La méthode AGDLP : L’art de gérer ses permissions selon

Microsoft

Parlons un peu d’une chose importante quand on possède un environnement Active

Directory… une bonne organisation !
Avoir son AD bien structuré dès l’installation c’est un gage de qualité et de sécurité. On a déjà
évoqué le fait qu’AD permet de gérer des utilisateurs et d’attribuer des permissions à ces
utilisateurs sur les ressources du domaine.
Cet article va justement démontrer l’intérêt d’une méthode de gestion des permissions
d’accès qui a fait ses preuves : la best practice de Microsoft : AGDLP !

Définition
La méthode AGDLP est un principe de gestion des droits d’accès aux ressources
partagées d’une entreprise, préconisé par Microsoft, basé sur les groupes de sécurité d’Active
Directory et leurs étendues.
Cette méthode consiste à affecter des utilisateurs (Account), dans des groupes globaux (Global),
ajouter ces groupes globaux dans des groupes de domaine local ( Domain Local) et pour
terminer, attribuer aux groupes de domaine local des permissions NTFS sur les ressources
(Permissions), les permissions NTFS étant les autorisations attribuées sur un objet dossier ou
fichier.

Intérêts
Voici les principaux arguments qui font qu’essayer AGDLP, c’est l’adopter :

Structurer correctement les accès sur un serveur de fichiers.

Gestion simple et rapide des permissions à l’aide de groupes et d’appartenances à ceux-ci : si un

utilisateur (ou un groupe défini d’utilisateurs) doit avoir un accès à telle ou telle ressource, il n’y aura
qu’à l’ajouter dans le groupe Global adéquate.

Gain de temps pour les administrateurs systèmes : une fois en place, il n’y aura plus à toucher aux
droits définis sur les ressources.

Sécurité accrue : pas de propagation massive en cas d’infection du serveur de fichiers si les
permissions NTFS sont correctement gérées. (Impérativement éviter de donner des permissions
NTFS aux groupes types « Tout le monde » ou « Utilisateurs du domaine », etc… et privilégier les
permissions à la racine de la ressource.)
Définition des étendues de groupes
L’étendue d’un groupe définit les objets qui peuvent en être membre ainsi que l’emplacement où
ils peuvent être utilisés, c’est-à-dire seulement dans le domaine où il a été créé ou dans toute la
forêt. Il existe 3 étendues de groupe de sécurité :

Groupe de domaine local (GDL): il peut contenir des utilisateurs, des groupes globaux et universels
de tous les domaines de la forêt et des groupes de domaine local de son propre domaine. Il peut
seulement être utilisé pour fixer des permissions à des ressources dans le domaine dans lequel il a été
créé.

Groupe global (GG): il peut contenir des comptes utilisateurs et des groupes globaux du même
domaine et tous autres objets d’un domaine approuvé. Il peut être utilisé dans toute la forêt pour
donner des permissions aux ressources de son propre domaine mais aussi celles sur les domaines de
la forêt qui ont une relation d’approbation.

Groupe universel (GU): il peut contenir des comptes utilisateurs, des groupes globaux et universels
de n’importe quel domaine de la forêt. Ce groupe a une portée maximale puisqu’il est accessible dans
l’ensemble de la forêt.

Dénomination des groupes

A la manière des stratégies de groupes (GPO), le nom d’un groupe doit être le plus précis
possible. D’un simple coup d’œil, il faut pouvoir identifier son utilité et son étendue. Voici un
exemple de dénomination possible que j’applique personnellement :
⇒Pour les groupes Globaux : GG_ Rôle-ou-Service
Exemples :

GG_Commerciaux : nous savons que ce groupe est un groupe « Global » (GG) et qu’il doit logiquement
contenir tous les utilisateurs du service Commercial puisqu’il s’appelle “Commerciaux”.

GG_Gestionnaires_Plannings: nous savons que ce groupe est un groupe « Global » (GG) et qu’il
contient tous les utilisateurs qui gèrent les plannings des employés.

⇒Pour les groupes de Domaine Local : GDL_ nom-de-la-ressource_Permissions

Exemples :

GDL_Compta_R: nous savons que ce groupe est un groupe « de Domaine Local » (GDL) et qu’il
contient le ou les groupes globaux d’utilisateurs qui ont le droit de lire uniquement (R pour Read)
les fichiers contenus dans le répertoire « Compta ».

GDL_Compta_W : nous savons que ce groupe est un groupe « de Domaine Local » (GDL)et qu’il
contient le ou les groupes globaux d’utilisateurs qui eux, ont le droit d’écrire (W pour Write) dans
le répertoire « Compta ».
 Exemple d’application de droits d’accès aux ressources
partagées
Prenons un exemple plus concret pour illustrer cette méthode.

Dans une entreprise, il existe un partage pour le service Direction qui contient des
fichiers/dossiers sensibles. Il est bien évident que toutes l’entreprise ne doit pas avoir accès à
cette ressource mais seulement les membres de la Direction. En revanche, il arrive fréquemment
que le directeur, Mr Alain DUPONT, demande à une secrétaire, Mme Laura MARTIN, de relire
certains de ses documents. Elle a donc elle aussi besoin d’un accès à ce partage mais seulement
en lecture car le directeur ne veut pas que ses documents soient modifiés.

Si nous décortiquons ces informations, cela nous donnera :

▪ 2 utilisateurs : Alain DUPONT et Laura MARTIN

▪ 2 services différents : Direction et Secrétariat
▪ 1 répertoire accessible pour les 2 services : partage « Direction »
▪ 1 accès en lecture/écriture pour le service Direction
▪ 1 accès en lecture pour le service Secrétariat

Pour ce cas précis, voici une illustration des groupes que nous pouvons créer et des droits que
nous pouvons appliquer tout en respectant le principe de la méthode AGDLP :
Application d’AGDLP dans votre entreprise
Dans le cas de la création d’une nouvelle ressource sur un serveur de fichiers par exemple, il
faudra :

1- Créer un (ou plusieurs) groupe de Domaine Local selon les droits (Lecture ou Ecriture)
2- Créer un (ou plusieurs) groupe Global (ou utilisé un groupe GG_x déjà existant) et l’ajouter au
groupe de Domaine Local précédemment créé selon les droits nécessaires toujours.
3- Créer la ressource sur le serveur de fichiers.
4- Attribuer les droits nécessaires au(x) groupe(s) de Domaine Local précédemment créé(s)
correspondant à cette ressource.
5- Aller dans l’onglet Partage et faire un partage « Avancé » de la ressource.
6- Aller dans « Autorisations » et donner les droits de Lecture et de Modification au groupe
« Tout le monde » puis Valider pour terminer (*).

(*)Selon les préconisations de Microsoft, « On peut “maximiser” les droits de Partage car l’accès à
la ressource sera de toutes façons géré avec les permissions NTFS ».
En effet, les permissions NTFS et les droits de partages se cumulent et c’est toujours la plus
restrictive qui gagne. C’est-à-dire que si un groupe à le droit de partage « Lecture » mais la
permission NTFS « Ecriture », au final il n’aura le droit que de Lecture, c’est ce qu’on appelle les
droits effectifs.

Dans le cas d’ajout de droits à un utilisateur sur une ressource, il faudra :

1- Ajouter l’utilisateur au groupe Global lui correspondant.
2- Et c’est tout ! Le groupe Global devant déjà être membre d’un groupe de Domaine Local,
l’utilisateur aura des droits sur la ressource, par le biais de ce groupe.

En résumé, la méthode AGDLP est un réel gain de temps pour les administrateurs mais aussi
un moyen de sécuriser proprement son serveur de fichiers. De plus, il est plus simple de faire un
suivi des droits utilisateurs sur un dossier s’ils sont tous répertoriés dans un seul et même groupe.

AGDLP est donc une « best practice » non négligeable qui se révélera très utile par la suite et qui
est à prendre en compte lors de la mise en place d’une structure Active Directory.

Dans le cas d’une utilisation hors domaine AD, on parle alors de méthode AGP où les utilisateurs
seront placés directement dans des groupes Globaux. Et dans le cas d’une utilisation plus
étendue sur une forêt AD avec par exemple plusieurs domaines et/ou relations d’approbation, on
parlera alors de méthode AUGDLP. Je vous laisse réfléchir à quoi peut bien correspondre le

U…