AGDLP – Bien gérer les permissions de son serveur de fichiers

I. Présentation

Dans ce tutoriel, nous allons apprendre à mettre en pratique la méthode AGDLP pour gérer les droits sur un serveur de fichiers Windows Server, puisqu’il s’agit d’une méthode recommandée par Microsoft.

Si vous êtes prêt à répondre à la question « Comment bien gérer les droits sur un serveur de fichiers ?« , en environnement Active Directory, alors vous pouvez lire la suite de cet article !

II. La méthode AGDLP, en théorie

L’acronyme AGDLP signifie Account Global Domain Local Permissions. Très bien, mais concrètement, ça fonctionne comment ?

En résumé, cette méthode consiste à jouer avec l’imbrication des groupes de sécurité et des étendues liées aux groupes de sécurité. Pour rappel, lorsque l’on crée un groupe de sécurité dans l’Active Directory, nous avons accès à trois étendues différentes :

 » alt= »Active Directory – Etendue du groupe – AGDLP » width= »434″ height= »375″ data-lazy-srcset= »https://tuto.cm/wp-content/uploads/2024/09/AGDLP-–-Bien-gerer-les-permissions-de-son-serveur-de.png 434w, https://www.it-connect.fr/wp-content-itc/uploads/2023/01/Active-Directory-Etendue-du-groupe-AGDLP-150×130.png 150w, https://www.it-connect.fr/wp-content-itc/uploads/2023/01/Active-Directory-Etendue-du-groupe-AGDLP-50×43.png 50w » data-lazy-sizes= »(max-width: 434px) 100vw, 434px » data-lazy-src= »https://tuto.cm/wp-content/uploads/2024/09/AGDLP-–-Bien-gerer-les-permissions-de-son-serveur-de.png » />

La méthode AGDLP consiste à appliquer le principe suivant :

• Un compte utilisateur doit être membre d’un groupe de sécurité global (GG_),
• Ce groupe de sécurité global doit ensuite être ajouté en tant que membre d’un groupe de sécurité domaine local (GDL_) – Ayant une portée uniquement sur le domaine d’appartenance,
• Ce groupe de sécurité domaine local est utilisé pour ajuster les permissions NTFS sur le répertoire partagé

Ce principe de gestion des droits d’accès est avantageux, car il va permettre de bien structurer les droits d’accès et d’en faciliter la gestion sur la durée. À l’usage, ce sera un gain de temps pour les administrateurs et ce n’est pas un luxe, car certains serveurs de fichiers sont un véritable calvaire à gérer lorsqu’il y a une mauvaise gestion des permissions.

Vous vous demandez sûrement pourquoi on utilise deux types de groupes différents, avec des étendues différentes, et bien c’est pour des raisons de sécurité. En cas d’infection d’un serveur, on limite les risques de propagation, car on attribue des droits uniquement aux groupes de sécurité avec l’étendue « domaine local », dont la portée se limite au domaine local. De ce fait, la méthode AGDLP est encore plus pertinente sur les environnements avec plusieurs domaines.

Avant de continuer, je vous recommande de lire cet article :

Note : dans un environnement multi-domaines, on peut appliquer la méthode AGUDLP qui reprend le même principe qu’AGDLP à la différence que l’on ajoute un groupe de sécurité supplémentaire, avec l’étendue « Universelle », entre les groupes globaux et de domaine local.

III. AGDLP dans la pratique

Pour bien comprendre le principe de la méthode AGDLP, je vous propose un exemple concret dans la continuité de mon précédent article sur les permissions NTFS et de partage. Imaginons, un partage nommé « Partage » hébergé sur un serveur de fichiers et sur lequel nous avons besoin de définir les droits. Sur ce répertoire, nous avons besoin d’attribuer des autorisations en lecture/écriture pour certains utilisateurs, notamment Guy Mauve, ainsi que des permissions en lecture seule pour Lou Ange.

Si l’on traduit ce besoin en groupes de sécurité en respectant la méthode AGDLP, on obtient :

Autrement dit, je ne veux pas voir de permissions associées directement à un objet utilisateur sur le dossier « Partage« , et il est important de respecter l’imbrication des groupes.

Ce qui implique de créer 4 groupes :

Ainsi, les membres du groupe « GG_Comptables » auront des autorisations en lecture/écriture sur « Partage« . De cette façon, tous les comptables de l’entreprise seront membres de ce groupe et auront un niveau de permissions identiques. Cette autorisation sera attribuée grâce à l’appartenance au groupe « GDL_Partage_RW« .

C’est important d’adopter une convention de nommage pour vos groupes. Par exemple :

• GG_ pour tous les groupes de sécurité avec l’étendue « Globale »
• GDL_ ou GL_ pour tous les groupes de sécurité avec l’étendue « Domaine local »
• _RW pour tous les groupes permettant de bénéficier de droits en lecture + écriture
• _RO pour tous les groupes permettant de bénéficier d’un accès en lecture seule

Ainsi, rien qu’en regardant la liste des groupes dans l’Active Directory, vous pouvez savoir à quoi correspond ce groupe. Si besoin, vous pouvez préciser le chemin UNC vers le partage dans la description du groupe de domaine local pour être encore plus précis.

Prenons l’exemple du groupe « GDL_Partage_RO » qui est bien configuré avec l’étendue « Domaine local« .

• Parmi les membres de ce groupe, il n’y a pas d’utilisateurs ! C’est bien le groupe « GG_Externes » qui est membre de ce groupe, et dans le groupe « GG_Externes« , il y a l’utilisateur « Lou Ange« .

Ensuite, une fois que les groupes sont prêts, il ne reste plus qu’à configurer les permissions de partage et les permissions NTFS. Pour cela, on utilise bien les groupes « GDL_ », comme ceci :

Puis, dans le même esprit avec les autorisations NTFS en restant cohérent entre le nom du groupe et les droits (_RO = Lecture seule).

Il ne restera plus qu’à tester sur un poste client, avec le compte « Guy Mauve » puis avec le compte « Lou Ange » pour vérifier que les permissions s’appliquent correctement !

Bien sûr, les groupes globaux peuvent être ajoutés à d’autres groupes avec l’étendue de domaine local. Par exemple, le groupe « GG_Comptables » peut être membre du groupe « GDL_Compta_RW » pour accéder au partage « Comptabilité« .

IV. Conclusion

En appliquant cette méthode, les droits sur les répertoires partagés sont plus facile à gérer et à maintenir dans le temps ! Au-delà d’appliquer la méthode AGDLP, la clé c’est de bien nommer les groupes de sécurité pour que ce soit facile à interpréter d’un coup d’oeil ! Sans oublier que l’arborescence de votre serveur de fichiers doit être bien pensée également sinon elle peut devenir problématique. Je vous encourage à appliquer cette bonne pratique en entreprise pour gérer les droits sur votre serveur de fichiers !

Au sein d’un environnement avec plusieurs domaines et des relations d’approbations, il y a un véritable intérêt à utiliser la méthode AGDLP d’un point de vue de la sécurité. C’est moins vrai sur un environnement mono-domaine puisque la notion d’étendue importe peu, mais il vaut mieux appliquer cette méthode dès le départ. Aujourd’hui, votre Active Directory n’a peut-être pas de relation d’approbation avec un autre domaine, mais qu’en sera-t-il demain ?