Droits sur Groupe Local - Global AD

Droits sur Groupe Local - Global AD - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 28-10-2009 à 09:59:14    

Bonjour à tous,
 
J'ai un petit (gros) soucis avec les droits sous Win2003. Je dois totalement reconfigurer un serveur de fichier et un Active Directory qui n'a pas été mis à jour depuis un bon bout de temps... J'essaye donc de faire un truc propre. Je me suis documenté sur l'architecture typique a adopter avec l'active directory, et je tombe régulièrement sur le principe de AGDLP.
 
D'après ce site :  
 
http://www.laboratoire-microsoft.o [...] groupes/2/
 
Et la réponse d'akabis dans ce topic :  
 
http://forum.hardware.fr/hfr/syste [...] t_13_3.htm pre.  
 
L'architecture parfaite devrait se décomposer comme cela (si j'ai bien tout compris...) :  
 
http://img229.imageshack.us/img229/9862/permissionswindows.jpg
 
Mais j'ai un problème. Je n'arrive pas à mettre les droits des groupes locaux sur les répertoires partagés du serveur. Il n'y a pas de problème avec les globaux, mais il ne trouve pas les groupes locaux. En gros, pour suivre mon shéma, j'arrive bien à mettre des droits pour "Pistons" et "Bielles" mais pas pour "Moteur". Pourtant, akabis dit bien dans son post :  
 
"Pour chaque groupe local sur la ressource, on affecte les droit qui vont bien."
 
Mais sur le site supinfo, le gars dit qu'il faut ajouter les membres directement au LocalDomain (alors que son schéma montre l'inverse...)
 
Bref, je suis un peu paumé, il y a surement quelque chose que je n'ai pas bien saisi, je compte donc sur vous pour me dire où je me plante...
 
Merci d'avance ;)


Message édité par MProject4 le 28-10-2009 à 10:01:21
Reply

Marsh Posté le 28-10-2009 à 09:59:14   

Reply

Marsh Posté le 28-10-2009 à 12:06:37    

Un petit schema pour expliquer l'Agdlp:
http://upload.wikimedia.org/wikipedia/en/3/3f/Agdlp_implemented.gif
 
Donc sur ton partage, le dossier, bouton droit/sécurité tu ajoutes tes groupes locaux (de sécurité) et en dessous tu affectes, en cochant ce qui va bien, les droits accordés. Rien de plus a faire pour que ça fonctionne.  

Reply

Marsh Posté le 28-10-2009 à 12:28:05    

Salut akabis et merci pour ta réponse ;)
 
Ca me rassure, j'avais bien compris ce principe. Le problème se situe dans la partie 3, concernant la mise en place des permissions.
 
Pour reprendre ton schéma, j'arrive correctement à attribuer des permissions sur les global group (ici UK sales), mais il est impossible d'attribuer des permissions aux local group (ici US Sales). En effet, quand je fais bouton droit/sécurité, il ne trouve pas le local group, par contre il trouve bien le global group. Mais suivant ton schéma, il faut bien mettre les permissions sur le fichier au local group non ?
 
 :(


Message édité par MProject4 le 28-10-2009 à 12:30:37
Reply

Marsh Posté le 28-10-2009 à 16:03:20    

1ere étape:
Dans active Directory
-création des comptes users
-création des groupes globaux
-création des groupes locaux (ce que je fais en général: 3 groupes par partage, Controle Total (les admins)/lecture/lecture-ecriture)
ex: partage1_CT / partage1_R/ partage1_RW
 
2eme etape:
Dans chaque partage, sur le dossier lui même: bouton droit/securité et ajouter: ajouter les groupes locaux. L'emplacement doit etre le domaine et non la machine. (tu ajoutes partage1_CT et partage1_R et partage1_RW)
Pour chaque groupe local, mettre les droits qui vont bien (dans l'onglet securité, tu selectionnes ton groupe local (il passe en surbrillance blue) et dans la partie du dessous tu coches les cases en fonction des droits accordés)
 
3eme étape:
Assigner les users à des groupes globaux
Assigner les groupes globaux aux groupes locaux concernés
 
Et normalement il n'y a pas de soucis, je viens même de refaire le test sur un serveur rien que pour toi :-)


Message édité par akabis le 28-10-2009 à 16:09:28
Reply

Marsh Posté le 28-10-2009 à 16:09:19    

Merci encore pour ta réponse akabis,
 
Le problème est dans ton étape 2. Il ne trouve pas les groupes Locaux ! Je cherche bien sur mon domaine (pas ma machine), la preuve, il trouve correctement les groupes Globaux...
 
Tout mon problème est là...
 
Bonne idée les 3 groupes par partage, je vais faire de même ;)

Reply

Marsh Posté le 28-10-2009 à 16:15:25    

dans ton AD, créée un nouveau groupe local de sécurité.
Dans AD: bouton droit/nouveau/groupe
Nomme le, coche les cases "local" pour "étendue de groupe" et "sécurité" pour "type de groupe".
Toujours dans AD, à la racine de ton domaine: bouton droit/rechercher:
champs rechercher: utilisateur/contact/groupe
champs domaine: ton domaine.
S'il (le nouveau groupe local) apparait en résultat, il n'y a pas de raison de ne pouvoir l'ajouter sur un partage.


Message édité par akabis le 28-10-2009 à 16:16:01
Reply

Marsh Posté le 28-10-2009 à 16:29:28    

Tous mes groupes locaux sont bien visibles dans la fonction rechercher de l'AD.
 
Je viens créer un autre groupe en suivant à la lettre ce que tu viens de me dire.
 
Le nouveau groupe apparait bien dans la fonction "rechercher", mais je n'arrive pas à rajouter ce groupe dans un partage.

Reply

Marsh Posté le 28-10-2009 à 16:32:13    

Le problème viens effectivement du serveur.
 
J'ai essayé de rajouter mes groupes locaux sur un partage d'un autre serveur et tout est ok.
 
Mon nouveau serveur est :
 
- sur le bon domaine
- communique bien avec le contrôleur de domaine
 
 
Le truc que je pige pas, c'est pourquoi il peut rajouter les groupes globaux mais pas locaux  :pt1cable:  
 
On se rapproche du but, mais...

Reply

Marsh Posté le 28-10-2009 à 16:34:26    

windaube inside?

Reply

Marsh Posté le 28-10-2009 à 16:39:43    

J'en sais rien... Je pense pas... Je crois que c'est plus une petite manip à faire qui pose ce problème...

Reply

Marsh Posté le 28-10-2009 à 16:39:43   

Reply

Marsh Posté le 28-10-2009 à 17:10:06    

En cherchant sur le net, certains parle de mode mixte/natif.
Mon mode de niveau fonctionnel est "Windows 2000 mixte". Est-ce que ca pose un problème ?
Edit : http://www.forum-microsoft.org/topic61152.html
Edit : http://www.archivum.info/microsoft [...] es_groupes
 
Exactement le même problème que moi  :heink:  
 
 
PS : C'est dingue tous les postes que tu as fait sur l'AGDLP akabis...

Message cité 1 fois
Message édité par MProject4 le 28-10-2009 à 18:28:28
Reply

Marsh Posté le 29-10-2009 à 10:17:12    

MProject4 a écrit :

En cherchant sur le net, certains parle de mode mixte/natif.
Mon mode de niveau fonctionnel est "Windows 2000 mixte". Est-ce que ca pose un problème ?


Normalement non, le fait d'être en mixte permet (dans le cas de W2K) d'integrer des serveurs NT dans ton domaine en tant que DC. En natif tu restes sur du 2000.
 

MProject4 a écrit :


PS : C'est dingue tous les postes que tu as fait sur l'AGDLP akabis...


Plein de monde se plaint que sa gestion de droits est bordelique alors qu'en suivant ce simple principe ça devient tout simple. Et vu que c'est régulier comme demande, faut faire des piqures de rappel... je posterai peut être un truc dans les tuto la dessus.


Message édité par akabis le 29-10-2009 à 10:19:10
Reply

Marsh Posté le 29-10-2009 à 10:42:40    

Oui, j'ai bien compris l'avantage d'une telle solution.  C'est pour ca que j'essaye de l'appliquer...
 
J'ai sortis mon serveur du domaine, puis je l'ai re-rentré, rien n'y fait, je ne vois toujours pas mes groupes locaux du contrôleur de domaine (toujours pas de soucis avec les globaux...).
 
Petite question (éclaircissement): Mon serveur de fichier n'est pas mon contrôleur de domaine. Autrement dit, j'ai deux serveurs. CDDomaine - Fichier.
L'AGDLP n'est-il pas un mode d'organisation uniquement réalisable lorsque le contrôleur de domaine est le serveur de fichier ? Ça me parait impossible étant donné que la plupart des boites ont des serveurs bien distinct mais bon...

Reply

Marsh Posté le 29-10-2009 à 10:57:32    


Lebut est d'utiliser l'annuaire Active directory et rien que lui dans l'organisation.
Pour chaque partage existant ou à venir, tu crées les groupe locaux que tu assignes à tes partages avec les droits qui vont bien et ensuite tu gères les utilisateurs et groupes globaux et leurs autorisations sur les ressources via l'AD (et non plus sur les serveurs).
Ca se limite à ça, donc quelque soit le rôle du serveur ça ne change rien.
L'AGDLP est une "bonne pratique" et non pas une technique (c'est donc indépendant du rôle du serveur).  
Il doit y avoir un petit souci sur ton install serveur, il faut chercher dans la KB microsoft.


Message édité par akabis le 29-10-2009 à 11:05:10
Reply

Marsh Posté le 29-10-2009 à 11:37:39    

Merci pour ces précisions.
 
Je viens de tester sur les autres serveurs du parc, aucun ne voit les groupes locaux sur le CDDomaine...
 
Le problème vient donc de la conf du contrôleur de domaine, ou du contrôleur de domaine lui-même...
 
Je continue à chercher...


Message édité par MProject4 le 29-10-2009 à 11:41:10
Reply

Marsh Posté le 30-10-2009 à 06:31:25    

:)

Reply

Marsh Posté le 30-10-2009 à 09:23:02    

Après mise à jour et reboot du Contrôleur de Domaine, toujours rien, les groupes locaux sont introuvables.  :(  
 
Sachant que je ne gère qu'un seul domaine, est-il important que les groupes globaux soit englobé dans des groupes locaux ?
 
Je veux dire, pourquoi ne pas englober les groupes globaux dans d'autres groupes globaux qui eux sont visibles sur les autres serveurs ?
 
 :??:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed