Hello!
 
je dois configurer un active Directory sécurisé pour le réseau de ma boite.
 
La solution que j'envisage est la suivante, je vais donc vous demander vos conseils en matière de gestion des utilisateurs, de gestion des droits...
 
Le parc se compose de 14 PC.
1 serveur actuellement sous NT4  
4 pc de developpement sous windows 2000 serveur
9 workstations sous NT4 server/workstation.
 
Tout va être migré en windows 2000 serveur ou pro selon les besoins.
 
Le serveur aura le rôle de contrôleur du domaine, ainsi qu'un autre PC du domaine.
Je vais installer IPsec avec gestion par clé Kerberos du domaine.
 
Maintenant les droits des utilisateurs sur le domaine et sur leurs machines.
 
Les 4 personnes de la IT seront administrateur de leurs machines.
Je serais administrateur du domaine, aisin que mon patron.
 
Les autres utilisateurs ne doivent pas être administrateur sur leurs machines, ni sur le domaine.
 
La stratégie des mots de passe doit être :  
minimum 8 caractères
tous les caractères du clavier
expiration bi-mensuelle
 
 
Je ne veux pas que les utilisateurs puissent executer n'importe quels logiciels sur leurs PC, comment gérer les droits d'exécution?
 
Je ne veux que personne ne puisse utiliser, hormis moi, les partages administratifs.
 
Je veux attribuer un quota sur le serveur par utilisateur, avec un message d'alerte envoyé à l'admin du domaine et à l'utilisateur lorsque l'espace restant est inférieur à une certaine taille.
 
Je veux un sniffer capable de sniffer les trames au niveau d'un switch.
 
Les questions que je me pose surtout sont :  

• quelles est la hierarchie des administrateurs sous windows2000 (admin de domaine, admin d'entreprise...)
• dans quel ordre spécifier les comptes : dois-je d'abord creer les comptes d'utilisateur et d'admin sur chaque machine, puis les intégrer au domaine, ou dois-je les integrer au domaine puis créer les comptes d'utilisateur?
• comment gérer efficacement les stratégies d'audit, centraliser les rapports...
• comment obliger les utilisateurs à recourrir à l'opérateur de compte pour les changements de mot de passe, sauf lors du changement automatique à l'expiration?
• comment connaitre les mots de passe des utilisateurs?
• la stratégie de groupe (gpedit.msc) gère t'elle les droits de l'utilisateur en cours ou des utilisateurs, sauf l'admin?

Enfin bref toutes les questions permettant de définir les droits et attributs des utilisateurs...
 
Autant NT4 était assez simple, autant je m'y perds sous windows2000 avec toutes les stratégies à configurer, les hiréarchies nouvelles...
 
Donc merci de me filer un ptit coup de main
 
 
Ah oui dernière question : dans un active directory avec IPSEC par clé kerberos, l'Internet peut-il entrer? comment celà est-il géré?

up

P'tain l'admin paranoïaque !
Krapaud, c'est un nazi !

*************
Je vais installer IPsec avec gestion par clé Kerberos du domaine.
**************
 
IPsec je ne vois pas l'interet dans un parc de 14 machines, ça va te ralentir le trafic plus qu'autre chose.
Kerberos est de toutes manières le protocole d'authentification de Win2000
 
**************
Je ne veux que personne ne puisse utiliser, hormis moi, les partages administratifs.
******************
 
pour les utiliser il faut être admin de la machine cible ou du domaine, donc les 4 personnes qui seront admin de leurs machines pourront se connecter à leurs stations à travers les parages administratifs (s'ils savent ce que c'est...)
 
 
************
Je veux un sniffer capable de sniffer les trames au niveau d'un switch.
*****************
 
t'es sérieux là ???????????,
 
 
******************
Les questions que je me pose surtout sont :  

• quelles est la hierarchie des administrateurs sous windows2000 (admin de domaine, admin d'entreprise...)

**************
 
Par ordre d'autorité : Admins d'entreprise puis admins du domaine et enfin admin de machine
mais comme tu auras qu'un seul domaine donc les admins du domaine pourront se mettre dans les admins d'entreprise.
 
 
************************

• dans quel ordre spécifier les comptes : dois-je d'abord creer les comptes d'utilisateur et d'admin sur chaque machine, puis les intégrer au domaine, ou dois-je les integrer au domaine puis créer les comptes d'utilisateur?

***************************
 
j'ai pas compri ?????
tu crées tes users dans le domaine et ensuite tu les insères dans les groupes que tu veux (Admins, opérateurs ...).
Pkoi tu veux créer des users locaux sur les stations ?
 
 
*********************

• comment connaitre les mots de passe des utilisateurs?

*********************
 
En les attribuant toi même ...
(Ils vont t'adorer comme admin de leur réseau)
 
 
******************
Ah oui dernière question : dans un active directory avec IPSEC par clé kerberos, l'Internet peut-il entrer? comment celà est-il géré?  
**********************
 
Kerberos est le protocole d'authentification des users dans Active Directory.
IPSec : IP security. permet la sécurisation des communications réseaux => cryptage des données échangées entre deux machines, et donc il faut qu'il soit mis en place sur les 2 machines et en plus je crois bien que c'est propriétaire Microsoft donc n'a rien à voir avec l'Internet.
Tu peux le mettre en place juste pour la machine du Boss et encore dans une structure de 14 personnes ... je crois pas que ce soit nécessaire
 
voilà voilà, et bon courage

C'est pas un admin c'est un flic !
Je comprend mieux qu'il soit modo
 
Le we t'es vigile en grande surface?
 

karim->tu ne m'as pas entièrement satisfait mais j'ai déjà qq notions de réponse, merci
 
PS->IPSEC j'y recours parce que ce réseau est intégré dans un réseau plus gros de notre hébergeur.
Et que les admins de ce sesond réseau peuvent intervenir, sniffer ou faire ce qu'ils veulent chez nous.
 
En attendant que j'ai fini mon firewall Linux, j'utilise Ipsec comme sécurisation de notre domaine.

CA, c'est le genre de chose qui m'interresse. Allez, UP UP
 

 
Prq ne pas changer, en attendant, et si j'ai bien compris, l'adressage IP locale, et mettre un NT et 2 interfaces réseau + routage + filtrage ?

[citation
PS->IPSEC j'y recours parce que ce réseau est intégré dans un réseau plus gros de notre hébergeur.
Et que les admins de ce sesond réseau peuvent intervenir, sniffer ou faire ce qu'ils veulent chez nous.
 
En attendant que j'ai fini mon firewall Linux, j'utilise Ipsec comme sécurisation de notre domaine.  
[/citation]
 
Tu veux dire quoi par "intégré dans un réseau plus gros de l'hébergeur" : vous êtes rattachés à un domaine Win2000 parent, vous avez le même plan d'adressage IP que votre hébergeur, ... ?
 
Sinon il est toujours possible de mettre en place un adressage privé pour tes 14 machines avec un routeur au bout, tu rajoute un proxy pour l'internet et un firewall.
Tu mets tes machines en 10.0.0.100 -> 10.0.0.114 avec un masque 255.255.255.0 un routeur avec une Ip privée de 10.0.0.1 et les admins de ton hébergeur ne verront que son ip publique.
Tu monte ton service DNS avant de mettre en place Active Directory, et ensuite tu monte ton serveur DNS en controleur de domaine.
Donc toutes tes machines auront  
une @IP 10.0.0.XXX
masque 255.255.255.0
passerelle 10.0.0.1
DNS primaire : IP de ton controleur
DNS secondaire : IP de ton hébergeur
 
Si les admins de ton hébergeur n'ont pas les droits nécessaire ils pourront plus rien faire chez toi.
 
Par contre Attention, si c'est juste un domaine enfant que tu vas monter, ben là ... Ils pourront faire tout ce qu'ils veulent.

Attention deja tu n'es plus avec une strategie de domaine tel que tu la concois avec NT. L'application du DNS et AD te place dans un autre environnement
 
Pour tes comptes cree les sur le serveur et applique les
tu peut obliger une personne a se connecter uniquement de son poste ou de plusieurs.
 
L'option de verrouillage d'installation existe  
 
Bon courage

 
 
en fait plus exactement il s'agit d'un réseau rattaché à celui d'un incubateur.
Ils nous fournissent la connexion internet, et l'on est forcément connecté à leur réseau.
J'ai repéré plusieurs fois des incursions de leur part dans notre réseau.
C'est vrai qu'un domaine NT est suffisant, mais je veux passer en AD c'est plus sympa, et puis ras le bol de NT4
 
La configuration que je veux avoir est un routeur en tête de réseau, connectant le réseau de l'incubateur à notre réseau, puis un firewall, un switch et mes différents pôles de travail.
 
Comme ça je fais ce que je veux en interne.
Mais comme je n'aurais pas pu monter le firewall tout de suite, je veux d'abord monter un canal ipsec, qui me servira d'ailleurs plus tard pour les extensions VPN.
 
En fait mes questions sont plus celle de savoir comment gérer efficacement les droits des utilisateurs sur leurs machines, et sur le réseau, puisque je ne connaissais pas la hierarchie des utilisateurs sous 2000.
 
Je vais commencer à bidouiller tout ça
 
Au fait XP est-il compatible AD en natif?
 
 
Groody->parce que je tiens à migrer en 2000, que ça me permet en plus de donner de la contenu à ma soutenance
et que le firewall je le fais sous Linux
 
smith->

 
tu peux m'en dire plus stp?

[edtdd]--Message édité par krapaud--[/edtdd]

Pour les strategies systemes tu peut verrouiller les modifications du systemes
 
sinon tu as au niveau des acces disques les verrouillages en ecritures qui te permette de tout faire ecrire sur le disque U ainsi plus rien ne s'installe sauf en admin

ouais mais une modification du système c'est peut être trop restrictif

Déja interdit des choses comme modifier l'heure systeme, les parametre de fuseau horaires ou des machins comme ca  
 
parce qu'il supporte tres mal de pas etre a la meme heure que le serveur
 
puis avec les restrictions presente tu es plus a ca pret

ca se paramètre depuis gpedit.msc?

je sais plus (la honte)
 
je regarde ca et je te le dis
si quelqu'un a la reponse ca va etre plus rapide

up, j'aime bien ton topic, si tu pouvais me tenir informé de l'évolution STP.
c'est pas mal ce que tu monte.

ok
 
 
 

krapaud a écrit a écrit :

 
Up quoi ?
 
Ya du nouveau ?
 
Je suis un peu dans le meme cas que toi ... Je connais NT4 ... Mais 2000 à par le PRO je connais presque pas ... Vous avez des bonnes adresses pour des formation Win2K ?

et bien vous êtes pâs seul    
 
J'ai quelques addresses, mais pas eu le tps de m'y mettre
http://anakin.fr.fm/urls/

moi ça va, ça avance pas mal, mais je patauge pour les startégies des utilisateurs, et je ne sais tjrs pas à qui s'appliquent les paramètres de gpedit.msc

groody a écrit a écrit : et bien vous êtes pâs seul       J'ai quelques addresses, mais pas eu le tps de m'y mettre http://anakin.fr.fm/urls/

 
Vous me "vousvoyez" maintenant Mr Groody ?

 
Toi plus l'autre = 2, donc VOUS

 
oui et ont peut même configurer des trucs en plus avec les bons fichiers adm...
 
comme par exemple faire entrer des machines dans un site qui n'a pas de subnet attribué...

Cte up !  

up !!!