J.P. Poindessault <jean.pierre.poindessault@univ-poitiers.fr> wrote:

Pourquoi un groupe par type d'accès ?

C'est une méthode de travail.
Plus il y a du monde et plus il c'est important.

Immagines une boite de 20'000 personnes.
Tu ne vas pas pour chaque share faire une liste nominative de centaines
d'utilisateurs.

C'est les RH qui gérent les profils dans l'anuaire en plaçant le compte
dans les groupes idoines. Ce sont des "groupes de personnes".
Au niveau des shares tu fais un "groupe d'accès" et tu mes les groupes
de personnes dedant, plus les innévitables exceptions.

Par exemple dans sh_comta_RW (le groupe de partage nomé Compta avec
accès ReadWrite) tu mets les groupes d'utilisateurs "compta",
"direction" et Mme Michu (la fameuse exception)

En général on évite aussi tant que faire se peux de mettre des ACL à
plusieurs niveau.
Par exemple il vaut mieux éviter d'avoir un share compta avec des ACL
qui contiendrait un share "projet confidentiel" avec un encore un autre
type d'ACL et dans ce dossier un autre dossier "Mme Michu" avec un 3ème
niveau d'ACL.
Parce que le jour où tu dois restaurer le share compta, stressé par ton
RAID qui vient de lâcher, tu va oublier de remettre les ACL sur le
"dossier confidentiel".

Ceci permet de bosser à plusieurs IT dans un même service sans s'y
perdre et d'éviter d'avoir des ACL trop complexes.

Je ne dis pas que ceci est une règle absolue, mais j'ai cru comprendre
que c'est une "bonne pratique" répendue et qui fonctionne bien.

--
Nicolas Michel