EPFL > VPSI > IT > EXAPP - Site d'information: WinAD (Windows Active Directory)
 

  Affiche tous les articles

 Mode d'emploi du moteur de recherche  Rechercher : 
Moteur de recherche
Home page
Accréditation
Activation MS
AD c'est quoi ?
AD PowerShell
Authentifications
Autorisations DHCP
bugs
Conseils AD
DCs Sécurité
Délégations OUs
Domaine SC
Gaspar
GPO
Grp-Staff
KMS
Migrations
Outils
Procès verbaux
· PV WINAD du 10.10.2013
· PV WinAd du 6 mai 2011
· PV du 8 Octobre 2009
· PV du 3 sept 2008
· PV du 26 Novembre 2007
· PV du 7 Novembre 2007
· PV du 2 Juillet 2007
· PV du 20 Décembre 2006
· PV du 3 mai 2006
· PV du 1er mars 2006
· PV du 2 novembre 2005
· PV du 07 sept 2005
· PV du 22 juin 2005
· PV du 13 Avril 2005
· PV du 02 février 2005
· PV du 30 juin 2004
· PV du 12 mai 2004
· PV du 10 mars 2004
· PV du 11 Fev 2004
· PV du 21 Jan 2004
· PV du 10 Dec 2003
· PV du 29 oct 2003
· PV du 24 sept 2003
· PV du 27 Août 2003
· PV du 18 juin 2003
· PV du 30 avril 2003
· PV du 26 Mar. 2003
· PV du 19 Fev. 2003
· PV du 11 déc. 2002
· PV du 13 nov 2002
· PV du 2 oct 2002
· PV du 21 août 2002
· PV du 4 juil 2002
· PV DU 12 Juin 2002
· PV du 15 mai 2002
· PV du 31.01.2002
· PV du vendredi 8.2.02, 1 ère discussion sur le crash test de la forêt Active Directory de l'EPFL...
· PV Séance Domaine SC du 5.12.01
Profiles Itinérants
PWAD
Règles de nommage
Restaurations DC Fac
ServerAD2003
ServerAD2008
Seven
Students
synchro
toto1
Trucs et Astuces
Win 8.1
WinAD
Windows 10
Windows 8
Windows Server
Wins
Work Shop
  Afficher une version imprimable de ce document dans une nouvelle fenêtre
 
PV du 07 sept 2005
 
Présents: SAM, JDB, RR, AT, CR, CZ, TB, AG, PB, ND, TC, SM, LK, KS

la liste des participants du WinAD : http://winad.epfl.ch/core/index.asp?article=3

Prochaine séance mercredi 2novembre 2005 à 10H00 à la salle DITConf

Validation du précédent PV, OK

-Présentation de Sergio Monaco présent 4 mois au DIT-SB afin d'élaborer un concept de monitoring centralisé et publications des procédures"disaster-recovery" pour les services Windows du DIT-SB 


Staff

  • TB: La version beta "Autostaff" sera présentée mi novembre 2005

AD 2003

  • TB: Activation du certificat CA EPFL au niveau de la forêt AD
  • AG: l'ordre d'affichage des noms et prénoms dans le champ displayName d'AD à été effectué sur toute la forêt.
  • AG: Seul le domaine SV doit encore remplir le formulaire "DCDOC"

Students

  • TB: Redirection d'"application data"  centralisé sur NAS au DIT, mise en production pour la rentrée
  • TB: Migration des "mydocs" sur NAS pour la rentrée, élévation du quota de 500 MB à 1 GB
  • TB: Ces migrations seront transparentes pour les étudiants
  • TB: Plus d'info à la prochaine séance "student"

 

Groupe de travail nommage


 

Documentation


 

Sécurité

  • CR: l'utilisation d'HfNetChkPro se passe bien en général.Les délégations de la console pour les Admin de faculté s'opère en local, par contre la base SQL doit être hébergée de manière centralisée au DIT 
  • CR: un scan hebdomadaire de tout les DCs sera planifié, un rapport par mail à l'admin responsable sera envoyé.
  • CR: VirusScan 8 Enterprise poursuit son déploiement dans le Campus. L’intégration complète du module "spyware" sera ajouté prochainement à la 8.0
  • CR: un IPS software sera implémenté sur des serveurs critiques au DIT
  • AG: une procédure de sécurisation de la forêt AD sur les DCs est en cours d'élaboration, des propositions seront faites durant la prochaine WINAD
  • TB: Pour tenter de résoudre définitivement et surtout globalement le débat sur la stratégie de mots de passe AD en STI*, je vous propose les pensées/idées/réflexions suivantes qui ont émergé d'une discussion avec Martin Ouwehand :
  1. La stratégie de mots de passe Gaspar (minimum 8 caractères sans autre exigence) n'est pas assez restrictive pour contrôler l'accès aux ressources (données de recherche notamment).
  2. Active Directory (AD) est le mécanisme utilisé pour l'authentification et par conséquent le contrôle d'accès pour une population grandissante de l'école.
  3. Contrairement à AD, la plupart des services offerts par l'école sont synchronisés automatiquement sur Gaspar. S'agissant de mailbox ou du VPN par exemple, l'importance d'un mot de passe "compliqué" est plus faible que pour AD (cf. point 2.).
  4. La synchronisation du mot de passe AD sur celui de Gaspar se fait sur une base volontaire pour les collaborateurs.
  5. La divergence de la stratégie de mots de passe de la STI pose un nombre de problèmes limité, compte tenu de la population.
  6. Ce nombre pourrait être réduit davantage en rendant le message plus parlant et en insistant sur les points importants.

Aussi, je vous propose les réflexions suivantes :

- Ne serait-il pas normal que notre mécanisme de contrôle d'accès bénéficie d'une sécurité accrue par rapport à d'autres systèmes moins sensibles ? Par conséquent, pourrions-nous raisonnablement renforcer la stratégie de mots de passe AD pour toute l'école (hors STUDENTS) et par conséquent rendre la synchronisation de mots de passe "simples" impossible ?

- Cela risque-t-il d'engendrer des désagréments tels qu'il vaudrait mieux unifier toutes les stratégies de mots de passe dans l'école, par conséquent en amont : Gaspar ?

 

Je pense que ces idées devraient être traitées lors de la prochaine PWAD puis en COSI.

 

* Stratégie de mots de passe AD en STI : Laurent Kling, fort d'une analyse des risques liés à NTLM applique une stratégie de mots de passe plus forte que la recommandation minimale. Cela pose problème aux utilisateurs de la STI désireux de synchroniser leur mot de passe AD sur celui de Gaspar. Si ce dernier est trop simple (i.e. ne contient pas au moins 9 caractères, des minuscules, majuscules et chiffres ou qu'il est égal à l'un des 10 derniers mots de passe utilisés), la tentative de synchronisation échoue. Malgré la clarté du message d'erreur, des demandes de support parviennent tout de même à l'équipe Windows du DIT.

 


Helpdesk


Divers

  • TC: retard de la migration d'"olympe" sur NAS parce que la gestion DFS n'est pas supportée. Problème théoriquement résolue sur la prochaine version (octobre 2005) 
  • AG: l'équipe Winteam du DIT recommande les cours de sécurité "microsoft" donné au DIT à tous les collaborateurs Windows des équipes IT de faculté.

Prochaine séance mercredi 2novembre 2005 à 10H00 à la salle DITConf

Article N° 106, du 07.09.2005, par Alain Gremaud
URL de cet article : http://winad.epfl.ch/?article=106

© 2017 VPSI - EXAPP - TC