Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes globaux,
locaux.(logique) Pouvez vous m'expliquer comment utiliser ses groupes pour
pouvoir attribuer les bons droits sur les répertoires?
Cordialement.
Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes globaux,
locaux.(logique) Pouvez vous m'expliquer comment utiliser ses groupes pour
pouvoir attribuer les bons droits sur les répertoires?
Cordialement.
Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes globaux,
locaux.(logique) Pouvez vous m'expliquer comment utiliser ses groupes pour
pouvoir attribuer les bons droits sur les répertoires?
Cordialement.
Bonjour,
pour suivre les best practices, suis le modèle MS classique :
A-G-(U) -DL-P ou en français :
- création des utilisateurs
- ajout dans des groupes globaux (pour des permissions générales au
domaine)
- [facultatif] si nécessaire, ajout de groupes globaux de plusieurs
domaines de la même forêt dans un groupe universel
- ajout des groupes globaux / universels dans un / des groupes locaux de
domaine (pour des droits locaux sur un poste) ou local au poste
(placement d'un groupe global dans un groupe local administrateurs par
exemple)
- application des permissions d'accès à une ressource locale sur un groupe
local
Il est toutefois vrai que depuis NT4, les portées des différents groupes a
bien changé et de très nombreuses sociétés utilisent uniquement des
groupes globaux pour éviter de se compliquer la tâche.. avec des résultats
pas si mauvais que ça!
Attention toutefois si tu compte utiliser des groupes universels, ceux-ci
ne pouvant être placés que dans des groupes locaux de domaine.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" a écrit dans le message de news:Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes globaux,
locaux.(logique) Pouvez vous m'expliquer comment utiliser ses groupes
pour pouvoir attribuer les bons droits sur les répertoires?
Cordialement.
Bonjour,
pour suivre les best practices, suis le modèle MS classique :
A-G-(U) -DL-P ou en français :
- création des utilisateurs
- ajout dans des groupes globaux (pour des permissions générales au
domaine)
- [facultatif] si nécessaire, ajout de groupes globaux de plusieurs
domaines de la même forêt dans un groupe universel
- ajout des groupes globaux / universels dans un / des groupes locaux de
domaine (pour des droits locaux sur un poste) ou local au poste
(placement d'un groupe global dans un groupe local administrateurs par
exemple)
- application des permissions d'accès à une ressource locale sur un groupe
local
Il est toutefois vrai que depuis NT4, les portées des différents groupes a
bien changé et de très nombreuses sociétés utilisent uniquement des
groupes globaux pour éviter de se compliquer la tâche.. avec des résultats
pas si mauvais que ça!
Attention toutefois si tu compte utiliser des groupes universels, ceux-ci
ne pouvant être placés que dans des groupes locaux de domaine.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" <tibs@rien.fr> a écrit dans le message de news:
OHZbDn4jGHA.2200@TK2MSFTNGP05.phx.gbl...
Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes globaux,
locaux.(logique) Pouvez vous m'expliquer comment utiliser ses groupes
pour pouvoir attribuer les bons droits sur les répertoires?
Cordialement.
Bonjour,
pour suivre les best practices, suis le modèle MS classique :
A-G-(U) -DL-P ou en français :
- création des utilisateurs
- ajout dans des groupes globaux (pour des permissions générales au
domaine)
- [facultatif] si nécessaire, ajout de groupes globaux de plusieurs
domaines de la même forêt dans un groupe universel
- ajout des groupes globaux / universels dans un / des groupes locaux de
domaine (pour des droits locaux sur un poste) ou local au poste
(placement d'un groupe global dans un groupe local administrateurs par
exemple)
- application des permissions d'accès à une ressource locale sur un groupe
local
Il est toutefois vrai que depuis NT4, les portées des différents groupes a
bien changé et de très nombreuses sociétés utilisent uniquement des
groupes globaux pour éviter de se compliquer la tâche.. avec des résultats
pas si mauvais que ça!
Attention toutefois si tu compte utiliser des groupes universels, ceux-ci
ne pouvant être placés que dans des groupes locaux de domaine.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" a écrit dans le message de news:Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes globaux,
locaux.(logique) Pouvez vous m'expliquer comment utiliser ses groupes
pour pouvoir attribuer les bons droits sur les répertoires?
Cordialement.
Merci,
Pour faire simple je suis dans une société avec 70 utilisateurs donc
effectivement je me prends un peu la tête avec les groupes globaux et
locaux.
En fait je comprends pas trop les groupes globaux et locaux.
Exemple :
1 groupes globaux : Compta avec les utilisateurs de la compta dedans.
Je souhaite que certaines personnes aient les droits de lecture sur une
partie de l'arborescence de la compta et d'autres tous les droits
(responsable de service)
=> 2 groupes locaux : compta-ro et compta-rw
Mais le probleme c que si j'ajoute le groupe global a mon local ca ne sert
a rien, je ne peux pas faire de cas par cas.
J'espere que vous avez compris.
Merci
"Jonathan Bismuth" a écrit
dans le message de news:Bonjour,
pour suivre les best practices, suis le modèle MS classique :
A-G-(U) -DL-P ou en français :
- création des utilisateurs
- ajout dans des groupes globaux (pour des permissions générales au
domaine)
- [facultatif] si nécessaire, ajout de groupes globaux de plusieurs
domaines de la même forêt dans un groupe universel
- ajout des groupes globaux / universels dans un / des groupes locaux de
domaine (pour des droits locaux sur un poste) ou local au poste
(placement d'un groupe global dans un groupe local administrateurs par
exemple)
- application des permissions d'accès à une ressource locale sur un
groupe local
Il est toutefois vrai que depuis NT4, les portées des différents groupes
a bien changé et de très nombreuses sociétés utilisent uniquement des
groupes globaux pour éviter de se compliquer la tâche.. avec des
résultats pas si mauvais que ça!
Attention toutefois si tu compte utiliser des groupes universels, ceux-ci
ne pouvant être placés que dans des groupes locaux de domaine.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" a écrit dans le message de news:Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes globaux,
locaux.(logique) Pouvez vous m'expliquer comment utiliser ses groupes
pour pouvoir attribuer les bons droits sur les répertoires?
Cordialement.
Merci,
Pour faire simple je suis dans une société avec 70 utilisateurs donc
effectivement je me prends un peu la tête avec les groupes globaux et
locaux.
En fait je comprends pas trop les groupes globaux et locaux.
Exemple :
1 groupes globaux : Compta avec les utilisateurs de la compta dedans.
Je souhaite que certaines personnes aient les droits de lecture sur une
partie de l'arborescence de la compta et d'autres tous les droits
(responsable de service)
=> 2 groupes locaux : compta-ro et compta-rw
Mais le probleme c que si j'ajoute le groupe global a mon local ca ne sert
a rien, je ne peux pas faire de cas par cas.
J'espere que vous avez compris.
Merci
"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news: e5BhvF5jGHA.984@TK2MSFTNGP04.phx.gbl...
Bonjour,
pour suivre les best practices, suis le modèle MS classique :
A-G-(U) -DL-P ou en français :
- création des utilisateurs
- ajout dans des groupes globaux (pour des permissions générales au
domaine)
- [facultatif] si nécessaire, ajout de groupes globaux de plusieurs
domaines de la même forêt dans un groupe universel
- ajout des groupes globaux / universels dans un / des groupes locaux de
domaine (pour des droits locaux sur un poste) ou local au poste
(placement d'un groupe global dans un groupe local administrateurs par
exemple)
- application des permissions d'accès à une ressource locale sur un
groupe local
Il est toutefois vrai que depuis NT4, les portées des différents groupes
a bien changé et de très nombreuses sociétés utilisent uniquement des
groupes globaux pour éviter de se compliquer la tâche.. avec des
résultats pas si mauvais que ça!
Attention toutefois si tu compte utiliser des groupes universels, ceux-ci
ne pouvant être placés que dans des groupes locaux de domaine.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" <tibs@rien.fr> a écrit dans le message de news:
OHZbDn4jGHA.2200@TK2MSFTNGP05.phx.gbl...
Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes globaux,
locaux.(logique) Pouvez vous m'expliquer comment utiliser ses groupes
pour pouvoir attribuer les bons droits sur les répertoires?
Cordialement.
Merci,
Pour faire simple je suis dans une société avec 70 utilisateurs donc
effectivement je me prends un peu la tête avec les groupes globaux et
locaux.
En fait je comprends pas trop les groupes globaux et locaux.
Exemple :
1 groupes globaux : Compta avec les utilisateurs de la compta dedans.
Je souhaite que certaines personnes aient les droits de lecture sur une
partie de l'arborescence de la compta et d'autres tous les droits
(responsable de service)
=> 2 groupes locaux : compta-ro et compta-rw
Mais le probleme c que si j'ajoute le groupe global a mon local ca ne sert
a rien, je ne peux pas faire de cas par cas.
J'espere que vous avez compris.
Merci
"Jonathan Bismuth" a écrit
dans le message de news:Bonjour,
pour suivre les best practices, suis le modèle MS classique :
A-G-(U) -DL-P ou en français :
- création des utilisateurs
- ajout dans des groupes globaux (pour des permissions générales au
domaine)
- [facultatif] si nécessaire, ajout de groupes globaux de plusieurs
domaines de la même forêt dans un groupe universel
- ajout des groupes globaux / universels dans un / des groupes locaux de
domaine (pour des droits locaux sur un poste) ou local au poste
(placement d'un groupe global dans un groupe local administrateurs par
exemple)
- application des permissions d'accès à une ressource locale sur un
groupe local
Il est toutefois vrai que depuis NT4, les portées des différents groupes
a bien changé et de très nombreuses sociétés utilisent uniquement des
groupes globaux pour éviter de se compliquer la tâche.. avec des
résultats pas si mauvais que ça!
Attention toutefois si tu compte utiliser des groupes universels, ceux-ci
ne pouvant être placés que dans des groupes locaux de domaine.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" a écrit dans le message de news:Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes globaux,
locaux.(logique) Pouvez vous m'expliquer comment utiliser ses groupes
pour pouvoir attribuer les bons droits sur les répertoires?
Cordialement.
c'est parce que vous ne prenez peut être pas le bon schéma d'application
de droits :)
Un exemple simple (des dizaines d'autres modèles existent) :
1- définir des groupes globaux, non par activité mais par "type
d'administration" (VIP, utilisateurs standards ...)
2- définir des groupes locaux par droits sur ressources : lecture, lecture
+ écriture
Pensez que les groupes globaux vont vous servir à rassembler des
utilisateurs administrés de la même manière, cela peut être "tous les
comptables" mais pourquoi pas aussi "tous les utilisateurs avancés" et
"tous les utilisateurs standards", tout dépend du contexte de la société.
De même, demandez vous qui va accéder aux ressources aujourd'hui ... et
plus tard!
Actuellement, y'a t'il un ou des VIP (chef de service, chef d'entreprise,
partenaires majeurs .....) qui doivent avoir accès aux documents? Si oui
de quel manière lecture seule ou lecture et écriture? ....
Prenons le cas où les utilisateurs de la compta doivent accéder aux
documents, de même que le chef d'entreprise (pour qu'il puisse accéder à
tout à un instant T), vous ferez :
2 groupes globaux :
- G_utilisateurs compta
- G_responsables
et un groupe local du type "DL_Acces_Compta" [à ne pas appeler
"Accès_restreint_compta" si vous ne voulez pas que le boss vous convoque
:) ] dans lequel vous placeriez les 2 groupes.
J'espère que mon explication est assez claire, n'hésitez pas à me signaler
si vous avez un doute.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" a écrit dans le message de news:
eBJ$Merci,
Pour faire simple je suis dans une société avec 70 utilisateurs donc
effectivement je me prends un peu la tête avec les groupes globaux et
locaux.
En fait je comprends pas trop les groupes globaux et locaux.
Exemple :
1 groupes globaux : Compta avec les utilisateurs de la compta dedans.
Je souhaite que certaines personnes aient les droits de lecture sur une
partie de l'arborescence de la compta et d'autres tous les droits
(responsable de service)
=> 2 groupes locaux : compta-ro et compta-rw
Mais le probleme c que si j'ajoute le groupe global a mon local ca ne
sert a rien, je ne peux pas faire de cas par cas.
J'espere que vous avez compris.
Merci
"Jonathan Bismuth" a écrit
dans le message de news:Bonjour,
pour suivre les best practices, suis le modèle MS classique :
A-G-(U) -DL-P ou en français :
- création des utilisateurs
- ajout dans des groupes globaux (pour des permissions générales au
domaine)
- [facultatif] si nécessaire, ajout de groupes globaux de plusieurs
domaines de la même forêt dans un groupe universel
- ajout des groupes globaux / universels dans un / des groupes locaux de
domaine (pour des droits locaux sur un poste) ou local au poste
(placement d'un groupe global dans un groupe local administrateurs par
exemple)
- application des permissions d'accès à une ressource locale sur un
groupe local
Il est toutefois vrai que depuis NT4, les portées des différents groupes
a bien changé et de très nombreuses sociétés utilisent uniquement des
groupes globaux pour éviter de se compliquer la tâche.. avec des
résultats pas si mauvais que ça!
Attention toutefois si tu compte utiliser des groupes universels,
ceux-ci ne pouvant être placés que dans des groupes locaux de domaine.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" a écrit dans le message de news:Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes globaux,
locaux.(logique) Pouvez vous m'expliquer comment utiliser ses groupes
pour pouvoir attribuer les bons droits sur les répertoires?
Cordialement.
c'est parce que vous ne prenez peut être pas le bon schéma d'application
de droits :)
Un exemple simple (des dizaines d'autres modèles existent) :
1- définir des groupes globaux, non par activité mais par "type
d'administration" (VIP, utilisateurs standards ...)
2- définir des groupes locaux par droits sur ressources : lecture, lecture
+ écriture
Pensez que les groupes globaux vont vous servir à rassembler des
utilisateurs administrés de la même manière, cela peut être "tous les
comptables" mais pourquoi pas aussi "tous les utilisateurs avancés" et
"tous les utilisateurs standards", tout dépend du contexte de la société.
De même, demandez vous qui va accéder aux ressources aujourd'hui ... et
plus tard!
Actuellement, y'a t'il un ou des VIP (chef de service, chef d'entreprise,
partenaires majeurs .....) qui doivent avoir accès aux documents? Si oui
de quel manière lecture seule ou lecture et écriture? ....
Prenons le cas où les utilisateurs de la compta doivent accéder aux
documents, de même que le chef d'entreprise (pour qu'il puisse accéder à
tout à un instant T), vous ferez :
2 groupes globaux :
- G_utilisateurs compta
- G_responsables
et un groupe local du type "DL_Acces_Compta" [à ne pas appeler
"Accès_restreint_compta" si vous ne voulez pas que le boss vous convoque
:) ] dans lequel vous placeriez les 2 groupes.
J'espère que mon explication est assez claire, n'hésitez pas à me signaler
si vous avez un doute.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" <tibs@rien.fr> a écrit dans le message de news:
eBJ$uS5jGHA.4504@TK2MSFTNGP05.phx.gbl...
Merci,
Pour faire simple je suis dans une société avec 70 utilisateurs donc
effectivement je me prends un peu la tête avec les groupes globaux et
locaux.
En fait je comprends pas trop les groupes globaux et locaux.
Exemple :
1 groupes globaux : Compta avec les utilisateurs de la compta dedans.
Je souhaite que certaines personnes aient les droits de lecture sur une
partie de l'arborescence de la compta et d'autres tous les droits
(responsable de service)
=> 2 groupes locaux : compta-ro et compta-rw
Mais le probleme c que si j'ajoute le groupe global a mon local ca ne
sert a rien, je ne peux pas faire de cas par cas.
J'espere que vous avez compris.
Merci
"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news: e5BhvF5jGHA.984@TK2MSFTNGP04.phx.gbl...
Bonjour,
pour suivre les best practices, suis le modèle MS classique :
A-G-(U) -DL-P ou en français :
- création des utilisateurs
- ajout dans des groupes globaux (pour des permissions générales au
domaine)
- [facultatif] si nécessaire, ajout de groupes globaux de plusieurs
domaines de la même forêt dans un groupe universel
- ajout des groupes globaux / universels dans un / des groupes locaux de
domaine (pour des droits locaux sur un poste) ou local au poste
(placement d'un groupe global dans un groupe local administrateurs par
exemple)
- application des permissions d'accès à une ressource locale sur un
groupe local
Il est toutefois vrai que depuis NT4, les portées des différents groupes
a bien changé et de très nombreuses sociétés utilisent uniquement des
groupes globaux pour éviter de se compliquer la tâche.. avec des
résultats pas si mauvais que ça!
Attention toutefois si tu compte utiliser des groupes universels,
ceux-ci ne pouvant être placés que dans des groupes locaux de domaine.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" <tibs@rien.fr> a écrit dans le message de news:
OHZbDn4jGHA.2200@TK2MSFTNGP05.phx.gbl...
Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes globaux,
locaux.(logique) Pouvez vous m'expliquer comment utiliser ses groupes
pour pouvoir attribuer les bons droits sur les répertoires?
Cordialement.
c'est parce que vous ne prenez peut être pas le bon schéma d'application
de droits :)
Un exemple simple (des dizaines d'autres modèles existent) :
1- définir des groupes globaux, non par activité mais par "type
d'administration" (VIP, utilisateurs standards ...)
2- définir des groupes locaux par droits sur ressources : lecture, lecture
+ écriture
Pensez que les groupes globaux vont vous servir à rassembler des
utilisateurs administrés de la même manière, cela peut être "tous les
comptables" mais pourquoi pas aussi "tous les utilisateurs avancés" et
"tous les utilisateurs standards", tout dépend du contexte de la société.
De même, demandez vous qui va accéder aux ressources aujourd'hui ... et
plus tard!
Actuellement, y'a t'il un ou des VIP (chef de service, chef d'entreprise,
partenaires majeurs .....) qui doivent avoir accès aux documents? Si oui
de quel manière lecture seule ou lecture et écriture? ....
Prenons le cas où les utilisateurs de la compta doivent accéder aux
documents, de même que le chef d'entreprise (pour qu'il puisse accéder à
tout à un instant T), vous ferez :
2 groupes globaux :
- G_utilisateurs compta
- G_responsables
et un groupe local du type "DL_Acces_Compta" [à ne pas appeler
"Accès_restreint_compta" si vous ne voulez pas que le boss vous convoque
:) ] dans lequel vous placeriez les 2 groupes.
J'espère que mon explication est assez claire, n'hésitez pas à me signaler
si vous avez un doute.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" a écrit dans le message de news:
eBJ$Merci,
Pour faire simple je suis dans une société avec 70 utilisateurs donc
effectivement je me prends un peu la tête avec les groupes globaux et
locaux.
En fait je comprends pas trop les groupes globaux et locaux.
Exemple :
1 groupes globaux : Compta avec les utilisateurs de la compta dedans.
Je souhaite que certaines personnes aient les droits de lecture sur une
partie de l'arborescence de la compta et d'autres tous les droits
(responsable de service)
=> 2 groupes locaux : compta-ro et compta-rw
Mais le probleme c que si j'ajoute le groupe global a mon local ca ne
sert a rien, je ne peux pas faire de cas par cas.
J'espere que vous avez compris.
Merci
"Jonathan Bismuth" a écrit
dans le message de news:Bonjour,
pour suivre les best practices, suis le modèle MS classique :
A-G-(U) -DL-P ou en français :
- création des utilisateurs
- ajout dans des groupes globaux (pour des permissions générales au
domaine)
- [facultatif] si nécessaire, ajout de groupes globaux de plusieurs
domaines de la même forêt dans un groupe universel
- ajout des groupes globaux / universels dans un / des groupes locaux de
domaine (pour des droits locaux sur un poste) ou local au poste
(placement d'un groupe global dans un groupe local administrateurs par
exemple)
- application des permissions d'accès à une ressource locale sur un
groupe local
Il est toutefois vrai que depuis NT4, les portées des différents groupes
a bien changé et de très nombreuses sociétés utilisent uniquement des
groupes globaux pour éviter de se compliquer la tâche.. avec des
résultats pas si mauvais que ça!
Attention toutefois si tu compte utiliser des groupes universels,
ceux-ci ne pouvant être placés que dans des groupes locaux de domaine.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" a écrit dans le message de news:Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes globaux,
locaux.(logique) Pouvez vous m'expliquer comment utiliser ses groupes
pour pouvoir attribuer les bons droits sur les répertoires?
Cordialement.
Nous avons beaucoup de services. Mais la plus par du temps il y a une
seule personne.Il y a pas mal de droits différents sur les répertoires.
Mais j'ai pas trop envie de faire une usine à gaz pour aussi peu
d'utilisateurs. Je suis pas expert en AD et je cherche une solution :(
"Jonathan Bismuth" a écrit
dans le message de news: e$5%c'est parce que vous ne prenez peut être pas le bon schéma d'application
de droits :)
Un exemple simple (des dizaines d'autres modèles existent) :
1- définir des groupes globaux, non par activité mais par "type
d'administration" (VIP, utilisateurs standards ...)
2- définir des groupes locaux par droits sur ressources : lecture,
lecture + écriture
Pensez que les groupes globaux vont vous servir à rassembler des
utilisateurs administrés de la même manière, cela peut être "tous les
comptables" mais pourquoi pas aussi "tous les utilisateurs avancés" et
"tous les utilisateurs standards", tout dépend du contexte de la société.
De même, demandez vous qui va accéder aux ressources aujourd'hui ... et
plus tard!
Actuellement, y'a t'il un ou des VIP (chef de service, chef d'entreprise,
partenaires majeurs .....) qui doivent avoir accès aux documents? Si oui
de quel manière lecture seule ou lecture et écriture? ....
Prenons le cas où les utilisateurs de la compta doivent accéder aux
documents, de même que le chef d'entreprise (pour qu'il puisse accéder à
tout à un instant T), vous ferez :
2 groupes globaux :
- G_utilisateurs compta
- G_responsables
et un groupe local du type "DL_Acces_Compta" [à ne pas appeler
"Accès_restreint_compta" si vous ne voulez pas que le boss vous convoque
:) ] dans lequel vous placeriez les 2 groupes.
J'espère que mon explication est assez claire, n'hésitez pas à me
signaler si vous avez un doute.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" a écrit dans le message de news:
eBJ$Merci,
Pour faire simple je suis dans une société avec 70 utilisateurs donc
effectivement je me prends un peu la tête avec les groupes globaux et
locaux.
En fait je comprends pas trop les groupes globaux et locaux.
Exemple :
1 groupes globaux : Compta avec les utilisateurs de la compta dedans.
Je souhaite que certaines personnes aient les droits de lecture sur une
partie de l'arborescence de la compta et d'autres tous les droits
(responsable de service)
=> 2 groupes locaux : compta-ro et compta-rw
Mais le probleme c que si j'ajoute le groupe global a mon local ca ne
sert a rien, je ne peux pas faire de cas par cas.
J'espere que vous avez compris.
Merci
"Jonathan Bismuth" a écrit
dans le message de news:Bonjour,
pour suivre les best practices, suis le modèle MS classique :
A-G-(U) -DL-P ou en français :
- création des utilisateurs
- ajout dans des groupes globaux (pour des permissions générales au
domaine)
- [facultatif] si nécessaire, ajout de groupes globaux de plusieurs
domaines de la même forêt dans un groupe universel
- ajout des groupes globaux / universels dans un / des groupes locaux
de domaine (pour des droits locaux sur un poste) ou local au poste
(placement d'un groupe global dans un groupe local administrateurs par
exemple)
- application des permissions d'accès à une ressource locale sur un
groupe local
Il est toutefois vrai que depuis NT4, les portées des différents
groupes a bien changé et de très nombreuses sociétés utilisent
uniquement des groupes globaux pour éviter de se compliquer la tâche..
avec des résultats pas si mauvais que ça!
Attention toutefois si tu compte utiliser des groupes universels,
ceux-ci ne pouvant être placés que dans des groupes locaux de domaine.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" a écrit dans le message de news:Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes
globaux, locaux.(logique) Pouvez vous m'expliquer comment utiliser ses
groupes pour pouvoir attribuer les bons droits sur les répertoires?
Cordialement.
Nous avons beaucoup de services. Mais la plus par du temps il y a une
seule personne.Il y a pas mal de droits différents sur les répertoires.
Mais j'ai pas trop envie de faire une usine à gaz pour aussi peu
d'utilisateurs. Je suis pas expert en AD et je cherche une solution :(
"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news: e$5%23Ui5jGHA.4512@TK2MSFTNGP02.phx.gbl...
c'est parce que vous ne prenez peut être pas le bon schéma d'application
de droits :)
Un exemple simple (des dizaines d'autres modèles existent) :
1- définir des groupes globaux, non par activité mais par "type
d'administration" (VIP, utilisateurs standards ...)
2- définir des groupes locaux par droits sur ressources : lecture,
lecture + écriture
Pensez que les groupes globaux vont vous servir à rassembler des
utilisateurs administrés de la même manière, cela peut être "tous les
comptables" mais pourquoi pas aussi "tous les utilisateurs avancés" et
"tous les utilisateurs standards", tout dépend du contexte de la société.
De même, demandez vous qui va accéder aux ressources aujourd'hui ... et
plus tard!
Actuellement, y'a t'il un ou des VIP (chef de service, chef d'entreprise,
partenaires majeurs .....) qui doivent avoir accès aux documents? Si oui
de quel manière lecture seule ou lecture et écriture? ....
Prenons le cas où les utilisateurs de la compta doivent accéder aux
documents, de même que le chef d'entreprise (pour qu'il puisse accéder à
tout à un instant T), vous ferez :
2 groupes globaux :
- G_utilisateurs compta
- G_responsables
et un groupe local du type "DL_Acces_Compta" [à ne pas appeler
"Accès_restreint_compta" si vous ne voulez pas que le boss vous convoque
:) ] dans lequel vous placeriez les 2 groupes.
J'espère que mon explication est assez claire, n'hésitez pas à me
signaler si vous avez un doute.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" <tibs@rien.fr> a écrit dans le message de news:
eBJ$uS5jGHA.4504@TK2MSFTNGP05.phx.gbl...
Merci,
Pour faire simple je suis dans une société avec 70 utilisateurs donc
effectivement je me prends un peu la tête avec les groupes globaux et
locaux.
En fait je comprends pas trop les groupes globaux et locaux.
Exemple :
1 groupes globaux : Compta avec les utilisateurs de la compta dedans.
Je souhaite que certaines personnes aient les droits de lecture sur une
partie de l'arborescence de la compta et d'autres tous les droits
(responsable de service)
=> 2 groupes locaux : compta-ro et compta-rw
Mais le probleme c que si j'ajoute le groupe global a mon local ca ne
sert a rien, je ne peux pas faire de cas par cas.
J'espere que vous avez compris.
Merci
"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news: e5BhvF5jGHA.984@TK2MSFTNGP04.phx.gbl...
Bonjour,
pour suivre les best practices, suis le modèle MS classique :
A-G-(U) -DL-P ou en français :
- création des utilisateurs
- ajout dans des groupes globaux (pour des permissions générales au
domaine)
- [facultatif] si nécessaire, ajout de groupes globaux de plusieurs
domaines de la même forêt dans un groupe universel
- ajout des groupes globaux / universels dans un / des groupes locaux
de domaine (pour des droits locaux sur un poste) ou local au poste
(placement d'un groupe global dans un groupe local administrateurs par
exemple)
- application des permissions d'accès à une ressource locale sur un
groupe local
Il est toutefois vrai que depuis NT4, les portées des différents
groupes a bien changé et de très nombreuses sociétés utilisent
uniquement des groupes globaux pour éviter de se compliquer la tâche..
avec des résultats pas si mauvais que ça!
Attention toutefois si tu compte utiliser des groupes universels,
ceux-ci ne pouvant être placés que dans des groupes locaux de domaine.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" <tibs@rien.fr> a écrit dans le message de news:
OHZbDn4jGHA.2200@TK2MSFTNGP05.phx.gbl...
Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes
globaux, locaux.(logique) Pouvez vous m'expliquer comment utiliser ses
groupes pour pouvoir attribuer les bons droits sur les répertoires?
Cordialement.
Nous avons beaucoup de services. Mais la plus par du temps il y a une
seule personne.Il y a pas mal de droits différents sur les répertoires.
Mais j'ai pas trop envie de faire une usine à gaz pour aussi peu
d'utilisateurs. Je suis pas expert en AD et je cherche une solution :(
"Jonathan Bismuth" a écrit
dans le message de news: e$5%c'est parce que vous ne prenez peut être pas le bon schéma d'application
de droits :)
Un exemple simple (des dizaines d'autres modèles existent) :
1- définir des groupes globaux, non par activité mais par "type
d'administration" (VIP, utilisateurs standards ...)
2- définir des groupes locaux par droits sur ressources : lecture,
lecture + écriture
Pensez que les groupes globaux vont vous servir à rassembler des
utilisateurs administrés de la même manière, cela peut être "tous les
comptables" mais pourquoi pas aussi "tous les utilisateurs avancés" et
"tous les utilisateurs standards", tout dépend du contexte de la société.
De même, demandez vous qui va accéder aux ressources aujourd'hui ... et
plus tard!
Actuellement, y'a t'il un ou des VIP (chef de service, chef d'entreprise,
partenaires majeurs .....) qui doivent avoir accès aux documents? Si oui
de quel manière lecture seule ou lecture et écriture? ....
Prenons le cas où les utilisateurs de la compta doivent accéder aux
documents, de même que le chef d'entreprise (pour qu'il puisse accéder à
tout à un instant T), vous ferez :
2 groupes globaux :
- G_utilisateurs compta
- G_responsables
et un groupe local du type "DL_Acces_Compta" [à ne pas appeler
"Accès_restreint_compta" si vous ne voulez pas que le boss vous convoque
:) ] dans lequel vous placeriez les 2 groupes.
J'espère que mon explication est assez claire, n'hésitez pas à me
signaler si vous avez un doute.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" a écrit dans le message de news:
eBJ$Merci,
Pour faire simple je suis dans une société avec 70 utilisateurs donc
effectivement je me prends un peu la tête avec les groupes globaux et
locaux.
En fait je comprends pas trop les groupes globaux et locaux.
Exemple :
1 groupes globaux : Compta avec les utilisateurs de la compta dedans.
Je souhaite que certaines personnes aient les droits de lecture sur une
partie de l'arborescence de la compta et d'autres tous les droits
(responsable de service)
=> 2 groupes locaux : compta-ro et compta-rw
Mais le probleme c que si j'ajoute le groupe global a mon local ca ne
sert a rien, je ne peux pas faire de cas par cas.
J'espere que vous avez compris.
Merci
"Jonathan Bismuth" a écrit
dans le message de news:Bonjour,
pour suivre les best practices, suis le modèle MS classique :
A-G-(U) -DL-P ou en français :
- création des utilisateurs
- ajout dans des groupes globaux (pour des permissions générales au
domaine)
- [facultatif] si nécessaire, ajout de groupes globaux de plusieurs
domaines de la même forêt dans un groupe universel
- ajout des groupes globaux / universels dans un / des groupes locaux
de domaine (pour des droits locaux sur un poste) ou local au poste
(placement d'un groupe global dans un groupe local administrateurs par
exemple)
- application des permissions d'accès à une ressource locale sur un
groupe local
Il est toutefois vrai que depuis NT4, les portées des différents
groupes a bien changé et de très nombreuses sociétés utilisent
uniquement des groupes globaux pour éviter de se compliquer la tâche..
avec des résultats pas si mauvais que ça!
Attention toutefois si tu compte utiliser des groupes universels,
ceux-ci ne pouvant être placés que dans des groupes locaux de domaine.
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"news.microsoft.fr" a écrit dans le message de news:Bonjour,
Je suis entrain de mettre en place un AD sur un windows 2003 et je me
demande s'il y a une procédure à suivre pour créer les groupes
globaux, locaux.(logique) Pouvez vous m'expliquer comment utiliser ses
groupes pour pouvoir attribuer les bons droits sur les répertoires?
Cordialement.