none
Domaine enfant RRS feed

  • Question

  • Bonjour,

    Suite la mise en place d'un nouvel environnement,  nous avons décidé de mètre en place un domaine enfant et je viens ici pour avoir une solution et une best-pratice,

    je voudrais que mes comptes admin du domaine parent puise faire du RDP et se connecter sur les postes du domaines enfant tous en étant administrateur du domaine enfants

    Cordialement 

    mercredi 24 juillet 2019 08:21

Réponses

  • Bonsoir,

    Il est recommandé de ne pas utiliser un compte administrateur de domaine si c'est pour des autorisations d'admin local sur des postes client, un compte avec les priviléges admin du domaine ou de l'entreprise est un compte très critique, je vous propose de créer un groupe au niveau du domaine parent et lui autoriser l'administration locale sur les postes que vous voulez en déployant une GPO sur ces derniers.

    Sinon, et comme a dit @Romain.D, il vaut mieux avoir au minimum deux contrôleurs de domaine par domaine, ça va vous aider à la répartition de la charge ainsi pour assurer la haute disponibilité du service d'annuaire.

    Si vous utilisez des VM's (VMware ou Hyper-V), c'est préférable de mettre les deux contrôleurs de domaine dans un ESXi/Hyper-V différents.

    Sinon pour votre information, les administrateurs membre du groupe "Administrateurs de l'entreprise" peuvent gérer tous les domaines du forêt.

    Cordialement,

    SAAD Youssef

    ______

    Prière de ne pas oublier de marquer les réponses utiles comme solution, en vous remerciant!


    mercredi 24 juillet 2019 18:28
  • Bonsoir,

    on ne peut malheureusement inclure n'importe quel type de groupe d'un domaine dans un autre.

    Le groupe (global) des "admins du domaine" obtient automatiquement les droits sur tous les ordinateurs membres (Clients et serveurs).

    Le groupe "admins de l'entreprise" obtient automatiquement les droits sur tous les contrôleurs de domaine, de tous les domaines. Mais, ce ne leur donne aucun droit sur les stations et serveurs membres du sous-domaine.

    Pour que les administrateurs de la racine aient des droits sur les stations d'un sous-domaine, il faudra que ce droit soit ajouté (par stratégie ou script), par exemple en ajoutant le groupe (Universel) "enterprise admins" dans le groupe "administrateurs" local de chaque station.

    => Techniquement, c'est possible mais ce n'est pas du tout conseillé pour des raisons de sécurité. Cela voudrait dire qu'un seul compte compromis peut accéder à l'intégralité des stations.

    Donc, la solution "plus sécurisée" est de créer un compte d'administrateur différent sur le sous-domaine, avec un impact limité aux stations de ce sous-domaine.

    A bientôt,


    Thierry DEMAN-BARCELO. Offce Apps&Services MVP. MCSE:Messaging 2016,MCSE:Server Infrastructure 2016(87 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate https://base.faqexchange.info

    mercredi 24 juillet 2019 19:56

Toutes les réponses

  • Bonjour Tsugino,

    Dans les bonnes pratiques au niveau Active Directory, il est important d'avoir 2 contrôleurs minimum par domaines.

    Concernant les droits plusieurs solutions sont possibles au niveau des groupes, ce qu'il est possible de facilement et de mettre le  groupe Admins du domaine du domaine parent membre du groupe Admins du domaine enfant.

    Romain

    mercredi 24 juillet 2019 10:03
  • Bonsoir,

    Il est recommandé de ne pas utiliser un compte administrateur de domaine si c'est pour des autorisations d'admin local sur des postes client, un compte avec les priviléges admin du domaine ou de l'entreprise est un compte très critique, je vous propose de créer un groupe au niveau du domaine parent et lui autoriser l'administration locale sur les postes que vous voulez en déployant une GPO sur ces derniers.

    Sinon, et comme a dit @Romain.D, il vaut mieux avoir au minimum deux contrôleurs de domaine par domaine, ça va vous aider à la répartition de la charge ainsi pour assurer la haute disponibilité du service d'annuaire.

    Si vous utilisez des VM's (VMware ou Hyper-V), c'est préférable de mettre les deux contrôleurs de domaine dans un ESXi/Hyper-V différents.

    Sinon pour votre information, les administrateurs membre du groupe "Administrateurs de l'entreprise" peuvent gérer tous les domaines du forêt.

    Cordialement,

    SAAD Youssef

    ______

    Prière de ne pas oublier de marquer les réponses utiles comme solution, en vous remerciant!


    mercredi 24 juillet 2019 18:28
  • Bonsoir,

    on ne peut malheureusement inclure n'importe quel type de groupe d'un domaine dans un autre.

    Le groupe (global) des "admins du domaine" obtient automatiquement les droits sur tous les ordinateurs membres (Clients et serveurs).

    Le groupe "admins de l'entreprise" obtient automatiquement les droits sur tous les contrôleurs de domaine, de tous les domaines. Mais, ce ne leur donne aucun droit sur les stations et serveurs membres du sous-domaine.

    Pour que les administrateurs de la racine aient des droits sur les stations d'un sous-domaine, il faudra que ce droit soit ajouté (par stratégie ou script), par exemple en ajoutant le groupe (Universel) "enterprise admins" dans le groupe "administrateurs" local de chaque station.

    => Techniquement, c'est possible mais ce n'est pas du tout conseillé pour des raisons de sécurité. Cela voudrait dire qu'un seul compte compromis peut accéder à l'intégralité des stations.

    Donc, la solution "plus sécurisée" est de créer un compte d'administrateur différent sur le sous-domaine, avec un impact limité aux stations de ce sous-domaine.

    A bientôt,


    Thierry DEMAN-BARCELO. Offce Apps&Services MVP. MCSE:Messaging 2016,MCSE:Server Infrastructure 2016(87 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate https://base.faqexchange.info

    mercredi 24 juillet 2019 19:56