Discussion :

[richard_sraing]

Bonjour tout le monde,

Je viens ici à la recherche d'une aide à la conception. Je m'explique. Je suis chargé de l'informatique dans notre administration, et je souhaite, pour des raisons de facilité de gestion, revoir la structure de notre domaine. Je vous explique comment le tout est structuré de manière physique dans un premier temps, et par la suite, je vous expliquerai comment le domaine est structuré dans l'immédiat.

Structure physique :

Nous avons trois bâtiment relié par fibre optique sur le même réseau IP. Chaque machine de ce réseau est branchée sur le serveur. Dans chaque bâtiment, nous avons un certains nombres de services (urbanisme, population, finances, ...).
Dans les divers bâtiments, nous disposons également d'un ensemble d'imprimantes réseau. Chacune de ces imprimantes ne peut, à la base, être utilisée que par certaines personnes.

Structure actuelle du domaine :

Pour l'heure, c'est le bazard. Sur l'ancien serveur (Windows 2000), l'ensemble était géré à la "racine". Tout les utilisateurs étaient placé dans le "noeud" Users de l'Active Directory, chaque utilisateur disposait de son propre script de connexion pour le mapping des lecteurs. Dans ce noeud Users, il y a des groupes d'utilisateurs pour permettre une gestion groupées de ces derniers.

Mon rêve :

Je souhaite, trouver une manière intelligente pour la gestion du domaine. Le problème, est que je n'ai pas la moindre idée de comment créer mes OU pour cela.
J'ai pensé, dans un premier temps, faire un OU par service. Créer ensuite chaque utilisateur correspondant dans le OU.
Alors, je me pose la question de la gestion de mes imprimantes. Un premier bâtiment, héberge 8 utilisateurs et 1 imprimante. Le second bâtiment héberge 7 utilisateurs et 2 imprimantes, dont seul 4 utilisateurs peuvent utiliser la second imprimante.
Le dernier bâtiment, héberge 27 utilisateurs, 4 imprimantes, dont les droits pour l'impression sont très particulier. Ce bâtiment est subdivisé en diverse ailes, ce qui pourrait rendre la dite subdivision plus simple.
En voyant ce dernier point, je me dit que je ferais peut-être un OU par bâtiment, et ensuite, dans chaque OU, recréer un OU pour chaque service ?
Attention toutefois que certains utilisateurs font partie de plusieurs en même temps.

Donc voilà, je ne sais pas vraiment comment mettre en place mes OU, et cherche donc des avis sur la mise en place des ces derniers.

Je tiens à préciser que je n'ai suivi aucune formation dans tout ce qui concerne l'administration de serveurs. Ma formation initiale est analyste programmeur, et vu le coût des formations en admin serveurs, je ne suis pas prêt à pouvoir en faire une.

En vous remerciant pour toute l'aide et les avis qu'il vous sera possible de me fournir, je vous souhaite, à tous, une bonne journée.

[richard_sraing]

Pour en revenir sur la question que je me pose.

Un utilisateur peut-il faire partie de plusieurs OU.

Si je souhaite traiter chaque service comme une OU (unité d'organisation), il faudra que certains utilisateurs fassent partie de plusieurs OU car travaillant dans plusieurs services.

Si un utilisateur ne peut pas être associé à plusieurs OU, je ne pourrais pas créer mes OU en rapport avec les services de ma société, à savoir une administration.

Pour la petite info, je pensais faire comme ceci :

OU principale : Administration
OU secondaires : urbanisme, population, recette, ... (tous mes services quoi).
J'ai par exemple, Madame Dupond, qui travaille dans deux services, à savoir urbanisme et population. Je ne peux dès lors, semble-t-il en tout cas, pas créer l'utilisateur Madame Dupond, et dans le OU urbanisme et dans le OU population.

Je ne peux pas non plus dire, que le OU urbanisme et le OU population sont "fusionné" de manière logique, car et dans le service urbanisme et dans le service population, d'autres personnes travaillent et ne doivent pas avoir accès aux informations des autres services.

Je ne sais pas si ce que je dis est clair. Je vais tenter de faire un petit tableau demain avec une structure de comment cela se passe en interne au niveau des services et des agents.

En attendant, je vous remercie d'avance pour les informations qu'il vous sera possible de me fournir pour une meilleure compréhension de tout ce qui touche à l'active directory et au domaine Windows.

[patrice084]

pose.

Un utilisateur peut-il faire partie de plusieurs OU.

Si je souhaite traiter chaque service comme une OU (unité d'organisation), il faudra que certains utilisateurs fassent partie de plusieurs OU car travaillant dans plusieurs services.

Si un utilisateur ne peut pas être associé à plusieurs OU, je ne pourrais pas créer mes OU en rapport avec les services de ma société, à savoir une administration.

Non, un utilisateur ne peut être crée qu'une seule fois et affecté à une seule UO, par contre, il peut très bien appartenir à plusieurs groupes.

Réfléchissez bien si vous avez vraiment besoin de nouvelles UO pour chaque service. Ne serait-il pas préférable de créer une UO Services qui contiendrait des groupes (un groupe par service) et ensuite, vous affectez vos users à vos groupes.

[richard_sraing]

Bonjour Patrice,

Pour commencer, merci pour la réponse, mais dans ce cas, je peux laisser la configuration tel quel.

Pour l'instant, j'ai des utilisateurs et de groupes, dans le UO Users (quoi que je ne sois même pas sûr qu'il s'agisse d'un UO).

[A&Nexus]

Bonjour,

C'est vrai qu'il y a pleins de façons différentes pour mettre en place une architecture AD.

Ce que j'aime bien faire c'est des OU par site géographique (un site = un adressage réseau). Si tes 3 bâtiments sont dans le même adressage réseau ça ne fait qu'une OU.

Et dans cette OU de Site je fais deux Sous-OU une Utilisateurs et une Ordinateurs.

Et le reste tu le gère avec des groupes de sécurité à deux niveaux.
Je m'explique :
- Tu fais un groupe par service -> 1er niveau.
De cette façon tu peux avoir une personne qui appartient à plusieurs service.
- Tu fais ensuite un groupe de sécurité par "objets à protéger".
Exemple : Imprimante1, Dossier2, GPO3, ....
De cette façon dans ton groupe d'objets tu peux mettre soit un groupe de service ou alors un utilisateur directement.

Avec les GPO et maintenant les GPP les ciblages sont très simple à mettre en place.
- Si le paramétrage GPO s'applique à tout le monde tu le mets au niveau du domaine.
- Si le paramétrage GPO s'applique à un site (exemple WSUS sur un serveur local) tu le mets au niveau du site.
- Si la GPO s'applique au niveau d'un groupe de sécurité tu la mets ou tu veux (domaine ou site) selon le scope du groupe de sécurité.

[richard_sraing]

Re,

Ce que propose A&Nexus semble une bonne idée.

Je vais dès lors analyser plus en détail le fait de peut-être faire et UO par bâtiment aussi, cela pourrait faciliter la gestion.