Pour commencer bien le bonjour,  
 
Contexte:
Je viens de rejoindre un laboratoire ( structure publique, unité mixte de recherche) en tant que Sysyadmin (je m´occupe de tout, étant seul), qui a éte laissé a l´abandon plusieurs annéé ( en fait la derniere personne en CDI - fonctionnaire donc impossible a dégager- n´a jamais fait son travail). Mon  dernier prédécesseur est resté quelque mois en 2017, il a juste réussi a passer la moitié sur un réseau privé derrière un routeur/firewall PF sense( tout les autre équipement sont en public, avec des IPs donné par le réseau auquel l´unité est raccordéé), installer un GLPI (qu´il n´a pas trop utilisé a priori en dehors des tickets ) avec fusion inventory et mettre en place un serveur MAC OS avec open directory pour avoir un annuaire et pour time machine .
Les besoins des utilisateurs sont simples, avoir simplement une connexion internet, faire de la bureatique et envoyer des mails. En plus vu que pendant des années le support était inexistant les utilisateurs sont assez débrouillards pour le spetits problèmes.  
Les systèmes utilisés sont principalement MAC OS et windows, quelque UBUNTU mais gérés par des personnes capable d´administrer leurs poste.  
 
Besoin:  
Dans l´hypothèse que le réseau est dans une configuration correct ( donc tout les monde sur le même réseau privée ) il va falloir mettre en place une gestion centralise du parc.
J´ai identifié les besoins immédiat suivants:
-Intégration de tout les postes dans un annuaire ( ce n´est pas le cas, les utilisateurs utilisent des comptes locaux)  
- gestion des mises a jours ( pour mac os et windows)  
- gestion des sauvegardes, pour rétablir a un état antérieur ou ré-installerle systeme avec la configuartion de l´utilisateur ( dans l´immédiat les données des utilisateurs sont synchronisées a un autre endroit)  
 
 
j´aimerais avant de me lancer avoir votre avis et des conseils pour mener a bien ce projet. En premier lieu comment architecturer la partie annuaire sachant qu´il y a de systemes différents. Je pense que le plus simple est d´utiliser un AD et de tout brancher dessus.  
Personnellement j´ai uniquement deux ans d´épérience en tant qu´admin sys mais pour de l´hébérgement WEB pour des sites de e-commerce principalement. Donc Linux, grosses infra, clients professionnels. Alors que maintenant j´ai des postes de travail et des usagers, très gentils d´ailleur.  
 
 
Je vous remercis par avance pour vos réponses et vous souhaite un excellent week end.  
 
Cdlt

Toujours la question qui fâche, quel budget as-tu décroché pour tout ça ?

Je suis arrivé lundi donc on est pas encore la ^^'
Ah oui j'ai oublié changement de locaux l'annee prochaine avec normalement un réseau neuf. Donc ça ne sert a rien de tout investir maintenant. En plus je ne sais pas qu'elle seront les possibilités des nouveaux locaux.
J'ai pour l'instant comme idee de demander deux serveurs tour pour y mettre les choses critiques. J'y installerais deux hyperviseurs. Ce sera plus facile a deplacer par la suite. Et de toute maniere ya pas de bais pour des racks.
Aussi tout les serveurs sauf besoins spécifiques comme un AD
 tourneront sur une distrib linux.  

Avant de faire quoi que ce soit, c'est de faire un état des lieux précis.
 
Donc faire le tour des bureaux, des laboratoires, etc. affin de faire un inventaire des postes de travail, imprimantes, téléphones, switchs (surtout si c'est un vieux pabx).
Cet inventaire va permettre de savoir, OS, IP, logiciels installés, partages de fichier, état des câbles RJ45, matériel tout en faisant un étiquetage du matériel pour la suite.
 
Ensuite, il faut voir la documentation et surtout les mots de passe admin ou peuvent ils être stockés.
Tu peux utiliser un logiciel comme Keepass affin de faire un point centraliser.
 
Y a t il des sauvegardes et comment sont elles faites ? C'est pour la suite mettre en place un PRA (plan de reprise d'activité)
 
Essaye de trouver la liste des fournisseurs, prestataire intervenu sur le site.
 
Pour remettre tout a plat, l'état des lieu précis te permettra de déterminer plus précisément ce dont les utilisateurs ont besoin et de renforcer la sécurité.  
 
 
Rien que ca tu vas avoir un sacré taf.

Pour la mise en place d'un système haute disponibilité, tout va dépandre du budget que tu vas avoir et des besoins réels des utilisateurs donc du nombre de machine virtuel.
 
Si il n'existe pas de baie serveur, cela n'est aucunement un problème. Il existe beaucoup de serveur au format tour.
Tu auras peut être besoin d'une baie de stockage sauf si tu parts sur un système hyperconvergé ou la l'utilisation d'un vsphere (ESXi) avec vSAN ou 2016 Datacenter pour utiliser le ReFS ou de Ovirt voir Proxmox.
 
Concernant la mise à jour des poste sous windows, avec un windows server 2016 (Essential, Profetional ou Datacenter) il est possible de faire un Windows Server Update Services (topic HFR sur le sujet). Pour Apple, je ne connais pas.
 
Concernant les sauvegardes des postes, il y a des solutions gratuites de chez Veeam pour poste client comme pour les hyperviseurs Hyper-V et Vcenter.
 
Pour migrer Apple Open Directory, 389 Directory Server de Red Had est pas mal. Sinon OpenLDAP vu que la solution de chez Apple est un forck.
 
Éventuellement un serveur mail ?
 

Pendant l'inventaire, nommer et étiqueter le matériel.

Ne pas oublier les contrats de maintenance des serveurs, leurs garanties, les contrats des antivirus...
Avant de démarrer un nouveau projet, fait un audit de l’existant, et surtout rend compte à ta direction en étant factuel, et en proposant des axes d’amélioration.

pour t'aider :
https://www.jres.org/programme
 
les rediffusion des conferences sont accessible à tous et traite de l'infra et la gestion de parc cette année y'en avais pas mal sur les parc apple pour t'aider
 
 
 

@zaxe  
 
Effectivement c´est prévus de passer dans chaque recoins et de faire un rapport salle par salle, etiqueteuse en main.  
La documenatation est inexistante. Trois page dans un coin ce n´est pas une doc. J'ai deja prévu de mettre une solution en place ( surement un wiki ) , après consultation des équipes de recherches pour savoir le besoin.
Pour précision, les données utilisateurs sont hébergées sur un serveur seafile et synchro sur les postes. Le serveur est hébergé dans un petit DC d´une organisation amis ( virtualisé). Donc pour l´instant cela fonctionne bien de ce côté.  
C´est justement pour le PRA que je veut des sauvegardes des postes pour tout réinstaller en cas de problèmes.  
Je ne cherche pas de la HA pour toute les applications, c´est surtout pour les applications critiques comme le serveur LDAP.  
Les utilisateurs peuvent endurer des coupures longues des services non critiques, avec deux machines et des VM il me suffira de relancer les services non redondés sur la machine saine.  
Et en cherchant ce week end je suis aussi tomber sur 389 directory server. Cela semble correspondre au besoin et peut être correctement couplé a un AD.  
Concernant les mails heureusement c´est géré par l´université a laquelle on est rattachéecomme la partie agenda et des autres services. Donc je suis tranquille de coté.  
 
Je vais faire deja cet inventaire et je continuerais ma reflexion ensuite.

Bonjour, Math670
 
 
Je suis dans un CH et je m'occupe entre autre du laboratoire.
Avant de critiquer tes prédécesseurs tu verras que l'on ne peut pas toujours tout faire
Le laboratoire est ce qui il y a de plus compliqué.
 avant de commencer fait l'inventaire materiel et logiciel.
Il te faudra un infra serveur virtualisé pour sécurise tout cela ! (organisation amis  ?)
 
"C´est justement pour le PRA que je veut des sauvegardes des postes pour tout réinstaller en cas de problèmes.  "
La sauvegarde des postes de travail...
tu confond poste et serveur.
On ne sauvegarde pas les postes de travail. C'est les serveurs qui sont essentiel.
Si tu as des logiciels spécifique, recense les et met en place des scripts pour les pousser vers un espace de sauvegarde. Fait des procédures ou bien les met sur des serveurs.
Le responsable de service doit mettre en place une procédure dégradé métier en cas d’indisponibilité d'application. Tu ne peux porter toute cette responsabilité.
 
Exemple :
un logiciel qui permet de lire des capteurs de temperature qui permet de suivre la temperature d'echantillon lors de transport du sang. Pour securiser tu en met sur deux ordinateurs (les données sont sur un partage reseau)
Un logiciel qui permet de gerer une banque de sang. regarde si elle ne peut pas fonctionner en client serveur (que tu virtualise) et tu installe sur deux pc pour le securiser.
 
 
Tu as plusieurs type de PC dans un labo, ceux fourni avec l'automate de labo. Tu ne peux rien y installer car c'est lié a un contrat de maintenance. Souvent c'est relié a ton SIL (Systéme informatique de laboratoire) en serie ou a un concentrateur de resultat et vers le SIL.
Apres tu as les ordi dit de gestion, que tu maîtrise a 100%
Pour les PC automates, il faut voir avec les contrats de maintenance, voit ce que cela comprend. Les automates ont souvent d'autre automates qui sont prévu en cas de problémes. Par exemple il y a deux automates qui font le gaz du sang.
Mais renseigne toi, les PC lié aux automates et les automates sont géré par le service biomédical. Le biomédical n'est pas du domaine de l'informatique même si on peut travailler ensemble.
 
Tu as énormément d'interface inter logiciel dans un laboratoire. C'est donc compliqué de refaire l'architecture reseau, souvent c'est pas opportunité que tu peux changer le reseau. Par exemple lors de changement d'un automates.
Donc étudie les interfaces inter logiciel ! La norme des echanges est très important.  
Le flux transporte t'il l'identitité patient ? qu'elle norme HPRIM 2.2 2.3 ou alros de HL7 ? La frequence ?
 
Par exemple notre sil envoie :
les resultats des examens sont envoyés a notre logiciel patient informatisé de l'hopital en HPRIM image (resultat en tableau + PDF) mais aussi a un SRI.
la facturation a notre logiciel de gestion des patients (GAM) une fois jours.
les résultats de sang sont envoyé vers notre logiciel de banque de sang
les résultats pdf sont envoyé vers l'exterieur vers un concentrateur de résultat pour les prescripteurs externes.
etc...
 
 
Il est important de segmenter ton réseau pour limiter la propagation
Il faut que tu regardes si il y a de VLAN.  
Recense les différents accès externe de tes prestataires ! Pas de teamviewer, il faut que tu soit capable de tout tracer...
Il ne faut pas que les PC des automates puissent avoir accés a internet, car tu ne peux rien installer (antivirus, maj windows) !  
 
bref tu as du boulot
 
sinon regarde ici
https://www.forum-sih.fr/viewtopic.php?f=24&t=731

Hello,
 
Concernant le soft de gestion de parc info , vous conseilleriez toujours GLPI comme outils gratuit?
 
Ou ils en existent d'autre mieux et plus récent? (ça fais un baille que je n'ai pas mis le nez dedans)

Je le trouve bien fait oui. Coupler avec OCS ou Fusion Inventory tu peux même t'en servir pour déployer des logiciels à distance.

 
OCS pour l'inventaire voir GLPI et WAPT pour le déploiement de paquets.

Qu'apporte WAPT par rapport à OCS du coup ?
 
Réelle curiosité sans reproche.

Sur OCS il y a Walking Dead et Game of Throne.

 
Une vraie gestion de déploiement de paquets, sécurité, fonctionnalités...    

Je vais le tenter en maquette locale tiens

roondar explique un peu plus
je suis curieux de la difference
Car sur ocs les flux sont crypté, et il y a une console de deploiement

 
De 1, wapt est certifié par l'ansi => https://www.ssi.gouv.fr/administrat [...] -1-5-0-13/
De 2, wapt utilise du https + une clé publique/privé qui certifie tous les échanges.
 
En gros le MiM est quasiment impossible avec WAPT.
 
Avec OCS c'est possible mais ca reste compliqué.    
 
Pour plus d'info : https://www.wapt.fr/fr/doc/Principe [...] ciple.html
https://www.cvedetails.com/vulnerab [...] ry-Ng.html

 
 
Lansweeper, c'est ce qu'on utilise à mon taf. Avec un parc de 1300 PC. 200 serveurs. Pas besoin d'agents à déployer sur les post pour les remontées. Scan matériel / logiciels. Avec tu peux gérer les assistance à distance, TSE, les c$, toute les commandes réseaux utiles ( ping, gpedit etc...), tu peux voir l'historique de connexion des postes, eventlogs, stats...
ça remonte aussi les imprimantes, copieurs, switchs.
ça gère aussi les déploiements. Et y'a aussi un module heldesk ( mais là, on l'utilise pas).  
C'est du bonheur pour les tech pour faire de l'assistance. Et pour les admins pour avoir une foule d'info rapidement. Il est gratuit en dessous d'un certains nombres de scan. Après, c'est payant, mais c'est bon marché.

Tanium

Merci pour les conseils sur les logiciels

Merci les gars    
 
Je vais partir sur GLPI + Fusion    (mais je vais tester les autres solutions proposés pour voir    )