[Active Directory] Questions aux admins AD...

Questions aux admins AD... [Active Directory] - Win NT/2K/XP - Windows & Software

Marsh Posté le 04-06-2003 à 14:58:50    

Je suis un peu newbie sur AD (Win 2k), et je dois me former rapidos pour faire des manips correctes  [:totoz] ...
 
Alors j'ai quelques questions:
- est il possible de faire rentrer une forêt dans une autre forêt, ou plus précisément, transformer une forêt en un domaine dans une autre forêt, sans réinstaller le DC ?
- quels utilitaires vous utilisez pour l'administration ? (j'ai un peu tâté ADSI Edit, les autres ont l'air d'être plutôt des interfaces pour entrer des commandes LDAP :/)
- J'ai une OU "Domain controllers" et un container "Computers" dans un domaine, est ce que si je déplace un objet du container "Computers" dans "Domain Controller" il devient DC ? Et si je lance DCpromo sur un objet "Computer" il passera tout seul dans la catégorie "Domain Controllers" ?
- Au lieu d'avoir tous les serveurs dans un domaine, j'aurais bien aimé avoir des containers différents "serveurs web", "serveur dns", etc...J'ai créé des OU "TestWeb", "TestDNS", etc...et déplacé les objets existants qui étaient dans "Computers" dans ces différents containers. Y'a t il d'autres modifs à faire (peut être les suffixes DNS s'ils ne sont pas automatiques ?!?)
 
 
Je débute, alors j'ai peut être fait pas mal de boulettes  :sweat:

Reply

Marsh Posté le 04-06-2003 à 14:58:50   

Reply

Marsh Posté le 04-06-2003 à 15:10:35    

Arf, je viens de lire des docs sur Technet, et l'OU "Domain Controllers" n'existe pas par défaut apparemment donc ca répond à une de mes questions... :/

Reply

Marsh Posté le 04-06-2003 à 15:11:33    

Citation :

J'ai une OU "Domain controllers" et un container "Computers" dans un domaine, est ce que si je déplace un objet du container "Computers" dans "Domain Controller" il devient DC ?


 
Absolument pas
 
 

Citation :

Et si je lance DCpromo sur un objet "Computer" il passera tout seul dans la catégorie "Domain Controllers" ?


 
Oui à la condition que ce soit un windows serveur ( NT4 2000 ou XP )
 
 

Citation :

Au lieu d'avoir tous les serveurs dans un domaine, j'aurais bien aimé avoir des containers différents "serveurs web", "serveur dns", etc...J'ai créé des OU "TestWeb", "TestDNS", etc...et déplacé les objets existants qui étaient dans "Computers" dans ces différents containers. Y'a t il d'autres modifs à faire (peut être les suffixes DNS s'ils ne sont pas automatiques ?!?)


 
Avec cette manip, tes serveurs seront toujours dans le même domaine initial
 

Reply

Marsh Posté le 04-06-2003 à 15:14:33    

Merci pour tes réponses. Tu as une idée pour les deux premières questions ? :??:

Reply

Marsh Posté le 04-06-2003 à 15:15:28    

From Hell a écrit :

Avec cette manip, tes serveurs seront toujours dans le même domaine initial
 


 
OK, donc les OU ne rentrent pas en compte dans le nom DNS...c'est bon à savoir.

Reply

Marsh Posté le 04-06-2003 à 15:30:01    

Citation :

est il possible de faire rentrer une forêt dans une autre forêt, ou plus précisément, transformer une forêt en un domaine dans une autre forêt, sans réinstaller le DC ?


 
Je suis pas sûr, mais je dirai que c'est pas possible...
Par contre tu peux voir au niveau des relations d'approbations ( bidirectionnelles  :??: ) pour ce qui est de faire communiquer 2 domaines entre eux.

Reply

Marsh Posté le 04-06-2003 à 15:47:11    

Tiens, autre question:
Est ce qu'on peut faire en sorte qu'one OU ne puisse pas communiquer avec une autre, genre Cust1 ne puisse pas voir Cust2 dans un même domaine ?!?

Reply

Marsh Posté le 04-06-2003 à 15:58:24    

Je crois que tu n'as pas bien cerné le principe de l'OU dans Active Directory:
 
C'est un peu comme un répertoire NTFS, tu classes des fichiers dedans et tu donnes des permissions.
 
Sauf qu'une OU, tu y mets des comptes utilisateurs, des comptes machines, et ensuite tu peux affecter dessus des GPO pour par exemple limiter des accès, effectuer des opérations spécifiques...
 

Reply

Marsh Posté le 04-06-2003 à 16:22:13    

From Hell a écrit :

Citation :

est il possible de faire rentrer une forêt dans une autre forêt, ou plus précisément, transformer une forêt en un domaine dans une autre forêt, sans réinstaller le DC ?


 
Je suis pas sûr, mais je dirai que c'est pas possible...


 
C'est effectivement impossible.
 

Citation :

Par contre tu peux voir au niveau des relations d'approbations ( bidirectionnelles  :??: ) pour ce qui est de faire communiquer 2 domaines entre eux.


 
Des relations d'approbation bidirectionnelles et transitives sont mises en place automatiquement entre les differents domaines et arborescence d'une meme foret.
Entre 2 foret ce genre de chose n'est par contre possible qu'avec le nouveau windows 2003 server, avec 2000 faut se taper a la main toutes les relations d'approbation entres les domaines souhaités a la main.
 
 
 

Reply

Marsh Posté le 04-06-2003 à 16:40:51    

From Hell a écrit :

Je crois que tu n'as pas bien cerné le principe de l'OU dans Active Directory:
 
C'est un peu comme un répertoire NTFS, tu classes des fichiers dedans et tu donnes des permissions.
 
Sauf qu'une OU, tu y mets des comptes utilisateurs, des comptes machines, et ensuite tu peux affecter dessus des GPO pour par exemple limiter des accès, effectuer des opérations spécifiques...
 


 
Hum, OK...   :)
 
Et les containers, c'est quoi par rapport aux OUs ?
 
Pour le truc de l'OU qui ne voit pas les autres, je peux plutot créer des utilisateurs spécifiques a qui je donnerai ou non les droits d'aller dans un OU ou non...

Reply

Marsh Posté le 04-06-2003 à 16:40:51   

Reply

Marsh Posté le 04-06-2003 à 16:55:09    

From Hell a écrit :

Citation :

est il possible de faire rentrer une forêt dans une autre forêt, ou plus précisément, transformer une forêt en un domaine dans une autre forêt, sans réinstaller le DC ?


 
Je suis pas sûr, mais je dirai que c'est pas possible...
Par contre tu peux voir au niveau des relations d'approbations ( bidirectionnelles  :??: ) pour ce qui est de faire communiquer 2 domaines entre eux.


 
Je confirme.
On ne peut incorporer une foret dans une autre, tu dois casser et refaire celle qui doit être incorporée...
 
Pour les relations d'approbation, ça ne marche qu'entre domaine de forets différentes, apparemment. Bidirectionnelles oui, mais pas transitives.
W2003 Server permet les relations bidirectionnelles ET transitives, et donc une relation sur les domaines principaux des 2 forets, et tous les domaines s'approuvent (bonjour le trafic et l'attente, toutefois)
 
Pourquoi utiliser ADSI Edit ? C'est pas du tout conseillé !
Tu as les outils standards d'administration qui permettent déjà de faire (et de casser :/) beaucoup de choses.
Un conseil : contente toi de ceux là, quand tu voudras faire des choses beaucoup plus ompliquées, tu chercheras ailleurs.
 
 
OU et suffixes DNS : Rien à voir.
Les OU sont des tiroirs, sur lesquels tu poseras des verrous ou des panneaux d'indication. Tu n'es pas obligé de le faire, tu peux aussi bien poser des GPO (les verrous et panneaux d'indication) sur un domaine.
 
Doamin controllers et Computers sont TOUJOURS présent par défaut, AD place un nouveau DC dans domain Controllers, et un nouveau membre dansd Computers.
 
Tu peux constater que ces deux OU ont des icones différentes des OU que tu crées : c'est normal, ces 2 OU ne sont pas exactement considérés comme des OU, il existe des limitations sur ce que tu peux leur attribuer.
 
EDIT : Grillé par el Pollo sur certaines questions....de plus d'une demi-heure !  :cry: j'ai hooooonte... :sweat:


Message édité par pupoul le 04-06-2003 à 17:00:09
Reply

Marsh Posté le 04-06-2003 à 17:07:50    

OK, merci, c'est bien plus clair maintenant...
 
AD, c'est donc un énorme annuaire qui gére des objets et des utilisateurs, et les droits de ces utilisateurs sur ces objets.
 
En revanche, je ne peux pas limiter les droits d'une machine A pour par exemple l'empêcher de communiquer avec la machine B. Ce que je peux faire, c'est ne pas autoriser les utilisateurs qui se connectent à la machine A d'accéder à la machine B.
 
C'est bien ça ?
 
Pupoul, quels sont les outils standards dont tu parles ? Ceux dans les outils d'administration (ou que l'on rajoute en snap-in à la MMC) ?
 
 

Reply

Marsh Posté le 04-06-2003 à 17:12:32    

Les snap-in sauveront ta vie de jeune administrateur, mon fils ;)
 
Pour tes tentatives de blocage :
 
Tu peux empécher une machine ou des utilisateurs de voir des partages, mais c'est dans le partage (et surtout les permissions de sécurtié) que tu définiras ces restrictions (généralement, sur des OU :lol: )
 
Par contre, empécher une machine de voir une autre machine....là je vois pas comment faire ni ou est l'intérêt ?
 
 

Reply

Marsh Posté le 04-06-2003 à 17:15:41    

pour empêcher un utilisateur d'une machine d'accéder à ue autre machine -> une bonne gestion des droits ntfs.
 
Pour empêcher une machine de voir une autre machine, je vois pas trop la solution, à part les mettre dans des domaines différents  [:ogmios]

Reply

Marsh Posté le 04-06-2003 à 17:18:14    

Tu vires l'acces aux favoris reseaux & co et tu ne laisse que des lecteurs reseaux pointant sur les données dont l'utilisateur a reelemennt besoin, comme ca y'a meme pas de tentation ;)

Reply

Marsh Posté le 04-06-2003 à 17:34:44    

En fait, je bidouille depuis longtemps dans la MMC, mais plutôt pour l'admin des workstations, la je passe aux serveurs  :wahoo:  
 
J'avais regardé le snap-in, mais il ne paraissait pas super complet en fait :??: , alors j'ai zappé...je vais y retourner.
 
Pour empêcher une machine de voir une autre, c'est plutôt dans le style j'ai une machine chez un client qui voit le domaine du contrôleur de forêt (logique). Mais du coup, elle voit toutes les machines de ce domaine, ce que je ne veux pas. Alors plutôt que de créer un domaine spécifique pour les contrôleurs de domaine (et les serveurs DNS), et un autre domaine pour les autres serveurs, je m'étais dit que je pouvais mettre les serveurs du client dans une OU (ou un container, je ne sais pas trop la différence entre les deux), et ne permettre au serveur chez le client de ne voir que les contrôleurs de domaine et les serveurs DNS.
 
Va falloir que je revois tout ca avec ce que vous venez de dire pour trouver une solution (les domaines sont déjà installés comme ca, d'où mon pb).
 
C'est possible d'"insérer" un domaine entre la forêt et le domaine considéré comme root (i.e. qui est pour l'instant le même que la forêt) ?

Reply

Marsh Posté le 04-06-2003 à 17:39:25    

Citation :

C'est possible d'"insérer" un domaine entre la forêt et le domaine considéré comme root (i.e. qui est pour l'instant le même que la forêt) ?


 
J'ai mal à la tête !

Reply

Marsh Posté le 04-06-2003 à 17:45:49    

From Hell a écrit :

Citation :

C'est possible d'"insérer" un domaine entre la forêt et le domaine considéré comme root (i.e. qui est pour l'instant le même que la forêt) ?


 
J'ai mal à la tête !


 
Pour faire clair:
 
Actuellement:
 

Forêt
  |
Domaine A (avec contrôleurs de forêt et d'autres serveurs)
  |
Domaine client


 
But:
 

Forêt
  |
Domaine "root" (avec uniquement les contrôleurs de forêt et DNS)
  |                             |
Domaine avec autres serveurs    |
                                |
                          Domaine client


 
 
C'est plus clair ?  [:toukc]

Reply

Marsh Posté le 05-06-2003 à 10:27:42    

Bin oui, c'est possible, c'est meme un peu le seul moyen d'avoir qq chose qui ressemble à une foret stylisée non ? ;)
 
Sinon, ça ressemblerait plutot à une droite :)
 
 

Reply

Marsh Posté le 05-06-2003 à 10:37:32    

OK, c'est donc possible de passer de la version actuelle à la version cible sans réinstaller tous les contrôleurs ?
 
Comment on fait pour modifier l'arborescence AD ?
 

Reply

Marsh Posté le 05-06-2003 à 10:45:39    

Pas si vite, ton schema est pas tres clair : tu as des serveurs actuellement dans le domaine parent, et tu souhaites creer un nouveau domaine enfant avec ces serveurs la c'est ca ?

Reply

Marsh Posté le 05-06-2003 à 11:06:26    

Pour moi c'est pas possible.
Il peut rajouter un nouveau domaine dans une forêt existante, mais il ne peut en aucun cas mettre un domaine déjà existant dans une forêt existante elle aussi.

Reply

Marsh Posté le 05-06-2003 à 11:10:37    

El Pollo Diablo a écrit :

Pas si vite, ton schema est pas tres clair : tu as des serveurs actuellement dans le domaine parent, et tu souhaites creer un nouveau domaine enfant avec ces serveurs la c'est ca ?


 
C'est tout a fait ca. Le contrôleur de forêt et d'autres serveurs web (pour simplifier) sont dans la forêt parente, et je voudrais ne laisser dans la forêt parent que les contrôleurs de forêt et les DNS, et créer un nouveau domaine enfant de ce domaine, "parallèle" à l'autre domaine déjà existant contenant d'autres serveurs Web (ca me parait plus propre comme ca).

Reply

Marsh Posté le 05-06-2003 à 11:14:27    

From Hell a écrit :

Pour moi c'est pas possible.
Il peut rajouter un nouveau domaine dans une forêt existante, mais il ne peut en aucun cas mettre un domaine déjà existant dans une forêt existante elle aussi.


 
OK

Reply

Marsh Posté le 05-06-2003 à 11:16:45    

Attention quand meme a la multiplication des domaines inutiles, a moins d'avoir une raison précise (cloisonement de securité, sites differents) faut mieux eviter, ca apporte du boulot en plus c'est tout.
Donc oui c'est possible ce que tu veux faire : sur un des serveurs en question lance un dcpromo, et pendant l'assistant tu lui precise que c'est un nouveau domaine dans une foret et une arborescence deja existente.

Reply

Marsh Posté le 05-06-2003 à 11:22:04    

El Pollo Diablo a écrit :

Donc oui c'est possible ce que tu veux faire : sur un des serveurs en question lance un dcpromo, et pendant l'assistant tu lui precise que c'est un nouveau domaine dans une foret et une arborescence deja existente.


 
C'est vrai c'est possible, mais comme sartene le dit moi je comprends que ses serveurs sont déjà en place dans un domaine et qu'il ne veut pas les sortir:
 

Citation :

Va falloir que je revois tout ca avec ce que vous venez de dire pour trouver une solution (les domaines sont déjà installés comme ca, d'où mon pb).

Reply

Marsh Posté le 05-06-2003 à 11:32:52    

From Hell a écrit :


 
C'est vrai c'est possible, mais comme sartene le dit moi je comprends que ses serveurs sont déjà en place dans un domaine et qu'il ne veut pas les sortir:
 

Citation :

Va falloir que je revois tout ca avec ce que vous venez de dire pour trouver une solution (les domaines sont déjà installés comme ca, d'où mon pb).




 
Ben si justement il veux les sortir pour les mettre dans un sous-domaine.
Qu'il soit deja dans un autre domaine c'est pas vraiment un probleme : s'ils sont serveur membre faut juste modifier le domaine auxquels ils appartiennent, s'ils sont DC ben faut faire un dcpromo pour les descendre en serveur membre, et un 2eme pour les remonter en serveur membre du nouveau domaine.

Reply

Marsh Posté le 05-06-2003 à 14:30:13    

El Pollo Diablo a écrit :


 
Ben si justement il veux les sortir pour les mettre dans un sous-domaine.
Qu'il soit deja dans un autre domaine c'est pas vraiment un probleme : s'ils sont serveur membre faut juste modifier le domaine auxquels ils appartiennent, s'ils sont DC ben faut faire un dcpromo pour les descendre en serveur membre, et un 2eme pour les remonter en serveur membre du nouveau domaine.


 
Ca c'est interessant, c'est tout a fait ce que je veux faire...  [:meganne]
 
Pour clarifier, oui je veux sortir des PCs du domaine dans lequel ils sont actuellement parce que je pense que c'est plus simple pour l'administration. Mais je peux me tromper.
 
Ce que je veux faire, c'est empêcher certaines machines de dialoguer avec d'autres qui sont pour l'instant dans le domaine des contrôleurs de forêt. S'il y a d'autres solutions pour faire ca, je suis preneur !
 
Dites moi, n'importe quel serveur peut faire un dcpromo ou il faut etre administrateur du domaine pour le lancer ?

Reply

Marsh Posté le 05-06-2003 à 14:39:55    

sartene a écrit :


 
Ca c'est interessant, c'est tout a fait ce que je veux faire...  [:meganne]


 
Ils sont controlleurs de domaine  ou pas les serveurs que tu veux bouger ?
 

Citation :

Pour clarifier, oui je veux sortir des PCs du domaine dans lequel ils sont actuellement parce que je pense que c'est plus simple pour l'administration. Mais je peux me tromper.


 
Ca ne va pas simplifier du tout ton administration, au contraire, bcp de taches vont du coup etre a faire en double.
 

Citation :

Ce que je veux faire, c'est empêcher certaines machines de dialoguer avec d'autres qui sont pour l'instant dans le domaine des contrôleurs de forêt. S'il y a d'autres solutions pour faire ca, je suis preneur !


 
Le fait que les machines soient dans 2 domaines differents n'a rien a voir avec le fait qu'elles puissent "dialoguer" ou non. L'AD ne joue pas du tout a ce niveau la, ca ca se gere au niveau des droits d'acces de partage et NTFS de chaque PC et serveur.
 

Citation :

Dites moi, n'importe quel serveur peut faire un dcpromo ou il faut etre administrateur du domaine pour le lancer ?


 
Ce n'est pas ton serveur qui lance le dcpromo, mais l'utilisateur qui y est connecté, c'est pas la meme chose.
Si c'est pour rajouter un controlleur dans un domaine existant, il suffit d'etre administrateur du domaine, par contre si le dcpromo va servir aussi a creer un nouveau domaine dans un foret existante, il faut etre membre du groupe administrateur de l'entreprise.

Reply

Marsh Posté le 05-06-2003 à 14:50:32    

El Pollo Diablo a écrit :

Citation :

Ils sont controlleurs de domaine  ou pas les serveurs que tu veux bouger ?



 
Non, mais il y en a qui le deviendraient.
 

Citation :

Ca ne va pas simplifier du tout ton administration, au contraire, bcp de taches vont du coup etre a faire en double.


 
Arf...Bon, je vais rien casser du tout alors...  :sweat:  
 

Citation :

Le fait que les machines soient dans 2 domaines differents n'a rien a voir avec le fait qu'elles puissent "dialoguer" ou non. L'AD ne joue pas du tout a ce niveau la, ca ca se gere au niveau des droits d'acces de partage et NTFS de chaque PC et serveur.


 
Le truc que j'aurais voulu, c'est filtrer complètement les flux entre certaines machines et d'autres...mais bon, ca n'est apparemment pas le boulot d'AD, comme je le pensais. Va falloir que j'installe un Firewall entre les différentes zones alors, tant pis...
 

Citation :

Ce n'est pas ton serveur qui lance le dcpromo, mais l'utilisateur qui y est connecté, c'est pas la meme chose.
Si c'est pour rajouter un controlleur dans un domaine existant, il suffit d'etre administrateur du domaine, par contre si le dcpromo va servir aussi a creer un nouveau domaine dans un foret existante, il faut etre membre du groupe administrateur de l'entreprise.


 
Effectivement, ma question était plutôt:
Dites moi, n'importe quel utilisateur sur n'importe quel serveur peut faire un dcpromo ou il faut etre administrateur du domaine pour le lancer ?  
 
Désolé d'être neuneu, mais je trouve pas ça hyper simple AD  :pt1cable:  [:toukc]


Message édité par Sartene le 05-06-2003 à 14:51:47
Reply

Marsh Posté le 05-06-2003 à 14:58:21    

Arf, encore une question :sweat: :
 
Les répercussions d'une modification sur l'AD dans une contrôleur de forêt sont mises à jour quand sur les contrôleurs de domaine ?  
 
Il y a un moyen de forcer une mise à jour de tout le monde en dessous des contrôleurs de forêt ?
 
Edit:
 
Je sais quand même comment forcer la réplication sur un serveur via la mmc en cliquant droit sur NTDS, mais pour tous les serveurs, pas trouvé...


Message édité par Sartene le 05-06-2003 à 15:22:35
Reply

Marsh Posté le 06-06-2003 à 10:51:26    

Lorsqu'une modification de structure de l'AD est faite (uniquementsur le maitre de schéma), une réplication urgente est lancée ==> immédiatement.
 
Pour tous les serveurs, forcément, mais en utilisant les routes de réplication (construites par Ad en automatique, ou défini par un admin au départ). donc tous les serveurs seront mis à jur dans la fôret, puique la structure de l'AD est identique dans toute la forêt, mais avec un petit décalage, inhérent au principe meme de réplication et de transit des informations.
 
S'il s'agit uniquement d'une modification des informations contenues dans l'AD, la réplication sera standard (par défaut toutes les 30 minutes je crois, mais j'en suis pas sûr...).
 
Maintenant, la création d'un domaine ou l'ajout d'un champ dans ADest une modif de structure, l'ajout d'un controleur dans un domaine ne l'est pas, mais cela impose de reformer les route de réplication, et donc déclenche une réplication urgente.
 
A noter : un changement de mot de passe utilisateur n'est fait que sur le controleur ayant le role PDC (même si tu le fais d'un autre controleur), et celui ci déclenche une réplication urgente.
 
Si tu forces une réplication, tu le fais entre les 2 serveurs reliées par la route que tu voies dans l'interface (là, je suis pas clair ,je sais, mais j'ai pas d'AD sous la main...chierie de boulot !)

Reply

Marsh Posté le 10-06-2003 à 12:16:03    

Merci à tous je vais essayer de me débrouiller tout seul maintenant, je reviendrai quand j'aurai des questions intelligentes  :wahoo: ...
 
 :jap:  :jap:

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed