Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1756 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Témoignages sur la délégation d'admin. dans vos boites

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Témoignages sur la délégation d'admin. dans vos boites

n°54766
Zaib3k
Posté le 17-06-2009 à 08:04:59  profilanswer
 

Salut,
 
  En mission chez un grand compte en pleine réorganisation, je me demandais comment cela se passait dans les autres boites.
 
Pourriez-vous me dire, dans les grandes lignes, comme se passe la délégation d'administration dans vos structures ? Quels outils utilisez-vous ? Est-ce efficace ? Quelle granularité ?
 
  Je ne m'intéresse qu'aux environnements Windows.
 
Je me demande comment donner le minimum de droits requis aux différents acteurs. Comment donner les droits à un administrateur SCCM ? Comment définir un rôle "gestionnaire de quota", un rôle "gestionnaire DFS", un autre pour les impressions, un autre pour TSM, ...
 
Merci :o

mood
Publicité
Posté le 17-06-2009 à 08:04:59  profilanswer
 

n°54981
Zaib3k
Posté le 22-06-2009 à 08:21:55  profilanswer
 

up :o

n°54984
hppp
Serveur@home
Posté le 22-06-2009 à 09:05:41  profilanswer
 

windows server?

n°54985
Zaib3k
Posté le 22-06-2009 à 09:21:51  profilanswer
 

hppp a écrit :

windows server?


 
 [:bakk70]

n°55329
Zaib3k
Posté le 26-06-2009 à 13:16:23  profilanswer
 

un dernier UP :o

n°55332
LibreArbit​re
RIP mon Orion
Posté le 26-06-2009 à 16:19:55  profilanswer
 

Il existe des produits complet pour la délégation de droits, comme Quest ActiveRoles Server...
 
Bon, à la base c'est un outil de provisionning pour AD.
 
On m'avait demandé de faire une étude sur ce produit pour un client, je vais tâcher de te retrouver ça...


Message édité par LibreArbitre le 26-06-2009 à 16:21:23
n°55334
Zaib3k
Posté le 26-06-2009 à 16:23:08  profilanswer
 

J'ai entendu le nom de quest dans les couloirs :D entre autres
 
Si tu retrouves des trucs, ca m'intéresse :)

n°55520
akabis
.
Posté le 02-07-2009 à 13:32:57  profilanswer
 

Zaib3k a écrit :

Salut,
 
  En mission chez un grand compte en pleine réorganisation, je me demandais comment cela se passait dans les autres boites.
 
Pourriez-vous me dire, dans les grandes lignes, comme se passe la délégation d'administration dans vos structures ? Quels outils utilisez-vous ? Est-ce efficace ? Quelle granularité ?
 
  Je ne m'intéresse qu'aux environnements Windows.
 
Je me demande comment donner le minimum de droits requis aux différents acteurs. Comment donner les droits à un administrateur SCCM ? Comment définir un rôle "gestionnaire de quota", un rôle "gestionnaire DFS", un autre pour les impressions, un autre pour TSM, ...
 
Merci :o


 
outil> Active directory, pas besoin d'autre chose
Pour voir le niveau de granularité ou encore comment faire: http://support.microsoft.com/search/ ou http://technet.microsoft.com/fr-fr/default.aspx
Quant à savoir si c'est efficace: quand tu donnes des droits à quelqu'un ou à un groupe ça fonctionne forcement.

Message cité 1 fois
Message édité par akabis le 02-07-2009 à 13:38:10
n°57454
LibreArbit​re
RIP mon Orion
Posté le 25-08-2009 à 19:57:35  profilanswer
 

akabis a écrit :


 
outil> Active directory, pas besoin d'autre chose
Pour voir le niveau de granularité ou encore comment faire: http://support.microsoft.com/search/ ou http://technet.microsoft.com/fr-fr/default.aspx
Quant à savoir si c'est efficace: quand tu donnes des droits à quelqu'un ou à un groupe ça fonctionne forcement.


 
En tout cas, pour une grosse enreprise, c'est terrible comme outil ARS (on est 5 500 salariés)...
 
C'est surtout que tu peux donner accès à une simple console d'admin web à ceux à qui tu délègues des droits sans avoir besoi de les former sur AD.
 
La console propose des templates ultra simples pour réinitialiser des mot de passe AD, crée des comptes, les modifier, ajouter des users dans des listes de sécurités etc.
 
Après, tu peux te débrouiller avec des scripts vbs mais de là à parler d'industrialisation...


---------------
Hebergement d'images | Le topic de la VR standalone
n°57457
Je@nb
Modérateur
Kindly give dime
Posté le 25-08-2009 à 20:25:44  profilanswer
 

Le modèle d'administration dépend surtout de comment sont organisés les gens. (international, plusieurs entités bien séparés, nombre de niveau d'admin, compliance à assurer etc.).
 
Chez mon client là, 70 000 users, on va dire autant d'ordi, bcp de serveurs, 150 sites env, le modèle d'administration est industrialisé. La création, suppression d'un site se fait en VBS, se sont de vrai programmes. Après chaque site met les droits qu'il veut à divers groupes à ses gens (admin dhcp du site, admin dns, installation de serveurs, de workstations, etc.) et après chaque site gère ses groupes locaux (il peut en créer etc.). On propose un panel de services, un certain nombre de gens ont les droits pour demander des choses (inscription d'entrées dans le dns global ou le wins, reset de mdp des comptes administrateurs, mais la gestion utilisateur finale est déléguée localement). On fournit des outils et workflows (savoir depuis quel pc un compte est locké avec l'historique des locks pour un user, workflow de gestion de gpo (ajout/suppression etc) depuis une librairie préfaite) etc.

mood
Publicité
Posté le 25-08-2009 à 20:25:44  profilanswer
 

n°57461
Zaib3k
Posté le 25-08-2009 à 21:10:40  profilanswer
 

Je@nb a écrit :

Le modèle d'administration dépend surtout de comment sont organisés les gens. (international, plusieurs entités bien séparés, nombre de niveau d'admin, compliance à assurer etc.).
 
Chez mon client là, 70 000 users, on va dire autant d'ordi, bcp de serveurs, 150 sites env, le modèle d'administration est industrialisé. La création, suppression d'un site se fait en VBS, se sont de vrai programmes. Après chaque site met les droits qu'il veut à divers groupes à ses gens (admin dhcp du site, admin dns, installation de serveurs, de workstations, etc.) et après chaque site gère ses groupes locaux (il peut en créer etc.). On propose un panel de services, un certain nombre de gens ont les droits pour demander des choses (inscription d'entrées dans le dns global ou le wins, reset de mdp des comptes administrateurs, mais la gestion utilisateur finale est déléguée localement). On fournit des outils et workflows (savoir depuis quel pc un compte est locké avec l'historique des locks pour un user, workflow de gestion de gpo (ajout/suppression etc) depuis une librairie préfaite) etc.


 
Ca a dû être un sacré boulot en amont. Il y a des gens dédiés à la maintenance de tout ça ? Ca se base sur un/des groupes à hauts privilèges ou c'est des comptes aux droits hypers fins selon les docs des éditeurs ?
 
chez mon client actuel, c'est 100 000 utilisateurs environ, échelle nationale, et des centaines des serveurs répartis sur des 10aines ou centaines de sites. L'organisation est merdique et le management est "spécial". J'attends de voir ce qu'on va nous pondre :D

n°57462
Je@nb
Modérateur
Kindly give dime
Posté le 25-08-2009 à 21:21:46  profilanswer
 

Oui il y a du boulot :D
C'est ma boite qui avait fait le design/architecture à l'époque, maintenant ça vit pas mal. Et moi je suis en mission chez eux 7 ans après pour nettoyer les restes des différentes migrations/merge de boites etc.
 
En gros là dans l'équipe AD, on est < 10, on a les droits DA et les internes ont en plus les droits EA. Les sites sont nos clients (SLA and co :o). Chaque site a un groupe "Site Administrators" qui eux gère les différents groupes locaux (dont les exemples ci-dessus). Ces groupes sont créés par notre modèle de délégation avec des permissions prédéfinies sur AD, DNS, l'outil d'installation de serveurs et workstations (solution custom basé sur SMS 2003 à l'époque en cours de migration sur SCCM 2007 R2) etc.
La plupart des outils sont dev en interne meme si ça tend à se standardiser.
 
Mais sinon oui c'est assez fin les droits :)

n°68430
LibreArbit​re
RIP mon Orion
Posté le 09-06-2010 à 13:05:07  profilanswer
 

Up tardif pour savoir ce que tu as mis en oeuvre finalement, if possible ;)


---------------
Hebergement d'images | Le topic de la VR standalone
n°68431
Zaib3k
Posté le 09-06-2010 à 13:07:10  profilanswer
 

UMRA ici, et il y a du taf ...
 
Le principe me gène. L'outil est admin du domaine et les délégations sont gérés dans l'outil.
C'est nul mais je ne suis qu'utilisateur sur ce coup.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Témoignages sur la délégation d'admin. dans vos boites

 

Sujets relatifs
Vraiment aucune solution pour installer 1 imprimante sans être admin ?Exchange 2007 : limiter l'envoi d'une boîte vers certaines boîtes
Droit et boites aux lettresDectecter les comptes membre du groupe admin local sur un domaine...
Mot de passe Admin local visibleRecherche témoignages et avis sur Time Navigator
[exchange 2003] groupes de sécurité et boites aux lettres partagéesAjouter auto un utilisateur du domaine en admin d'un client XP
Les admin HPUX et SANModification password admin windows 2003
Plus de sujets relatifs à : Témoignages sur la délégation d'admin. dans vos boites


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR