Déléguation Active Directory

Etude réalisée 04/2010 - Guillaume ARSICAUD
L’article précédent traitait de la restructuration Active Directory. Sans délégation une architecture mono-domaine/mono-forêt peut vite devenir ingérable et non sécurisé ! Voici une proposition qui répond aux besoins de l’architecture présentée dans l’article suivant :
Préparation et migration des domaines « cfg64.fr » et « company.lan » vers « nelite.fr »

Sommaire

1       Migration du domaine « cfg64.fr » et « company.lan » vers le domaine « nelite.fr ». 2

1.1         Présentation du contexte. 2

1.2         Délégation de l’autorité d’administration2


1         Procédure de délégation                


1.1       Présentation du contexte

Nous avons donné une attention particulière à cette partie. En effet, le client aura une architecture mono-domaine, mono-forêt. Dans ce cadre il est impératif de mettre en place la règle du moindre privilège. Chaque objet, qu’il soit utilisateur ou administrateur aura le minimum de droit lié à son compte active directory. De plus, l’entreprise étant répartie sur plusieurs sites avec un nombre d’utilisateurs importants, la délégation s’impose.

1.2       Délégation de l’autorité d’administration

Voici le schéma de délégation que proposé :
Chaque site à une OU spécifique contenant ses administrateurs locaux, ses ordinateurs, ses partages et ses utilisateurs.
Il y aura une OU« AdminsGeneral », réunissant des administrateurs qui auront des droits sur l’ensemble des domaines, qui contient :
·         Les utilisateurs du helpdesk
·         Les responsables de la gestion des droits d’accès (GDA)
·         Les administrateurs du serveur DNS
·         Les administrateurs du contrôleur de domaine
·         Les administrateurs du scénario
Les administrateurs du scénario ont les mêmes privilèges que les responsables GDA, mais ils peuvent en plus, créer des OU supplémentaires dans l'organisation.
Remarque : Le client souhaite avoir des administrateurs sur chaque site, le schéma que nous proposons répond à cette demande.
Puis dans chaque site, on trouve un administrateur séparé pour la gestion des ordinateurs, des imprimantes et des utilisateurs du département réunis dans l’OU «AdminsLocal». L’administrateur local de l’OU peut créer des utilisateurs et des groupes dans son département.
Pour l’accès à ces ressources, une OU différente est créée pour chaque type de ressource à savoir :
·         Ordinateurs
·         Utilisateurs
·         Imprimantes

 Voici un schéma global de l’organisation des différentes Unités d’organisation :


« OU » AdminsGenenal :
·         Admin_Nelite
Administrateurs des comptes de PASCAL avec la possibilité de créer des OU
·         Admins_DC
Administrateurs du contrôleur de domaine
·         Admins_DNS
Administrateurs du serveur DNS
·         Admins_GDA
Administrateurs des comptes utilisateurs
·         Admins_Helpdesk
Utilisateurs ayant la possibilité de réinitialiser les mots de passes des utilisateurs
« OU » Département (Site1, 2 et 3) :

·         AdminsLocal

Administrateurs du département
Ø  Comptes
Ø  Ordinateurs
Ø  Imprimantes
Ø  Partages  
·         Ordinateurs
Contient les ordinateurs du département
·         Utilisateurs
Utilisateurs du département
·         Imprimantes
Contient les imprimantes du département

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Articles (Atom)