VMware / Windows Server

Active Directory : Bien organiser son annuaire

Table des matières

logo-active-directory



Introduction



Dans cet article, je récapitule quelques conseils pour bien organiser son annuaire Active Directory quand on le met en place dans une société.

Le maître mot, c'est de penser GPO, Autorisations, Tâches administratives !

En effet, un AD bien organisé sera facile à administrer !

Définitions



AD : Active Directory
OU : Organisation Unit ou en français Unités d'Organisation
GPO : Group Policy Object
GG : Groupe Global


Conception



D'abord, on ne va pas conserver les OU d'origine dans notre AD, mais réaliser des OU personnalisées.

On va d'abord créer une OU du nom de la société ou du groupe, puis organiser cet ensemble.

On va penser à séparer utilisateurs et ordinateurs :

- Utilisateurs : Compta / INFO / RH / Commerciaux / Technique (avec 1 sous OU par poste technique), les utilisateurs nomades ou multiservices peuvent être à la racine de cette OU ou dans une OU séparée
- Ordinateurs : Compta / INFO / RH / Commerciaux / Technique (avec 1 sous OU par poste technique) les ordinateurs nomades ou multiservices peuvent être à la racine de cette OU ou dans une OU séparée
- Groupes : Pour des groupes spécifiques qui sont pas dans les utilisateurs (un groupe par exemple pour une spécificité non hiérarchique (Tout le monde, VPN, etc..)
- Serveurs : Fichiers / Réseau / ...

Nomenclature



On va établir une nomenclature structurée, et cohérente, afin d'avoir une standardisation des noms :

- Utilisateur : Adrien Linuxtricks => adrien.linuxtricks
- Groupes : GG GL GU + Qui + Ressource + Permissions (GG-Tous / GG-IT-FIC-RW, ...)
- Ordinateurs : ça dépend, mais c'est bien d'avoir le type, le service, un numéro : Chez nous SRV-DC01 (pour le serveur AD, XXYYZZZN où XX est notre code structure, YY le code site, ZZZ le service (ou nom si portable nominatif) et N un numéro incrémental. (BCPTINF1 pour un PC informatique de la structure Bourgogne Champagne, du service Informatique). On peut donner des codes, du style W pour une station de travail, L pour un Laptop, S un Server, P pour imprimante, suivi de la fonction et d'un numéro : P-INF-1 pour une imprimante du service info.

Affectation des droits



On prendra la bonne habitude d'affecter des droits uniquement aux groupes et non pas aux utilisateurs directement !
Il n'est pas ridicule d'avoir un groupe de 1 utilisateur.
L'idée est que chaque utilisateur soit attribué à des groupes. Ainsi, lors de l'arrivée d'un nouvel employé, s'il doit avoir les droits identiques à un autre, on copie l'employé ou on le positionne dans les mêmes groupes.
Cela simplifie grandement l'administration.

Description des objets



Il est utile d'ajouter des descriptions aux objets AD, le plus souvent possible. En effet, cela permet d'indiquer directement dans l'annuaire à quoi ils servent. Ainsi, les personnes administrant l'AD ont la possibilité de s'y retrouver en cas de doute.

La délégation



Un administrateur Active Directory ne peut pas effectuer toutes les tâches. En effet, il existe tellement de tâches à effectuer qu'il est possible d'en déléguer certaines. La configuration des délégations est possible. Par exemple, on peut donner les droits à un groupe de réinitialiser les mots de passe comme le Helpdesk par exemple. (Clic droit sur l'OU et donner la délégation)

Comptes de service



Il ne faut pas hésiter à utiliser des comptes de service. En effet, pour des tâches spécifiques, comme par exemple l'installation d'un logiciel, la connexion à un logiciel précis ou effectuer une action diverse. Bien renseigner le descriptif du compte comme vu précédemment.

Gestion des GPO



Il faut bien gérer ses GPO. on ne les placera pas à la racine du domaine mais uniquement dans l'OU concernée. C'est pourquoi il est important de bien organiser ses OU avant.

L'AD, authentification unique



Dans la mesure du possible, il faut utiliser l'AD comme authentification unique lorsque les applications le permettent.
La désactivation d'un compte AD désactive les accès par ricochet dans les autres applications utilisant l'AD comme méthode d'authentification.
Cette page a été vue 1323 fois