Etude réalisée 04/2010 - Guillaume ARSICAUD
L’article
précédent traitait de la restructuration Active Directory. Sans délégation une
architecture mono-domaine/mono-forêt peut vite devenir ingérable et non
sécurisé ! Voici une proposition qui répond aux besoins de l’architecture
présentée dans l’article suivant :
Préparation
et migration des domaines « cfg64.fr » et « company.lan »
vers « nelite.fr »
Sommaire
1
Procédure de délégation
1.1 Présentation du contexte
Nous avons donné une attention
particulière à cette partie. En effet, le client aura une architecture
mono-domaine, mono-forêt. Dans ce cadre il est impératif de mettre en place la
règle du moindre privilège. Chaque objet, qu’il soit utilisateur ou administrateur
aura le minimum de droit lié à son compte active directory. De plus,
l’entreprise étant répartie sur plusieurs sites avec un nombre d’utilisateurs
importants, la délégation s’impose.
1.2 Délégation de l’autorité d’administration
Voici le schéma de délégation que proposé :
Chaque site à une OU spécifique contenant ses
administrateurs locaux, ses ordinateurs, ses partages et ses utilisateurs.
Il y aura une OU« AdminsGeneral », réunissant des
administrateurs qui auront des droits sur l’ensemble des domaines, qui contient
:
·
Les utilisateurs du helpdesk
·
Les responsables de la gestion des droits
d’accès (GDA)
·
Les administrateurs du serveur DNS
·
Les administrateurs du contrôleur de domaine
·
Les administrateurs du scénario
Les administrateurs du scénario ont les mêmes privilèges que
les responsables GDA, mais ils peuvent en plus, créer des OU supplémentaires
dans l'organisation.
Remarque : Le client souhaite avoir des
administrateurs sur chaque site, le schéma que nous proposons répond à cette
demande.
Puis dans chaque site, on trouve un administrateur séparé
pour la gestion des ordinateurs, des imprimantes et des utilisateurs du
département réunis dans l’OU «AdminsLocal». L’administrateur local de l’OU peut
créer des utilisateurs et des groupes dans son département.
Pour l’accès à ces ressources, une OU différente est créée
pour chaque type de ressource à savoir :
·
Ordinateurs
·
Utilisateurs
·
Imprimantes
Voici un schéma global de l’organisation des différentes Unités d’organisation :
« OU »
AdminsGenenal :
·
Admin_Nelite
Administrateurs des comptes de PASCAL avec la possibilité de
créer des OU
·
Admins_DC
Administrateurs du contrôleur de domaine
·
Admins_DNS
Administrateurs du serveur DNS
·
Admins_GDA
Administrateurs des comptes utilisateurs
·
Admins_Helpdesk
Utilisateurs ayant la possibilité de réinitialiser les mots
de passes des utilisateurs
« OU » Département
(Site1, 2 et 3) :
·
AdminsLocal
Administrateurs du département
Ø
Comptes
Ø
Ordinateurs
Ø
Imprimantes
Ø
Partages
·
Ordinateurs
Contient les ordinateurs du département
·
Utilisateurs
Utilisateurs du département
·
Imprimantes
Contient les
imprimantes du département
Aucun commentaire:
Enregistrer un commentaire