La configuration du serveur de fichier selon le schéma AGDLP

Méthode AGDLP

Que signifie AGDLP ? AGDLP est l'abréviation de « Account, Global, Domain Local, Permission » soit « Compte, global, domaine local, autorisation » en français. AGDLP représente la procédure recommandée par Microsoft pour mettre en œuvre un contrôle d'accès basé sur les rôles au sein des domaines Windows. Les comptes d'ordinateurs et d'utilisateurs (A) doivent être membres de groupes globaux (G) qui représentent les rôles de l'entreprise.

Sous Windows, nous allons voir dans une première partie ce qu'est la méthode AGDLP, et nous verrons dans une deuxième partie comment créer un nouveau partage de dossier selon le schéma AGDLP.

Nous savons, à ce niveau, que les comptes utilisateurs du domaine de l'AD ainsi que les groupes permettent la gestion des autorisations d'accès et le contrôle d'accès aux ressources.

Découvrez la méthode AGDLP

Maintenant, afin de pouvoir gérer le contrôle d'accès des partages de dossiers et / ou fichiers sensibles ainsi que les imprimantes dans le domaine de l'AD, il est recommandé d'utiliser la méthode AGDLP. Cette méthode consiste à :

Afin de pouvoir mettre en place la méthode AGDLP, que nous verrons dans la deuxième partie, nous allons d'abord créer un nouveau partage de dossier sous Windows.

Création d'un nouveau partage de dossier

Découvrez comment créer un nouveau partage de dossier

Nous allons voir, pas à pas, comment créer un nouveau partage de dossier à l'aide de l'assistant « Nouveau partage ».

Étape 1 : allez dans « Gestionnaire de serveur », puis cliquez sur « Services de fichiers et de stockage ».

Étape 2 : dans « Services de fichiers et de stockage », dans « Partages », faites un clic droit et allez dans « Nouveau partage ».

Étape 3 : ici, on va procéder à un partage rapide : sélectionnez « Partage SMB - Rapide » et cliquez sur « Suivant » pour continuer.

Complément

Méthode

Étape 4 : à ce stade, sélectionnez « Tapez un chemin personnalisé », puis cliquez sur « Parcourir ».

Étape 5 : "parcourir", "nouveau dossier", nommage du dossier "partage", sélection de ce dernier puis "sélectionner un dossier"

Étape 6 : dans « Nouveau dossier », vous pouvez nommer votre fichier.

Dans le cadre de la démonstration, ce sera « Partage ».

Ensuite, tapez sur la touche « Entrée » du clavier.

Étape 7 : après avoir nommé votre dossier, cliquez sur « Sélectionner un dossier ».

Une fois votre dossier sélectionné, vous pouvez voir dans quel chemin d'accès sera partagé le dossier.

Cliquez sur « Suivant ».

Dans « Nom du partage », il est possible de nommer votre dossier.

Dans notre exemple, le nom sera laissé par défaut.

Dans « Chemin d'accès distant au partage », il faut copier le chemin « \\SRV-STUDI\Partage », si vous désirez pouvoir y accéder à distance, sur une autre session.

Cliquez sur « Suivant ».

Étape 8 : passez maintenant à la configuration des paramètres de partage.

Cochez l'option « Activer l'énumération basée sur l'accès ».

Cliquez sur « Suivant » pour continuer.

Complément

Cette option garantit plus de sécurité sur votre dossier. Celle-ci va permettre d'afficher uniquement les fichiers et les dossiers auxquels un utilisateur aura accès.

Méthode

Étape 9 : dans cette dernière étape, il s'agit de spécifier les autorisations pour contrôler l'accès.

Cliquez sur « Personnaliser les autorisations » afin d'attribuer les droits d'accès en fonction des besoins des utilisateurs.

Étape 10 : vous pouvez observer pour le moment quels sont les accès attribués aux utilisateurs.

L'objectif, ici, est de « Désactiver l'héritage » afin d'affecter les droits que vous souhaitez attribuer à chacun.

Après avoir cliqué sur « Désactiver l'héritage », il est proposé deux options :

Dans le cas de la démonstration, cliquez sur la première option.

Dans la colonne « Hérité de », vous constatez qu'il n'y a plus d'héritage affecté.

Dans l'onglet « Partage », tous les utilisateurs possèdent le contrôle total du dossier.

Complément

Dans l'autre partie du cours, nous verrons comment affecter les droits du dossier aux utilisateurs et / ou aux groupes.

Méthode

Étape 11 : après avoir vérifié le partage, cliquez maintenant sur « OK » pour appliquer la modification.

Étape 12 : toujours dans l'assistant « Nouveau partage », il est proposé de spécifier les autorisations pour contrôler l'accès. Dans la démonstration, on laissera par défaut car la personnalisation des affections de droits et d'accès se feront dans la deuxième partie du cours.

Cliquez sur « Suivant » pour continuer et passer à la confirmation des paramètres.

Étape 13 : ici, nous voyons un récapitulatif des paramètres que nous avons choisis tout au long des étapes, dans l'assistant « Nouveau partage ».

Il faut donc maintenant vérifier et confirmer la configuration des paramètres.

Une fois la vérification terminée, cliquez sur « Créer ».

Après avoir cliqué sur « Créer », cette dernière étape va mettre en place toutes les configurations et paramètres sélectionnés au fur et à mesure des étapes.

Cliquez sur « Fermer ».

Voici le résultat des configurations de l'Assistant Nouveau partage :

Étape 14 : pour vérifier les paramètres qui ont été validés, retournez dans « Gestionnaire de serveur », puis « Services de fichiers et de stockage » et cliquez sur « Partages ».

Le dossier créé apparaît.

Création d'une Unité d'organisation et de groupes

Dans la première partie du cours, nous avons vu ce que signifiait AGDLP ainsi que le rôle de cette méthode. Il s'agit d'une pratique qui permet de gérer les accès au partage à partir de l'annuaire et non plus sur une ressource.

Voici à quoi ressemble un serveur de fichiers selon le schéma AGDLP :

  1. Affecter les utilisateurs qui correspondent à Account, dans les groupes dits « globaux » (Global).

  2. Ensuite, il faut affecter les groupes globaux dans les groupes dits de « domaine local » (DL ou Domain Local).

  3. Pour finir, par le biais des autorisations NTFS, les droits d'accès seront attribués aux groupes de domaine local sur les ressources. Ici, c'est donc « Permissions ».

Ce schéma va donc créer une arborescence dans le serveur de fichiers.

Dans cette séance, nous allons apprendre comment organiser un annuaire selon le schéma AGLDP en passant tout d'abord par la création des unités organisation et des groupes et nous finirons par les paramétrages NTFS afin d'affecter les droits d'accès.

MéthodeDécouvrez comment créer une Unité d'organisation et de groupes

Dans un premier temps, nous allons voir pas-à-pas la création d'une Unité d'organisation et de groupes.

Étape 1 : allez dans « Gestionnaire de serveur » et cliquez sur « Services de fichiers et de stockage ».

Ensuite, faites un clic droit sur « Partages », puis cliquez sur « Ouvrir le partage ».

Étape 2 : une fois dans le dossier « Partage », dans le cadre de la démonstration, nous allons créer deux autres dossiers (sous-dossiers).

Un dossier « Programmeur Modif » et un autre « Tech Lecture ».

Complément

Les dossiers ou sous-dossiers qui viennent d'être mis en place sont, dans le schéma AGDLP, les groupes de type Global (G).

Méthode

Étape 3 : après avoir créé les dossiers, nous allons passer à la mise en place d'une Unité d'organisation afin d'obtenir un accès au fichier de partage.

Allez dans « Gestionnaire de serveur » → « Outils », puis cherchez et cliquez sur « Utilisateurs et ordinateurs Active Directory ».

Méthode

Ici, dans cette fenêtre, vous pouvez observer tous les dossiers créés, dossiers de groupes, d'utilisateurs ainsi que les unités d'organisations.

Étape 4 : faites un clic droit sur « SRV.STUDI » (nom de domaine) puis cliquez sur « Nouveau » et enfin sur « Unité d'organisation ».

Étape 5 : après avoir cliqué sur « Unité d'organisation », dans la nouvelle fenêtre qui apparaît, nommez l'unité d'organisation que vous êtes en train de créer et continuez sur « OK ».

Une fois la création terminée, vous allez retrouver l'Unité d'organisation tout en bas, dans la section de gauche, dans l'arborescence.

Complément

Cette Unité d'organisation créée dans le domaine de l'Active Directory va contenir des utilisateurs, des groupes et des ordinateurs. Dans cette démonstration, nous allons mettre en place des groupes.

Méthode

Étape 6 : maintenant, nous allons passer à la création de groupes de type « Local de domaine ». Ceux-ci vont contenir les ressources dans lesquelles nous souhaitons donner un accès. Un premier groupe sera utilisé pour la modification des droits d'accès et le deuxième groupe sera pour le droit à la lecture et aux exécutions.

Pour créer ces groupes, il faut se rendre dans l'unité d'organisations créée juste avant.

Allez dans « Nouveau » puis « Groupe ».

Étape 7 : ici, nous allons créer un groupe dit « local » qui va servir à la modification des accès. Vous allez le nommer, puis cochez « Domaine local ».

Cliquez sur « OK ».

Étape 8 : pour le deuxième groupe, le schéma est le même que la création du premier dossier, mais servira à la gestion de la lecture et exécution.

Étape 9 : ce groupe, vous le nommerez « Tech LecEx » et vous cocherez aussi « Domaine local » pour l'étendue du groupe.

Cliquez sur « OK ».

Les deux dossiers créés vont apparaître dans l'unité d'organisation.

Dans cette nouvelle étape, l'objectif est d'ajouter les groupes de type « Global » (G) créés précédemment en tant que membres dans les groupes de type « local de domaine ».

Nous avons déjà deux groupes : « Programmeur » et « Tech ». Et dans chacun de ces groupes, il y a des utilisateurs.

Ici, nous souhaitons que les programmeurs puissent posséder les droits de modification et les techniciens, les droits à la lecture et exécution.

Étape 10 : dans « OU Groupe », faites un clic droit sur « Programmeur ».

Allez dans « Propriétés » pour vérifier si vous avez des membres qui font partie de ce groupe.

Étape 11 : après avoir cliqué sur « Propriétés de Programmeur », nous allons vérifier les détails qui montrent bien que, dans les membres, il y a bien un utilisateur qui fait partie de groupe de sécurité global.

Cliquez sur « OK ».

Étape 12 : même chose pour vérifier si, dans le Groupe « Tech », il y a des membres.

Faites un clic droit sur « Tech » puis « Propriétés ».

Comme on peut le constater dans le groupe de sécurité global Tech, nous avons bien aussi un membre.

Cliquez sur « OK ».

Complément

Maintenant, l'objectif est d'ajouter les groupes de type « Global » (G) créés précédemment en tant que membre dans les groupes de type « Local » de domaine.

Méthode

Étape 13 : pour commencer, allez dans « Programmeur », faites un clic droit puis cliquez sur « Propriétés ».

Étape 14 : une fois dans « Propriétés de Programmeur », cliquez sur « Membre de », puis sur « Ajouter ».

Étape 15 : cherchez et entrez les noms des objets qui vont permettre de modifier le dossier de partage. Dans le cas de cette démonstration, c'est « Programmeur Modif ».

Cliquez sur « OK ».

Étape 16 : dans la section « Membre de », on constate que « Programmeur Modif » a bien été ajouté. Faites « Appliquer » et cliquez sur « OK ».

Maintenant, il faut procéder de la même manière pour le groupe TechEx.

Étape 17 : pour vérifier si toutes les configurations ont été appliquées, avant de continuer, il suffit de retourner dans « OU-Partag-Prom-Tech », puis « Programmeur Modif », faites un clic droit et « Propriétés ».

Étape 18 : dans la fenêtre « Propriétés » de « Programmeur Modif », cliquez dans la section « Membres ». Ici, le groupe a bien été ajouté dans l'unité d'organisation « OU-Partag-Prom-Tech ».

Pour sortir, cliquez sur « OK ».

Étape 19 : nous allons vérifier aussi dans le Groupe « Tech LecEx ».

Allez dans « OU-Partag-Prom-Tech », puis « Tech LecEx », faites un clic droit et « Propriétés ».

Étape 20 : dans la fenêtre « Propriétés » de « Tech LecEx », cliquez dans la section « Membres ».

Ici, le groupe a bien été ajouté également dans l'unité d'organisation « OU-Partag-Prom-Tech ».

Pour sortir, cliquez sur « OK ».

Configuration des droits via le système de fichiers NTFS

MéthodeDécouvrez comment configurer des droits via le système de fichiers NTFS

Maintenant, nous allons aborder la configuration des droits NTFS des dossiers de partage et l'affectation des droits d'accès pour chaque groupe. En somme, nous allons attribuer les autorisations sur la ressource à l'aide du groupe local de domaine créé auparavant.

Étape 1 : retournez dans « Gestionnaire de serveur » puis « Services de fichiers de stockage » et cliquez sur « Partages ».

Nous allons retrouver notre dossier « Partages ».

Faites un clic droit puis allez dans « Ouvrir le partage ».

Dans le dossier « Partage », nous retrouvons les deux dossiers qui avaient été créés depuis le début de ce cours. Et c'est ici que l'on procède aux paramétrages NTFS.

Étape 2 : nous allons commencer par le dossier « Programmeur Modif ».

Faites un clic droit puis rendez-vous dans « Propriétés ».

Étape 3 : dans la fenêtre « Propriétés », nous nous rendons dans la sécurité NTFS de chaque dossier afin de paramétrer les autorisations. Donc, une fois dans l'onglet « Sécurité », nous allons ensuite cliquer sur « Avancé ».

Étape 4 : maintenant, on se retrouve dans les paramètres de sécurité avancés du dossier « Programmeur Modif ».

Dans l'onglet « Autorisation », cliquez sur « Ajouter ».

Étape 5 : une nouvelle fenêtre s'ouvre, il s'agit ici des « Autorisations pour Programmeur Modif ». Cliquez sur « Sélectionnez un principal ».

Étape 6 : dans la partie « Entrez le nom de l'objet à sélectionner », tapez le nom de votre « OU Programmeur Modif » qui est un de vos dossiers de domaine local, puis cliquez sur « OK ».

Étape 7 : après avoir cliqué sur « OK » vous allez pouvoir attribuer les droits.

Pour « Programmeur Modif », cochez « Modification » dans les autorisations de base et cliquez sur « OK ».

Étape 8 : pour pouvoir valider l'autorisation que vous venez de cocher, vous devez cliquer sur « Appliquer » puis « OK ».

Étape 9 : afin de voir si l'autorisation affectée a bien été appliquée, nous allons vérifier.

Pour ce faire, faites un clic droit sur le dossier « Programmeur Modif », rendez-vous dans « Propriétés ».

Cliquez ensuite sur l'onglet « Sécurité ».

Dans la capture d'écran ci-dessus, vous constatez que l'autorisation « Modification » a bien été appliquée. Donc, les paramétrages NTFS sont bien actifs.

Étape 10 : nous allons continuer avec le dossier « Tech Lecture ». Il faut reproduire le même schéma que pour le dossier « Programmeur Modif ».

Faites un clic droit puis rendez-vous dans « Propriétés ».

Étape 11 : dans la fenêtre « Propriétés », nous allons nous rendre dans la sécurité NTFS du dossier afin de paramétrer les autorisations. Donc, une fois dans l'onglet « Sécurité », nous allons ensuite cliquer sur « Avancé ».

Étape 12 : maintenant, on se retrouve dans les paramètres de sécurité avancés du dossier « Tech Lecture ». Dans l'onglet « Autorisation », cliquez sur « Ajouter ».

Étape 13 : une nouvelle fenêtre s'ouvre, il s'agit ici des « Autorisations » pour Tech Lecture. Cliquez sur « Sélectionnez un principal ».

Étape 14 : dans la partie « Entrez le nom de l'objet à sélectionner », tapez le nom de votre « OU Tech LecEx » qui est également un vos dossiers de domaine local, puis cliquez sur « OK ».

Étape 15 : après avoir cliqué sur « OK », vous allez pouvoir attribuer les droits.

Cochez « Lecture et exécution » dans les autorisations de base et cliquez sur « OK ».

Étape 16 : pour pouvoir valider l'autorisation que vous venez de cocher, cliquez sur « Appliquer » puis « OK ».

Étape 17 : afin de voir si l'autorisation affectée a bien été appliquée, nous allons vérifier. Pour ce faire, clic droit sur le dossier « Tech Lecture », puis « Propriétés ».

Cliquez ensuite sur l'onglet « Sécurité ».

Dans la capture ci-dessus, vous constatez que l'autorisation « Lecture et exécutions » a bien été appliquée. Donc, les paramétrages NTFS sont bien actifs.