Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
1613 connectés 

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Gestion Active Directory

n°165167
spence fox​trot
^^
Posté le 10-09-2019 à 10:00:11  profilanswer
 

Bonjour,
 
Ma recherche serait plutôt une optimisation de structure AD.
 
 
Connaîtriez-vous des sites, ou tout autre support pour gérer AD?
 
En gros, aujourd'hui, je suis en R&D, et je dois proposer un rafraîchissement de la structure de notre AD, notamment sur les comptes Admins...
 
Je cherche donc toute idée ou plan de structuration d'un AD pour essayer d'envisager un paquet de solutions...
 
Par avance, merci!


---------------
Revendre vos jeux Steam, Origin et Cie individuellement
mood
Publicité
Posté le 10-09-2019 à 10:00:11  profilanswer
 

n°165170
nebulios
Posté le 10-09-2019 à 10:39:27  profilanswer
 

C'est trop vague, et on ne va pas faire le boulot à ta place non plus...tu veux faire quoi exactement ? Du hardening ? De la délégation ?

n°165173
spence fox​trot
^^
Posté le 10-09-2019 à 11:25:45  profilanswer
 

nebulios a écrit :

C'est trop vague, et on ne va pas faire le boulot à ta place non plus...tu veux faire quoi exactement ? Du hardening ? De la délégation ?


je ne connais pas le premier terme, et non, pas de délégation.
 
Je cherche juste à correctement monter mon arbre et les branches.
Les bonnes pratiques, etc...


---------------
Revendre vos jeux Steam, Origin et Cie individuellement
n°165174
Wolfman
Modérateur
Lobo'tomizado
Posté le 10-09-2019 à 11:36:38  profilanswer
 
n°165175
nebulios
Posté le 10-09-2019 à 11:52:38  profilanswer
 

Du design donc.
 
Ce n'est pas compliqué en théorie, tu vas construire ton AD en fonction de tes besoins en terme d'applications de GPO et de délégation d'où, qui elles-mêmes dépendent de l'organisation de ta boîte en fonction des services (éviter la géographie).
 
Pas de relations d'approbations.
 
Pas plus de 3 OU de profondeur.
 
Créer une OU Management à part pour y stocker les comptes utilisateurs/de service/groupes/ordinateurs à haut privilèges.
 
Ca devrait suffire pour les bases.

n°165176
skoizer
tripoux et tête de veau
Posté le 10-09-2019 à 11:55:19  profilanswer
 

structure ? , tu parles des Unité organisationnelle ou des groupes utilisateurs ?
il faut partir de tes besoins et faire ton arborescence.
Si c'est pour gerer les GPO, tu peux le faire de differente manuiére via un filtrage par groupe utilisateur ou via les UO.
https://blog.devensys.com/active-di [...] anisation/
attention, créé tes UO sur une vision "technique" et non pas hierarchique.
 
ne pas faire par sites géographique, car les utilisateurs peuvent bouger.


Message édité par skoizer le 10-09-2019 à 11:57:17

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°165177
spence fox​trot
^^
Posté le 10-09-2019 à 12:08:34  profilanswer
 

Ok merci pour vos premiers conseils.

 

Disons que je suis pas censé trop en dire.

 

Concrètement, nous sommes tous (les utilisateurs) des utilisateurs. Pas d'admin.
Lorsqu'on a besoin de droits, et uniquement pour le service informatique, on utilise TOUS le même ID... Donc pas de traçabilité, et full droits pour tous les membres du service Informatique.

 

Je dois donc dessiner une réorganisation du système de droit, notamment en créant (je fais le papier, pas la manipulation, pour l'instant) un compte admin pour chaque utilisateur.
Instruction du groupe, on ne se donne pas directement de droit d'admin sur nos comptes "courants".
Je dois ensuite définir un système pour qu'on ait chacun des droits correspondants à nos prérogatives.

 

Par exemple, je suis plutôt en direction de la gestion de parc, et de la maintenance. Donc pas besoin des droits sur la base sql du logiciel métier (qui a son serveur donc).
Les développeurs n'ont pas besoin des droits d'admins sur les postes clients, ni sur le serveur de fichier par exemple...

 

Je pensais donc, en premier instance, partir sur un groupe par serveur, et donner le groupe à chaque compte admin en fonction de.

 

Cependant, premier cas, donc je veux bien faire, d'où la recherche de bonnes pratiques, etc etc...
On est 300 employés dans un sous groupe de l'AD... car l'AD est généralisé à plusieurs sites géographiques, et nous n'avons pas la main sur son ensemble. Juste notre site (représenté par une UO).

 

Y'a aussi des ajustements, du style le compte de backup... qui est admin alors qu'il n'a besoin que de droit de lectures ciblées, et d'écriture ciblée également.

 

Enfin voila.


Message édité par spence foxtrot le 10-09-2019 à 12:10:48

---------------
Revendre vos jeux Steam, Origin et Cie individuellement
n°165178
nebulios
Posté le 10-09-2019 à 13:44:08  profilanswer
 

Alors là tu parles délégation.
 
Et en terme de compétences, il va falloir faire appel à un archi/ingénieur AD, parce que sans, c'est juste pas possible. Et accessoirement tu peux difficilement mettre ce genre de sécurité sans en parler à l'équipe IT centrale.

n°165179
spence fox​trot
^^
Posté le 10-09-2019 à 15:00:36  profilanswer
 

nebulios a écrit :

Alors là tu parles délégation.
 
Et en terme de compétences, il va falloir faire appel à un archi/ingénieur AD, parce que sans, c'est juste pas possible. Et accessoirement tu peux difficilement mettre ce genre de sécurité sans en parler à l'équipe IT centrale.


C'est mon chef de service qui me l'a demandé, donc l'équipe IT centrale pas francophone... voila quoi ^^
 
C'est pour coller aux normes ISO et je sais plus quoi (sm qqch : Small and medium quelque chose).
Bref, il faut de la traçabilité, et une meilleure gestion de notre organisation, et on est bien maîtres de ce qui se passe chez nous (mais y'a des supérieurs au dessus dans d'autres pays qui ont des accès supérieurs sur le domaine).
 
Pour moi, c'est pas insurmontable, j'ai déjà des bouts de plans en tête. Encore une fois, c'est juste ma première situation réelle. Je rappelle bien que j'ai les ID admin total et que je serai amené à travailler dedans (dans l'AD) dès qu'il y a un intérimaire qui entre ou sort, un employé, etc etc... (500 personnes environs en prenant tous le monde en compte en fait). Et pour couronner le tout, je suis apprenti sans expérience professionnelle (ou quasi comme) dans le niveau 2  [:ddr555]  


---------------
Revendre vos jeux Steam, Origin et Cie individuellement
n°165180
nebulios
Posté le 10-09-2019 à 15:32:07  profilanswer
 

C'est pas une raison pour faire du shadow IT. Et en plus, pour des raisons techniques, vous aurez peut-être besoin de l'IT centrale pour certaines actions.
 
Et que tu as les accès admin (ce qui est déjà sacrément anormal) ne te donne pas accès ni aux connaissances ni à l'expérience pour mettre en place ce genre d'outils (pour rappel, tu ne sais même pas de quoi on parle, juste en passant). Si tu fais n'importe quoi tu peux tout simplement péter l'accès à l'AD.
Faire de la petite admin quotidienne n'a rien à voir avec de l'ingénierie avancée.
 
J'ai l'impression que ton chef veut implémenter la norme ISO sans moyens ni gouvernance, sauf que ça ne fonctionnera pas.

Message cité 1 fois
Message édité par nebulios le 10-09-2019 à 15:33:57
mood
Publicité
Posté le 10-09-2019 à 15:32:07  profilanswer
 

n°165181
spence fox​trot
^^
Posté le 10-09-2019 à 15:45:40  profilanswer
 

nebulios a écrit :

C'est pas une raison pour faire du shadow IT. Et en plus, pour des raisons techniques, vous aurez peut-être besoin de l'IT centrale pour certaines actions.

 

Et que tu as les accès admin (ce qui est déjà sacrément anormal) ne te donne pas accès ni aux connaissances ni à l'expérience pour mettre en place ce genre d'outils (pour rappel, tu ne sais même pas de quoi on parle, juste en passant). Si tu fais n'importe quoi tu peux tout simplement péter l'accès à l'AD.
Faire de la petite admin quotidienne n'a rien à voir avec de l'ingénierie avancée.

 

J'ai l'impression que ton chef veut implémenter la norme ISO sans moyens ni gouvernance, sauf que ça ne fonctionnera pas.


Citation :

Je fais le papier, pas la manipulation


On a le compte admin qui nous permet de modifier et supprimer les utilisateurs admins de même niveau... Donc on a tout ce qu'il faut. ceux au dessus ne nous concernent pas, et peuvent s'auto attribuer les droits s'ils le voulaient de toutes façons...

 

C’est justement une des raisons pour laquelle on souhaite changer ça (avec une meilleure gestion, je n'aurais eu qu'un compte admin simple pour mettre à jours des poste clients, et manipuler un peu l'AD). Le pire, c’est que mon prédécesseur c'était auto-attribué les droits admins... on l'a vu hier, ce qui a relancer le besoin de mettre au point ce plan (que je présenterai probablement en réunion).

 

C'est pas parce que je ne connais pas le terme hardening que je ne sais pas ce qu'est un AD ou comment il fonctionne  :)
Bien sur, sans expérience, je peux pas dire que je suis meilleur que tout le monde, mais bon, on ne fera pas avancer le schmilblick de toutes façons.

 

J'ai un plan à pondre, et je pense que je serai surement celui qui le mettra en place, avec ou sans surveillance, et peut-être par étapes (je pense que je ne ferais qu'ajouter, qu'ils contrôleront, et qu'ils supprimeront les anciennes branches eux même au fur et à mesure).


Message édité par spence foxtrot le 10-09-2019 à 15:47:01

---------------
Revendre vos jeux Steam, Origin et Cie individuellement
n°165182
nebulios
Posté le 10-09-2019 à 16:06:09  profilanswer
 

Non, techniquement ce qui a été mis en place au-dessus peut avoir un impact sur ce que tu veux faire. Que cela ne te fasse même pas tiquer n'est pas normal et montre que tu es à la rue.
 
Tu ne sais même pas ce qu'est une délégation AD non plus...alors je doute vraiment que tu saches comment fonctionne un AD oui. Je ne veux pas être méchant mais sans connaissance ni expérience tu vas te planter. En fait je pense que tu ne saisis pas du tout l'ampleur de ce genre de chantier.
 
Ensuite si tu veux vraiment te planter tu fais ce que tu veux, je t'aurai prévenu.

n°165184
skoizer
tripoux et tête de veau
Posté le 10-09-2019 à 17:06:01  profilanswer
 

hardening <-- c'est le terme trés "in" pour dire "renforcer la sécurité".
C'est un trés bon debut de créé deux compte, un "d'utilisation courante" et l'autre d'administration.
si tu vous voulez aller plus loin, par exemple un compte admin mais uniquement pour gerer tel ou tel serveur, c'est compliqué dans une petite structure comme la votre. comment fais tu pour maintenir la continuité d'activité ?
comment allez vous faire si l'admin systéme qui est tout seul est parti en vacances ?

Message cité 1 fois
Message édité par skoizer le 10-09-2019 à 17:07:33

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°165201
spence fox​trot
^^
Posté le 10-09-2019 à 21:54:28  profilanswer
 

nebulios a écrit :

Non, techniquement ce qui a été mis en place au-dessus peut avoir un impact sur ce que tu veux faire. Que cela ne te fasse même pas tiquer n'est pas normal et montre que tu es à la rue.
 
Tu ne sais même pas ce qu'est une délégation AD non plus...alors je doute vraiment que tu saches comment fonctionne un AD oui. Je ne veux pas être méchant mais sans connaissance ni expérience tu vas te planter. En fait je pense que tu ne saisis pas du tout l'ampleur de ce genre de chantier.
 
Ensuite si tu veux vraiment te planter tu fais ce que tu veux, je t'aurai prévenu.


Mais on s'en fou de ce qu'il y a au dessus xD
On gère nous même notre UO...
S'ils ont l'héritage, on ne pourra pas toucher à leurs groupe de toutes façons.
Je vois ce qu'est une délégation, mais ce n'est pas ce que nous faisons. Du moins, pas comme on l'entend.
 
Mais pour résumer ton intervention pour le moment :
"Surtout ne cherche pas à le faire, il ne faut surtout pas que tu apprennes, c'est très mal d'apprendre"
 

skoizer a écrit :

hardening <-- c'est le terme trés "in" pour dire "renforcer la sécurité".
C'est un trés bon debut de créé deux compte, un "d'utilisation courante" et l'autre d'administration.
si tu vous voulez aller plus loin, par exemple un compte admin mais uniquement pour gerer tel ou tel serveur, c'est compliqué dans une petite structure comme la votre. comment fais tu pour maintenir la continuité d'activité ?
comment allez vous faire si l'admin systéme qui est tout seul est parti en vacances ?


ok merci.
En fait, je partais sur une UO par serveur, et donner le groupe de cette UO a chaque admin concerné ; en gros le serveurs sql aurait son UO "serveur sql un_tel", et les deux utilisateurs qui on besoin de l'accès admin feraient parti du groupe "serveur sql un_tel".
Le compte utilisateur admin serait toujours d'actualité, mais utilisé seulement en cas de nécessité.
Mon chef part sur la confiance (on connait tous le code), mais je préférerai un système que j'ai "inventé" moi-même (on aurait juste une partie du code, grâce à une phrase mémo technique), et l'autre partie serait connue par le chef, et copié dans un système de feuille à gratter par exemple.
Si le chef est absent, et selon l'ordre de la hiérarchie, on gratte la feuille...


---------------
Revendre vos jeux Steam, Origin et Cie individuellement
n°165203
clockover
That's the life
Posté le 10-09-2019 à 23:32:15  profilanswer
 

Ah ouais ok quand même !

n°165204
Je@nb
Modérateur
In ze cloud
Posté le 10-09-2019 à 23:38:58  profilanswer
 


spence foxtrot a écrit :


ok merci.
En fait, je partais sur une UO par serveur, et donner le groupe de cette UO a chaque admin concerné ; en gros le serveurs sql aurait son UO "serveur sql un_tel", et les deux utilisateurs qui on besoin de l'accès admin feraient parti du groupe "serveur sql un_tel".
Le compte utilisateur admin serait toujours d'actualité, mais utilisé seulement en cas de nécessité.
Mon chef part sur la confiance (on connait tous le code), mais je préférerai un système que j'ai "inventé" moi-même (on aurait juste une partie du code, grâce à une phrase mémo technique), et l'autre partie serait connue par le chef, et copié dans un système de feuille à gratter par exemple.
Si le chef est absent, et selon l'ordre de la hiérarchie, on gratte la feuille...


 
Non la franchement arrête tout, tu as rien compris à l'AD, aux concepts :/
Reprends la base ça te permettra de voir plus clair je pense

n°165209
nebulios
Posté le 11-09-2019 à 09:29:37  profilanswer
 

spence foxtrot a écrit :


Mais on s'en fou de ce qu'il y a au dessus xD
On gère nous même notre UO...
S'ils ont l'héritage, on ne pourra pas toucher à leurs groupe de toutes façons.
Je vois ce qu'est une délégation, mais ce n'est pas ce que nous faisons. Du moins, pas comme on l'entend.
 
Mais pour résumer ton intervention pour le moment :
"Surtout ne cherche pas à le faire, il ne faut surtout pas que tu apprennes, c'est très mal d'apprendre"
 


 
Mon intervention se résume à "avant de construire un porte-avions commence par construire une barque"

spence foxtrot a écrit :


ok merci.
En fait, je partais sur une UO par serveur, et donner le groupe de cette UO a chaque admin concerné ; en gros le serveurs sql aurait son UO "serveur sql un_tel", et les deux utilisateurs qui on besoin de l'accès admin feraient parti du groupe "serveur sql un_tel".
Le compte utilisateur admin serait toujours d'actualité, mais utilisé seulement en cas de nécessité.
Mon chef part sur la confiance (on connait tous le code), mais je préférerai un système que j'ai "inventé" moi-même (on aurait juste une partie du code, grâce à une phrase mémo technique), et l'autre partie serait connue par le chef, et copié dans un système de feuille à gratter par exemple.
Si le chef est absent, et selon l'ordre de la hiérarchie, on gratte la feuille...


 [:roxelay]  
Bon  [:canard rouge] Des fois il faut savoir laisser les gens jouer aux Lego sur l'autoroute.

n°165217
frede94
Anti cococouillon
Posté le 11-09-2019 à 10:30:46  profilanswer
 

spence foxtrot a écrit :


et copié dans un système de feuille à gratter par exemple.
Si le chef est absent, et selon l'ordre de la hiérarchie, on gratte la feuille...


 
https://jeuxmise.eu/wp-content/uploads/2016/04/quels-sont-les-gains-maxi-aux-jeux-de-grattage.jpg


---------------
Non au vivre ensemble ----- Communistes = fascistes rouges ----- Non au pacte sur les migrations de l'Onu
n°165220
skoizer
tripoux et tête de veau
Posté le 11-09-2019 à 14:56:30  profilanswer
 

frede94 c'est bientot vendredi 13 !
 
calmos avec les "tu ne comprends rien" "nullos" et autre.
"Frappe moi fort avec une pelle !" Ce n''est pas un forum SM ici.. :)
 
 
en résumé, "spence foxtrot", c'est le role d'un admin systéme de gérer la délagation.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°165231
spence fox​trot
^^
Posté le 12-09-2019 à 09:16:35  profilanswer
 

skoizer a écrit :

frede94 c'est bientot vendredi 13 !
 
calmos avec les "tu ne comprends rien" "nullos" et autre.
"Frappe moi fort avec une pelle !" Ce n''est pas un forum SM ici.. :)
 
 
en résumé, "spence foxtrot", c'est le role d'un admin systéme de gérer la délagation.


ça reste l'admin qui gère ça.
Il m'a juste demander de lui pondre un schéma (j'ai un gros mois pour ça), et semble vouloir me donner des responsabilités montantes.
Je ne suis pas vraiment à l'aise avec le terme délégation, dans la mesure où on aura toujours les accès, et que depuis un bon moment, chacun touche à sa partie sans restriction. L'équipe est une vraie fraternité.
Sauf moi... je ne suis dans l'entreprise que depuis une semaine, mais j'aurai la gestion de parc et le support je pense, voir plus à terme... on verra ça dans 1 an.


---------------
Revendre vos jeux Steam, Origin et Cie individuellement
n°165232
Erlum
Posté le 12-09-2019 à 09:39:36  profilanswer
 

Petit conseil gratuit : si t'es nouveau, évite de jouer aux apprentis sorciers et énonce clairement ton incompétence.

n°165237
frede94
Anti cococouillon
Posté le 12-09-2019 à 10:15:05  profilanswer
 

Si ensuite y a des trucs qui merdent, qui va prendre la porte ? Le petit nouveau !


---------------
Non au vivre ensemble ----- Communistes = fascistes rouges ----- Non au pacte sur les migrations de l'Onu
n°165241
Je@nb
Modérateur
In ze cloud
Posté le 12-09-2019 à 11:36:57  profilanswer
 

demande une formation plutôt pour rentrer dans le rôle

n°165248
Av3k
Posté le 12-09-2019 à 14:07:25  profilanswer
 

+1 avec tout ce qui a été dis au dessus.
 
La si tu ne veux pas faire n'importe quoi (ce qui semble bien parti vu les énormités que tu sembles vouloir mettre en place, no offense) demande à minima une formation à ton responsable si celui ci veut que ce soit toi qui réalise cette tâche (qui n'est ni plus ni moins qu'une refonte complète AD)
 
Perso je préfère (et c'est même plutôt bien vu) que quelqu'un me dise qu'il préfére avoir une formation plutôt que de prendre 1 mois pour me pondre une bouse monumentale...

n°165273
spence fox​trot
^^
Posté le 13-09-2019 à 12:54:21  profilanswer
 

Je pense que vous n'avez juste pas compris ce qu'est un schéma...

Message cité 1 fois
Message édité par spence foxtrot le 13-09-2019 à 12:54:28

---------------
Revendre vos jeux Steam, Origin et Cie individuellement
n°165277
clockover
That's the life
Posté le 13-09-2019 à 13:47:12  profilanswer
 

A ce niveau c'est du troll non ?

n°165280
Je@nb
Modérateur
In ze cloud
Posté le 13-09-2019 à 15:21:17  profilanswer
 

spence foxtrot a écrit :

Je pense que vous n'avez juste pas compris ce qu'est un schéma...


Sisi

n°165281
antoincy
Posté le 13-09-2019 à 15:58:29  profilanswer
 
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
 

Sujets relatifs
Gestion domaine/DNS avec googleActive Directory sous Samba
Synology Active Backup for Office365active directory
limiter la gestion d'un groupe Active DirectoryGestion de badge active directory
Gestion des Groupe et liste de distrib Active Directory Logiciel ou Interface Web pour la gestion d'un Active Directory
Active Directory - Délégation pour la gestion ADGestion des droits Active directory Windows Server 2003
Plus de sujets relatifs à : Gestion Active Directory


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR