none
AGDLP : permissions ne s'appliquent pas RRS feed

  • Question

  • Bonjour,

    Je viens vers vous car je ne comprend pas d'où viens mon probléme.

    Je met en place dans mon entreprise un nouveau serveur de fichier, je souhaiterais faire de l'AGDLP pour pouvoir gérer les permissions depuis mon AD directement.

    Sauf que les permissions ne s'appliquent pas sur les utilisateurs.

    J'ai un serveur ad "srv-dc-01" dans lequel j'ai un utilisateur "toto" qui est membre du groupe global "G_développeur" qui est lui même membre du groupe domaine local "DL_developpement_W".

    J'ai un serveur de fichier "srv-storage-01" (qui appartiens au domaine de srv-dc-01) dans lequel j'ai un répertoire "Partages" partagé (régle de partage : tout le monde CT).

    Dans ce repertoire partages, j'ai un dossier "Developpement" qui a les permissions NTFS suivantes:

    dl_developpement_W : Modification

    dl_developpement_R : lecture et execution

    Administrateurs : CT

    Je ne comprend pas pourquoi mon utilisateur toto n'a pas accés ni en lecture ni en écriture au dossier developpement.

    Si je met les permissions directement sur "g_developpement" ça fonctionne, seulement je ne fais plus de l'agdlp mais de l'agp.

    Si je met l'utilisateur toto directement en temps que membre de "dl_developpement_W" il n'as toujours pas les permissions ntfs.

    Pouvez vous m'aiguiller ?

    Merci

    Cordialement,

    Maël

    mardi 22 juillet 2014 07:48

Réponses

  • Avez-vous fermer et rouvert la session de l'utilisateur ?

    L'appartenance aux groupes n'est chargé qu'à l'ouverture de session. Si une personne est ajouté à un groupe elle doit rouvrir sa session.

    • Marqué comme réponse MaelTech mercredi 23 juillet 2014 15:03
    mardi 22 juillet 2014 08:13
    Modérateur

Toutes les réponses

  • Avez-vous fermer et rouvert la session de l'utilisateur ?

    L'appartenance aux groupes n'est chargé qu'à l'ouverture de session. Si une personne est ajouté à un groupe elle doit rouvrir sa session.

    • Marqué comme réponse MaelTech mercredi 23 juillet 2014 15:03
    mardi 22 juillet 2014 08:13
    Modérateur
  • Avez-vous fermer et rouvert la session de l'utilisateur ?

    L'appartenance aux groupes n'est chargé qu'à l'ouverture de session. Si une personne est ajouté à un groupe elle doit rouvrir sa session.

    Exactement, tu peux vérifier si l'utilisateur est bien dans le groupe avec la commande suivante, une fois la session ouverte :

    whoami /groups

    Ceci te permettra d'être sur que la session en cours a bien pris en compte le nouveau groupe. Il peut y avoir des délais de réplication AD suivant sur quel site tu fais les modifications AD, et sur quel site est le serveur de fichier.


    Blog
    Scripts

    mardi 22 juillet 2014 09:40
  • Bonjour,

    si ton poste est sous Windows 7 ou ultérieur, tu peux diagnostiquer rapidement un accès à un dossier partagé en utilisant netsh:

    netsh trace diagnose scenario=filesharing uncpath=\\server\share

    Ça peut s'avérer utile.


    www.alexwinner.com

    mardi 22 juillet 2014 10:09
  • Effectivement je n'avais pas pensé à ouvrir fermer la session utilisateur.

    Visiblement, l'appartenance aux groupes domaine local se fait à l'ouverture de session alors que l'appartenance aux groupes globaux se fais à chaud, d'où mon erreur.

    Merci à tous!

    mercredi 23 juillet 2014 15:01
  • La liste des groupes auquels un utilisateur appartient directement ou par l'intermédiaire d'un autre groupe est chargé à l'ouverture de session quel que soit le type de groupe.

    whoami /groups permet de voir dans le jeton utilisateur les groupes qui ont été chargé. C'est cette liste et les SID correspondant à chaque groupe ou utilisateurs qui sont comparés avec les SiD enregistré dans les ACL des ressources.

    mercredi 23 juillet 2014 19:05
    Modérateur