Laboratoire Microsoft |  CertifExpress 
 Le Forum de Réfèrence sur les Technologies Microsoft - http://www.forum-microsoft.org

Suppression ou Modif approbations prédéfinies(parent-enfant)

Modérateurs : Modérateurs, Modérateurs_Systèmes

Suppression ou Modif approbations prédéfinies(parent-enfant)

Message par Learn » Mar 03 Nov 2015, 13:27

Bonjour,

Je suis sur un projet qui consisterait à relier 7 sites distant d'avec un site central. Chaque site devra disposé d'un DC qui sera domaine enfant du domaine racine, qui lui sera situé sur le site central. Tous feront donc parti d'une forêt unique. Sur le site central nous aurons donc, 2 DC: Primaire et secondaire, hébergeant la racine de la forêt. Nous aurons donc: mondomaine.com, enfant1.mondomaine.com, enfant2.mondomaine.com, ...enfant7.mondomaine.com.

Ma préoccupation est que, je voudrais établir une relation d'approbation unidirectionnelle entre le domaine racine et les domaines enfants, de tel sorte que seul les utilisateurs du site central aient accès aux sites distants et non l'inverse. Le problème est qu'en créant des domaines enfants, Windows crée automatiquement pour chaque domaine une relation d'approbation prédéfinie qui est bidirectionnelle et transitive. Seulement il n'est pas possible de modifier ou supprimer ces approbations prédéfinies. Quand je tente de le faire avec "netdom trust <<domaine autorisé à approuvé>> /d:<<domaine approuvé>> /remove /UserD: /PasswordD: /Force ", j'ai comme message : cette approbation est une approbation parent-enfant fonctionnelle qui n'est peut être supprimée".

Du coup je ne sais pas s'il existe la possibilité de supprimer ces approbations prédéfinies pour en créer de nouvelles qui correspondent à mon besoin.

Merci.
Learn
N00b
N00b
 
Message(s) : 4
Inscription : Mar 03 Nov 2015, 11:18

Re: Suppression ou Modif approbations prédéfinies(parent-enf

Message par kelux » Mar 03 Nov 2015, 17:09

Bonjour,

Du coup je ne sais pas s'il existe la possibilité de supprimer ces approbations prédéfinies pour en créer de nouvelles qui correspondent à mon besoin.

La réponse est non.
Si vous voulez une relation unidirectionnelle, faites des forets distinctes.

-

Par contre, l'architecte qui a pondu cette solution ... c'est très discutable.
Déja le TLD .com pour un domaine AD ; on évite de manière générale.
Pourquoi vouloir faire un domaine par site ?
La notion de DC primaire ou secondaire n'existe pas. AD est multimaitre.

Avec l'architecture que vous décrivez ici, vous multipliez le nombre de DC considérablement. Il faudrait 3 DCs pour le domaine racine et ensuite 2 DCs minimum pour chaque domaine enfant.(peu importe sur quel site ils sont, puisque un site AD est "forest - wide" ; je peux avoir un DC du domaine enfant7 "sur le site du" domaine enfant2 ...) - soient 17 DCs minimum.

-

de tel sorte que seul les utilisateurs du site central aient accès aux sites distants et non l'inverse

Définissez "avoir accès aux sites distants" , accès à quoi concrètement ?
kelux
Full Member
Full Member
 
Message(s) : 111
Inscription : Mar 05 Fév 2008, 21:37

Re: Suppression ou Modif approbations prédéfinies(parent-enf

Message par Learn » Mar 03 Nov 2015, 21:56

Merci, Kelux pour ton apport,


Par contre, l'architecte qui a pondu cette solution ... c'est très discutable.

Je suis d'avis, mais il s'agit d'une architecture correspondant à un cahier de charges. L'objectif ici serait de se rassurer de la faisabilité ou non des descriptifs et peu être à la suite contre proposer une alternative plus viable.

La réponse est non.
Si vous voulez une relation unidirectionnelle, faites des forets distinctes.


Merci pour cette précision, je tenais à m'en rassurer!

Pour le Top Level Domain .com, c'était juste un aperçu, rien de concret.

La notion de DC primaire ou secondaire n'existe pas. AD est multimaitre.


Ici je fait allusion aux 2 rôles FSMO unique dans une forêt (Maître des opérations et contrôleur de schéma), qui pourront être transférer sur le 2ième DC du site central, en cas de pb sur le 1er.
Définissez "avoir accès aux sites distants" , accès à quoi concrètement ?

Permettre aux utilisateurs du domaine du site central d'accéder aux ressources des sites distants et aux administrateurs d'administrer des droits utilisateurs pour les sites distants.

Pourquoi vouloir faire un domaine par site ?

En se situant dans le contexte du projet, on peut mieux comprendre les contraintes. Ceci se passe dans une région du monde où les infrastructures télécoms sont encore déficitaires; donc les sites étant situé dans des villes différentes, les liaisons se feront par VPN via Internet dont le débit laisse encore à désirer. D'où l'intérêt de places les DCs au plus proches des users finaux. Les users sur les sites distants ont moins de privilèges que ceux du site central, ils ne doivent pas avoir accès qu'aux ressources locales et rien de plus.

J'espère avoir donné suffisamment de précision. S'il y' a d'autres suggestions je suis prenant!

Merci.
Learn
N00b
N00b
 
Message(s) : 4
Inscription : Mar 03 Nov 2015, 11:18

Re: Suppression ou Modif approbations prédéfinies(parent-enf

Message par kelux » Mar 03 Nov 2015, 23:10

Je partirai sur un design beaucoup plus simple.
Soit du mono foret-mono domaine, soit Foret + 1 domaine enfant. (dépends aussi du modèle de "service delivery" et de la taille de l'environnement : nb users, etc ...)
(ou encore Forest + 1 domaine enfant par plaque (APAC/EMEA/USA)

Puis on éclate par site AD avec un DC sur chaque site....

Ceci se passe dans une région du monde où les infrastructures télécoms sont encore déficitaires; donc les sites étant situé dans des villes différentes, les liaisons se feront par VPN via Internet dont le débit laisse encore à désirer. D'où l'intérêt de places les DCs au plus proches des users finaux.


Avec un design comme je l'ai proposé, cela répond à ce point ; on fait comme cela même avec 150 sites AD pour un ou deux domaines.
Un DC, même s'il ne réplique pas quelques heures avec un partenaire, va continuer de fonctionner sans problème.
Il n'est pas obligé de desservir un unique domaine sur le site pour fonctionner en cas de coupure d'un lien.
Disons que c'est pas un bon argument pour séparer avec des domaines.

Les users sur les sites distants ont moins de privilèges que ceux du site central, ils ne doivent pas avoir accès qu'aux ressources locales et rien de plus.

Cela se gère avec les "autorisations qui vont bien" cf modèle AGDLP (et variantes).
Et aussi avec des firewalls entre les réseaux clients et serveurs ; en gros il y a aussi la composante "réseau" qui intervient ici pour avoir une certaine étanchéité.

Par exemple, on est tous dans le même domaine (enfant) , je suis sur le "site 7" et je tente d'accéder à un partage sur un serveur de fichier situé sur le "site 2".
Il y a des chances qu'au niveau réseau ce soit filtré d'une part, et d'autre part si je n'ai pas les autorisations (partage+NTFS) je n'accèderai pas aux données partagées.

On peut aller plus loin pour les 2 points précédents avec des RODC, si sur certains sites la sécurité physique ne peut être garantie (ou à des fins de délégation de droits).
On ajuste les PRP pour chaque site/RODC et basta.

-

Avec le design proposé au départ, les taches d'administration vont être méga lourdes; ça va être un bordel sans nom ;-)

Il y a de grands groupes, qui avaient fait le choix de séparer avec plein de domaines et se sont cassés les dents, et bien aujourd'hui ils reviennent à un modèle plus simple sans pour autant compromettre "la sécurité" (au sens large).
La gestion des droits et de la délégation sont des éléments clés dans les deux designs abordés (le votre et celui que j'ai vaguement énoncé).
kelux
Full Member
Full Member
 
Message(s) : 111
Inscription : Mar 05 Fév 2008, 21:37

Re: Suppression ou Modif approbations prédéfinies(parent-enf

Message par Learn » Jeu 05 Nov 2015, 22:56

Bonsoir Kelux,

Merci pour tes suggestions, que je trouve adaptées et enrichissante!

C'est sympa d'avoir pris le temps de faire cette partage de connaissance. J'en sors enrichi!
Learn
N00b
N00b
 
Message(s) : 4
Inscription : Mar 03 Nov 2015, 11:18


Retour vers Schema et Réplication

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité



Accueil | News | Articles | Tips | Outils | Certification | Easters Eggs
Essentiels | Glossaire | Vidos | Whitepapers | Essentiels | Bote Scripts
Conditions d'utilisation & Copyright | Respect de la vie prive