Bonjour à tous,
Je suis chargé dans mon entreprise d'installer 2 serveurs AD (un étant "principal" et le second "de secoure" ) pour passer l'ensemble du parc informatique (environ une centaine d'utilisateur) dans un environnement en domaine. Les serveurs n'auront en charge seulement les services de DHCP, ADDS et DNS. Le tout sera répliqué entre les 2 serveurs et le DHCP fonctionnera en failover.
J'ai avancé sur de nombreux points, je commence à avoir une vision du projet dans son ensemble (installation, organisation, migration...) mais quelques questions subsistent sur l'organisation de mes utilisateurs et groupes. Petite information supplémentaire, je vais partir sur une organisation de l'AD mono-forêt, mono-domaine et mono-site (donc la plus simple des configurations) et il n'y a pas de grands changements prévus à venir pour l'entreprise qui bousculerait cette organisation. Je précise également que c'est la première fois que je dois installé un AD dans son ensemble.
Sur une architecture de tests virtualisées, j'ai créé quelques utilisateurs dont les attributs ont été normés. Ils se connecteront sous la forme prenom.nom@entreprise.com (@entreprise.com déclaré comme UPN supplémentaire au domaine entreprise.lan pour leur faire croire qu'ils utilisent leur adresse e-mail pour se connecter).
Dans la base, mes utilisateurs s'affichent comme ceci : Prénom INITIALES. NOM
Je vais respecter l'organisation préconisée par Microsoft, c'est à dire sa méthode UGLP (mais je crois qu'il y en a sous d'autres formes encore).
J'ai pensé normer mes objets de la manière suivante :
- Mes groupes globaux commenceront par la lettre G_
- Mes groupes domaine local commenceront par les lettres DL_
- Mes groupes universels (pas prévus pour l'instant) par la lettre U_
Concernant les groupes globaux, je pensais les découper ainsi :
- G_Service_Ville_Etablissement (ce seront mes groupes de plus bas niveau, ceux dans lequel je placerais les utilisateurs).
Exemple : G_Marketing_Paris_Bureau, G_Marketing_Grenoble_Siege, G_Informatique_Grenoble_Siege
- Ces groupes là seront placés dans des groupes globaux par service :
Exemple : G_Marketing (contenant G_Marketing_Paris_Bureau, G_Marketing_Grenoble_Siege), G_Informatique (contenant G_Informatique_Grenoble_Siege)
- Mais aussi par site :
Exemple : G_Paris (contenant G_Marketing_Paris_Bureau), G_Grenoble (contenant G_Marketing_Grenoble_Siege, G_Informatique_Grenoble_Siege).
Ces groupes globaux seront intégrés dans les groupes domaine local pour gérer l'accès aux ressources et leurs droits.
- DL_E_Informatique_LE (sera positionné sur le dossier Equipes\Informatique avec le droit de Lecture/Ecriture) et contiendra G_Informatique.
Et ainsi de suite pour chaque service de l'entreprise.
- DL_Imp_HP3035_Imprimer (sera positionné sur l'imprimante nommé HP3035 avec le droit d'imprimer) et contiendra G_Grenoble.
Pensez-vous que ce sont de bonnes pratiques ? Est-ce que vous aussi vous découpez autant vos groupes d'utilisateurs ? Est-ce que vous donnez des initiales pour vous y retrouver ou ce n'est pas la peine ? Est-ce que les groupes globaux doivent simplement servir à un découpage "logique" (par service) des utilisateurs et ensuite ce seront les OU qui pourront m'aider au découpage "physique" (par établissement) pour l'accès aux imprimantes par exemple ?
Je suis bien conscient que chaque organisation d'AD est propre à l'entreprise cliente et je m'excuse du particularise de mes questions si c'est le cas. J'ai essayé de trouver quelques exemples d'organisation pour me donner des pistes à explorer ou des idées de mises en place mais ce fut très maigre.
Je suis preneur de toutes remarques ou conseils
Je reviendrais expliquer mon organisation finale et son usage au quotidien quand tout ceci sera fonctionnel.
Merci par avance.
Bonne journée !
Message édité par tech_support le 17-11-2014 à 11:49:25