Conseils pratique pour organiser un AD ?

Conseils pratique pour organiser un AD ? - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 17-11-2014 à 11:44:08    

Bonjour à tous,
 
Je suis chargé dans mon entreprise d'installer 2 serveurs AD (un étant "principal" et le second "de secoure" ) pour passer l'ensemble du parc informatique (environ une centaine d'utilisateur) dans un environnement en domaine. Les serveurs n'auront en charge seulement les services de DHCP, ADDS et DNS. Le tout sera répliqué entre les 2 serveurs et le DHCP fonctionnera en failover.
 
J'ai avancé sur de nombreux points, je commence à avoir une vision du projet dans son ensemble (installation, organisation, migration...) mais quelques questions subsistent sur l'organisation de mes utilisateurs et groupes. Petite information supplémentaire, je vais partir sur une organisation de l'AD mono-forêt, mono-domaine et mono-site (donc la plus simple des configurations) et il n'y a pas de grands changements prévus à venir pour l'entreprise qui bousculerait cette organisation. Je précise également que c'est la première fois que je dois installé un AD dans son ensemble.
 
Sur une architecture de tests virtualisées, j'ai créé quelques utilisateurs dont les attributs ont été normés. Ils se connecteront sous la forme prenom.nom@entreprise.com (@entreprise.com déclaré comme UPN supplémentaire au domaine entreprise.lan pour leur faire croire qu'ils utilisent leur adresse e-mail pour se connecter).
 
Dans la base, mes utilisateurs s'affichent comme ceci : Prénom INITIALES. NOM
 
Je vais respecter l'organisation préconisée par Microsoft, c'est à dire sa méthode UGLP (mais je crois qu'il y en a sous d'autres formes encore).
 
J'ai pensé normer mes objets de la manière suivante :
- Mes groupes globaux commenceront par la lettre G_
- Mes groupes domaine local commenceront par les lettres DL_
- Mes groupes universels (pas prévus pour l'instant) par la lettre U_
 
Concernant les groupes globaux, je pensais les découper ainsi :
- G_Service_Ville_Etablissement (ce seront mes groupes de plus bas niveau, ceux dans lequel je placerais les utilisateurs).
Exemple : G_Marketing_Paris_Bureau, G_Marketing_Grenoble_Siege, G_Informatique_Grenoble_Siege
- Ces groupes là seront placés dans des groupes globaux par service :
Exemple : G_Marketing (contenant G_Marketing_Paris_Bureau, G_Marketing_Grenoble_Siege), G_Informatique (contenant G_Informatique_Grenoble_Siege)
- Mais aussi par site :  
Exemple : G_Paris (contenant G_Marketing_Paris_Bureau), G_Grenoble (contenant G_Marketing_Grenoble_Siege, G_Informatique_Grenoble_Siege).
 
Ces groupes globaux seront intégrés dans les groupes domaine local pour gérer l'accès aux ressources et leurs droits.
- DL_E_Informatique_LE (sera positionné sur le dossier Equipes\Informatique avec le droit de Lecture/Ecriture) et contiendra G_Informatique.
Et ainsi de suite pour chaque service de l'entreprise.
- DL_Imp_HP3035_Imprimer (sera positionné sur l'imprimante nommé HP3035 avec le droit d'imprimer) et contiendra G_Grenoble.
 
Pensez-vous que ce sont de bonnes pratiques ? Est-ce que vous aussi vous découpez autant vos groupes d'utilisateurs ? Est-ce que vous donnez des initiales pour vous y retrouver ou ce n'est pas la peine ? Est-ce que les groupes globaux doivent simplement servir à un découpage "logique" (par service) des utilisateurs et ensuite ce seront les OU qui pourront m'aider au découpage "physique" (par établissement) pour l'accès aux imprimantes par exemple ?
 
Je suis bien conscient que chaque organisation d'AD est propre à l'entreprise cliente et je m'excuse du particularise de mes questions si c'est le cas. J'ai essayé de trouver quelques exemples d'organisation pour me donner des pistes à explorer ou des idées de mises en place mais ce fut très maigre.
 
Je suis preneur de toutes remarques ou conseils :)
 
Je reviendrais expliquer mon organisation finale et son usage au quotidien quand tout ceci sera fonctionnel.
 
Merci par avance.
Bonne journée !


Message édité par tech_support le 17-11-2014 à 11:49:25
Reply

Marsh Posté le 17-11-2014 à 11:44:08   

Reply

Marsh Posté le 17-11-2014 à 12:01:47    

Déjà il y a pas de AD Primaire et de secours, ils sont tout autant primaire les uns que les autres (au rôle FSMO près).
 
Pour tes groupes, c'est pas UGLP mais AGDLP (voir AGUDLP en multi domaine/forêt). Mais c'est ce que tu fais finalement et oui c'est bien, mais faut pas que ça devienne une usine à gaz, juste penser au besoin.
 
Les OU non ça sert pas à faire un découpage physique pour l'accès aux imprimantes. Ca sert si tu veux appliquer des GPO différentes (et encore pour certains trucs on peut gérer par groupes), à gérer l'héritage des GPO, à gérer la délégation des permissions de ton AD dans le cas où tu as plusieurs organisation de support etc.
 
Les initiales pour moi c'est inutile.

Reply

Marsh Posté le 17-11-2014 à 12:01:58    

De ce que j'ai pu voir, c'est à peu près ce que j'utilise comme organisation.
À savoir, que je regroupe les mêmes besoins dans les OU pour y appliquer les GPOs sans multiplier les liens. Au final, mes OU ne reflètent pas l'organisation de mes services (contrairement aux groupes globaux et de domaine local).
 
Il est vrai que ça paraît fouillis mais au final, à chaque nouvel arrivant ou mouvement de personnel interne, j'ai juste à changer l'affectation du compte de la personne au groupe global qui va bien pour qu'il se retrouve avec les bons droits.
Le changement d'OU du compte ne se fait vraiment que dans des cas très particulier.


---------------
Pixel mort -> .
Reply

Marsh Posté le 17-11-2014 à 12:03:46    

entreprise.lan -> déconseillé, mieux vaut monter ton AD en entreprise.com directement
 
Pour les groupes, c'est de la gestion à l'ancienne. Il y a mieux maintenant, le DAC. Si tu montes un AD neuf mieux vaut partir là-dessus.

Reply

Marsh Posté le 17-11-2014 à 22:37:05    

nebulios a écrit :

entreprise.lan -> déconseillé, mieux vaut monter ton AD en entreprise.com directement


 
Pourquoi Nebulios? En cours on nous dit de ne surtout pas mettre entreprise.com (oui je sais qu'on est dans la partie pro^^ mais je suis bien curieux là :))

Reply

Marsh Posté le 17-11-2014 à 22:43:43    

Parce que tes profs n'ont pas du évolué depuis Windows 2000.
 
Aujourd'hui on est de plus en plus dans des archi hybrides, connectées à Internet et avoir son domaine, routable est plus que conseillé.
Bon après perso je suis plus fan du corp.monentreprise.com histoire de pas polluer le domaine "internet". (Bon après ça pose des problèmes en cas de rachat/vente/changement de nom)

Reply

Marsh Posté le 17-11-2014 à 22:53:09    

D'accord, merci Je@nb pour l'explication.

Reply

Marsh Posté le 18-11-2014 à 10:12:28    

Merci à tous pour toutes vos réponses !
 
@Je@nb :  
- Je m'excuse de m'être mal exprimé, je sais que maintenant Active Directory fonctionne en réplication multimaitre et les notions de PDC/BDC ne sont plus valables pour les versions récentes de Windows server. ;)  
- Concernant la gestion des droits, effectivement j'ai peur surtout que nous devions créer beaucoup de groupes de domaine local mais le reste devrait être simple par contre. C'est dû à une organisation de notre serveur de fichier qui n'est pas optimal et réfléchis pour répondre vraiment à nos besoins je pense :-/
Je vais lire des sujets sur AGUDLP et je vais voir si je valides ce que j'ai écrit ou non quand même.
 
@nebulios :
- Pour DAC je ne connaissais pas cette nouvelle gestion des droits et ça à l'air effectivement très intéressant ! Par contre, j'ai lu rapidement des choses qui je pense que cette méthode ne peut s'appliquer pour mon architecture. Mes clients et mon Nas (serveur de fichier à intégrer à l'AD) sont des XP et des 7 qui, a priori, ne la gère pas.  
 
Tout comme Sesko, j'ai beaucoup vu sur internet qu'il ne fallait pas mettre de nom de domaine public pour son AD, même des MVP microsoft sur des articles pas si vieux que ça.
 
J'avoue commencer à être perdu, j'essaye sur ce projet de respecter à maxima les conseils que je trouve sur internet, de vérifier sur plusieurs sites différents mes sources et leurs origines (favorise les MVP par exemple) et j'entend tout et son contraire maintenant ici (même concernant la migration des postes) :( Je ne suis pas rassuré et je vais refaire un travail de fond sur l'ensemble de mes notions.
 
Merci pour toutes vos participations !
Bonne journée.

Reply

Marsh Posté le 18-11-2014 à 10:34:20    

Le DAC c'est assez complexe mais ça résoud pas mal de problèmes.
Pas besoin de Windows 8 mais il faut que le serveur de fichier soit 2012 par contre (et qu'il fasse proxy pour les clients xp/w7)
 
MS a beaucoup changé ses recos concernant le .local (et autres .lan .intra etc.). La dernière reco est ici http://technet.microsoft.com/en-us [...] 0%29.aspx/ qui dit  

Citation :

We recommend that you use DNS names that are registered with an Internet authority in the Active Directory namespace. Only registered names are guaranteed to be globally unique. If another organization later registers the same DNS domain name (or if your organization merges with, acquires, or is acquired by another company that uses the same DNS name), the two infrastructures cannot interact with one another.
Caution
Do not use single-label DNS names. For more information, see Information about configuring Windows for domains with single-label DNS names (http://go.microsoft.com/fwlink/?LinkId=106631). Also, we do not recommend using unregistered suffixes, such as .local.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed