Je ne comprends pas les groupes et les autorisations dans Active Directory

2

Je joue avec les autorisations et j'ai remarqué la situation suivante que je ne comprends pas.

Le PC PC-EXAMPLE fait partie d'un domaine, disons DOMAIN (domain.com) et l'utilisateur actuellement connecté est User-Hello ([email protected]) . Cet utilisateur est membre du groupe domain.com/Group-Demo - Security Group, Universal.

Lorsque les autorisations de contrôle total sont définies sur une partition pour et uniquement pour:

alors l' utilisateur-bonjour utilisateur peut accéder à la partition.

Lorsque des autorisations de contrôle total sont définies pour:

  • SYSTÈME
  • Démo de groupe (DOMAINE \ Démo de groupe)
  • Administrateurs (PC-EXAMPLE \ Administrators)

alors la partition n'est plus disponible pour l'utilisateur User-Hello .

D'après ce que j'ai compris, les groupes dans Active Directory ont pour but de simplifier, entre autres, la gestion des autorisations sur les fichiers et les dossiers, c'est-à-dire au lieu de spécifier qu'un répertoire spécifique est accessible à l'utilisateur 1, à l'utilisateur 5 et à l'utilisateur 7. utilisateur 19, etc., on peut simplement créer un groupe et définir l’autorisation pour ce groupe.

Il semble que ce ne soit pas le cas. Alors à quoi servent les groupes? Comment définir des autorisations pour un ensemble d'utilisateurs sans définir ces autorisations pour chaque utilisateur?

windows-8 permissions file-permissions active-directory Arseni Mourzenko
la source
On dirait que le groupe n'a pas réellement les autorisations de lecture / écriture sur cette partition.
Ramhound
Tout ce que je peux voir, c'est que les seuls "groupes" ayant accès à la partition, en fonction de la liste ci-dessus, sont le groupe "Administrateurs". À moins que EXEMPLE \ Demo ne soit un groupe, tous les membres du groupe de démonstration y auront accès. Si hello (en supposant qu'il s'agisse d'un utilisateur) ne fait partie ni de l'administrateur, ni du groupe de démonstration, alors Hello n'aura pas accès.
Darius
@Darius: mon exemple n'était pas clair et contenait des erreurs. J'ai corrigé les noms maintenant.
Arseni Mourzenko
@MainMa C'est étrange. Cela devrait fonctionner. La suggestion de Ramhound semble être la chose la plus possible. Vous avez oublié de le configurer pour un accès complet (par défaut, l'ajout d'un nouveau groupe est en lecture seule). L’exemple que vous montrez correspond à peu près à ce que nous avons sur mon lieu de travail et c’est définitivement que nous travaillons. C’est pourquoi la question de l’autorisation est la plus probable.
Darius
2
Avez-vous fait de user-hello un membre de ce groupe de démonstration avant ou après la connexion de cet utilisateur au système? Si vous le faites si APRES l'utilisateur s'est connecté, il est préférable de vous déconnecter et de vous reconnecter. Cela est souvent nécessaire pour activer un changement de droits. Les droits que vous avez spécifiés devraient en principe fonctionner à première vue.
Tonny

Réponses:

1

Les groupes constituent le meilleur moyen de gérer des ensembles d'utilisateurs, ainsi que d'autres groupes.

En fonction de ce que vous avez décrit comme étant votre configuration, user-hello devrait avoir un accès aux fichiers et aux dossiers de la partition. Cependant, il semblerait que vous n’êtes pas familier avec les groupes et j’ai le sentiment que quelque chose vous échappe.

Voici quelques points à vérifier:

  • Vérifiez à nouveau que le groupe de démonstration de groupe dispose des autorisations complètes sur la partition.
  • Vérifiez bien que l'utilisateur User-Hello est dans ce groupe.
  • Lorsque vous apportez des modifications aux paramètres de sécurité des fichiers, l'utilisateur doit se déconnecter et se connecter pour que les nouveaux paramètres prennent effet.

Je pense que vous n’avez peut-être pas propagé les autorisations. Voir les étapes ci-dessous:

Cliquez avec le bouton droit sur le lecteur auquel vous appliquez des autorisations, puis cliquez sur Properties

entrez la description de l'image ici

Puis cliquez sur l' Securityonglet et le Advancedbouton, comme indiqué ci-dessous

entrez la description de l'image ici

Cliquez Change Permissionscomme ci-dessous

entrez la description de l'image ici

C'est là que je pense que vous avez raté une étape. Vous avez donné l'autorisation à l'utilisateur Hello au lecteur ici, mais rien d'autre. Cliquez sur la case Replace all child object permissions with inheritable permissions from this objectà cocher comme indiqué ci-dessous

entrez la description de l'image ici

Cela propagera les autorisations sur tout le disque, en apportant les modifications apportées à ce niveau à tous les fichiers et dossiers situés en dessous.

Keltari
la source