Témoignages sur la délégation d'admin. dans vos boites - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 26-06-2009 à 16:19:55
Il existe des produits complet pour la délégation de droits, comme Quest ActiveRoles Server...
Bon, à la base c'est un outil de provisionning pour AD.
On m'avait demandé de faire une étude sur ce produit pour un client, je vais tâcher de te retrouver ça...
Marsh Posté le 26-06-2009 à 16:23:08
J'ai entendu le nom de quest dans les couloirs entre autres
Si tu retrouves des trucs, ca m'intéresse
Marsh Posté le 02-07-2009 à 13:32:57
Zaib3k a écrit : Salut, |
outil> Active directory, pas besoin d'autre chose
Pour voir le niveau de granularité ou encore comment faire: http://support.microsoft.com/search/ ou http://technet.microsoft.com/fr-fr/default.aspx
Quant à savoir si c'est efficace: quand tu donnes des droits à quelqu'un ou à un groupe ça fonctionne forcement.
Marsh Posté le 25-08-2009 à 19:57:35
akabis a écrit : |
En tout cas, pour une grosse enreprise, c'est terrible comme outil ARS (on est 5 500 salariés)...
C'est surtout que tu peux donner accès à une simple console d'admin web à ceux à qui tu délègues des droits sans avoir besoi de les former sur AD.
La console propose des templates ultra simples pour réinitialiser des mot de passe AD, crée des comptes, les modifier, ajouter des users dans des listes de sécurités etc.
Après, tu peux te débrouiller avec des scripts vbs mais de là à parler d'industrialisation...
Marsh Posté le 25-08-2009 à 20:25:44
Le modèle d'administration dépend surtout de comment sont organisés les gens. (international, plusieurs entités bien séparés, nombre de niveau d'admin, compliance à assurer etc.).
Chez mon client là, 70 000 users, on va dire autant d'ordi, bcp de serveurs, 150 sites env, le modèle d'administration est industrialisé. La création, suppression d'un site se fait en VBS, se sont de vrai programmes. Après chaque site met les droits qu'il veut à divers groupes à ses gens (admin dhcp du site, admin dns, installation de serveurs, de workstations, etc.) et après chaque site gère ses groupes locaux (il peut en créer etc.). On propose un panel de services, un certain nombre de gens ont les droits pour demander des choses (inscription d'entrées dans le dns global ou le wins, reset de mdp des comptes administrateurs, mais la gestion utilisateur finale est déléguée localement). On fournit des outils et workflows (savoir depuis quel pc un compte est locké avec l'historique des locks pour un user, workflow de gestion de gpo (ajout/suppression etc) depuis une librairie préfaite) etc.
Marsh Posté le 25-08-2009 à 21:10:40
Je@nb a écrit : Le modèle d'administration dépend surtout de comment sont organisés les gens. (international, plusieurs entités bien séparés, nombre de niveau d'admin, compliance à assurer etc.). |
Ca a dû être un sacré boulot en amont. Il y a des gens dédiés à la maintenance de tout ça ? Ca se base sur un/des groupes à hauts privilèges ou c'est des comptes aux droits hypers fins selon les docs des éditeurs ?
chez mon client actuel, c'est 100 000 utilisateurs environ, échelle nationale, et des centaines des serveurs répartis sur des 10aines ou centaines de sites. L'organisation est merdique et le management est "spécial". J'attends de voir ce qu'on va nous pondre
Marsh Posté le 25-08-2009 à 21:21:46
Oui il y a du boulot
C'est ma boite qui avait fait le design/architecture à l'époque, maintenant ça vit pas mal. Et moi je suis en mission chez eux 7 ans après pour nettoyer les restes des différentes migrations/merge de boites etc.
En gros là dans l'équipe AD, on est < 10, on a les droits DA et les internes ont en plus les droits EA. Les sites sont nos clients (SLA and co ). Chaque site a un groupe "Site Administrators" qui eux gère les différents groupes locaux (dont les exemples ci-dessus). Ces groupes sont créés par notre modèle de délégation avec des permissions prédéfinies sur AD, DNS, l'outil d'installation de serveurs et workstations (solution custom basé sur SMS 2003 à l'époque en cours de migration sur SCCM 2007 R2) etc.
La plupart des outils sont dev en interne meme si ça tend à se standardiser.
Mais sinon oui c'est assez fin les droits
Marsh Posté le 09-06-2010 à 13:05:07
Up tardif pour savoir ce que tu as mis en oeuvre finalement, if possible
Marsh Posté le 09-06-2010 à 13:07:10
UMRA ici, et il y a du taf ...
Le principe me gène. L'outil est admin du domaine et les délégations sont gérés dans l'outil.
C'est nul mais je ne suis qu'utilisateur sur ce coup.
Marsh Posté le 17-06-2009 à 08:04:59
Salut,
En mission chez un grand compte en pleine réorganisation, je me demandais comment cela se passait dans les autres boites.
Pourriez-vous me dire, dans les grandes lignes, comme se passe la délégation d'administration dans vos structures ? Quels outils utilisez-vous ? Est-ce efficace ? Quelle granularité ?
Je ne m'intéresse qu'aux environnements Windows.
Je me demande comment donner le minimum de droits requis aux différents acteurs. Comment donner les droits à un administrateur SCCM ? Comment définir un rôle "gestionnaire de quota", un rôle "gestionnaire DFS", un autre pour les impressions, un autre pour TSM, ...
Merci