Bonjour,
 
Ma recherche serait plutôt une optimisation de structure AD.
 
 
Connaîtriez-vous des sites, ou tout autre support pour gérer AD?
 
En gros, aujourd'hui, je suis en R&D, et je dois proposer un rafraîchissement de la structure de notre AD, notamment sur les comptes Admins...
 
Je cherche donc toute idée ou plan de structuration d'un AD pour essayer d'envisager un paquet de solutions...
 
Par avance, merci!

C'est trop vague, et on ne va pas faire le boulot à ta place non plus...tu veux faire quoi exactement ? Du hardening ? De la délégation ?

je ne connais pas le premier terme, et non, pas de délégation.
 
Je cherche juste à correctement monter mon arbre et les branches.
Les bonnes pratiques, etc...

https://docs.microsoft.com/fr-fr/wi [...] n-services
 
De rien.

Du design donc.
 
Ce n'est pas compliqué en théorie, tu vas construire ton AD en fonction de tes besoins en terme d'applications de GPO et de délégation d'où, qui elles-mêmes dépendent de l'organisation de ta boîte en fonction des services (éviter la géographie).
 
Pas de relations d'approbations.
 
Pas plus de 3 OU de profondeur.
 
Créer une OU Management à part pour y stocker les comptes utilisateurs/de service/groupes/ordinateurs à haut privilèges.
 
Ca devrait suffire pour les bases.

structure ? , tu parles des Unité organisationnelle ou des groupes utilisateurs ?
il faut partir de tes besoins et faire ton arborescence.
Si c'est pour gerer les GPO, tu peux le faire de differente manuiére via un filtrage par groupe utilisateur ou via les UO.
https://blog.devensys.com/active-di [...] anisation/
attention, créé tes UO sur une vision "technique" et non pas hierarchique.
 
ne pas faire par sites géographique, car les utilisateurs peuvent bouger.

Ok merci pour vos premiers conseils.

Disons que je suis pas censé trop en dire.

Concrètement, nous sommes tous (les utilisateurs) des utilisateurs. Pas d'admin.
Lorsqu'on a besoin de droits, et uniquement pour le service informatique, on utilise TOUS le même ID... Donc pas de traçabilité, et full droits pour tous les membres du service Informatique.

Je dois donc dessiner une réorganisation du système de droit, notamment en créant (je fais le papier, pas la manipulation, pour l'instant) un compte admin pour chaque utilisateur.
Instruction du groupe, on ne se donne pas directement de droit d'admin sur nos comptes "courants".
Je dois ensuite définir un système pour qu'on ait chacun des droits correspondants à nos prérogatives.

Par exemple, je suis plutôt en direction de la gestion de parc, et de la maintenance. Donc pas besoin des droits sur la base sql du logiciel métier (qui a son serveur donc).
Les développeurs n'ont pas besoin des droits d'admins sur les postes clients, ni sur le serveur de fichier par exemple...

Je pensais donc, en premier instance, partir sur un groupe par serveur, et donner le groupe à chaque compte admin en fonction de.

Cependant, premier cas, donc je veux bien faire, d'où la recherche de bonnes pratiques, etc etc...
On est 300 employés dans un sous groupe de l'AD... car l'AD est généralisé à plusieurs sites géographiques, et nous n'avons pas la main sur son ensemble. Juste notre site (représenté par une UO).

Y'a aussi des ajustements, du style le compte de backup... qui est admin alors qu'il n'a besoin que de droit de lectures ciblées, et d'écriture ciblée également.

Enfin voila.

Alors là tu parles délégation.
 
Et en terme de compétences, il va falloir faire appel à un archi/ingénieur AD, parce que sans, c'est juste pas possible. Et accessoirement tu peux difficilement mettre ce genre de sécurité sans en parler à l'équipe IT centrale.

C'est mon chef de service qui me l'a demandé, donc l'équipe IT centrale pas francophone... voila quoi ^^
 
C'est pour coller aux normes ISO et je sais plus quoi (sm qqch : Small and medium quelque chose).
Bref, il faut de la traçabilité, et une meilleure gestion de notre organisation, et on est bien maîtres de ce qui se passe chez nous (mais y'a des supérieurs au dessus dans d'autres pays qui ont des accès supérieurs sur le domaine).
 
Pour moi, c'est pas insurmontable, j'ai déjà des bouts de plans en tête. Encore une fois, c'est juste ma première situation réelle. Je rappelle bien que j'ai les ID admin total et que je serai amené à travailler dedans (dans l'AD) dès qu'il y a un intérimaire qui entre ou sort, un employé, etc etc... (500 personnes environs en prenant tous le monde en compte en fait). Et pour couronner le tout, je suis apprenti sans expérience professionnelle (ou quasi comme) dans le niveau 2    

C'est pas une raison pour faire du shadow IT. Et en plus, pour des raisons techniques, vous aurez peut-être besoin de l'IT centrale pour certaines actions.
 
Et que tu as les accès admin (ce qui est déjà sacrément anormal) ne te donne pas accès ni aux connaissances ni à l'expérience pour mettre en place ce genre d'outils (pour rappel, tu ne sais même pas de quoi on parle, juste en passant). Si tu fais n'importe quoi tu peux tout simplement péter l'accès à l'AD.
Faire de la petite admin quotidienne n'a rien à voir avec de l'ingénierie avancée.
 
J'ai l'impression que ton chef veut implémenter la norme ISO sans moyens ni gouvernance, sauf que ça ne fonctionnera pas.

On a le compte admin qui nous permet de modifier et supprimer les utilisateurs admins de même niveau... Donc on a tout ce qu'il faut. ceux au dessus ne nous concernent pas, et peuvent s'auto attribuer les droits s'ils le voulaient de toutes façons...

C’est justement une des raisons pour laquelle on souhaite changer ça (avec une meilleure gestion, je n'aurais eu qu'un compte admin simple pour mettre à jours des poste clients, et manipuler un peu l'AD). Le pire, c’est que mon prédécesseur c'était auto-attribué les droits admins... on l'a vu hier, ce qui a relancer le besoin de mettre au point ce plan (que je présenterai probablement en réunion).

C'est pas parce que je ne connais pas le terme hardening que je ne sais pas ce qu'est un AD ou comment il fonctionne  
Bien sur, sans expérience, je peux pas dire que je suis meilleur que tout le monde, mais bon, on ne fera pas avancer le schmilblick de toutes façons.

J'ai un plan à pondre, et je pense que je serai surement celui qui le mettra en place, avec ou sans surveillance, et peut-être par étapes (je pense que je ne ferais qu'ajouter, qu'ils contrôleront, et qu'ils supprimeront les anciennes branches eux même au fur et à mesure).

Non, techniquement ce qui a été mis en place au-dessus peut avoir un impact sur ce que tu veux faire. Que cela ne te fasse même pas tiquer n'est pas normal et montre que tu es à la rue.
 
Tu ne sais même pas ce qu'est une délégation AD non plus...alors je doute vraiment que tu saches comment fonctionne un AD oui. Je ne veux pas être méchant mais sans connaissance ni expérience tu vas te planter. En fait je pense que tu ne saisis pas du tout l'ampleur de ce genre de chantier.
 
Ensuite si tu veux vraiment te planter tu fais ce que tu veux, je t'aurai prévenu.

hardening <-- c'est le terme trés "in" pour dire "renforcer la sécurité".
C'est un trés bon debut de créé deux compte, un "d'utilisation courante" et l'autre d'administration.
si tu vous voulez aller plus loin, par exemple un compte admin mais uniquement pour gerer tel ou tel serveur, c'est compliqué dans une petite structure comme la votre. comment fais tu pour maintenir la continuité d'activité ?
comment allez vous faire si l'admin systéme qui est tout seul est parti en vacances ?

Mais on s'en fou de ce qu'il y a au dessus xD
On gère nous même notre UO...
S'ils ont l'héritage, on ne pourra pas toucher à leurs groupe de toutes façons.
Je vois ce qu'est une délégation, mais ce n'est pas ce que nous faisons. Du moins, pas comme on l'entend.
 
Mais pour résumer ton intervention pour le moment :
"Surtout ne cherche pas à le faire, il ne faut surtout pas que tu apprennes, c'est très mal d'apprendre"
 

ok merci.
En fait, je partais sur une UO par serveur, et donner le groupe de cette UO a chaque admin concerné ; en gros le serveurs sql aurait son UO "serveur sql un_tel", et les deux utilisateurs qui on besoin de l'accès admin feraient parti du groupe "serveur sql un_tel".
Le compte utilisateur admin serait toujours d'actualité, mais utilisé seulement en cas de nécessité.
Mon chef part sur la confiance (on connait tous le code), mais je préférerai un système que j'ai "inventé" moi-même (on aurait juste une partie du code, grâce à une phrase mémo technique), et l'autre partie serait connue par le chef, et copié dans un système de feuille à gratter par exemple.
Si le chef est absent, et selon l'ordre de la hiérarchie, on gratte la feuille...

Ah ouais ok quand même !

 
Non la franchement arrête tout, tu as rien compris à l'AD, aux concepts
Reprends la base ça te permettra de voir plus clair je pense

 
Mon intervention se résume à "avant de construire un porte-avions commence par construire une barque"

   
Bon   Des fois il faut savoir laisser les gens jouer aux Lego sur l'autoroute.

frede94 c'est bientot vendredi 13 !
 
calmos avec les "tu ne comprends rien" "nullos" et autre.
"Frappe moi fort avec une pelle !" Ce n''est pas un forum SM ici..
 
 
en résumé, "spence foxtrot", c'est le role d'un admin systéme de gérer la délagation.

ça reste l'admin qui gère ça.
Il m'a juste demander de lui pondre un schéma (j'ai un gros mois pour ça), et semble vouloir me donner des responsabilités montantes.
Je ne suis pas vraiment à l'aise avec le terme délégation, dans la mesure où on aura toujours les accès, et que depuis un bon moment, chacun touche à sa partie sans restriction. L'équipe est une vraie fraternité.
Sauf moi... je ne suis dans l'entreprise que depuis une semaine, mais j'aurai la gestion de parc et le support je pense, voir plus à terme... on verra ça dans 1 an.

Petit conseil gratuit : si t'es nouveau, évite de jouer aux apprentis sorciers et énonce clairement ton incompétence.

Si ensuite y a des trucs qui merdent, qui va prendre la porte ? Le petit nouveau !

demande une formation plutôt pour rentrer dans le rôle

+1 avec tout ce qui a été dis au dessus.
 
La si tu ne veux pas faire n'importe quoi (ce qui semble bien parti vu les énormités que tu sembles vouloir mettre en place, no offense) demande à minima une formation à ton responsable si celui ci veut que ce soit toi qui réalise cette tâche (qui n'est ni plus ni moins qu'une refonte complète AD)
 
Perso je préfère (et c'est même plutôt bien vu) que quelqu'un me dise qu'il préfére avoir une formation plutôt que de prendre 1 mois pour me pondre une bouse monumentale...

Je pense que vous n'avez juste pas compris ce qu'est un schéma...

A ce niveau c'est du troll non ?

Sisi