EPFL > VPSI > IT > EXAPP - Site d'information: WinAD (Windows Active Directory)
 

  Affiche tous les articles

 Mode d'emploi du moteur de recherche  Rechercher : 
Moteur de recherche
Home page
Accréditation
Activation MS
AD c'est quoi ?
· L'AD c'est quoi ?
· Règles de gestion pour les Admins délégués dans les domaines de faculté
· Règles de gestion pour les noms d'objets dans l'annuaire Active Directory
· Liste Délégués Active Directory
· Qui bénéficie d'un compte AD ?
AD PowerShell
Authentifications
Autorisations DHCP
bugs
Conseils AD
DCs Sécurité
Délégations OUs
Domaine SC
Gaspar
GPO
Grp-Staff
KMS
Migrations
Outils
Procès verbaux
Profiles Itinérants
PWAD
Règles de nommage
Restaurations DC Fac
ServerAD2003
ServerAD2008
Seven
Students
synchro
toto1
Trucs et Astuces
Win 8.1
WinAD
Windows 10
Windows 8
Windows Server
Wins
Work Shop
  Afficher une version imprimable de ce document dans une nouvelle fenêtre
 
Règles de gestion pour les Admins délégués dans les domaines de faculté
 

Ce document est extrait du Cours: Windows, Administration AD pour délégués

http://distrilog.epfl.ch/InfoLog.aspx?id=322

 

Sommaire:

 


Indroduction

Ce cours s’adresse à toute personne amenée à administrer des unités d’organisation à l’EPFL. Ce cours est destiné à améliorer la collaboration entre les unités d’organisation en utilisant efficacement les outils de gestion de l’annuaire Active Directory de l’EPFL.La synchronisation de l'annuaire Active Directory s’effectue à partir des données officielles de l'Ecole, suite à l’implémentation de MIIS dans les domaines de faculté.MIIS est un outil qui permet la synchronisation automatique des comptes utilisateurs depuis les données institutionnelles de l’Ecole vers l’annuaire Active directory.
Des règles de gestion sont mises en place, en se basant sur les règles d’attribution des noms (édictées par la WinAD) afin d’assurer un fonctionnement optimal
 
 

Historique Active Directory de l'EPFL

Au siècle passé, il existait à l’EPFL une cinquantaine de domaines NT4.La plupart des administrateurs de domaine désirant conserver leur méthode de travail, nous fûmes contraints de mettre en place un schéma AD calqué sur la structure NT4 existante. Ceci nous a conduits à une structure lourde et ingérable.Effectivement en janvier 2002 l’arborescence de la forêt « intranet.epfl.ch » était constituée de 35 sous-domaines !Ce qui devait arriver arriva et la forêt Active Directory était sur le point de s’effondrer.Un audit demandé par les SC, grands demandeurs de gestion centralisée, nous a heureusement contraints de mettre en place une politique de gestion cohérente.Deux  groupes ont été créés, PWAD pour le Pilotage Windows Active Directory et WINAD pour la coordination AD avec les différentes unités de l’Ecole.Dès lors, l’engagement d’un responsable AD pour la mise en place de la structure actuelle est devenu nécessaire.
 
 
 
 

Pourquoi s'intégrer dans l'Annuaire Active Directory

Le rôle principal du service Active Directory est la centralisation de données répartie qui vous permet de stocker des informations relatives à vos ressources réseau afin de faciliter leur implantation ainsi que leur gestion. L'AD fournit des informations sur les objets, il les organise et contrôle les accès et la sécurité. Chaque objet représente une entité unique — utilisateur, ordinateur, imprimante ou groupe — et se caractérise par des attributs.Cette gestion est tout simplement impossible dès que vous devez gérer plus de 10 utilisateurs au sein d’une infrastructure de travail collaboratif.
 
 
 
 

 Vos responsabilités:

  1. Vous êtes responsable pour tous les objects que vous créez dans Active-Directory (AD).
  2. Vous êtes responsable de l'ajout et la suppression des utilisateurs dans les groupes présents dans votre OU.
  3. Vous êtes responsable de contrôler l'accès à toutes les ressources que vous mettez à disposition dans AD.
  4. Vous êtes responsable de signaler aux gestionnaires(*) de votre domaine tous les problèmes affectants (pouvant affecter) le domaine.
  5. Vous êtes responsable informatique alors vous avez droit à un compte Active Directory pour gérer la délégations de vos OUs (unités), ce compte se nomme "Adsciper"
Attention de bien respecter les règles de noms http://winad.epfl.ch/core/index.asp?article=149 pour tous les objets créés dans notre forêt
 
 
 
 

Intégration d'un ordinateur client à l'EPFL

La méthode recommandée par l’EPFL pour intégrer un ordinateur dans une unité d’organisation précise, consiste à créer d’abord un compte d’ordinateur dans l’unité d’organisation choisie, à l’aide de la console Utilisateurs et ordinateurs et ensuite intégrer l’ordinateur dans le domaine à l’aide des propriétés système, Paramètres système avancés, Nom de l’ordinateur.
 
Par défaut, les comptes machines sont créés préalablement dans l’unité référent puis ensuite la machine est jointe au domaine. Le nom des machines doit être préfixé avec l’entité du domaine de faculté suivi de l’unité (pour les personnes, on peut ajouter les initiales et le numéro Sciper dans le champ description). Les règles de gestion pour les noms sont publiées sur http://winad.epfl.ch/core/index.asp?article=149. Pour plus de clarté, il faut ajouter la fonction de la machine dans le champ description des serveurs

Il est important lorsque qu’une machine est supprimée de l’AD de suivre deux étapes ;

1. disjoindre la machine du domaine (la passer en Workgroup) à l’aide du compte Adsciper

2. supprimer l’Objet computer de votre OU

Ceci afin d’éviter des erreurs « net logon » en cas de conflit d’objet
 
 
 
Procédure pour joindre un ordinateur au domaine :
  1. My Computers -> Properties -> Computer Name -> bouton Change
  2. Computer name = ?(ce nom DOIT être identique au nom donné à l'étape 1 dans Servers)
  3. Member of: Workgroup = labo
  4. Après le message "You must restart this computer for the change to take effect,
  5. Reboot
  6. My Computers -> Properties -> Computer Name -> bouton Change
  7. Sélectionner "Member of Domain."
  8. Ensuite saisir dans le champ "Domain" le nom de domaine pleinement qualifié (par exemple "intranet.epfl.ch" )
  9. Ok
  10. Entrez le Username: votre accompte d'administration de l'OU , password: votre password, domain: ?
  11. Une fois le message "bienvenue dans le ? domaine" passé
  12. Ok et Reboot

Présentation du concept de délégation d'OUs avec le compte ADSCIPER
 

 
MIIS crée une unité d’organisation pour chaque unité EPFL et trois unités d’organisation enfant dans chaque unité EPFL. Ces unités organisationnelles ne doivent pas être déplacées, renommées ou supprimées.  

 

Dans chaque unité EPFL, vous allez trouver au moins les trois unités d’organisation suivantes :

<nomunité>-Workstations
contient les comptes de postes de travail
<nomunité>-Servers
contient les serveurs
<nomunité>-Users
contient les utilisateurs accrédités
 
 
Si vous avez besoin de plus d'unités organisationnelles, créez-les de préférence au même niveau que celles créées par MIIS, plutôt qu'à l'intérieur de ces dernières.
 

La gestion des OUs enfants effectuée par l’administrateur délégué doit être réalisée en collaboration avec  l’administrateur responsable de la faculté.

La réplication automatique mise en place par le DIT n'interfèrera pas avec des objets créés par les délégués, à condition que les noms des objets créées par les délégués soit conformes aux règles d’attribution des noms. Ces règles permettent d’éviter des conflits avec des objets officiels et peuvent être trouvés à l’adresse http://winad.epfl.ch/core/index.asp?article=149.

 

Une délégation de gestion AD est accordée à un compte de gestion crée par MIIS pour le ou les OUs y référant (accréditation RespAD compte ADSciper).

Ce compte personnel adsciper, est créé automatiquement pour tous les responsables informatiques (au sens ACCRED), et peut être activé uniquement par les responsables informatiques de la faculté. Ceux qui n’ont pas ce droit, doivent le demander à leur responsable de faculté.

Le niveau de délégation est total sur tous les objets se trouvant dans l’unité d’organisation déléguée. La création de GPOs et l’ajout d’une machine dans le domaine nécessite des procédures particulières qui sont détaillées dans ce support de cours.
 
 
 
 
 

Gestion des utilisateurs

Les comptes utilisateurs du personnel sont créés par notre outil de synchro MIIS, centralisé au DIT. Ces derniers seront créés automatiquement après accréditation.

Pour les comptes de service c'est ici >>>  http://services.epfl.ch

une fois créés ces comptes sont immédiatement répliqué dans l'OU ComptesDeGestion

 

Règles de noms : http://winad.epfl.ch/core/index.asp?article=149

 
Synchronisation des comptes utilisateurs et groupes pour le personnel et les étudiants à l’EPFL
Les comptes d’utilisateurs sont créés par l’ACCREDITATION selon les spécifications du tableau suivant :

http://search.epfl.ch/directory.do

Propriété 'Compte utilisateur dans Active Directory'

Nom comptead
Libellé Compte utilisateur dans Active Directory
Description Création et synchronisation des utilisateurs accrédités dans l'Active Directory.
Politique d'attribution
par statuts
Statut Autorisé Valeur par défaut
Personnel
Apprenti-e Defaut
Stagiaire Defaut
Assistant-e Defaut
Personnel technique/administratif Defaut
Corps professoral Defaut
Personnel scientifique Defaut
Secrétaire ou Administrateur-trice Defaut
Chargés de cours Defaut
Professeurs titulaires/M.E.R. Defaut
Autres Oui
Apprenti-e Defaut
Stagiaire Defaut
Assistant-e Defaut
Personnel technique/administratif Defaut
Corps professoral Defaut
Personnel scientifique Defaut
Secrétaire ou Administrateur-trice Defaut
Chargés de cours Defaut
Professeurs titulaires/M.E.R. Defaut
Autres Oui
Hôte Oui Oui
Hors EPFL Oui Non
Etudiant
Doctorant Defaut
Hors-Cadre Defaut
Postgrade Defaut
Voie Diplôme Defaut
Etudiant exmatriculé Defaut
Auditeur Defaut
Autres Oui
Doctorant Defaut
Hors-Cadre Defaut
Postgrade Defaut
Voie Diplôme Defaut
Etudiant exmatriculé Defaut
Auditeur Defaut
Autres Oui
Alumni Non Non
Retraité Non Non
Politique d'attribution
par unités
Unité Autorisé Mis par défaut
EPFL Oui Oui
EHE Oui Oui
ENTREPRISES Oui Non
TECHNIQUE Oui Non
GARAGE-EPFL Non Non
Début validité 2007-10-03 16:57:46
Fin validité  
 
Ce tableau est expliqué en détail dans le cours « Accréditation » organisé par le DIT. Pour des informations supplémentaires contactez le HelpDesk DIT Tél :1234

 

Chaque étudiant et chaque employé possède un seul et unique compte d’utilisateur dans l’annuaire Active Directory. Ce compte lui permet d’accéder à certaines ressources gérées par l’annuaire Active Directory comme messagerie e-mail, serveurs de fichiers, imprimantes etc.

 

Emplacement du compte

L’emplacement du compte est déterminé par l’accréditation d'ordre 1. Pour qu’une telle accréditation soit prise en compte, elle doit comporter la propriété compteAD

 

Appartenance aux groupes d’unité (unité-StaffU)

Pour que le compte d’une personne appartienne au groupe unité-StaffU d’une unité, la personne doit bénéficier d’une accréditation dans l’unité et la propriété compteAD.
 

 

Attention !

Dans le cas où un utilisateur possède plus d’une accréditation et que l’une d’entre elles (ou plusieurs) n’a (ont) pas la propriété « compteAD », l’utilisateur ne sera pas membre des groupes de sécurité « <unité>-StaffU » pour ses accréditations ne possédant pas la propriété « compteAD »

 

Exemple :

Mr ZToto est accrédité auprès des unités MGT-ENS, CTIN-GE et FOND-PPUR. La propriété « compteAD » existe pour MGT-ENS et CTIN-GE mais pas pour FOND-PPUR.

Cela a pour conséquence que l’utilisateur ZToto appartiendra aux groupes de sécurité « MGTENS-StaffU » et « CTINGE-StaffU », mais pas au groupe de sécurité « FONDPPUR-StaffU »
 
 
 
 
 
 

 

 
Pour les personnes ayant une accréditation avec les statuts Personnel ou Etudiant et Hôte, la propriété compteAD est activée par défautPour les personnes ayant une accréditation avec les statuts Hors EPFL, il faut ajouter la propriété compteAD manuellement si l’on veut que le compte soit pris en charge par la synchronisation.Pour les personnes ayant une accréditation avec les statuts, Etudiant externe, Alumini ou Retraité, la propriété compteAD n’est pas disponible et est désactivée.Hormis les comptes utilisateurs automatiquement gérés par MIIS, les administrateurs délégués peuvent créer des comptes de service et de gestion en respectant les règles pour les noms objets active directory :  http://winad.epfl.ch/core/index.asp?article=149
 

Les comptes d’utilisateurs crées par l’Accréditation doivent être utilisés exclusivement pour le travail courant comme accès à la messagerie, aux serveurs de fichiers, aux imprimantes et aux autres ressources du réseau de l’EPFL. Pour des raisons de sécurité, ces comptes d’utilisateurs ne doivent pas recevoir plus de droits que nécessaire.

L’administrateur délégué doit exclusivement utiliser le compte adsciper pour l’administration des ressources qui sont sous sa responsabilité, qui a été créé spécialement dans ce but. L’administrateur délégué peut créer d’autres comptes de gestion. En créant d’autres comptes de gestion, l’administrateur délégué peut accorder à ces comptes des droits et autorisations pour permettre une meilleure protection du compte adsciper selon le principe du droit minimum.

 

 

 

 

 

 


 

 

Administrations des groupes

 

 

 

 

 

 

Hormis les Groupes automatiquement gérés par MIIS, les administrateurs délégués peuvent créer des groupes ici http://groups.epfl.ch/ en respectant les règles pour les noms objets active directory : http://winad.epfl.ch/core/index.asp?article=149 

 

MIIS met à jours automatiquement la liste d’appartenances des groupes gérés comme par exemple Unité-staffU. Lors du départ d’un utilisateur de son unité principale ou de l’Ecole, l’administrateur délégué doit mettre à jour la liste d’appartenances des autres groupes qui ont été créé manuellement et qui sont sous sa responsabilité.

 
 

MIIS crée et gère les groupes suivants.

 

 

Groupes, par défaut sans membres, crées dans chaque unité :

L’administrateur délégué peut ajouter ou supprimer des membres dans ces groupes.

<unité>-ComputerAdminsU est publié dans l’OU-unité afin de gérer les machines des utilisateurs

<unité>-GuestU est publié dans l’OU-unité afin de gérer les compte invité

<unité>-StudentsU est publié dans l’OU-unité afin de gérer les compte étudiants au besoin

 

 

 

 

 

Groupes crées dans le domaine intranet gérés par le DIT :

L’administrateur délégué ne peut ni ajouter ni supprimer des membres dans ces groupes

<unité>-AdminU est publié dans l’OU AdminGroup dans intranet.epfl.ch. l’administrateur responsable AD de la faculté pourra déléguer des droits pour l’administrateur délégué dans certaines unités à l’aide du groupe universel <unité>-AdminsU

<unité>-StaffU est publié dans l’OU UnitGroups dans intranet.epfl.ch. Ces groupes contiennent tous les utilisateurs de l’unité y référant et d’autres comptes d’utilisateur avec plusieurs accréditations.

<unité>-Application group http://groups.epfl.ch/Permet de récupérer les groupes créés par l’application « Groupes » et les répliquer dans l’annuaire Active Directory.

 

 

 

 


 

 
Etant donné que la gestion et le traitement des GPO est très sensible, vous devez faire une demande à votre
responsable de faculté AD pour obtenir une GPO. Les demandes de GPOs s'obtiennent en écrivant à it.epfl.ch demande de GPO Active Directory.
 
La délégation des GPOs sera effectuée à l’aide du groupe « unités-AdminU »
 
 

Impression
 
 
 
 
 
 
 
La prestation myPrint (http://myPrint.epfl.ch) fournit à la communauté EPFL une infrastructure d'impression et copie centralisée avec comptabilité. Chaque collaborateur et étudiant peut imprimer à l'aide de son compte utilisateur Active Directory.
Le site de la prestation fournit toutes les informations utiles pour bénéficier de ce service, tant en tant qu'utilisateur qu'administrateur de service d'impression.


 
 
Merci en cas de problème Windows, Active Directory ou Exchange, de contacter le Call Center de EPFL-DIT, support-it@epfl.ch ou Tel 021 693 1234

 

 

Liens utiles:

 

http://winad.epfl.ch/

http://exchange.epfl.ch/

http://windows.epfl.ch/

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Article N° 25, du 06.03.2012, par Alain Gremaud
URL de cet article : http://winad.epfl.ch/?article=25

© 2017 VPSI - EXAPP - TC