EPFL > VPSI > IT > EXAPP - Site d'information: WinAD (Windows Active Directory)
 

  Affiche tous les articles

 Mode d'emploi du moteur de recherche  Rechercher : 
Moteur de recherche
Home page
Accréditation
Activation MS
AD c'est quoi ?
AD PowerShell
Authentifications
Autorisations DHCP
bugs
Conseils AD
DCs Sécurité
Délégations OUs
Domaine SC
Gaspar
GPO
Grp-Staff
KMS
Migrations
Outils
Procès verbaux
· PV WINAD du 10.10.2013
· PV WinAd du 6 mai 2011
· PV du 8 Octobre 2009
· PV du 3 sept 2008
· PV du 26 Novembre 2007
· PV du 7 Novembre 2007
· PV du 2 Juillet 2007
· PV du 20 Décembre 2006
· PV du 3 mai 2006
· PV du 1er mars 2006
· PV du 2 novembre 2005
· PV du 07 sept 2005
· PV du 22 juin 2005
· PV du 13 Avril 2005
· PV du 02 février 2005
· PV du 30 juin 2004
· PV du 12 mai 2004
· PV du 10 mars 2004
· PV du 11 Fev 2004
· PV du 21 Jan 2004
· PV du 10 Dec 2003
· PV du 29 oct 2003
· PV du 24 sept 2003
· PV du 27 Août 2003
· PV du 18 juin 2003
· PV du 30 avril 2003
· PV du 26 Mar. 2003
· PV du 19 Fev. 2003
· PV du 11 déc. 2002
· PV du 13 nov 2002
· PV du 2 oct 2002
· PV du 21 août 2002
· PV du 4 juil 2002
· PV DU 12 Juin 2002
· PV du 15 mai 2002
· PV du 31.01.2002
· PV du vendredi 8.2.02, 1 ère discussion sur le crash test de la forêt Active Directory de l'EPFL...
· PV Séance Domaine SC du 5.12.01
Profiles Itinérants
PWAD
Règles de nommage
Restaurations DC Fac
ServerAD2003
ServerAD2008
Seven
Students
synchro
toto1
Trucs et Astuces
Win 8.1
WinAD
Windows 10
Windows 8
Windows Server
Wins
Work Shop
  Afficher une version imprimable de ce document dans une nouvelle fenêtre
 
PV du 2 novembre 2005
 
Présents: AG, CR, AT, SM, TC, ND, RR, DP, YR, SS, LC, KS, PB, CZ, TB

la liste des participants du WinAD : http://winad.epfl.ch/core/index.asp?article=3

Prochaine séance mercredi 11 janvier 2006 à 10H00 à la salle DITConf

Validation du précédent PV, OK


Staff

  • Report de la fourniture de la beta de 2 mois environ suite à de nombreux problèmes de sécurité survenus pendant les vacances de CR ainsi que la modification non annoncées des données utilisées pour créer/modifier les comptes STUDENTS.

AD 2003

  • AG rappelle à YR de remplir la documentation sur ses contrôleurs de domaine.
  • ENAC : ND résume le problème survenu en octobre : les serveurs n'étaient pas suffisamment supervisés et certains évènements ont été ignorés. Cela a conduit à l'instabilité des contrôleurs de domaine qui ne pouvaient plus communiquer avec le reste de la forêt. Après d'importantes investigations, les serveurs ont pu être promus à nouveau. Pour se prémunir d'un nouveau cas, tous les contrôleurs de domaine vont devenir Global Catalog afin de permettre aux utilisateurs d'ouvrir leur session malgré les pertes de trust avec les autres domaines, ce qui n'était pas le cas pendant la panne à l'ENAC. Cela a déjà été fait pour STUDENTS.
  • CR insiste sur le fait que nous n'avons pas encore identifié la cause de la panne. AG : selon lui, les backups corrompus sont la source du problème. Ces backups n'avaient jamais été testés.
  • On suggère de mettre sur pied une procédure incluant des "règles d'or" et des étapes communes à la majorité des pannes qui peuvent se produire sur AD. AG va peaufiner la procédure existante qui vous sera communiquée d'ici la prochaine WinAD.
  • AG lance une enquête sur la synchronisation automatique et généralisée des mots de passe Gaspar -> AD. Il aimerait savoir dans quelle mesure cela paraît réalisable et demande aux administrateurs de faculté de fournir cette information lors de la prochaine WinAD.

Students

  • TB résume les changements intervenus suite à l'introduction d'IS-ACADEMIA. Un des principaux changements est l'introduction de semestres "virtuels" qui se chevauchent. AT relève que cela peut être le cas tant que la situation n'est pas stabilisée mais ne peut pas durer -> problèmes de sécurité et droits d'accès trop importants pendant le chevauchement.
  • Afin d'éviter de nouveaux problèmes de données, TB informe qu'il va tenter de rapprocher le KIS, le SAC et DIT-SB en ce qui concerne la gestion des changements sur les données utilisées pour STUDENTS.
  • YR : trouve que c'est dommage d'avoir 2 sites destinés aux étudiants : students.epfl.ch et studinfo.epfl.ch.

 

Groupe de travail nommage


 

Documentation


 

Sécurité

  • Pour régler le problème de stratégies de mots de passe, Gaspar sera probablement (selon validation) muni de cracklib, une librairie de "cracking" de mots de passe. Cela évitera les mots de passe trop simples, apparentés à l'utilisateur ... De cette manière, les mots de passe Gaspar pourront sans autre être synchronisé sur AD. Ceci implique que Gaspar est la référence des mots de passe et il faut donc interdire le changement de mot de passe par l'utilisateur via AD (ctrl-alt-delete + change password).
  • YR appuie cette méthode et pense que la synchronisation de mots de passe Gaspar -> AD ne devrait plus être optionnelle.
  • CR : Le temps entre la découverte d'une faille, la fourniture d'un patch et plus encore l'apparition d'un virus intégrant la technologie nécessaire pour exploiter la faille se raccourcit de plus en plus. CR rappelle que HfNetChk Pro a été acquis pour optimiser le déploiement des patchs sur les machines sous la responsabilité des administrateurs de faculté.
  • CR a également acheté un dispositif de mise à l'épreuve de machines. Il s'agit d'une "boîte noire" vendue par Foundstone et permettant de vérifier la robustesse de la sécurité sur une machine quelle que soit sa plateforme. Ce dispositif sait exploiter les failles de sécurité en fonction de l'OS et des dernières découvertes de bugs de sécurité.
  • CR : Afin de protéger des machines particulièrement importantes ou exposées, un IPS (Intrusion Prevention System) a été acquis et mis en production sur certaines machines du DIT. Il faut prévoir un peu de tuning pour éviter un trop grand nombre d'alertes mais c'est relativement intuitif et rapide.
  • CR : VirusScan 8i a été mis en test au CDH avec le module anti spyware. Le produit est prêt à passer en production et sera déployé dès que CR aura pu écrire un article à ce sujet.
  • CR teste actuellement une solution de "mots de passe jetables" s'appuyant sur une carte génératrice d'une chaîne de caractères que l'on suffixe à un mot de passe fixe. La solution permet un bon nombre de cas particuliers tels qu'une clé de secours pouvant être utilisée avec plusieurs comptes. Un gros bémol cependant est la nécessité d'installer un agent sur chaque poste sur lequel la solution est utilisée. Ceci rend son déploiement tellement complexe qu'elle devient presque rédhibitoire.
  • CR : un récent virus fait tomber des machines en quarantaine. Lorsqu'elles ressortent de quarantaine, nombre de machines y retournent très rapidement à cause d'un mot de passe administrateur trop simple.


Helpdesk

  • TC informe qu'un numéro permettant d'annoncer l'indisponibilité d'un service. Il s'agit du 32203 sur lequel il y a une boîte vocale relevée par le Call Center.

Divers

  • AG va prendre rendez-vous avec chaque administrateur de faculté afin d'uniformiser les stratégies appliquées sur les domaines et contrôleurs de domaine. Il s'agit des stratégies d'audit, de délégation administrative et plus tard, la suppression de NTLM.

Tour de table

  • TC : informe de la fin du support standard de Windows 2000. Encourage à migrer à Win XP et Windows Server 2003.
  • TC : Olympe est migré sur le NAS. Petit problème DFS ce week-end.
  • SM : a terminé les tests avec MOM et est satisfait de l'implémentation. Reste à définir une méthode d'utilisation.
  • YR : s'inquiète de l'arrêt des cours AD. Un de ses collaborateurs a pu suivre le dernier et cela a été bénéfique. Il souhaite que ces cours soient maintenus. TC indique que ces cours seront maintenus mais organisés à la demande car le nombre d'inscriptions est très faible.
  • YR : problèmes de communication entre les Macs et le monde Windows. Un de ses collègues a contacté François Roulet pour tenter de permettre l'intégration totale de machines Apple dans l'AD. YR regrette le manque de collaboration.

Prochaine séance mercredi 11 janvier 2006 à 10H00 à la salle DITConf

Article N° 109, du 02.11.2005, par Thomas Becker
URL de cet article : http://winad.epfl.ch/?article=109

© 2017 VPSI - EXAPP - TC