Active Directory aux MEEM/MLHD. Emmanuel Ihry Pole National d Expertise Serveurs et Réseaux

Documents pareils
FORMATION WS0801. Centre de formation agréé

Windows Server 2012 Administration avancée

EVOLUTION ACTIVE DIRECTORY Windows 2012R2

Windows Server 2012 R2 Administration

Introduction aux services de domaine Active Directory

Sécurité & Authentification. Sécurité Authentification utilisateur Authentification applicative

Windows Server 2012 Les bases indispensables pour administrer et configurer votre serveur

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server Référence Cours : 6238B

Table des matières Page 1

Une unité organisationnelle (Staff) comporte une centaine d'utilisateur dans Active Directory.

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Expérience professionnelle

Windows Server 2012 R2 Administration avancée - 2 Tomes

Windows Server 2012 R2

Pourquoi installer un domaine Windows Active directory? E. Basier - CNIC S. Maillet - CRPP F. Palencia - ICMCB

Administration de systèmes

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Introduction aux services Active Directory

Mise en place Active Directory, DNS Mise en place Active directory, DNS sous Windows Serveur 2008 R2

Plan de cette matinée

Windows Server 2012 R2

FORMATION WS1201 GERER LES SERVICES ACTIVE DIRECTORY DE WINDOWS SERVER 2012

Migration d un domaine Active Directory 2003 R2 vers 2008 R2 (v2)

[Tuto] Migration Active Directory 2003 vers 2008

ACQUISITION DE MATERIEL INFORMATIQUE

Table des matières. Chapitre 1 Les architectures TSE en entreprise

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Implémentation, fonctionnalités, dépannage [2ième édition]

Windows 7 Administration de postes de travail dans un domaine Active Directory

Le Ro le Hyper V Troisie me Partie Haute disponibilite des machines virtuelles

Mise en place Active Directory / DHCP / DNS

IDEC. Windows Server. Installation, configuration, gestion et dépannage

MAGRET V86 Migration du contrôleur de domaine

SCOM 2012 (System Center Operations Manager) De l'installation à l'exploitation, mise en oeuvre et bonnes pratiques

ASR3. Partie 2 Active Directory. 1 Arnaud Clérentin, IUT d Amiens, département Informatique,

Armelin ASIMANE. Services RDS. de Windows Server 2012 R2. Remote Desktop Services : Installation et administration

Gestion des identités Christian-Pierre Belin

Note technique. Recommandations de sécurité relatives à Active Directory.

Filière métier : Administrateur Virtualisation

Windows Serveur (Dernière édition) Programme de formation. France, Belgique, Allemagne, Pays-Bas, Autriche, Suisse, Roumanie - Canada

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

FILIÈRE TRAVAIL COLLABORATIF

Services RDS de Windows Server 2012 R2 Remote Desktop Services : Installation et administration

PRO CED U RE D I N STALLATI O N

Des moyens techniques 5 salles de formation à disposition. 1 station par stagiaire reliée aux services en réseau de Quadri-Concept.

Architecture Technique

Journée CUME 29 Mars Le déport d affichage. Vincent Gil-Luna Roland Mergoil.

Introduction à LDAP et à Active Directory Étude de cas... 37

Windows serveur 2008 installer hyperv

VMware View Virtualisation des postes de travail (architecture, déploiement, bonnes pratiques...)

APPEL D OFFRE A PROCEDURE ADAPTEE MIGRATION SERVEURS WINDOWS. Cahier des Charges

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013

Utilisation de Ntdsutil.exe pour prendre ou transférer des rôles FSMO vers un contrôleur de domaine

Hyper-V (version 3) et System Center Virtual Machine Manager Technologie de virtualisation sous Windows Server 2012 R2

Spécialiste Systèmes et Réseaux

Economies d énergie par GPO

Migration NT4 vers Windows 2003 Server

INFRASTRUCTURES & RESEAUX

A Les différentes générations VMware

ASR3. Partie 2 Active Directory. Arnaud Clérentin, IUT d Amiens, département Informatique

Retour d'expérience avec : OCS Inventory & GLP

Recycle Bin (Corbeille Active directory)

L annuaire et le Service DNS

Premier Accelerate Packages: Azure Fast Start

Stratégie de groupe dans Active Directory

NEC Virtual PC Center

Active Directory Profils des utilisateurs, sécurité et stratégie de groupe (GPO)

MIGRATION ANNEXE SAINT YVES. 1 : L existant. Pourquoi cette migration Schéma et adressage IP. 2 : Le projet. Schéma et adressage IP.

Cours 20412D Examen

Samson BISARO Christian MAILLARD

Server 2008 Active Directory Délégation de contrôle

Windows Server Chapitre 4 : Active Directory Gestion des utilisateurs, des ordinateurs et des groupes

Dix raisons de passer à WINDOWS SERVEUR 2008

Service d'annuaire Active Directory

OSSIR Groupe Sécurité Windows

Fiche Produit Global Directory pour Jabber

RELEASE NOTES. Les nouveautés Desktop Manager 2.8

Cours sur Active Directory

Errata partie 1 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

Janus Consulting. 24 Janvier Janus Consulting 8, Rue de la Chapelle Vienne en Arthies

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Rapport sur les travaux pratiques réalisés sous Windows 2000 Serveur

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

Gestion des utilisateurs et Entreprise Etendue

TP01: Installation de Windows Server 2012

Services RDS de Windows Server 2008 R2

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008

Exercices Active Directory (Correction)

Catalogue & Programme des formations 2015

Filière métier : Administrateur messagerie et portail collaboratif

Sécurité en MAC OS X [Nom du professeur]

Installation et configuration de base de l active Directory

PLAN DE REPRISE D ACTIVITE INFORMATIQUE

Commission informatique du 29 janvier Activités 2001 et plan d action 2002 A. Mokeddem

Table des matières Avant-propos... V Scripting Windows, pour quoi faire?... 1 Dans quel contexte?

Windows Serveur 2008

FORMATION CXA01 CITRIX XENAPP & WINDOWS REMOTE DESKTOP SERVICES

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2

Solutions informatiques

PPE Contexte de travail GSB Activité Reconditionnement et Helpdesk

Transcription:

JEOLE Titre 2016 Active Directory aux MEEM/MLHD Emmanuel Ihry Pole National d Expertise Serveurs et Réseaux Ministère de l'écologie, du Développement durable et de l Énergie

Contexte global du projet Une architecture bureautique en fin de vie fonctionnant en mode NT dysfonctionnements avec des équipements récents Volonté de la DSI de déployer au plus tôt la technologie Active Directory et grande attente des services Samba 4 est privilégié sauf à démontrer une impossibilité technique Projet piloté par le PNE Serveurs et Réseaux: Volets technique / fonctionnel / accompagnement - 2 -

Principaux besoins services Disposer d'une solution : qui fonctionne bien et tout le temps! qui permette l'utilisation de tout type de serveurs et services (serveurs Windows, watchdoc, tout type d'imprimante..) qui permette de déployer des GPO locales qui permette de partager des ressources entre services distincts qui leur laisse l'autonomie de gestion suffisante pour prendre en charge les tâches quotidiennes inhérentes à l infrastructure bureautique sur leur périmètre Ne sont pas forcément attachés à leur rôle d'administrateur du domaine Ne sont pas à priori opposés à la mise en place d'une forêt monodomaine à conditions que les droits de gestions soient encadrés - 3 -

Principales attentes nationales Accompagner l'avancée technique d'un bond fonctionnel partages inter services faciliter la mobilité Dans la mesure du possible, le système doit être évolutif pour s adapter à des restructurations de services Mettre en place une architecture uniforme - cadre national comptes injectés depuis le LDAP national / Schéma AD unique condition pour bénéficier d'un support national Ne pas reconduire les problèmes liés à l'architecture actuelle : relations d approbation / mode local / changement de mot de passe - 4 -

Exigences de sécurité Respecter les exigences de sécurité inhérentes à la technologie AD Préconisations ANSSI Limiter les pouvoirs des comptes aux seuls besoins Faciliter le déploiement de règles de sécurité nationales Sécurité physique des contrôleurs de domaine Sécurité des sauvegardes Limitation de l utilisation du compte «administrateur du domaine» Prendre en compte les différences actuelles des services dans la conception de la solution (sécurité d'accès au réseau..) - 5 -

Analyse des domaines bureautiques Actuellement 188 domaines bureautiques dont MEEM/MLHD 61 Après fusion des régions, reste 46 domaines DDI 95 Hors périmètre Cerema 11 migration vers Windows AD VNF 5 migration vers Windows AD Divers en cours de suppression - 6 -

Analyse relations d'approbation existantes périmètre MEEM et DDT 79 relations d'approbation identifiées entre domaines, cependant : La majorité va disparaître naturellement, resterait à traiter : 3 entre services du MEEM cas des écoles administratif / stagiaires 2 entre DDT et Service du MEEM 3 entre DDI 1 entre DDI et DRAAF Attention au réflexe consistant à reconduire l'existant!! Faire autrement pour partager certaines ressources? - 7 -

sites MEEM/MLHD et population AC : 1 site regroupant environ 5000 personnes Services Déconcentrés : 499 sites regroupant environ 12500 personnes 33 sites de plus de 100 personnes 20 sites de 50 à moins de 100 personnes 68 sites de 20 à moins de 50 personnes recommandations ANSSI : un ensemble de 33 contrôleurs pourrait être suffisant en cas de foret mono-domaine!! - 8 -

Lien avec l'architecture du RIE «Étanchéité» entre certaines VRF Une logique de positionner les ressources nationales ou interministérielles en Data center : Vers un partage de ressources fichiers entre communautés positionnées en Data Center? les relations d approbation entre certaines communautés n'ont pas forcément de raison d'être Deux solutions distinctes doivent être proposées pour réponde à ces deux cas : Partages au sein d'une communauté Partages entre communautés - 9 -

Étude en cours : expertise AD Phase 1 : prise de connaissance Phase 2 (en cours) : architecture idéale Active Directory Phase 3 Structuration de l Active Directory optimale selon les règles de l art actuelles et tenant compte du contexte Stratégie pour l administration des serveurs Architectures bureautiques types pour des types de services GPO minimales à mettre en place Processus de déploiement Adapter la stratégie à l environnement SAMBA 4 Phase 4 Identifier des solutions d interfaçage avec l annuaire LDAP central - 10 -

Structuration de l AD architecture et périmètre de l'étude Le périmètre de l'étude pour la structuration de l'ad Étude de l'architecture AD pour les besoins du MEEM/MLHD Étude séparée pour les DDI, projet porté par la DINSIC en cours Pas de relations d'approbations entre MEEM et DDI Alimentation des comptes (et groupes?) depuis le LDAP - 11 -

Périmètre de l'étude - 12 -

Forets / Domaines 1/2 Avantages / inconvénients Mono forêt avec un seul Domaine Facilité de gestion Facilité de mobilité et de collaboration Une erreur est répliquée partout Nécessaire de bien séparer les droits Avantages / inconvénients Mono forêt plusieurs Domaines Seuls les comptes du domaine sont présents sur le DC Facilité de mobilité et de collaboration (Relation d'approbation implicite) Problème de perméabilité des droits admins Duplication de certaines tâches d'administration N'est plus recommandé par Microsoft N'est pas supporté par Samba4-13 -

Forets / Domaines 2/2 Avantages / inconvénients plusieurs «forêt mono Domaine» séparation des droits admins isolation des problèmes / erreurs duplication de certaines tâches d'administration Ne répond pas aux besoins de partages et de mobilité Scénarios à l'étude Une mono foret mono-domaine Plusieurs forets mono-domaine - 14 -

Gestion AD : Qui / Quels outils? Taches d administration AD quotidienne Gestion des utilisateurs (création / modification / suppression) Création de comptes machine et jonction des ordinateurs au domaine Gestion des postes locaux Gestions de GPO locales Création des ressources bureautiques Taches d administration AD technique mise en place de la VM (installation OS, configuration IP, configuration FTP, etc.) connexion entre Amédée et les contrôleurs AD maintenance technique des contrôleurs AD : jonction d'un nouveau contrôleur de domaine, gestion des sites / rôles FSMO ; gestion des sauvegardes - 15 -

Samba4 principaux moins de SaMBa4-AD absence des relations d approbation inter-forêt2 absence de RODC3 aucun exemple d un réseau SaMBa4-AD d ampleur équivalente coût des évolutions nécessaires pour les ministères : 6000 heures Support 100k objects (inclus les améliorations sur la réplication) : ~1320 h Support trusted domains : ~960 h High load support in Samba AD DC (dont le multi Threading) : ~600.00 h Windows 2012 functional level support : ~480 h Tooling improvements (Outils de réplications) : ~180 h Logon Audit logging : ~180h - 16 -

Architecture optimale Concentrer les domaines aller (progressivement?) vers un (?) seul domaine Définir quelles applications seront utilisées pour la gestion de l'ad Gestion l'unicité de gestion des comptes Faut il conserver des données bureautiques dans le LDAP? extensions Amédée? autre outil? autre application? Déterminer le nombre de contrôleurs et positionnement Nécessite évolutions techniques et organisationnelles mise en place des délégations de droits efficaces nécessité d'homogénéiser les niveaux de sécurité nécessité d'homogénéiser les procédures - 17 -

Architecture technique Maquette opérationnel EOLE AD alimentée en temps réel depuis le LDAP (30 000 comptes) Module EOLE AD à finaliser Quelle version SAMBA utiliser? Adaptation des droits de gestion aux contraintes liées à la sécurité Qui administre ces serveurs? Mise en place d'un mécanisme d interception du changement de mot de passe par CTRL ALT SUP? - 18 -

FIN Ministère de l'écologie, du Développement durable et de l Énergie

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back