Index du forum Systèmes d'exploitation et technologies Microsoft Windows Server GPO : Fitrage de sécurité VS Ciblage au niveau de l'élément

GPO : Fitrage de sécurité VS Ciblage au niveau de l'élément

Pour échanger et obtenir de l'aide sur les éditions Windows Server, c'est par ici !


Messages: 14
Hello,

Petite question sur les GPO.
Les lecteurs réseau sont actuellement montés par GPO. Pour faire rapide, il y a un groupe utilisateurs par lecteur. En fonction des besoins, je place l'utilisateur dans le groupe du lecteur et c'est ok au prochain démarrage.
J'ai une GPO par lecteur et sur la partie filtrage de sécurité, je positionne le groupe concerné.

Par contre, je me demandais si il ne serait pas plus judicieux de créer une seul GPO avec tous les lecteurs dispo dans l'entreprise et faire plutôt un ciblage au niveau de l’Élément pour chacun des lecteurs (en me basant toujous sur les memes groupes).

Je ne sais pas si je suis très clair. Le but serait de reduire le nombre de GPO.
J'ai la même chose avec les imprimantes par exemple.

Avez-vous un avis ? le résultat sera le même je sais mais je ne sais si au niveau des perfs il vaut mieux une solution plutôt qu'une autre... (surtout au niveau du démarrage des sessions utilisateurs, que je trouve parfois un peu long...)

Merci pour vos retours d'expériences.


Messages: 114
Bonsoir,

Ca peut être très redondant si tu fais une GPO par groupe, et vu le nombre de répertoire partagé dans une entreprise, ça peut être très compliqué.
Tout dépend de la façon dont vous gérez les choses.

Pour moi (ça n'engage que moi), c'est plus simple avec une GPO car on voit l'ensemble des lecteurs partagés. Cependant, il faut être précis et avoir une gestion carrée des choses, car la gestion des network share n'est pas très parlante dans le GPO. Il faut aller sur chaque lecteur et vérifier les groupes etc...

Pour ma part, j'utilisais une autre méthode :
Je ne connais pas la version de ton AD, mais il est possible à l'aide du DAC (Dynamic Access Control) et de l'ABE (Access Based Enumeration) d'automatiser un peu ta gestion de répertoires partagés :
[Version Résumé des fonctionnalités : Elles font beaucoup plus de choses] :
La DAC te permet de mettre en place un système d'accès et de classification à tes données. Tu peux taguer tes répertoires etc.. en y indiquant par exemple (RH, Compta, etc..) (via des ressources / règles / policies) disponible sous un AD en 2012
tu peux ensuite indiquer que seul les personnes appartenant au groupe "Compta" accèdent à ces données.

L' ABE va cacher les répertoires auquel tes user n'ont pas accès.

Ca fait un peu usine à gaz quand tu découvres, mais c'est beaucoup plus simple une fois que tu as cette gymnastique et tu t'abstrait de la partie GPO, à mapper les différents répertoires pour chaque groupes.

Il faut cependant une bonne préparation, une gestion de la donnée qui peut être repensée, etc..
Il faut aussi une gestion rigoureuse de tes droits d'accès et tu dois savoir qui accède à tes données.

Les informations sur la techno si ça t'intéresse :

Information Microsoft :
https://msdn.microsoft.com/fr-fr/librar ... 17(v=ws.11).aspx
https://technet.microsoft.com/fr-fr/lib ... 81(v=ws.10).aspx

Si tu veux aller plus loin, tu peux mettre en place le FSRM pour avoir un audit sur tes données, interdire des fichiers de type .mp3 /.avi, recevoir des mail lors d'accès non autorisés etc...
Plein de choses sont possible :D

Après, pour le démarrage de session un peu long, il y a plusieurs facteurs :
Que contiens ton netlogon, ou se situe ton DC par rapport à tes utilisateurs? la bande passante de ton réseau, etc...

N'hésite pas à répondre si tu souhaites plus d'info
Ingénieur Système --- Bac +5 en alternance [Manager des Systèmes d'Informations] - Passionné par les nouvelles technologies - MCSA 2012R2 , CCENT


Messages: 14
BOnjour,

Désolé, j'avais oublié de suivre ce post...
Merci beaucoup pour toutes ces infos. Je vais jeter un oeil sur tout ca.


Retourner vers Windows Server