Gérer le forum:  Aide  •  Rechercher  •  Liste des Membres  •  Groupes d'utilisateurs   •  S'enregistrer  •  Profil  •  Se connecter pour vérifier ses messages privés  •  Connexion 
 ALSI & Active Directory (ARLE 2e année) Voir le sujet suivant
Voir le sujet précédent
Poster un nouveau sujetRépondre au sujet
Auteur Message
tipitipi
Résident du forum
Résident du forum


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 394
Localisation: 92

MessagePosté le: Lun 08 Jan 2007 - 19:57 Répondre en citantRevenir en haut

Bonsoir,

Dans le cours d'ALSI de 2e année option ARLE, j'ai attaqué la séquence 4 et l'atelier qui va avec. Je ne comprends pas tout, et j'ai l'impression que les va-et-vient entre les exercices du cours et ceux de l'atelier ne sont pas synchronisés ! Par exemple, à un moment on nous dit que les groupes seront créés à la fin, à un autre que les groupes doivent être créés en premier, bref c'est le grand flou !
Autre exemple, à un moment on se met à utiliser le profil "model" qu'on est censé avoir créé auparavant,alors que rien jusque là n'y a fait référence...

Bref, quelqu'un a-t-il réussi à se dépatouiller de tout cela ?
Ai-je raté quelque chose ??

_________________
un chat qui bloggue ? http://tiger.lechat.over-blog.com
Voir le profil de l'utilisateurEnvoyer un message privéEnvoyer l'e-mailVisiter le site web du posteur

N'oubliez pas de vous inscrire à la communauté pour participer. Si vous êtes déjà membre, connectez-vous pour faire disparaître ce bandeau publicitaire.
tipitipi
Résident du forum
Résident du forum


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 394
Localisation: 92

MessagePosté le: Dim 14 Jan 2007 - 12:11 Répondre en citantRevenir en haut

Pardon d'y revenir, mais personne n'a atteint ce niveau du cours ?

Personne n'a eu de difficulté pour cet atelier ?

_________________
un chat qui bloggue ? http://tiger.lechat.over-blog.com
Voir le profil de l'utilisateurEnvoyer un message privéEnvoyer l'e-mailVisiter le site web du posteur
Channels
Résident du forum
Résident du forum


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 408
Localisation: Contrieres - Basse Normandie

MessagePosté le: Dim 14 Jan 2007 - 14:21 Répondre en citantRevenir en haut

Salut,

J'ai fini ce cours depuis longtemps et ne me rappelle pas tout mais c'est assez simple, tu créais des groupes dans différentes unités d'organisation (afin de ranger un peu, de pouvoir appliquer des GPO, ect...)

Tu créais un profil MODEL et quand tu créais un nouveau user, tu copies sur ce profil MODEL, ca évite de se retaper a ajouter l'user a tous les groupes, ect...
Voir le profil de l'utilisateurEnvoyer un message privéMSN Messenger
tipitipi
Résident du forum
Résident du forum


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 394
Localisation: 92

MessagePosté le: Dim 14 Jan 2007 - 15:28 Répondre en citantRevenir en haut

Oui dans le principe j'ai compris ça. Mais rien n'explique comment procéder dans le détail, les corrections n'apportent pas tous les éléments, et parfois les différentes sources (cours, atelier, correction...) se contredisent. Et j'ai du mal à mettre en oeuvre concrètement ce qui est demandé. Un corrigé pas à pas détaillé aurait été le bienvenu ! (je sais bien qu'il y a une part de recherche personnelle à faire, mais bon, ce n'est pas incompatible avec un cours bien carré, comme ceux de l'excellent Jean-Yves Février, grâce auquel j'ai même progressé en algo, c'est dire Wink)

Par exemple, faut-il créer les groupes AVANT ou APRES les utilisateurs ? J'imagine que les deux solutions sont valables, mais pour s'y retrouver, quelle est la meilleure méthode ? Dans les intitulés, on nous dit que les groupes doivent être créés d'abord, plus loin on lit qu'ils seront créés en dernier...
Par ailleurs, rien ne permet, dans les corrigés, de vérifier si ce que l'on a créé est valable. J'aurais aimé avoir quelques tests à effectuer...

_________________
un chat qui bloggue ? http://tiger.lechat.over-blog.com
Voir le profil de l'utilisateurEnvoyer un message privéEnvoyer l'e-mailVisiter le site web du posteur
Channels
Résident du forum
Résident du forum


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 408
Localisation: Contrieres - Basse Normandie

MessagePosté le: Mar 16 Jan 2007 - 12:23 Répondre en citantRevenir en haut

Il faut mieux créer les groupes AVANT car quand tu créais tes utilisateurs, tu peux après les mettre directement lors de leur création. Toutefois, c'est également possible APRES.

Pour tester, tu peux intégrer un poste client dans ton domaine et tester ton compte Utilisateur que tu viens de créer en attribuant certaines ressources a un groupe et pas à d'autres.

comme ça, tu pourras voir si ton utilisateur fonctionne, si tes groupes pour les restrictions fonctionne également.... bref, ta politique de sécurité quoi =)

Après tu peux également commencer a faire des GPo en fonction des différentes unités d'organisation, applicables sur un ou plusieurs groupes de l'OU
Voir le profil de l'utilisateurEnvoyer un message privéMSN Messenger
tipitipi
Résident du forum
Résident du forum


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 394
Localisation: 92

MessagePosté le: Mar 16 Jan 2007 - 21:28 Répondre en citantRevenir en haut

Merci pour ces explications, qui sont très claires et somme toute, assez logiques !
Par contre qu'appelles-tu GPo ?
J'ai aussi du mal à saisir la différence entre un groupe et une OU... Dans quelle mesure ces 2 notions ne sont-elles pas redondantes ?

_________________
un chat qui bloggue ? http://tiger.lechat.over-blog.com
Voir le profil de l'utilisateurEnvoyer un message privéEnvoyer l'e-mailVisiter le site web du posteur
Zonag
Modérateur
Modérateur


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 1298
Localisation: Toulouse

MessagePosté le: Mar 16 Jan 2007 - 22:21 Répondre en citantRevenir en haut

Les UO ne sont la que pour ranger les utilisateurs, les Groupes sont la pour leur donner des droits.

Pour prendre un exemple, tu prend l'exemple de deux classes : IG1 et IG2. Pour ranger les utilisateurs tu va faire une UO "Eleves" qui contiendra deux UO : "IG1" et "IG2".

Tu crée ensuite les utilisateurs dans chaque UO et un groupe par UO "ElevesIG1" et "ElevesIG2" par exemple. Donc la effectivement en faisant comme ça tu peux voir une certaine "redondance".

Maintenant si tu as besoin de donner des droits à un dossier, par exemple à des éleves qui peuvent etres présents dans différentes classes, donc dans différentes UO : exemple des délégués de classe. Tu crée donc un groupe "ElevesDelegues" que tu met dans l'UE "Eleves".

Les UO ne sont donc la, comme leur nom l'indique, que pour faciliter l'organisation. Elles ne servent à rien en soit mais si tu avais tous tes utilisateurs à la racine de l'arboresence tu passerais un bon moment à chaque fois à savoir à quelle entitée organisationelle ils appartiennent ...

J'ai été clair ? Embarassed

_________________
Zonag
Voir le profil de l'utilisateurEnvoyer un message privé
tipitipi
Résident du forum
Résident du forum


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 394
Localisation: 92

MessagePosté le: Mer 17 Jan 2007 - 00:25 Répondre en citantRevenir en haut

Très clair Very Happy
Si j'ai bien compris : dans ton exemple, mettre le groupe "ElevesDelegues" dans l'UO "Eleves" n'est pas obligatoire, c'est juste une façon (logique, j'en conviens) de le retrouver facilement dans ton arborsecence. C'est ça ?

_________________
un chat qui bloggue ? http://tiger.lechat.over-blog.com
Voir le profil de l'utilisateurEnvoyer un message privéEnvoyer l'e-mailVisiter le site web du posteur
Zonag
Modérateur
Modérateur


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 1298
Localisation: Toulouse

MessagePosté le: Mer 17 Jan 2007 - 01:31 Répondre en citantRevenir en haut

Tout à fait

_________________
Zonag
Voir le profil de l'utilisateurEnvoyer un message privé
Zonag
Modérateur
Modérateur


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 1298
Localisation: Toulouse

MessagePosté le: Mer 17 Jan 2007 - 01:36 Répondre en citantRevenir en haut

Ah j'oubliais quelque chose, créer des UO permet aussi d'en déléguer l'administration.

Dans mon exemple précédent, ça permettrais par exemple à un prof référent d'ajouter/supprimer les comptes de sa classe, sans pour autant lui refiler la possibilité de modifier les comptes d'autres classes ou d'autres profs (pas dans les memes UO).

On peut donc confier à quelqu'un la gestion d'une partie de ton arborescence Active Directory sans pour autant lui donner des droits d'administration du domaine en question Smile Et c'est ce qui à tendance à se généraliser vu que AD permet "facilement" à une entreprise qui à plusieurs sites, d'interconnecter les controleurs de domaines pour ne former au final qu'un seul domaine pour toute l'entreprise et ses succursales.

_________________
Zonag
Voir le profil de l'utilisateurEnvoyer un message privé
tipitipi
Résident du forum
Résident du forum


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 394
Localisation: 92

MessagePosté le: Mer 17 Jan 2007 - 10:11 Répondre en citantRevenir en haut

Je te remercie énormément pour ces réponses qui m'ont été d'un grand secours Very Happy
Tu n'as jamais pensé à rédiger des cours pour le cned Wink ?

Encore merci,
T.

_________________
un chat qui bloggue ? http://tiger.lechat.over-blog.com
Voir le profil de l'utilisateurEnvoyer un message privéEnvoyer l'e-mailVisiter le site web du posteur
keldrill
Résident du forum
Résident du forum




Messages: 284

MessagePosté le: Mer 17 Jan 2007 - 10:57 Répondre en citantRevenir en haut

Il faut aussi savoir que les OU sont les seuls objets de l'AD sur lesquels il est possible d'appliquer des GPO (Group Policy Object).
Pour répondre à ta question, les GPO sont des listes de restrictions (communément appelées stratégies) à appliquer sur le système client. Tu peux par exemple (et je dis bien "par exemple" car la liste est longue, et va en augmentant au fur et à mesure des versions Server de Windows) interdire l'accès au panneau de configuration etc... Associer cette liste de restrictions à une OU aura pour effet de les appliquer à l'environnement de l'utilisateur faisant partie de cette OU lorsqu'il se connectera.

Ensuite, étant donné que ces restrictions sont appliquées via des modifications de valeurs au niveau du registre du système client, il y a d'autres subtilités comme la différenciation des restrictions "Ordinateur" et "Utilisateur" qui ne sont respectivement que la représentation des clés HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER, ainsi que le principe d'héritage des stratégies (ou, à l'inverse, de blocage) sur les objets OU enfants.

Pour résumer, dans AD, les groupes de type sécurité (à ne pas confondre avec les groupes de distribution) permettent de sécuriser le domaine au niveau des systèmes de fichiers ainsi que des objets du domaine, tandis que les GPO donnent la possibilité de sécuriser les environnements.

_________________
Read The Life Manual
http://indriya.org - http://circle-rock.net
Voir le profil de l'utilisateurEnvoyer un message privéVisiter le site web du posteur
Channels
Résident du forum
Résident du forum


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 408
Localisation: Contrieres - Basse Normandie

MessagePosté le: Mer 17 Jan 2007 - 11:47 Répondre en citantRevenir en haut

Petite question personnelle plz Wink

a travers des GPO, je vois très bien comment restreindre l'accès a certaines choses, mais par exemple :

Je souhaite que seuls les users du groupe INTERNET accèdent a INTERNET. Je créais donc ce groupe --> Comment définir que ce groupe ait accès a INTERNET, clique droit propriétés sur le groupe ???

Je souhaite également que certains users puissent pouvoir deverrouiller uniquement les comptes de l'AD. Je créais donc le groupe ROLE-Ad-Deverouiller, comment définir que ce groupe permet de deverrouiller dans l'AD? Toujours dans propriétés du groupe je ne vois pas comment faire en fait.

si vous pouviez m'éclaircir, thanks Wink
Voir le profil de l'utilisateurEnvoyer un message privéMSN Messenger
Zonag
Modérateur
Modérateur


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 1298
Localisation: Toulouse

MessagePosté le: Mer 17 Jan 2007 - 22:47 Répondre en citantRevenir en haut

Channels a écrit:
Je souhaite que seuls les users du groupe INTERNET accèdent a INTERNET. Je créais donc ce groupe --> Comment définir que ce groupe ait accès a INTERNET, clique droit propriétés sur le groupe ???


Hum ... Je ne sais pas trop. Si tu n'a pas de proxy filtrant dans ton réseau, tu ne peux pas tehoriquement vraiment interdire l'acces au net à certains utilisateurs en tant que tel.

Cela dit je vois bien une bidouille ... Si tu n'a qu'un sous réseau et que ton serveur et les clients sont dans le meme /24 tu peux par exemple ne pas fournir de passerelle par défaut aux clients et rajouter le "route add ..." en script de login via GPO aux membre du groupe Internet. Rolling Eyes

_________________
Zonag
Voir le profil de l'utilisateurEnvoyer un message privé
tipitipi
Résident du forum
Résident du forum


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 394
Localisation: 92

MessagePosté le: Mer 17 Jan 2007 - 23:47 Répondre en citantRevenir en haut

Houlà, la discussion atteint des niveaux qui me dépassent (enfin, pas de beaucoup, mais ça dépasse ma problématique de base Wink )
Je vous remercie pour toutes ces précisions qui me sont très précieuses et très claires.
Et, bien sûr, je continue à suivre cette très intéressante discussion attentivement, les yeux grand ouverts Shocked

_________________
un chat qui bloggue ? http://tiger.lechat.over-blog.com
Voir le profil de l'utilisateurEnvoyer un message privéEnvoyer l'e-mailVisiter le site web du posteur
Channels
Résident du forum
Résident du forum


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 408
Localisation: Contrieres - Basse Normandie

MessagePosté le: Jeu 18 Jan 2007 - 00:19 Répondre en citantRevenir en haut

Merci Zonag, j'y avais pensé également, fournir une fausse passerelle ou un faux proxy pour sortir sur le net....

Sinon pour mon exemple de Role-Ad-Deverrouiller, une idée plz ? Je sais que la ou je taff, il y a ce groupe ...
Voir le profil de l'utilisateurEnvoyer un message privéMSN Messenger
Zonag
Modérateur
Modérateur


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 1298
Localisation: Toulouse

MessagePosté le: Jeu 18 Jan 2007 - 00:28 Répondre en citantRevenir en haut

Channels a écrit:
Merci Zonag, j'y avais pensé également, fournir une fausse passerelle ou un faux proxy pour sortir sur le net....


Le probleme avec un faux proxy c'est que l'adresse du proxy dépend d'un soft en question et pas du systeme. Tu peux faire une GPO qui va modifer le proxy dans les parametres d'IE. Si t'est pas trop con tu va aussi interdire la modification des parametres d'IE par les users Wink

Mais ... Si un user utilise un autre navigateur, ça aura servi à rien ... Confused

Channels a écrit:
Sinon pour mon exemple de Role-Ad-Deverrouiller, une idée plz ? Je sais que la ou je taff, il y a ce groupe ...


Pas d'iddée non désolé Sad Je connais que les bases d'AD perso ...

_________________
Zonag
Voir le profil de l'utilisateurEnvoyer un message privé
dununfolette
Modérateur
Modérateur


Licence Professionnelle
Sexe: Sexe:Féminin
Messages: 2497
Localisation: chambéry (73)

MessagePosté le: Jeu 18 Jan 2007 - 12:19 Répondre en citantRevenir en haut

Siles utilisateurs n'ont pas les droits d'admin (pour installer des applis) ils ne peuvent passe servir d'un autre navigateur Wink

_________________
Doudou BTS IG ARLE eu et LP Réseaux Sans Fil et Sécurité validée ! Boulot, boulot, boulot...
Pensez à valider votre profil !

Image
Voir le profil de l'utilisateurEnvoyer un message privé
Channels
Résident du forum
Résident du forum


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 408
Localisation: Contrieres - Basse Normandie

MessagePosté le: Jeu 18 Jan 2007 - 13:02 Répondre en citantRevenir en haut

Oui, aucun user n'est admin LOCAL de la machine, donc tout le monde utiliser IE, la question du faux proxy peut être OK.

Par contre, pour mon role AD, personne n'a d'idée ? Ca m'intrigue...
Voir le profil de l'utilisateurEnvoyer un message privéMSN Messenger
Zonag
Modérateur
Modérateur


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 1298
Localisation: Toulouse

MessagePosté le: Jeu 18 Jan 2007 - 13:55 Répondre en citantRevenir en haut

dununfolette a écrit:
Siles utilisateurs n'ont pas les droits d'admin (pour installer des applis) ils ne peuvent passe servir d'un autre navigateur Wink


Ah la dure loi de la téhorie et de la pratique Smile

Oui oui en tehorie ils peuvent pas ... Et moi je me sers toujours de mon firefox portable sur clé USB quand je vais en cours et bien sur je ne suis pas admin sur le poste. Et c'est qu'un exemple hein, y a pleins d'autres façons de contourner un "faux proxy".

Si vraiment tu veux un filtrage efficace, un vrai proxy c'est sans doute beaucoup mieux Wink Et pas si compliqué que ça à mettre en place ...

_________________
Zonag
Voir le profil de l'utilisateurEnvoyer un message privé
Montrer les messages depuis:      
Poster un nouveau sujetRépondre au sujet
 Sauter vers:   



Voir le sujet suivant
Voir le sujet précédent
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum