EPFL > VPSI > IT > EXAPP - Site d'information: WinAD (Windows Active Directory)
 

  Affiche tous les articles

 Mode d'emploi du moteur de recherche  Rechercher : 
Moteur de recherche
Home page
Accréditation
Activation MS
AD c'est quoi ?
AD PowerShell
Authentifications
Autorisations DHCP
bugs
Conseils AD
DCs Sécurité
Délégations OUs
Domaine SC
Gaspar
GPO
Grp-Staff
KMS
Migrations
Outils
Procès verbaux
· PV WINAD du 10.10.2013
· PV WinAd du 6 mai 2011
· PV du 8 Octobre 2009
· PV du 3 sept 2008
· PV du 26 Novembre 2007
· PV du 7 Novembre 2007
· PV du 2 Juillet 2007
· PV du 20 Décembre 2006
· PV du 3 mai 2006
· PV du 1er mars 2006
· PV du 2 novembre 2005
· PV du 07 sept 2005
· PV du 22 juin 2005
· PV du 13 Avril 2005
· PV du 02 février 2005
· PV du 30 juin 2004
· PV du 12 mai 2004
· PV du 10 mars 2004
· PV du 11 Fev 2004
· PV du 21 Jan 2004
· PV du 10 Dec 2003
· PV du 29 oct 2003
· PV du 24 sept 2003
· PV du 27 Août 2003
· PV du 18 juin 2003
· PV du 30 avril 2003
· PV du 26 Mar. 2003
· PV du 19 Fev. 2003
· PV du 11 déc. 2002
· PV du 13 nov 2002
· PV du 2 oct 2002
· PV du 21 août 2002
· PV du 4 juil 2002
· PV DU 12 Juin 2002
· PV du 15 mai 2002
· PV du 31.01.2002
· PV du vendredi 8.2.02, 1 ère discussion sur le crash test de la forêt Active Directory de l'EPFL...
· PV Séance Domaine SC du 5.12.01
Profiles Itinérants
PWAD
Règles de nommage
Restaurations DC Fac
ServerAD2003
ServerAD2008
Seven
Students
synchro
toto1
Trucs et Astuces
Win 8.1
WinAD
Windows 10
Windows 8
Windows Server
Wins
Work Shop
  Afficher une version imprimable de ce document dans une nouvelle fenêtre
 
PV du 8 Octobre 2009
 

Présents : YR-SN-LK-AT-KS-CZ-DP-SAM-LV-TC-AG-CP-PB-PS

la liste des participants du WinAD : http://winad.epfl.ch/core/index.asp?article=3

Ordre du jour :

 

1.      Vos remarques sur le cours « Administration AD Délégués EPFL »

2.      Planification pour les futures migrations vers le mono-domaine

3.      Prévisions pour la mise à niveau du domaine Active Directory « intranet.epfl.ch » en Windows 2008 SP2 (voire R2)

4.      Blocker IE8 jusqu’à quand ?

5.      Le point sur la synchronisation MIIS :

    • Récolter les souhaits pour la prochaine version (participants WinAd)
    • Les groupes "<unité>_StudentsU" et "<unité>_GuestsU" semblent inutilisés. Proposer de les supprimer.
    • Les facultés ont-elles besoin d'un champ "customAttributeN" réservé à leur usage ?

6.      Windows 7, le point de la situation actuelle

7.      Sécurité, le point de la situation actuelle
 

Séance

1. cours « Administration AD Délégués EPFL »
4 sessions du cours ont eu lieu. Le cours s'améliore au fil des sessions. AG ou LV participeront à chaque nouvelle session pendant 1 heure pour répondre aux différentes questions plus spécifiques à l'EPFL.
Remarques :
- différents niveaux technique ne sont pas clairement définis entre les différents paragraphes. Il faudrait peut-être les marquer plus explicitement si cela concerne des manipulations de base ou si cela concerne les spécialistes.
- Il y a peu d'images et beaucoup de texte. Il faudrait ajouter des captures d'écran pour les parties basiques.
- Voir si le cours peut être divisé en 2 demi journées. une pour basic, une pour expert. Dans un premier temps on va le laisser comme cela.
- Demande de faire des pages de Best Practice sur le web
 
2. Migrations vers le mono-domaine
- la migration de SCX a commencé sans problème majeur et devrait être terminée Q1 2010
- 2010 migration SB puis IC
- 2011 migration ENAC / SV
- 2012 migration STI
 
3. AD 2008
- Passage de l'AD en windows 2008 d'ici à la fin de l'année ou début l'année prochaine. Pas été possible de faire avant car SAN EMC ne garantissait pas la compatibilité.
- passage direct en Win 2008 R2 pas possible car pas compatible avec EMC
 
4. Blocker IE8 jusqu’à quand ?
- Déblocage au 1er décembre 2009. Il faut faire une annonce préalable.
 
5. MIIS

Etat des lieux

-          Tous les domaines synchronisés depuis mai (y compris Students et STI)

-          Delta activé depuis 2 semaines pour raccourcir le cycle : max 10 minutes au lieu de 1h30.

-          Old réactivé. Les comptes qui passent de l'OU OLD à une OU Staff sont réactivés comme compte normal avec mot de passe n'expire jamais
 
 

Problèmes connus

- Orphelins : accrédité sans propriété compteAD. Lorsqu'une personne perd la propriété compteAd mais a toujours des accréditations (hôtes, entreprise, ...), son compte devient orphelin : il reste où il était et donne donc à cette personne des droits implicites dans AD
- Le compte des personnes n'ayant jamais eu la propriété compteAd est créé dans "OLD" après 6 mois d'apparition dans departs. => réflexion à avoir pour vider automatiquement toutes les appartenances de groupes pour tous les OLDs.

- Groupe computer-Admin se vide après chaque synchro si ajout manuel d'un membre

- Groupe section-StudA1U ne se vide pas si l'accrédiation est supprimée

 

Réflexions

-          Les groupes "<unité>_StudentsU" et "<unité>_GuestsU" semblent inutilisés. Proposer de les supprimer. => OK s'il ne contiennent aucun Objet

-     Proposition de renommmer Unité_StaffU en Unitié_All/Unité_AllAcred/Unité_AllStatut et contenir des nouveaux groupes Unite-Statut pour être plus fin de la gestion des droits => les collaborateurs du DIT insistent sur l'importance de tels groupes mais la Winad juge cela inutile

-          On va assigner un champ "customAttributeN" réservé à chaque facultlé pour qu'elles puissent l'utiliser à leur guise

-          Récolter les souhaits pour la prochaine version=> les demandes doivent être envoyées d'ici la fin de l'année 2009.
 
6. Windows 7
- Il existe 2 types de licences : distrilog et MSDNAA pour étudiant et personnel. Ne pas installer des MSDNAA pour l'EPFL. On ne réactive pas de nouvelle licence sur MSDNAA apèrs consommation des licences.
- Problème connu : Antivirus => en cous de résolution, DNS parent pour recherche à mettre à la main puis sans doute par la suite par GPO. Apparement certains logiciels métier ne seraient pas compatibles => donner la liste à TC qui la mettra sur la page http://windows.epfl.ch/core/index.asp?article=295
- Windows 2008 R2 n'existe qu'en 64 bits. Licences standard et entreprsie distribuées par distrilog.
- Ne pas oublier de mettre à jour les outils d'administration RSAT pour Windows 7 http://winad.epfl.ch/core/index.asp?article=166
 
7. Sécurité
- Incompatiblité de Windows 7 et McAffe => patch existe et en cours de test
- Faille SMB v2 => désactivation demandée pour windows 2008 et vista http://winsec.epfl.ch/core/index.asp?article=97
 

Article N° 170, du 27.10.2009, par Luc Venries
URL de cet article : http://winad.epfl.ch/?article=170

© 2017 VPSI - EXAPP - TC