Utilisation d'active directory

shamza91 · Juin 16, 2014, 8:59

Bonjour,

Je désire installer et configurer l’Active Directory au sein de l’entreprise où je travaille mais j’ai quelques hésitations.
N’étant pas un administrateur réseau, je ne vois pas la réelle utilité de cet utilitaire même si j’ai pu lire (à droite et à gauche) qu’il était très intéressant. De plus, j’ai peur de mal le configurer et de créer des soucis pour les employés de mon entreprise.
Si vous pouvez m’aider ou bien me conseillez, je vous serai reconnaissant.

PS: j’utilise Windows Server 2008 r2.

AdminOfPlaygroup · Juin 17, 2014, 10:28

Bonjour,

C’est plus qu’un utilitaire, c’est l’outil le plus important pour uniformiser l’utilisation de ton matériel et protéger tes données contre l’extérieur et contre l’intérieur.

Il te permet de créer une seule fois l’utilisateur sur l’AD, et cet utilisateur pourra se connecter sur tous les machines appartenant à l’AD avec son nom d’utilisateur et son mot de passe. Sans l’AD, soit il se sert du compte locale de la machine, c’est à dire le compte de quelqu’un d’autre, soit tu as créer des comptes locaux “génériques” que tout le monde utilise. De plus, avec les profils itinérants (propre à l’AD), les paramètres de l’utilisateurs (raccourcis, couleurs, configuration de Office, …) le suivent d’une machine à une autre (pour peux que la configuration logiciel soit similaire, même Windows, même logiciels de la même version).

Ensuite, si tu as un serveur de fichiers, avec l’AD, tu peux créer des groupes de sécurités et tu mets des utilisateurs de l’AD dans ces groupes de sécurités. Tu as, par exemple, le groupe “Comptabilité”, et tu mets tous les comptables dans ce groupe. Ensuite, sur le serveur de fichiers (avec des disques NTFS), tu peux dire que seul le groupe “Comptabilité” peut lire et écrire sur le dossier “COMPTA”. Et, en même temps, tu peux dire que le groupe “Direction Générale” peux lire, et uniquement lire, ce même dossier “COMPTA”.

Tu peux maîtriser tes utilisateurs, leurs profils, leurs dossiers par défaut, bref, leurs façons de travailler avec les GPO. Les GPO sont des règles qui s’appliquent de force aux utilisateurs (ou certains utilisateurs) comme dire que leurs dossiers de téléchargement par défaut (de Windows) est C:Téléchargements et plus C:USERS/%username%/Download. Il y a des GPO pour tout ce qui est Windows et très proche (IE, WMP, …). Certaines GPO s’appliquent aux machines (qui font parties, elles aussi, de l’AD) comme le reglage des mises à jours, de la mise en veille, autorisation d’utiliser les ports USB, etc.

C’est un outil très puissant, relativement facile à utiliser et appréhender, mais difficile à maîtriser.
Surtout, c’est indispensable que le réseau atteint une certaine taille.
Seul Windows dispose d’un tel outil, depuis que Netware a arrêté.

Je te conseille de faire une formation avant de te lancer.
Edité le 17/06/2014 à 10:30

shamza91 · Juin 17, 2014, 8:25

Merci pour ta réponse qui me semble très clair. Cependant, tu n’auras pas un site où je peux étudier (faire la formation) avant de me lancer ?
J’ai acheté quelques livres concernant Windows Server 2008 r2 mais malheureusement, ils ne s’attardent pas trop sur l’utilisation ou bien la configuration de l’AD.

mtdirector · Juin 18, 2014, 9:07

Bonjour,
pour configurer ton AD j’avais trouvé sur ce site un tutoriel complet pour Windows Server 2008 (la démarche n’a pas changer sur le 2008 R2) www.e-novatic.fr…
Bon après, c’est juste l’installation et configuration, ils ne rentre pas dans les détails (GPO…)
Après, avant de le mettre en place sur le serveur de ton entreprise, tu peut toujours faire des essai de configuration sur des machines virtuelle, ça te permetera de tester, d’essayer et le tout sans risque pour le serveur d’entreprise vu que tu fera ta vm sur ton propre pc.
Edité le 18/06/2014 à 09:08

pitinonoz · Juin 18, 2014, 1:51

:hello: Bonjour,

Je pense quand même que bien qu’il est désormais possible d’apprendre de façon autodidacte via les différents tuto / MOOC sur internet il serait peut-être judicieux de demander à ton entreprise une formation.

Gérer parc avec un domaine et tout ce que cela entraîne n’est pas une mince affaire. Après tout dépend de la taille de l’entreprise, mais à partir du moment où elle investi dans un serveur + une licence je pense qu’il y à un peu plus qu’une 10aine d’utilisateurs.

Enfin c’est un conseil :jap:
Edité le 18/06/2014 à 13:52

Koin-Koin · Juin 18, 2014, 2:32

Je plussois fortement.

L’Active directory n’est pas un utilitaire mais un système complet qui repose sur une infrastructure plus ou moins complexe.
Celle ci repose sur différent composants tel que DNS et nécessite la compréhension d’un minimum de concepts.

Cela reste accessible bien sur, mais un accompagnement est vraiment plus que conseillé.
Selon la taille de ton parc et les différents éléments qui le compose, ton AD peut être trés simple ou trés complexe.

Par exemple, il est conseillé d’avoir au moins 3 DCs dans une AD (Domain Controller) qui seront tous DNS.

Si tu as déjà une experience des domaines NT, tu retrouveras un grand nombre de choses qui en sont hérités avec une plus grande flexibilité dans leurs usage/mise en oeuvre…

juju251 · Juin 18, 2014, 4:37

:hello:

Je rebondis sur tes propos : Pourquoi 3 Dcs dans une AD ? En cas de défaillance de l’un d’eux ?
Ca dépend de la taille de l’infrastructure ou ça s’applique de manière plus ou moins générale ?

Je connais un peu Active Directory, mais je n’y ai jamais mis les mains dans le cambouis en prod. :jap:

AdminOfPlaygroup · Juin 18, 2014, 5:09

Je tourne depuis très longtemps avec un seul DC !
Depuis peu, on a mis un second DC “de secour” virtuel sur un de nos nouveaux serveurs.

Par contre, un serveur DC ne doit rien faire d’autres (sauf DNS et DHCP).

Koin-Koin · Juin 18, 2014, 5:17

Dans l’absolu, une seule machine peut trés bien héberger tous les roles, c’est d’ailleurs ce que la plupart font (moi le premier) pour tout ce qui est lab, maquettage…

La redondance commence à deux bien évidemment mais MS recommande de séparer certains rôles (je ne les ai plus en tête mais je peux rechercher si besoin).

Après, effectivement le nombre de DC va varier selon la taille de ton infra, de l’architecture mise en place, des éléments additionnels se basant sur l’AD (Exchange par exemple), de la répartition physique (mono/multi-site, nationale, internationale, gros sites/agences, taille des liens, serveurs sur chaque site ou pas …).

Si je prends mon exemple : multi-site sur la france, on a 3 DCs pour 50+ sites distant et l’infra au siege (serveur d’appli, monitoring, lab …) et aucun DC sur les sites.
Lorsuqe nous avions en plus d’autres pays, il y a avait 2 DCs supplémentaire par pays pour avoir une authentification locale (Sites AD) en cas de perte de ligne. Le second était la pour jouer le role de catalogue global (GC) a cause d’Exchange plus le fait que nous ne sommes qu’une partie d’un ensemble plus grand (donc directory imposante donc catalogue conséquent).

Autre avantage, deux DNS par pays permet de répartir entre serveurs et poste de travail (pas forcement fondamentale pour tout le monde je le reconnais).

A cela il faut ajouter un DC de Disaster Recovery qui est une VM aux US (data center du siege), mais cette partie ne se justifie que dans les trés grosses structures et/ou lorsqu’une remise en état rapide est indispensable.

Pour génraliser je dirais:

1 DC : uniquement pour faire mumuse
2 DCs : strict minimum pour les trés petites structures
3 DCs : confortable quand on est petit et peut tenir une croissance de l’infra sans trop de soucis

Après c’est vraiment du cas par cas.
Edité le 18/06/2014 à 17:19