Listing des répertoires accessibles par utilisateur AD - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 09-06-2015 à 11:34:40
ah... merci
hum... ... bon va falloir que je me plonge dans powershell pour voir comment ça marche et développer le script qui va bien alors
Personne n'a un outil plus simple? même payant?
Marsh Posté le 11-06-2015 à 20:36:25
Une bonne pratique, quand on a un gros serveur de fichiers, consiste à créer un groupe d'accès pour chaque dossier (ou un en lecture, un en écriture aussi).
Du coup quand tu donnes juste les groupes, t'es renseigné.
Tu crées une arborescence type :
Disque
- Service 1
-- Dossier 1
-- Dossier 2
-- Dossier 3
- Service 2
-- Dossier 1
-- Dossier 2
-- Dossier 3
- Service 3
-- Dossier 1
-- Dossier 2
-- Dossier 3
Et tes groupes :
Service1_Dossier1_R
Service1_Dossier1_RW
etc...
Pour les scripts powershell, tu devrais faire un tour sur le script center repository où tu pourrais trouver des scripts tout faits.
https://gallery.technet.microsoft.com/scriptcenter
Marsh Posté le 11-06-2015 à 23:00:41
C'est ce qui fonctionne dans un groupe de 32.000 personnes
Marsh Posté le 11-06-2015 à 23:06:43
Mais tu fais partie de combien de groupes ? Tu exploses la taille de ton token kerberos là
Marsh Posté le 11-06-2015 à 23:24:52
Le serveur de fichiers est organisé de façon à ne pas avoir 10.000 arborescences différentes, une par unité de production (c'est de l'industrie), et ensuite des services en dessous, puis des équipes.
On a effectivement déjà vu des problèmes de taille de tickets kerberos sur des personnes ayant fréquenté 3 ou 4 services sans jamais que leur appartenance aux groupes soit retirée.
De mémoire ça faisait genre 50 groupes pour ceux là.
Un utilisateur lambda appartient à une douzaine de groupes en moyenne, pas plus.
ps : cette orga est initialement plus longue à mettre en place, mais ensuite très simple à faire vivre pour les équipes de helpdesk.
Marsh Posté le 12-06-2015 à 08:34:46
Par contre, niveau scalabilité c'est pas top ...
Marsh Posté le 12-06-2015 à 09:03:34
Oui, ici aussi, on a cette politique de répertoires par service :
- un répertoire accessible uniquement par le chef de service
- un autre que par les membres du service
- un autre en lecture pour toute l'entreprise mais en écriture que par les membres du services
... et à chaque fois avec les groupes qui vont bien.
Normalement, on essaye de ne pas trop s'écarter de cette politique et de ne pas trop rajouter de droits nominatifs sur les répertoires...
Mais par exemple, quand une personne change de service, on lui laisse les droits sur son ancien service le temps qu'elle finisse sa migration... et du coup, ça peut arriver qu'on oublie ensuite de lui enlever les anciens droits...
donc si il y avait un outil pas trop compliqué pour vérifier qu'il n'y a pas d'erreur ça me plairait bien
Marsh Posté le 12-06-2015 à 11:36:40
Avec ce genre d'organisation, il faut bien border le process de changements d'équipe/d'organisation.
Pour pouvoir adapter les appartenances aux bons groupes dès qu'il y a un changement (changement de service, nouveau service, départ et arrivée des personnes).
Reste que si l'organisation change ou grandit et que certains utilisateurs aient besoin d'avoir beaucoup d'accès, le risque d'arriver à la limite grandit.
Marsh Posté le 12-06-2015 à 11:51:41
Soit tes filers fonctionnent à l'ancienne et dans ce cas tu listes les groupes d'appartenance correspondants.
Soit tu utilises le DAC et la tu listes les attributs AD.
Marsh Posté le 09-06-2015 à 11:22:20
Bonjour,
J'aimerai trouver une solution qui me permettrait de lister les répertoires accessibles de mon serveur de fichiers pour un utilisateur "Active Directory" donné.
Bien sur, je ne souhaite pas que l'outil en question scanne toute l'arborescence du serveur de fichiers (plusieurs millions de répertoires... le résultat serait illisible) mais par exemple jusqu'à 2 ou 3 sous-répertoires pour chaque partage.
Est-ce qu'un utilitaire de ce type existe?
Comment faites-vous quand votre hiérarchie vous demande la liste des répertoires accessibles par un utilisateur précis? (vous ne donnez que la liste des groupes AD auxquels il appartient?)
Merci d'avance pour votre aide