Je vais tenter de vous présenter quelques bonnes pratiques sur la gestion des accès au serveur de fichier notamment la méthode AGDLP, ainsi que les nouvelles fonctionnalités intégrées à 2008 et 2008 R2 pour la gestion des fichiers et enfin je vous présenterai un logiciel très puissant pour une gestion fine et plus poussée de vos serveurs de fichiers.
Dans une société il est classique d’avoir plusieurs services, d’avoir plusieurs serveurs, chaque serveur possédant plusieurs partages etc … hors s’il est bien un rôle qui est très utilisé sur les serveurs (parfois de façon anarchique), c’est celui de serveur de fichier.
Même pour une petite société cela peut devenir très complexe et l’admin ou le prestataire risque d’avoir pas mal de soucis à s’y retrouver. A l’heure actuelle n’est-il pas plus raisonnable de placer ces fichiers Office sur un serveur SharePoint ou équivalent, plutôt que sur un simple « filer » ?. A plus forte raison, force est de constater que la plupart des personnes ont une connaissance assez moyenne quant à la sécurité et la gestion des filer. Il est aussi important de signifier que le chef d’entreprise devrait savoir à tout instant qui a les droits et sur quoi ! Imaginez qu’il ne puisse savoir qui a la clef pour accéder aux archives ou au bureau de la compta !
Le premier constat, c’est que le rôle serveur le plus présent en TPE et PME est le serveur de fichier. Et chose étrange il s’agit souvent du rôle le plus mal géré et le plus mal administré soit par méconnaissance, soit par facilité. Combien de fois ai-je vu au court d’intervention chez des clients, des droits gérés sur l’utilisateur, des héritages cassés sur plusieurs dossiers dans l’arborescence, des partages dans « tous les coins » et des droits gérés à la fois en NTFS et CIFS. Lors de la migration de ces serveurs, bonjour les dégâts !!
Organisation AD
Le premier point auquel il faut penser c’est qu’au niveau sécurité interne tout repose sur AD il est donc primordial d’avoir un AD bien conçu et bien pensé au niveau de son organisation (UO, Groupes… etc).
La première règle de base évidente, si un utilisateur n’a pas besoin expressément d’un accès, et bien on lui refuse. Sans doute la chose la plus évidente mais aussi la plus complexe à mettre en place, non pas à cause de soucis technique mais à cause du problème humain que cela va engendrer. La direction étant souvent incapable de mesurer l’étendue des possibilités une fois un accès ouvert.
Comme dit plus haut on ne doit jamais, en aucun cas placer des droits sur des utilisateurs, car en cas de suppression de l’utilisateur de votre AD, que vous reste-t-il dans votre onglet sécurité : un simple SID. De plus comment vous rappeler que vous avez ouvert un accès dans l’arborescence sur un utilisateur ? Il faudrait être d’une rigueur infaillible et noter sur un document tous les droits…
Principe d’AGDLP
La méthode la plus simple, celle qui est préconisée par Microsoft, c’est AGDLP : Account, Global, Domaine local Permission, ou AGUDLP : account, global, universal, domain local, permission (pour les forêts multi domaines)
On peut donc le résumer à cela : un utilisateur dans un groupe global (groupe métier), lui-même placé dans un groupe local au domaine (une ACL), cette ACL placé sur la ressource.
Je vous conseille d’utiliser une convention de nommage pour vos ACl de manière à ne pas vous perdre et de créer des OU pour celles-ci.
Le gros avantage avec cette gestion centralisée, c’est qu’il n’y a plus besoin de se balader sur les serveurs, trouver le ‘share’ … Vous gérez tout depuis AD. Même pour un seul utilisateur il ne faut pas hésiter à créer un groupe, c’est plus complexe/long à mettre en place au départ mais vous facilitera la vie par la suite.
Les autres points à ne pas oublier
- Ne pas casser les héritages trop haut dans l’arborescence
- Ne pas faire de partage directement sur un volume
- Ne pas donner le contrôle total à des personnes ne mesurant pas l’impact des droits
- Gérer les droits uniquement en NTFS jamais en CIFS (pour rappel c’est toujours le plus restrictif des deux qui est prioritaire)
- Ne pas gérer les droits en spécifiant explicitement des interdictions
- Ne JAMAIS mettre des droits pour « tout le monde »
Dans la prochaine partie je vous expliquerai de manière plus pratique comment mettre cela en place et comment utiliser les outils windows 2008 R2 pour vous aider à gérer vos filer.
Dommage, il n’y a apparemment pas eu de suite.
Je suis bien d’accord avec toi…
Merci pour cette article.
vivement les suivants.
A Bientôt.
C’est tout a fait vrai, combien de fois ai-je vu des autorisation “contrôle total” au groupe “tout le monde”.
On attend la suite. DFS?
J’ai hâte de lire la suite…