Remove From My Forums

sch&#233;ma active directory

Question
0

Connectez-vous pour voter

Bonjour à tous,

nouvellement débarqué dans l'informatique certaines notions me dépassent

voilà ma question dans une entreprise un AD a été crée mais les computers et users ont été placés sans aucune hiérarchies

20 PC / 20 users

il y a 4 services : technicien / commercial / production / direction

comment procéderiez vous si :

les stations devaient etre personnalisées par service / les employés ont des droits restreint sur leur pc / idem pour les responsable de services.

personnellement je créerai

4 UO technicien / commercial / production / direction

a l'intérieur de chaque UO un GL et un GG je mettrai les users correspondant aux services dans l'UO concerné mais je sèche concernant les PC ??

une aide serait la bienvenue

ps : au passage j'utiliserai AGDLP car je sais qu'elle est préconnisé mais je dois avoué que je ne comprends pas entièrement le sens de cette méthode.

MERCI PAR AVANCE A TOUS :))

vendredi 13 mai 2016 14:59

Réponses

2

Connectez-vous pour voter
Bonjour,

les groupes GL et GG n'ont pas d'intérêt particulier à se trouver dans les OUs des services... Elles ne profiteront pas des stratégies. En revanche, les groupes se trouveront dans les OUs permettant de déléguer leur administration uniquement aux personnes autorisées.

Pour les ordinateurs, un découpage identique peut être fait...

Maintenant, la philosophie est que l'on crée une UO uniquement lorsque une stratégie ou une délégation spécifique doit ou devra être réalisée!

L'organisation peut être basée sur l'aspect géographique ou l'aspect fonctionnel, ou un peu des 2. Ceci n'est à faire que ceci AIDE les administrateurs... Les utilisateurs ne voient pas cette organisation.

A+
Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info
- Proposé comme réponse Philippe BarthMVP dimanche 15 mai 2016 07:09
- Marqué comme réponse Emile Supiot mercredi 18 mai 2016 14:27
samedi 14 mai 2016 09:37
0

Connectez-vous pour voter
Pour les lecteurs USB tu peux utiliser ceci :

Modèles d'administration \ système \accès au stockage amovible

Attention juste à ne pas faire de confusion entre les groupes de domaines locales stocké dans l'AD et les groupes locales du serveurs membres stockés dans ma base SAM sur le serveur.

AGDLP => DL c'est un groupe de domaine local.
- Modifié Philippe BarthMVP lundi 16 mai 2016 07:05
- Marqué comme réponse Philippe BarthMVP mercredi 18 mai 2016 19:27
lundi 16 mai 2016 07:00

Toutes les réponses

2

Connectez-vous pour voter
Bonjour,

les groupes GL et GG n'ont pas d'intérêt particulier à se trouver dans les OUs des services... Elles ne profiteront pas des stratégies. En revanche, les groupes se trouveront dans les OUs permettant de déléguer leur administration uniquement aux personnes autorisées.

Pour les ordinateurs, un découpage identique peut être fait...

Maintenant, la philosophie est que l'on crée une UO uniquement lorsque une stratégie ou une délégation spécifique doit ou devra être réalisée!

L'organisation peut être basée sur l'aspect géographique ou l'aspect fonctionnel, ou un peu des 2. Ceci n'est à faire que ceci AIDE les administrateurs... Les utilisateurs ne voient pas cette organisation.

A+
Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info
- Proposé comme réponse Philippe BarthMVP dimanche 15 mai 2016 07:09
- Marqué comme réponse Emile Supiot mercredi 18 mai 2016 14:27
samedi 14 mai 2016 09:37
1

Connectez-vous pour voter

Comme expliqué par Thierry il n'y a pas d'intérêt à refléter l'organisation de l'entreprise dans les unités d'organisation. Le principale intérêt et de faciliter l'administration et la délégation des tâches courantes.

Le modèle AGDLP peut paraître lourd pour une petite structure car il multiplie les groupes. Par contre il simplifie la gestion lorsqu'une personne arrive, quitte ou change d'affectation.

Les groupes locaux sont orientés vers les ressources par exemple "SL-Info-Lecture" "SL-Info-Modification" (SL : groupe de Sécurité de domaine Local).

Les groupes globaux sont du côté utilisateurs "SG-Service-Info" par exemple.

L'intérêt peut ne pas être très parlant dans une forêt mono domaine sans approbation externe. En fait selon le type de groupe les membres du groupe et le groupe peut être membre d'autres groupes.

Voir

https://msdn.microsoft.com/fr-fr/library/cc755692(v=ws.10).aspx

De quelle type de personnalisation tu parles pour les postes ? Restrictions de sécurité via GPO ?

dimanche 15 mai 2016 07:08
0

Connectez-vous pour voter

Bonsoir et merci pour vos réponses ,

si je comprends bien le groupe GL sert pour donner des droits sur une ressources et les GG pour accueillir les utilisateurs , l’intérêt est qu'un GL peut accueillir des GG d'autres domaines ce que ne peut pas faire un GG ?

pour les restrictions : je pensais pour les employés le refus d'utilisé un support USB . je suppose via GPO ca me parait être le seul moyen?

vos réponses m'amène à me poser de nouvelles questions mais chaque chose en son temps lol

Bonne soirée

dimanche 15 mai 2016 21:31
0

Connectez-vous pour voter

Bonsoir,

la séparation "groupes locaux", "groupe globaux" permet de gagner beaucoup de temps lors des migrations entre serveurs et domaines.

Par exemple, si l'on migre un serveur de fichier d'un domaine à un autre, il suffit d'ajouter le groupe global du nouveau domaine dans le groupe local. Cette opération est rapide et se fait au niveau de AD.

Si ce sont les utilisateurs et groupes AD qui ont été utilisés, il faut utiliser ADMT ou un autre outil pour passer en revue toute la sécurité et ajouter (ou remplacer) tous les comptes avec ceux du nouveau domaine.

A+
Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

dimanche 15 mai 2016 22:25
0

Connectez-vous pour voter
Pour les lecteurs USB tu peux utiliser ceci :

Modèles d'administration \ système \accès au stockage amovible

Attention juste à ne pas faire de confusion entre les groupes de domaines locales stocké dans l'AD et les groupes locales du serveurs membres stockés dans ma base SAM sur le serveur.

AGDLP => DL c'est un groupe de domaine local.
- Modifié Philippe BarthMVP lundi 16 mai 2016 07:05
- Marqué comme réponse Philippe BarthMVP mercredi 18 mai 2016 19:27
lundi 16 mai 2016 07:00
0

Connectez-vous pour voter

Bonjour

merci je vais testé cette GPO de suite pour le support USB ,

concernant AGDLP merci également ca me parait plus clair maintenant même si malgré la réponse apporté précédemment je ne suis pas sur de saisir où les placés?
réponse précédente : " les groupes GL et GG n'ont pas d'intérêt particulier à se trouver dans les OUs des services... Elles ne profiteront pas des stratégies. En revanche, les groupes se trouveront dans les OUs permettant de déléguer leur administration uniquement aux personnes autorisées.
Pour les ordinateurs, un découpage identique peut être fait..."

la réponse peut certainement paraitre logique mais en toute franchise je n'ai pas encore suffisamment pratiqué pour tout avoir assimilé.

personnellement on m'avait appris qu'il fallait mettre les GL et GG dans les OU après en effet il n'est pas obligatoire de mettre les Users ou Computers a l'intérieur . mon interprétation de la réponse est qu'il n'est pas utile de mettre les GG et GL dans les OU (inutile pour qu'une GPO soit appliqué? )

Merci par avance pour votre temps

lundi 16 mai 2016 12:57
0

Connectez-vous pour voter
Les stratégies de groupes comporte 2 parties, une partie lié aux paramètres utilisateurs qui s'appliquent à l'utilisateur peut importe le poste utilisé et une partie qui s'adresse à l'ordinateur peu importe l'utilisateur.

Si tu utilises des paramètres dans ordinateurs la stratégie de groupe s''appliquera sur les machines contenu dans l'unité d'organisation ou dans une sous OU . Idem si tu prends des paramètres utilisateurs la GPO doit être lié à une OU contenant les utilisateurs concernés.

Si tu mets des paramètres utilisateurs sur une OU ou il n'y a que des ordinateurs ils ne seront pas appliqués ... sauf si tu utilises la boucle de rappel :

http://pbarth.fr/node/99

Malgré le nom les stratégies de groupes ne s'appliquent pas à des groupes mais à des utilisateurs ou des ordinateurs. Il est possible de cibler l'action d'une GPO sur un groupe particulier en modifiant la sécurité (supprimer utilisateurs authentifié et mettre le groupe en question)
- Modifié Philippe BarthMVP lundi 16 mai 2016 13:09
lundi 16 mai 2016 13:05
0

Connectez-vous pour voter
merci pour la rapidité ^^

donc si l'ont me demandais de réorganiser un AD ou aucune hiérarchie avait été faite je pourrais

OU_user_technicien                OU_PC_technicien

OU_user_commerciaux            OU_PC_commerciaux

OU_user_production               OU_PC_commerciaux

OU_user_direction                   OU_PC_commerciaux

et laissé les users et PC dans leurs containers USER et COMPUTER sans les "rangés"?
- Modifié charles_ingalls lundi 16 mai 2016 13:13
lundi 16 mai 2016 13:13
0

Connectez-vous pour voter

Si tu laisses les utilisateurs dans users et computers, à quoi sert les OU ?

Tu peux par exemple avoir une OU 'libre service' avec des postes mode kiosque disponible à tout le monde et des stratégies très restrictives. Dans ce cas tu mets les orinateurs correspondant dans l'OU.

Garde dans l'idée de faire quelques choses de simple et suffisant.

lundi 16 mai 2016 13:23
0

Connectez-vous pour voter

Le problème est que l'on ne peut appliquer aucune stratégie directement sur "users" ou "Computers" qui sont des conteneurs spéciaux.

Ce qui voudrait dire que les stratégies devraient toutes être implantées à la racine du domaine, ce qui amène généralement d'autres problèmes!

Comme logique par défaut, faute d'indications particulières du client, je classe les utilisateurs par fonction, et les ordinateurs par leur situation géographique.

A+
Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

lundi 16 mai 2016 15:53
0

Connectez-vous pour voter

merci messieurs pour vos précisions.

mardi 17 mai 2016 11:39
0

Connectez-vous pour voter
Bonjour à tous,

je reviens vers vous concernant l'administration de l' AD présenté plus haut a savoir :

une petite entreprise de 20 users + 20 pc quel est la best practice?

uo_pc avec 2 sous uo ( pc_employé + pc_responsable)

uo_user avec 2 sous uo ( user_employé + user_responsable)

et nous appliquons GPO sur l'uo_user ou uo_pc avec possibilité de restreindre ou augmenté les stratégies grace au sous uo?

ou alors

uo_reponsable avec a l'interieur 2 sous uo ( uo_pc + uo_user)

uo_employé avec à l'interieur 2 sous uo (uo_pc + uo_user)

auquel cas les Gpo s'appliqueront elles correctement?

ou alors 1 uo par service pour les user avec des sous uo responsable et employé

et une uo par service pour les computers avec des sous uo reponsable et employé?

ce qui impliquerait le fait de lier plusieurs fois la meme gpo au différentes uo concerné?
- Modifié charles_ingalls mercredi 8 juin 2016 07:29 rajout
mercredi 8 juin 2016 07:26

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

sch&#233;ma active directory

Question

Réponses

Toutes les réponses

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

sch&amp;#233;ma active directory

Question

Réponses

Toutes les réponses

schéma active directory