|
Samedi, 19 Avril 2008 21:48 |
Règle de base pour l’administration de Domaine :
L’Active Directory fournit des outils convenables pour mettre en place une administration fine, mais pas pour en assurer l’évolution (peu de visibilité une fois mise en place). Ceci est d’autant plus dommageable que l’administration se partage entre équipes. On s’en tiendra donc à des :
- règles d’administration simples, parlantes et documentées.
- on évitera autant que possible d’avoir recours aux trucs et astuces marginaux.
- on s’appuiera sur des outils d’administration d’éditeurs tiers si on en ressent le besoin
- Les OU parentes servent généralement à la délégation d’administration :
On délègue l’administration, sur tout le domaine ou au niveau d’une OU, à un Groupe de personnes, en lui confiant des droits particuliers sur des objets de l’Active Directory (utilisateurs, ordinateurs, serveurs…). La granularité d’affectation de droits peut être très fine (réinitialisation de password, redémarrage d’un service, …)
- Les OU enfants servent généralement à l’application de stratégies de groupes (GPO) :
On met en œuvre une stratégie de groupe, au niveau du domaine, d’une OU ou d’un site, en la configurant pour qu’elle applique à ses ordinateurs et/ou à ses utilisateurs des règles pour :
-
- Imposer une sécurisation commune (modèles de sécurité)
- Imposer une configuration d’utilisateur standard (scripts et redirection de dossier, bureau, menu démarrer, Internet Explorer …)
- Imposer une configuration d’ordinateur standard (modèle d’administration agissant sur registre …)
- Appliquer une télédistribution d’application (attribution ou publication d’application à l’ouverture de session)
C’est donc un outil de gestion centralisée des postes et des utilisateurs.
La mise en œuvre est la suivante :
- On réunit des Objets, soumis aux même règles ou contrôles d’administration, dans des OU
- On réunit des Comptes ayant les mêmes droits dans des Groupes
- On Délègue l’administration sur des OU à des Groupes
- On applique les Stratégies de Groupes aux OU (contenant les objets soumis aux même règles)
- On utilise les imbrications de Groupes (AGGULLP) pour affecter des Permissions
Attention :
- Les GPO ne s’appliquent toutefois qu’aux postes Windows 2000, XP, Vista (via Sysvol). Les Postes NT continuant d’utiliser les stratégies de compte et les stratégies de sécurité (via NetLogon).
- Les délégations d’administration et les GPO sont hérités par les OU enfants. Créer les OU, et affecter les délégations et GPO de façon aussi simple et cohérente que possible.
- Active Directory autorise peu de visibilité sur les délégations d’administration, les GPO ou les permissions une fois mises en œuvre.
- simplifier, tester et documenter au maximum la délégation d’administration et les GPO
- ou utiliser des outils d’administration d’éditeurs tiers
- Conseil sur les OU :
- jamais plus de 4 niveaux d’OU (pour faciliter d’administration et éviter les bugs GPO)
- restreindre le nombre d’OU, standardiser le nommage et les fonctions des OU
- Conseil sur la délégation d’administration :
- déléguer l’administration à des groupes
- limiter le nombre d’administrateur
- Conseil sur les GPO :
- éviter de surcharger le temps d’ouverture de session ordinateur et utilisateur par trop de GPO
- diminuer le nombre de GPO, créer des OU par type de fonction et leur affecter un responsable
- Conseil sur les Groupes :
- respecter autant que possible la règle AGGULLP Microsoft
- diminuer le nombre de groupes, standardiser le nommage et les fonctions des groupes
|
