locked
Demande de Conseils Emplacement Groupe de Sécurités dans un AD RRS feed

  • Question

  • Je suis en train actuellement de réaliser un Active Directory avec Tels Utilisateurs dans tel OU (Conteneurs)

    Ma question est la suivante :

    j'ai crée par exemple une OU administratif , une 2e OU qui se nomme direction et une 3e nommée technique.

    Je crée mes utilisateurs à l'interieur de ces OU correspondant à mon organisation.

    Cependant j'aimerais d'une part créer un groupe de sécurité avec tous les membres de l'administratif, dois-je mettre au mieux ce groupe dans l'OU Administratif ou le placer dans le Conteneur Users ?

    D'autre parts si je crée un groupe de sécurité CADRES avec tous les responsables de chaque services (qui sont chacun dans les OU), je ferais mieux de mettre ce groupe là dans Users ?

    Merci d'avance pour conseils d'experience.

    jeudi 28 février 2013 09:42

Réponses

  • Les OU à la base ne sont pas la pour répresenter l'organigramme de l"entreprise.

    L'interêt des OU et de gérer ses GPO et la délégation de droits. Par exemple si dans le service administratif vous voulez nommé une personne qui soit la pour réinitialiser les mots de passe des utilisateurs du service, il est possible de faire une ou pour le service et de faire une délégation pour l'utilisateur (ou plutôt un groupe) qui lui permet juste de réinitialiser les mots de passe.

    Donc le choix des OU est orienté en fonction de la façon dont on souhaite administrer l'environnement.

    Pour ma part je n'utilise pas les conteneur par défaut, je crée une ou pour gérer les groupes.

    jeudi 28 février 2013 12:32
  • Bonjour,

    Tout dépend de votre stratégie de configuration des GPO qui s'applique  au objet membre de chaque OU.

    Pour cela essayez de mettre chaque groupe dans la bonne OU en respectant les objets (user ou ordinateur) qui vont subir la  stratégie GPO configuré pour éviter tout conflit.


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    jeudi 28 février 2013 09:57
    Auteur de réponse
  • En génral on va créer des OU pour y lier des GPO ou donner des droits spécifique, par exemple une OU "Utilisateurs", y lier les GPO qui s'appliquent à tous les utilisateurs, et créer des OU différents (dessous ou au même niveau) si vous avez d'autres GPO.

    Pour les utilisateurs, si vous avez des droits différents vous leur donner des groupes de sécurité globaux (ou universelle), par exemple :

    • Groupe_Achat (tous les membres d'achat)
    • Groupe_Vente (tous les membres de vente)
    • Groupe_Chef (tous les chefs, y compris ceux d'achat et vente)

    jeudi 28 février 2013 14:48
  • Bonjour,

    Comme il l'a déjà été dit, le design de l'arborescence d'OU doit venir d'un besoin de délégation d'administration ou de GPO (voir masquer des objets mais c'est plus rare).

    La question à se poser dans votre cas est qui va administrer ces groupes ?

    Est-ce qu'il y a de la délégation d'administration pour la gestion des groupes?

    Si oui, est-ce que les groupes sont administrés au sein de chaque service/entité ?

    Est-ce que les groupes sont administrés par plusieurs services/entités ?

    Cdt,

    samedi 2 mars 2013 09:14

Toutes les réponses

  • Bonjour,

    Tout dépend de votre stratégie de configuration des GPO qui s'applique  au objet membre de chaque OU.

    Pour cela essayez de mettre chaque groupe dans la bonne OU en respectant les objets (user ou ordinateur) qui vont subir la  stratégie GPO configuré pour éviter tout conflit.


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    jeudi 28 février 2013 09:57
    Auteur de réponse
  • Les OU à la base ne sont pas la pour répresenter l'organigramme de l"entreprise.

    L'interêt des OU et de gérer ses GPO et la délégation de droits. Par exemple si dans le service administratif vous voulez nommé une personne qui soit la pour réinitialiser les mots de passe des utilisateurs du service, il est possible de faire une ou pour le service et de faire une délégation pour l'utilisateur (ou plutôt un groupe) qui lui permet juste de réinitialiser les mots de passe.

    Donc le choix des OU est orienté en fonction de la façon dont on souhaite administrer l'environnement.

    Pour ma part je n'utilise pas les conteneur par défaut, je crée une ou pour gérer les groupes.

    jeudi 28 février 2013 12:32
  • +1 avec Barth.

    Par contre comme vous l'avez dit, Users est un conteneur et non pas une OU, on ne peut pas y lier de GPO, il est donc préférable de placer ses objets AD type users & computers dans des OU (pour les GPO / délégation).

    jeudi 28 février 2013 12:54
  • je pense l'avoir bien compris mais quand on a par exemple un groupe qui ont par exemple 2 membres des utilisateurs de la 1e OU, de la 2e OU et d'une 4e , je ne sais pas où creer ce groupe. J'avais pensé à USERS du fait que ça reste neutre.

    donc si dans mon exemple chaque OU represente un service d'activité dans lequel je souhaite avoir un groupe de responsable de chaque services où pourrais-je le mettre ?

    merci d'avance

    jeudi 28 février 2013 14:28
  • En génral on va créer des OU pour y lier des GPO ou donner des droits spécifique, par exemple une OU "Utilisateurs", y lier les GPO qui s'appliquent à tous les utilisateurs, et créer des OU différents (dessous ou au même niveau) si vous avez d'autres GPO.

    Pour les utilisateurs, si vous avez des droits différents vous leur donner des groupes de sécurité globaux (ou universelle), par exemple :

    • Groupe_Achat (tous les membres d'achat)
    • Groupe_Vente (tous les membres de vente)
    • Groupe_Chef (tous les chefs, y compris ceux d'achat et vente)

    jeudi 28 février 2013 14:48
  • LE plus simple c'est de créer une OU spécifique pour les groupes et de ne pas utiliser les conteneurs par défaut (users), comme déja dit ci dessus.

    Pour les utilisateurs et les ordinateurs, c'est en fonction des délégation de droits et des GPO

    jeudi 28 février 2013 19:12
  • Bonjour,

    Comme il l'a déjà été dit, le design de l'arborescence d'OU doit venir d'un besoin de délégation d'administration ou de GPO (voir masquer des objets mais c'est plus rare).

    La question à se poser dans votre cas est qui va administrer ces groupes ?

    Est-ce qu'il y a de la délégation d'administration pour la gestion des groupes?

    Si oui, est-ce que les groupes sont administrés au sein de chaque service/entité ?

    Est-ce que les groupes sont administrés par plusieurs services/entités ?

    Cdt,

    samedi 2 mars 2013 09:14
  • tout administré par une seule personne .

    mais la réponse de les mettre dans une OU neutre est une bonne idée.

    En effet, ce souhait est dû plus à un besoin d'organisation hierarchique

    merci en tout cas 

    lundi 4 mars 2013 10:09