# Comprendre la gestion des droits dans Active Directory [![agdlp.png](https://docs.rakouns.bzh/uploads/images/gallery/2025-10/scaled-1680-/agdlp-png.png)](https://docs.rakouns.bzh/uploads/images/gallery/2025-10/scaled-1680-/agdlp-png.png) ### **Introduction** Aujourd’hui, dans les systèmes informatiques, bien gérer qui a accès à quoi est super important pour éviter les erreurs et garantir la sécurité. Microsoft propose une méthode appelée **AGDLP** pour organiser les droits d’accès dans **Active Directory** (AD). Cette méthode permet de séparer les utilisateurs des droits qu’ils ont sur les fichiers ou dossiers, tout en gardant une structure claire et facile à gérer. AGDLP, c’est un acronyme : - **A** pour *Account* (les utilisateurs), - **G** pour *Global Group* (groupes globaux), - **DL** pour *Domain Local Group* (groupes locaux de domaine), - **P** pour *Permissions* (les droits d’accès). Chaque élément a un rôle bien défini dans la gestion des accès. ### **Origine et contexte** Avant AGDLP, on donnait souvent les droits directement aux utilisateurs, ce qui rendait les choses compliquées à maintenir et risquait de créer des erreurs. AGDLP propose une méthode plus propre : on donne les droits aux groupes, pas aux personnes directement. Ce système s’inspire du modèle **RBAC** (*Role-Based Access Control*), où les rôles (et non les individus) déterminent les accès. ### **Objectifs d’AGDLP** AGDLP a plusieurs buts : - **Centraliser** la gestion des droits pour éviter les erreurs. - **Séparer** les utilisateurs des permissions : un utilisateur n’a jamais de droits directs, il les obtient via les groupes. - **Faciliter l’ajout ou le départ d’un utilisateur** : on le met dans le bon groupe, et il a automatiquement les bons accès. - **Rendre les accès plus clairs et traçables** : on peut facilement voir qui a accès à quoi en regardant les groupes. ### **Comment ça fonctionne** Voici comment AGDLP est structuré : 1. Les **utilisateurs** (A) sont placés dans des **groupes globaux** (G) selon leur service ou rôle. 2. Ces groupes globaux sont ensuite ajoutés à des **groupes locaux de domaine** (DL). 3. Les groupes locaux reçoivent les **permissions** (P) sur les ressources (fichiers, dossiers, imprimantes…). **Exemple** : Alice travaille dans les RH. Elle est dans le groupe global **GG\_Paie\_2025**. Ce groupe est ajouté au groupe local **GDL\_01-01-2025\_LECTURE**, qui a le droit de lire les fichiers du dossier `C:\Partage\RH\Paie\2025`. Si quelqu’un doit modifier les fichiers, il sera dans un autre groupe local, comme **GDL\_01-01-2025\_ECRITURE**, qui a les droits d’écriture. Chaque dossier peut avoir un groupe pour la lecture et un autre pour l’écriture, ce qui permet de bien contrôler les accès. ### **Avantages** AGDLP a plein de points positifs : - Une **organisation claire** des droits. - Une **meilleure sécurité**, car les droits sont donnés aux groupes, pas aux individus. - Une **gestion plus simple** : ajouter un utilisateur ou un dossier ne demande pas de tout reconfigurer. - Une **bonne traçabilité** : on sait facilement qui a accès à quoi. - Les droits peuvent **se propager automatiquement** aux sous-dossiers, ce qui fait gagner du temps. ### **Limites** Mais AGDLP a aussi quelques inconvénients : - Il faut **bien planifier** au début, sinon ça peut devenir compliqué. - Pour ceux qui ne connaissent pas bien le système, **comprendre les droits peut être difficile**. - Dans les grandes entreprises, **les changements peuvent mettre du temps à se propager**. - Une mauvaise organisation au départ peut rendre la suite plus difficile. ### **Conclusion** AGDLP est une méthode efficace pour gérer les accès dans Active Directory. Elle sépare clairement les utilisateurs, les groupes et les droits, ce qui rend le système plus sécurisé et plus facile à gérer. Même si sa mise en place demande un peu de travail, les bénéfices à long terme sont importants. Pour toute entreprise qui veut une gestion des accès solide et évolutive, AGDLP est une très bonne solution.