Les groupes locaux et globaux

groupes de ressources.
Par exemple, Acme a des agences commerciales à  Détroit, La Nouvelle Orléans et
New York. Tom et Jerry sont les ingénieurs commerciaux de Détroit, Jekyll et Hyde
les ingénieurs de La Nouvelle Orléans et Bonnie et Clyde ceux de New York. Chaque
agence a un répertoire, SalesWorkArea, qui partage les fichiers du bureau local
sur le serveur de fichiers du site. Chaque agence commerciale locale a besoin
de l’accès en modification au répertoire sur son serveur. La Figure 1 illustre
la configuration du système.

Pour mettre en oeuvre le contrôle d’accès, il faut créer deux groupes pour chaque
site. Commencez par créer un groupe de ressources et baptisez-le en fonction de
la ressource et du niveau d’accès qui lui a été accordé. Dans Windows NT 4.0,
les groupes de ressources sont toujours des groupes locaux créés dans la SAM d’un
serveur du site, car seuls les groupes locaux peuvent contenir d’autres groupes.
Dans cet exemple, le groupe de ressources s’appelle SalesWorkArea-Change. Pour
ouvrir une zone de description du groupe, double-cliquez sur le groupe dans le
Gestionnaire des utilisateurs. Identifiez le propriétaire d’entreprise, son niveau
d’implication et toute autre information décrivant le groupe ou la ressource.
Dans le cas présent, la description du groupe sera, par exemple :  » Owner Mgr
Sales ; traité par administrateur avec rapport mensuel au propriétaire « . Accordez
à  ce groupe l’accès en modification au répertoire SalesWorkArea. Dans un deuxième
temps, il faut créer des groupes d’utilisateurs pour les différents types d’utilisateurs
devant accéder à  la ressource. Dans NT 4.0, il faut des groupes globaux pour contenir
les utilisateurs, puisque ce sont les seuls à  pouvoir s’imbriquer dans les groupes
locaux.
Dans l’exemple précédent, créez un seul groupe global pour chaque succursale et
donnez-lui un nom évoquant la situation géographique de la succursale et le département
interne représenté par le groupe (c’est-à -dire DET-SalesReps, NO-SalesReps ou
NY-SalesReps). Puis placez dans les groupes globaux les commerciaux respectifs
de chaque site. Placez enfin les groupes globaux dans les groupes locaux. Chaque
ingénieur commercial dispose ainsi de l’accès en modification aux zones de travail
appropriées.

Cette méthode de contrôle d’accès à  deux niveaux s’auto-documente, est facile
à  vérifier et elle permet d’utiliser des groupes pour gérer l’accès. Pour contrôler
l’appartenance aux groupes et déterminer les ressources auxquelles un utilisateur
peut accéder, ouvrez le Gestionnaire des utilisateurs, double-cliquez sur l’utilisateur,
puis sur Groupes. La boîte de dialogue Appartenances aux groupes qui s’ouvre montre
les appartenances aux groupes des utilisateurs.
Par exemple, Clyde est membre du groupe global NY-SalesReps. Pour déterminer les
ressources auxquelles il peut accéder, définissez les groupes locaux dont NY-SalesReps
fait partie sur chaque serveur membre. En tant que membre de NY-SalesReps, Clyde
peut changer le répertoire SalesWorkArea sur le serveur de New York. Pour documenter
l’accès de Clyde, il suffit de regarder Appartenances aux groupes. Il est également
facile de définir qui a l’accès en modification à  une ressource d’informations
telle que SalesWorkArea. Pour cela, il suffit de vérifier l’ACL de SalesWorkArea.
Celle-ci contient une entrée qui accorde l’accès en modification à  SalesWorkArea,
lequel contient le groupe global SalesReps. Les ingénieurs commerciaux qui se
trouvent dans SalesReps ont l’accès en modification à  SalesWorkArea.