 |
||
| ||
| |||||
| Dernière réponse | ||
|---|---|---|
| Sujet : Gestion Active Directory | ||
| antoincy |
|
|
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| antoincy |
|
| Je@nb |
|
| clockover | A ce niveau c'est du troll non ? |
| spence foxtrot | Je pense que vous n'avez juste pas compris ce qu'est un schéma... |
| Av3k | +1 avec tout ce qui a été dis au dessus.
La si tu ne veux pas faire n'importe quoi (ce qui semble bien parti vu les énormités que tu sembles vouloir mettre en place, no offense) demande à minima une formation à ton responsable si celui ci veut que ce soit toi qui réalise cette tâche (qui n'est ni plus ni moins qu'une refonte complète AD) Perso je préfère (et c'est même plutôt bien vu) que quelqu'un me dise qu'il préfére avoir une formation plutôt que de prendre 1 mois pour me pondre une bouse monumentale... |
| Je@nb | demande une formation plutôt pour rentrer dans le rôle |
| frede94 | Si ensuite y a des trucs qui merdent, qui va prendre la porte ? Le petit nouveau ! |
| Erlum | Petit conseil gratuit : si t'es nouveau, évite de jouer aux apprentis sorciers et énonce clairement ton incompétence. |
| spence foxtrot |
|
| skoizer | frede94 c'est bientot vendredi 13 !
calmos avec les "tu ne comprends rien" "nullos" et autre. "Frappe moi fort avec une pelle !" Ce n''est pas un forum SM ici.. :) en résumé, "spence foxtrot", c'est le role d'un admin systéme de gérer la délagation. |
| frede94 |
|
| nebulios |
|
| Je@nb |
|
| clockover | Ah ouais ok quand même ! |
| spence foxtrot |
|
| skoizer | hardening <-- c'est le terme trés "in" pour dire "renforcer la sécurité".
C'est un trés bon debut de créé deux compte, un "d'utilisation courante" et l'autre d'administration. si tu vous voulez aller plus loin, par exemple un compte admin mais uniquement pour gerer tel ou tel serveur, c'est compliqué dans une petite structure comme la votre. comment fais tu pour maintenir la continuité d'activité ? comment allez vous faire si l'admin systéme qui est tout seul est parti en vacances ? |
| nebulios | Non, techniquement ce qui a été mis en place au-dessus peut avoir un impact sur ce que tu veux faire. Que cela ne te fasse même pas tiquer n'est pas normal et montre que tu es à la rue.
Tu ne sais même pas ce qu'est une délégation AD non plus...alors je doute vraiment que tu saches comment fonctionne un AD oui. Je ne veux pas être méchant mais sans connaissance ni expérience tu vas te planter. En fait je pense que tu ne saisis pas du tout l'ampleur de ce genre de chantier. Ensuite si tu veux vraiment te planter tu fais ce que tu veux, je t'aurai prévenu. |
| spence foxtrot |
C’est justement une des raisons pour laquelle on souhaite changer ça (avec une meilleure gestion, je n'aurais eu qu'un compte admin simple pour mettre à jours des poste clients, et manipuler un peu l'AD). Le pire, c’est que mon prédécesseur c'était auto-attribué les droits admins... on l'a vu hier, ce qui a relancer le besoin de mettre au point ce plan (que je présenterai probablement en réunion). C'est pas parce que je ne connais pas le terme hardening que je ne sais pas ce qu'est un AD ou comment il fonctionne :) J'ai un plan à pondre, et je pense que je serai surement celui qui le mettra en place, avec ou sans surveillance, et peut-être par étapes (je pense que je ne ferais qu'ajouter, qu'ils contrôleront, et qu'ils supprimeront les anciennes branches eux même au fur et à mesure). |
| nebulios | C'est pas une raison pour faire du shadow IT. Et en plus, pour des raisons techniques, vous aurez peut-être besoin de l'IT centrale pour certaines actions.
Et que tu as les accès admin (ce qui est déjà sacrément anormal) ne te donne pas accès ni aux connaissances ni à l'expérience pour mettre en place ce genre d'outils (pour rappel, tu ne sais même pas de quoi on parle, juste en passant). Si tu fais n'importe quoi tu peux tout simplement péter l'accès à l'AD. Faire de la petite admin quotidienne n'a rien à voir avec de l'ingénierie avancée. J'ai l'impression que ton chef veut implémenter la norme ISO sans moyens ni gouvernance, sauf que ça ne fonctionnera pas. |
| spence foxtrot |
|
| nebulios | Alors là tu parles délégation.
Et en terme de compétences, il va falloir faire appel à un archi/ingénieur AD, parce que sans, c'est juste pas possible. Et accessoirement tu peux difficilement mettre ce genre de sécurité sans en parler à l'équipe IT centrale. |
| spence foxtrot | Ok merci pour vos premiers conseils. Disons que je suis pas censé trop en dire. Concrètement, nous sommes tous (les utilisateurs) des utilisateurs. Pas d'admin. Je dois donc dessiner une réorganisation du système de droit, notamment en créant (je fais le papier, pas la manipulation, pour l'instant) un compte admin pour chaque utilisateur. Par exemple, je suis plutôt en direction de la gestion de parc, et de la maintenance. Donc pas besoin des droits sur la base sql du logiciel métier (qui a son serveur donc). Je pensais donc, en premier instance, partir sur un groupe par serveur, et donner le groupe à chaque compte admin en fonction de. Cependant, premier cas, donc je veux bien faire, d'où la recherche de bonnes pratiques, etc etc... Y'a aussi des ajustements, du style le compte de backup... qui est admin alors qu'il n'a besoin que de droit de lectures ciblées, et d'écriture ciblée également. Enfin voila. |
| skoizer | structure ? , tu parles des Unité organisationnelle ou des groupes utilisateurs ?
il faut partir de tes besoins et faire ton arborescence. Si c'est pour gerer les GPO, tu peux le faire de differente manuiére via un filtrage par groupe utilisateur ou via les UO. https://blog.devensys.com/active-di [...] anisation/ attention, créé tes UO sur une vision "technique" et non pas hierarchique. ne pas faire par sites géographique, car les utilisateurs peuvent bouger. |
| nebulios | Du design donc.
Ce n'est pas compliqué en théorie, tu vas construire ton AD en fonction de tes besoins en terme d'applications de GPO et de délégation d'où, qui elles-mêmes dépendent de l'organisation de ta boîte en fonction des services (éviter la géographie). Pas de relations d'approbations. Pas plus de 3 OU de profondeur. Créer une OU Management à part pour y stocker les comptes utilisateurs/de service/groupes/ordinateurs à haut privilèges. Ca devrait suffire pour les bases. |
| Wolfman | https://docs.microsoft.com/fr-fr/wi [...] n-services
De rien. |
| spence foxtrot |
|
| nebulios | C'est trop vague, et on ne va pas faire le boulot à ta place non plus...tu veux faire quoi exactement ? Du hardening ? De la délégation ? |
| spence foxtrot | Bonjour,
Ma recherche serait plutôt une optimisation de structure AD. Connaîtriez-vous des sites, ou tout autre support pour gérer AD? En gros, aujourd'hui, je suis en R&D, et je dois proposer un rafraîchissement de la structure de notre AD, notamment sur les comptes Admins... Je cherche donc toute idée ou plan de structuration d'un AD pour essayer d'envisager un paquet de solutions... Par avance, merci! |
