faut essayer autant que possible de travailler par GROUPE

Donc "teflon", ils peuvent créer des répertoires avec des droits hérités. La gestion de ces droits pour l'administrateur ne dépassent le niveau des répertoires enfants.
 
Ai-je bien compris ?

bonjour,  
pour ma part il y 2 type de partages
Mes document qui est unique pour chaque utilisateur
sur mon serveur je partage ceci d:\partagemesdoc en autorisation de partage lecture/ecriture
pour les autorisation je joue avec les autorisations ntfs
 
Nous avons des répertoires par service, idem que "mes documents"
je ne partage que d:\messervice puis a l'intérieur avec des autorisations nfts je joue avec les groupes de services.
Apres pour la colaboration "inter service" j'ai un repertoire qui s'appéle "INTERSERVICE" ou je creer des repertoires a la demande avec les services concerné. Ils ne peuvent voir que ce qu'ils ont accés avec l'option "ABE" access baseline enumeration"

Oui  
Exemple : Dossier Acheter à un groupe GRP_ACHETER..
 
Si je créai un sous dossier achats, il récupèrera le GRP_ACHETER.

Pas mal l'option "ABE". J'ai la même organisation que "skoizer" sauf que les utilisateurs ont voulu partager des dossiers et des fichiers à l'intérieur de leur propre répertoire de service. L'ancien administrateur a accepté ce genre de pratique et maintenant c'est le bordel !
 
Quelle profondeur d'arborescence avez-vous préconisé aux utilisateurs ?

2 - 3 pas plus. tu as avoir des problèmes aprés de longeur de chemin.

 
C'est pour cela que j'ai crée un dossier PARTAGE. et le service informatique doit être rigoureux pour donner les accés à chaque dossier.
Nous, une demande d'ouverture de droit doit etre faite, valider par le reponsable du processus, et puis par le service informatique.
Depuis que j'ai mis en place cette organisation, cela va nettement mieux et très apprécié des audits.

Exemple : pour le répertoire Marketing (lecture seule pour tout le monde, ça évite de pourrir la racine de ce dossier)
A l'intérieur j'ai un répertoire Photos duquel découle 2 groupes d'accès => lecture et lecture/écriture (mais héritage cassé avec le dossier Marketing). Si un membre du groupe GA_MKT_Photos_RW veut créer un répertoire sous Photos il pourra oui. Idem à l'intérieur du dossier nouvellement créé, tous les droits sont hérités des dossiers enfants.

Je pense qu'en résumé, on pourra te donner tout un tas de conseil... le mieux c'est de te faire des repertoire de test, et de jouer avec les héritage...
 
Moi la particularité en plus, c'est que tout les photocopieurs de mon organisation ont un bouton pour scanner dans chaque service... et donc la aussi il faut jouer avec les droits d'accès...
 
Bien sur tu utilise DFS pour partager ton répertoire racine, j'espère?

comment fait tu pour le scan des photocopieurs ?

Je créai un utilisateur dans l'ad: user_imprimante
J'ajoute l'utilisateur sur chaque service, l'utilisateur user_imprimante,  
Je lui autorise que parcourir le dossier et uniquement le dossier Service.
Ensuite je créai un répertoire scanneur, et je rajouter l'utilisateur user_imprimante et je lui donne les droits écritures.
 
Ensuite je configure les multifonctions.
C'est long à mettre en place mais ça fonctionne trés bien.
 
Tu paramètres une imprimante et si tes multifonctions sont de la même marque, tu réimportes ta configuration...
 
Depuis n'importe quel bâtiment, on retrouve tous les dossiers de chaque service.
 

ça fonctionne si il y a une multifonction par service.
si il y a x service pour une multifonction ...

euh.... non ça fonctionne pour tout... il y a un truc que tu as pas bien compris surrement...
 
Je peux avoir trois multi, control qui pointe les trois sur le meme repertoire ou le meme dossier service.
 

 
Tu trouveras des docs sur Technet.
 
Les solutions possibles dépendent de ton infra, sachant que le système actuel change radicalement avec Windows Server 2012.
 
Quelques recommandations :
 
- Planifier et ne pas faire cela à l'arrache, une arbo est généralement en place pour plusieurs années.
- Construire une matrice des accès et des partages
- Trouver un équilibre entre sécurité et autosuffisance des utilisateurs
- Respecter AGDLP
- Mettre à contribution les permissions NTFS
- Tout le monde et Contrôle total sont bannis (sauf cas très exceptionnel qui doit être justifié)
- Auditer les dossiers sensibles
 
C'est presque un métier à part entière donc il est difficile d'en dire plus.

 
presque