Salut à tous,
 
Voici un petit cas pratique qui s'offre à moi.
J'ai une centaine de Pcs repartit sur plusieurs sous réseaux.
Sur mon AD, j'ai la liste complète des PCs qui sont sur mon domaine.
Ce que je voudrais c'est que quand un PC tente de se connecter à un autre sous réseau, il ne puisse pas le faire.
 
Je voulais donc avoir vos avis éclairés sur les possibilités qui s'offrent à moi.
 
J'ai pensé à tout d'abord répertorier les Pcs d'un sous réseau en un groupe d'ordinateur, pour que je puisse avoir une hiérarchisation des PCs en sous réseaux.  
Sous réseaux 1 = groupe 1 =  PC1/PC2/PC3
Sous réseaux 2 = groupe 2 = PC4/PC5/PC6
......
Par contre je ne sais pas si il est possible d'attribuer une plage de sous réseau à un groupe
groupe 1 = 192.168.1.10
groupe 2 = 192.168.2.10
 
Ce schéma est t'il réalisable avec WS2088 ou c'est utopique ?
 
Merci de votre aide

Ptite précision, tu veux empêcher un PC de prendre une IP dans un réseau ou bien l'empêcher d'accéder à des ressources de ce réseau depuis le sien ?

Merci de m'avoir lu.
Qu'il ne puisse avoir aucun accès aux ressources du domaines. Faudrait que l'admin system, le bascule dans le bon groupe en gros.
Enfin qu'il ne puisse pas d'avoir d'adresse Ip serait radical aussi.

Ce que tu veux c'est faire du Network Access Control donc.
Tu as quoi comme matériel pour le réseau ?

 
Le réseau est déjà en place.
Dans mon AD, j'ai la liste totale des PCs qui sont en place.
Et j'ai déjà réalisé la segmentation des sous réseaux avec l'adressage IP.
 
Oui je me suis également tourné vers cette voie, et je bouquine sur le NPS actuellement...

Si tu veux interdire l'accès à ton réseau ou des parties de ton réseau selon le poste, il faut implémenter des VLAN, et utiliser des ACL sur tes switchs pour limiter les interactions entre les différents VLAN.
Pour l'attribution des postes aux VLAN, un soft genre VMPS ferait l'affaire.

 
Les accès list fonctionnent principalement dans un schéma statique non ?
 
Si par exemple j'ai un sous réseau à Paris et un autre sous réseau à Marseille.
Et par exemple avec mon PC portable qui est normalement sur Paris, je veux me connecter au domaine quand je suis à Marseille. Il faudrait que l'AD me bloque.
C'est possible avec les ACLs ?

C'est statique oui, mais le port sur lequel tu branches ton PC obtient son VLAN dynamiquement via le serveur VMPS.
Par contre t'avais mentionné une centaine de machines j'imaginais pas plusieurs sites géographiques, c'est plus compliqué.

 
Oui désolé pour l'oubli.
C'est une architecture assez complexe.
C'est pour ca que je voulais savoir si c'était possible de gérer tout depuis l'Active Directory.

Maintenant tu veux bloquer les accès d'un site à un autre mais si tout le monde est dans le même domaine il faudra bien qu'ils communiquent quand même tes PC pour les GPO etc...

Ce serait plus simple de gérer cela avec un firewall en entrée de chacun de tes sites.

C'est pas faux...

Le but final, étant de ne pas autoriser un PC à se connecter au domaine depuis un site qui n'est pas le sien.
Dans ma configuration actuelle avec mon PC je peux me connecter à n'importe quel site, j'aurais une adresse automatique via le DHCP.
Je ne sais pas si l'objectif est clair ?

Ouais si je vois.
Tu veux que les sites communiquent sans pb du moment que t'es sur un PC de ce site. Si le PC bouge de site, blackout.
Pour ça je vois qu'une option : sur chaque site, un soft de Network Access Control pour autoriser une liste d'adresses MAC à se connecter aux switchs réseau.

 
Voila tout à fait.
Merci, c'est une option, le soft est à installer où ?
 
Donc tu pense qu'au niveau de l'AD c'est pas gérable ?

Je ne sais pas comment le faire dans l'AD en tout cas si ça existe.
Pour le NAC, c'était le but de ma question : Tu as quoi comme matériel pour le réseau ?
Il faut du matos qui accepte le VMPS (typiquement Cisco car c'est d'eux il me semble, mais il peut y en avoir d'autres).
http://www.freenac.net/fr par exemple (d'autres là http://en.wikipedia.org/wiki/VLAN_ [...] icy_Server )