none
Quelle architecture AD mettre en place ?

    Question

  • Bonjour,

    J'ai une société mère avec 5 filiales distantes (liaison VPN, nombre d'utilisateurs et ordinateurs est plus au moins important). Je veux mettre en place un AD où chaque filiale peut administrer "seulement" son parc indépendamment des autres filiales, sachant que la société mère peut aussi administrer ces filiales (et non pas l'inverse). Quelle architecture AD vous me proposée ? Merci beaucoup d'avance.

    mardi 21 novembre 2017 11:43

Réponses

  • Il est également possible de faire une forêt avec plusieurs domaines. Avec une forêt unique cela simplifie la gestion si les serveurs de ressources sont mutualisés. Par exemple un serveur Exchange pour toute les entreprises, un environnement Skype etc ... Même si avec Exchange il est possible de faire une forêt de ressource pour des domaines d'autres forêts.

    Le domaine unique, c'est possible mais attention a bien gérer les délégations de droits pour que chaque entité puisse travailler convenablement sans avoir besoin de droit excessifs.De plus un utilisateur est membre par défaut de utilisateur du domaine qui est un groupe de sécurité et s'il est mal utilisé par les équipes cela peut poser problème.

    Perso je ne le conseille pas si les entreprises sont assez autonome.

    Avec une forêt avec plusieurs domaine ou un domaine unique cela risque d'être délicat en cas de revente d'une entreprise. Cela peut nécessiter de faire de l'ADMT et de mettre en place une approbation entre son environnement et la société qui a racheté la filiale.

    selon les ressources qui sont mutualisées, il est préférable de faire une forêt avec domaine unique pour chaque société et de mettre des approbations, surtout si chaque entreprise va disposer de ses propres serveurs applicatifs, impressions, partages etc...

    En résumé il n'y a pas une réponse bonne et des mauvaises cela va dépendre des liens entre les entreprises, du choix de mutualiser les ressources.

    mardi 21 novembre 2017 16:56
    Modérateur
  • Juste un point important pour compléter la réponse de Philippe : le muti-domaine dans une forêt ne doit pas être considéré comme une division des rôles de sécurité (une erreur assez répandu pour les non-experts).

    A cause des relations d'approbations bidirectionnelle non sélective et transitive au sein de la forêt, la corruption de l'un des domaines engendre la corruption de toute la forêt. C'est pour cela que je ne le propose pas dans un contexte multi-société où les politiques de sécurité divergeront entre les compagnies :) 

    mardi 21 novembre 2017 19:14

Toutes les réponses

  • Il y a deux scenarios classique :

    • soit une forêt commune avec 1 domaine pour les 5 filiales, chaque filiale étant alors représentée par une OU de niveau 1 ou 2  et la délégation d'administration faite au niveau de l'OU (admin des objets users, computer et GP).
    • soit 5 forêts et la mise en place de relation d'approbation de type unidirectionnelle avec une authentification sélective entre la socété mère et les filiales (le trust permettant aux admins de la maison mere d'administrer les autres forets).

    Les critères de choix dépendent du budget, de l'implémentation géographique des équipes d'administration, des liens réseaux, ... Mais en gros si vous afez un petit budget et que les interconnexions de sites se font via un VPN construit sur le web (i.e. pas un réseau privé) alors les 5 forets sont la meilleure option en terme de sécurité.

    A éviter : une forêt et plusieurs domaines (pour des raisons de sécurité), les trust non sélectif et les trust bi-directionnel.

    mardi 21 novembre 2017 15:32
  • Merci beaucoup pour ta réponse, sinon je n'ai pas bien compris le dernier point.

    Pour le premier scénario, est ce ke je peux mettre comme architecture, au lieu des OU, un site parent avec les 5 sites enfants ?

    mardi 21 novembre 2017 15:48
  • les sites représentes les localisations physique des clients (serveurs, postes de travail et contrôleurs de domaine). Les sites permettent de simplifier l'administration des objets : les deux ne sont pas liés.

    En résumé :

    • un site physique = un site AD et ses plans d'adressage.
    • une OU = une entité et ses utilisateurs, ordinateurs, ...

    au quotidien, vous gérerez les objets mais vous ne toucherez presque plus aux sites.


    mardi 21 novembre 2017 16:01
  • Il est également possible de faire une forêt avec plusieurs domaines. Avec une forêt unique cela simplifie la gestion si les serveurs de ressources sont mutualisés. Par exemple un serveur Exchange pour toute les entreprises, un environnement Skype etc ... Même si avec Exchange il est possible de faire une forêt de ressource pour des domaines d'autres forêts.

    Le domaine unique, c'est possible mais attention a bien gérer les délégations de droits pour que chaque entité puisse travailler convenablement sans avoir besoin de droit excessifs.De plus un utilisateur est membre par défaut de utilisateur du domaine qui est un groupe de sécurité et s'il est mal utilisé par les équipes cela peut poser problème.

    Perso je ne le conseille pas si les entreprises sont assez autonome.

    Avec une forêt avec plusieurs domaine ou un domaine unique cela risque d'être délicat en cas de revente d'une entreprise. Cela peut nécessiter de faire de l'ADMT et de mettre en place une approbation entre son environnement et la société qui a racheté la filiale.

    selon les ressources qui sont mutualisées, il est préférable de faire une forêt avec domaine unique pour chaque société et de mettre des approbations, surtout si chaque entreprise va disposer de ses propres serveurs applicatifs, impressions, partages etc...

    En résumé il n'y a pas une réponse bonne et des mauvaises cela va dépendre des liens entre les entreprises, du choix de mutualiser les ressources.

    mardi 21 novembre 2017 16:56
    Modérateur
  • Juste un point important pour compléter la réponse de Philippe : le muti-domaine dans une forêt ne doit pas être considéré comme une division des rôles de sécurité (une erreur assez répandu pour les non-experts).

    A cause des relations d'approbations bidirectionnelle non sélective et transitive au sein de la forêt, la corruption de l'un des domaines engendre la corruption de toute la forêt. C'est pour cela que je ne le propose pas dans un contexte multi-société où les politiques de sécurité divergeront entre les compagnies :) 

    mardi 21 novembre 2017 19:14