[Active Directory] Mémo sur la méthode AGDLP

La méthode AGDLP (Account, Global group, Domain Local group, Permission) est la méthode recommandée par Microsoft pour gérer l’accès aux fichiers partagés en fonctions des différents groupes AD.

Le principe est le suivant :

• Les utilisateurs sont affectés à un groupe global
• Les groupes globaux sont ajoutés aux groupes locaux
• Les groupes locaux se voient attribués des permissions au niveau des ressources partagées

Les groupes globaux regroupent donc des utilisateurs qui se voient accorder des droits via des groupes locaux sur des ressources partagées.

En plus de la méthode AGDLP, comme vu dans le schéma précédant, chaque ressource sera liée à trois groupes locaux, chacun disposant de droits spécifiques :

• Contrôle total (CT)
• Lecture / Ecrite (RW)
• Lecture (RO)

Cela permet ainsi d’affecter à des groupes d’utilisateurs des droits spécifiques pour une même ressource. Dans l’exemple du schéma AGDLP, les utilisateurs du service Etudes d’Orsay se voient affecter des droits en lecture/écriture sur le dossier « Projet MIR».

Nous pouvons imaginer que les collaborateurs du service Production d’Orsay aient besoin de visualiser le contenu du dossier « Projet MIR ». Avec cette méthode il suffira alors d’ajouter le groupe global « G_ORS_Production » contenant les utilisateurs du service Production d’Orsay au groupe local « L_ProjetMIR_RO » permettant l’accès au dossier « ProjetMIR » en lecture seule.

Dans le cas où des personnes n’appartenant pas au même service auraient besoin d’accéder à une ressource spécifique il faudra alors créer un groupe global spécifique. Par exemple si chaque chef de service doit pouvoir accéder en lecture au dossier relatif à la comptabilité il faudra alors créer le groupe global « G_ORS_Direction » associé au groupe local « L_Comptabilite_RO ».