| Auteur |
Message |
tipitipi
Résident du forum
 
Sexe: 
Messages: 394
Localisation: 92
|
 Posté le:
Lun 08 Jan 2007 - 19:57 |
  |
Bonsoir,
Dans le cours d'ALSI de 2e année option ARLE, j'ai attaqué la séquence 4 et l'atelier qui va avec. Je ne comprends pas tout, et j'ai l'impression que les va-et-vient entre les exercices du cours et ceux de l'atelier ne sont pas synchronisés ! Par exemple, à un moment on nous dit que les groupes seront créés à la fin, à un autre que les groupes doivent être créés en premier, bref c'est le grand flou !
Autre exemple, à un moment on se met à utiliser le profil "model" qu'on est censé avoir créé auparavant,alors que rien jusque là n'y a fait référence...
Bref, quelqu'un a-t-il réussi à se dépatouiller de tout cela ?
Ai-je raté quelque chose ?? |
_________________
un chat qui bloggue ? http://tiger.lechat.over-blog.com |
|
    |
|
N'oubliez pas de vous inscrire à la communauté pour participer. Si vous êtes déjà membre, connectez-vous pour faire disparaître ce bandeau publicitaire. |
tipitipi
Résident du forum
Sexe:
Messages: 394
Localisation: 92
|
| Posté le:
Dim 14 Jan 2007 - 12:11 |
|
Pardon d'y revenir, mais personne n'a atteint ce niveau du cours ?
Personne n'a eu de difficulté pour cet atelier ? |
_________________
un chat qui bloggue ? http://tiger.lechat.over-blog.com |
|
|
|
Channels
Résident du forum
Sexe:
Messages: 408
Localisation: Contrieres - Basse Normandie
|
| Posté le:
Dim 14 Jan 2007 - 14:21 |
|
Salut,
J'ai fini ce cours depuis longtemps et ne me rappelle pas tout mais c'est assez simple, tu créais des groupes dans différentes unités d'organisation (afin de ranger un peu, de pouvoir appliquer des GPO, ect...)
Tu créais un profil MODEL et quand tu créais un nouveau user, tu copies sur ce profil MODEL, ca évite de se retaper a ajouter l'user a tous les groupes, ect... |
|
|
 |
|
tipitipi
Résident du forum
Sexe:
Messages: 394
Localisation: 92
|
| Posté le:
Dim 14 Jan 2007 - 15:28 |
|
Oui dans le principe j'ai compris ça. Mais rien n'explique comment procéder dans le détail, les corrections n'apportent pas tous les éléments, et parfois les différentes sources (cours, atelier, correction...) se contredisent. Et j'ai du mal à mettre en oeuvre concrètement ce qui est demandé. Un corrigé pas à pas détaillé aurait été le bienvenu ! (je sais bien qu'il y a une part de recherche personnelle à faire, mais bon, ce n'est pas incompatible avec un cours bien carré, comme ceux de l'excellent Jean-Yves Février, grâce auquel j'ai même progressé en algo, c'est dire  )
Par exemple, faut-il créer les groupes AVANT ou APRES les utilisateurs ? J'imagine que les deux solutions sont valables, mais pour s'y retrouver, quelle est la meilleure méthode ? Dans les intitulés, on nous dit que les groupes doivent être créés d'abord, plus loin on lit qu'ils seront créés en dernier...
Par ailleurs, rien ne permet, dans les corrigés, de vérifier si ce que l'on a créé est valable. J'aurais aimé avoir quelques tests à effectuer... |
_________________
un chat qui bloggue ? http://tiger.lechat.over-blog.com |
|
|
|
Channels
Résident du forum
Sexe:
Messages: 408
Localisation: Contrieres - Basse Normandie
|
| Posté le:
Mar 16 Jan 2007 - 12:23 |
|
Il faut mieux créer les groupes AVANT car quand tu créais tes utilisateurs, tu peux après les mettre directement lors de leur création. Toutefois, c'est également possible APRES.
Pour tester, tu peux intégrer un poste client dans ton domaine et tester ton compte Utilisateur que tu viens de créer en attribuant certaines ressources a un groupe et pas à d'autres.
comme ça, tu pourras voir si ton utilisateur fonctionne, si tes groupes pour les restrictions fonctionne également.... bref, ta politique de sécurité quoi =)
Après tu peux également commencer a faire des GPo en fonction des différentes unités d'organisation, applicables sur un ou plusieurs groupes de l'OU |
|
|
|
|
tipitipi
Résident du forum
Sexe:
Messages: 394
Localisation: 92
|
| Posté le:
Mar 16 Jan 2007 - 21:28 |
|
Merci pour ces explications, qui sont très claires et somme toute, assez logiques !
Par contre qu'appelles-tu GPo ?
J'ai aussi du mal à saisir la différence entre un groupe et une OU... Dans quelle mesure ces 2 notions ne sont-elles pas redondantes ? |
_________________
un chat qui bloggue ? http://tiger.lechat.over-blog.com |
|
|
|
Zonag
Modérateur
Sexe:
Messages: 1298
Localisation: Toulouse
|
| Posté le:
Mar 16 Jan 2007 - 22:21 |
|
Les UO ne sont la que pour ranger les utilisateurs, les Groupes sont la pour leur donner des droits.
Pour prendre un exemple, tu prend l'exemple de deux classes : IG1 et IG2. Pour ranger les utilisateurs tu va faire une UO "Eleves" qui contiendra deux UO : "IG1" et "IG2".
Tu crée ensuite les utilisateurs dans chaque UO et un groupe par UO "ElevesIG1" et "ElevesIG2" par exemple. Donc la effectivement en faisant comme ça tu peux voir une certaine "redondance".
Maintenant si tu as besoin de donner des droits à un dossier, par exemple à des éleves qui peuvent etres présents dans différentes classes, donc dans différentes UO : exemple des délégués de classe. Tu crée donc un groupe "ElevesDelegues" que tu met dans l'UE "Eleves".
Les UO ne sont donc la, comme leur nom l'indique, que pour faciliter l'organisation. Elles ne servent à rien en soit mais si tu avais tous tes utilisateurs à la racine de l'arboresence tu passerais un bon moment à chaque fois à savoir à quelle entitée organisationelle ils appartiennent ...
J'ai été clair ?  |
_________________
Zonag |
|
|
|
tipitipi
Résident du forum
Sexe:
Messages: 394
Localisation: 92
|
| Posté le:
Mer 17 Jan 2007 - 00:25 |
|
Très clair 
Si j'ai bien compris : dans ton exemple, mettre le groupe "ElevesDelegues" dans l'UO "Eleves" n'est pas obligatoire, c'est juste une façon (logique, j'en conviens) de le retrouver facilement dans ton arborsecence. C'est ça ? |
_________________
un chat qui bloggue ? http://tiger.lechat.over-blog.com |
|
|
|
Zonag
Modérateur
Sexe:
Messages: 1298
Localisation: Toulouse
|
| Posté le:
Mer 17 Jan 2007 - 01:31 |
|
Tout à fait |
_________________
Zonag |
|
|
|
Zonag
Modérateur
Sexe:
Messages: 1298
Localisation: Toulouse
|
| Posté le:
Mer 17 Jan 2007 - 01:36 |
|
Ah j'oubliais quelque chose, créer des UO permet aussi d'en déléguer l'administration.
Dans mon exemple précédent, ça permettrais par exemple à un prof référent d'ajouter/supprimer les comptes de sa classe, sans pour autant lui refiler la possibilité de modifier les comptes d'autres classes ou d'autres profs (pas dans les memes UO).
On peut donc confier à quelqu'un la gestion d'une partie de ton arborescence Active Directory sans pour autant lui donner des droits d'administration du domaine en question  Et c'est ce qui à tendance à se généraliser vu que AD permet "facilement" à une entreprise qui à plusieurs sites, d'interconnecter les controleurs de domaines pour ne former au final qu'un seul domaine pour toute l'entreprise et ses succursales. |
_________________
Zonag |
|
|
|
tipitipi
Résident du forum
Sexe:
Messages: 394
Localisation: 92
|
| Posté le:
Mer 17 Jan 2007 - 10:11 |
|
Je te remercie énormément pour ces réponses qui m'ont été d'un grand secours
Tu n'as jamais pensé à rédiger des cours pour le cned ?
Encore merci,
T. |
_________________
un chat qui bloggue ? http://tiger.lechat.over-blog.com |
|
|
|
keldrill
Résident du forum
Messages: 284
|
| Posté le:
Mer 17 Jan 2007 - 10:57 |
|
Il faut aussi savoir que les OU sont les seuls objets de l'AD sur lesquels il est possible d'appliquer des GPO (Group Policy Object).
Pour répondre à ta question, les GPO sont des listes de restrictions (communément appelées stratégies) à appliquer sur le système client. Tu peux par exemple (et je dis bien "par exemple" car la liste est longue, et va en augmentant au fur et à mesure des versions Server de Windows) interdire l'accès au panneau de configuration etc... Associer cette liste de restrictions à une OU aura pour effet de les appliquer à l'environnement de l'utilisateur faisant partie de cette OU lorsqu'il se connectera.
Ensuite, étant donné que ces restrictions sont appliquées via des modifications de valeurs au niveau du registre du système client, il y a d'autres subtilités comme la différenciation des restrictions "Ordinateur" et "Utilisateur" qui ne sont respectivement que la représentation des clés HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER, ainsi que le principe d'héritage des stratégies (ou, à l'inverse, de blocage) sur les objets OU enfants.
Pour résumer, dans AD, les groupes de type sécurité (à ne pas confondre avec les groupes de distribution) permettent de sécuriser le domaine au niveau des systèmes de fichiers ainsi que des objets du domaine, tandis que les GPO donnent la possibilité de sécuriser les environnements. |
_________________
Read The Life Manual
http://indriya.org - http://circle-rock.net |
|
|
|
Channels
Résident du forum
Sexe:
Messages: 408
Localisation: Contrieres - Basse Normandie
|
| Posté le:
Mer 17 Jan 2007 - 11:47 |
|
Petite question personnelle plz
a travers des GPO, je vois très bien comment restreindre l'accès a certaines choses, mais par exemple :
Je souhaite que seuls les users du groupe INTERNET accèdent a INTERNET. Je créais donc ce groupe --> Comment définir que ce groupe ait accès a INTERNET, clique droit propriétés sur le groupe ???
Je souhaite également que certains users puissent pouvoir deverrouiller uniquement les comptes de l'AD. Je créais donc le groupe ROLE-Ad-Deverouiller, comment définir que ce groupe permet de deverrouiller dans l'AD? Toujours dans propriétés du groupe je ne vois pas comment faire en fait.
si vous pouviez m'éclaircir, thanks |
|
|
|
|
Zonag
Modérateur
Sexe:
Messages: 1298
Localisation: Toulouse
|
| Posté le:
Mer 17 Jan 2007 - 22:47 |
|
| Channels a écrit: |
| Je souhaite que seuls les users du groupe INTERNET accèdent a INTERNET. Je créais donc ce groupe --> Comment définir que ce groupe ait accès a INTERNET, clique droit propriétés sur le groupe ??? |
Hum ... Je ne sais pas trop. Si tu n'a pas de proxy filtrant dans ton réseau, tu ne peux pas tehoriquement vraiment interdire l'acces au net à certains utilisateurs en tant que tel.
Cela dit je vois bien une bidouille ... Si tu n'a qu'un sous réseau et que ton serveur et les clients sont dans le meme /24 tu peux par exemple ne pas fournir de passerelle par défaut aux clients et rajouter le "route add ..." en script de login via GPO aux membre du groupe Internet.  |
_________________
Zonag |
|
|
|
tipitipi
Résident du forum
Sexe:
Messages: 394
Localisation: 92
|
| Posté le:
Mer 17 Jan 2007 - 23:47 |
|
Houlà, la discussion atteint des niveaux qui me dépassent (enfin, pas de beaucoup, mais ça dépasse ma problématique de base )
Je vous remercie pour toutes ces précisions qui me sont très précieuses et très claires.
Et, bien sûr, je continue à suivre cette très intéressante discussion attentivement, les yeux grand ouverts  |
_________________
un chat qui bloggue ? http://tiger.lechat.over-blog.com |
|
|
|
Channels
Résident du forum
Sexe:
Messages: 408
Localisation: Contrieres - Basse Normandie
|
| Posté le:
Jeu 18 Jan 2007 - 00:19 |
|
Merci Zonag, j'y avais pensé également, fournir une fausse passerelle ou un faux proxy pour sortir sur le net....
Sinon pour mon exemple de Role-Ad-Deverrouiller, une idée plz ? Je sais que la ou je taff, il y a ce groupe ... |
|
|
|
|
Zonag
Modérateur
Sexe:
Messages: 1298
Localisation: Toulouse
|
| Posté le:
Jeu 18 Jan 2007 - 00:28 |
|
| Channels a écrit: |
| Merci Zonag, j'y avais pensé également, fournir une fausse passerelle ou un faux proxy pour sortir sur le net.... |
Le probleme avec un faux proxy c'est que l'adresse du proxy dépend d'un soft en question et pas du systeme. Tu peux faire une GPO qui va modifer le proxy dans les parametres d'IE. Si t'est pas trop con tu va aussi interdire la modification des parametres d'IE par les users
Mais ... Si un user utilise un autre navigateur, ça aura servi à rien ... 
| Channels a écrit: |
| Sinon pour mon exemple de Role-Ad-Deverrouiller, une idée plz ? Je sais que la ou je taff, il y a ce groupe ... |
Pas d'iddée non désolé  Je connais que les bases d'AD perso ... |
_________________
Zonag |
|
|
|
dununfolette
Modérateur
Sexe: 
Messages: 2497
Localisation: chambéry (73)
|
| Posté le:
Jeu 18 Jan 2007 - 12:19 |
|
Siles utilisateurs n'ont pas les droits d'admin (pour installer des applis) ils ne peuvent passe servir d'un autre navigateur |
_________________
Doudou BTS IG ARLE eu et LP Réseaux Sans Fil et Sécurité validée ! Boulot, boulot, boulot...
Pensez à valider votre profil !
 |
|
|
|
Channels
Résident du forum
Sexe:
Messages: 408
Localisation: Contrieres - Basse Normandie
|
| Posté le:
Jeu 18 Jan 2007 - 13:02 |
|
Oui, aucun user n'est admin LOCAL de la machine, donc tout le monde utiliser IE, la question du faux proxy peut être OK.
Par contre, pour mon role AD, personne n'a d'idée ? Ca m'intrigue... |
|
|
|
|
Zonag
Modérateur
Sexe:
Messages: 1298
Localisation: Toulouse
|
| Posté le:
Jeu 18 Jan 2007 - 13:55 |
|
| dununfolette a écrit: |
| Siles utilisateurs n'ont pas les droits d'admin (pour installer des applis) ils ne peuvent passe servir d'un autre navigateur |
Ah la dure loi de la téhorie et de la pratique
Oui oui en tehorie ils peuvent pas ... Et moi je me sers toujours de mon firefox portable sur clé USB quand je vais en cours et bien sur je ne suis pas admin sur le poste. Et c'est qu'un exemple hein, y a pleins d'autres façons de contourner un "faux proxy".
Si vraiment tu veux un filtrage efficace, un vrai proxy c'est sans doute beaucoup mieux Et pas si compliqué que ça à mettre en place ... |
_________________
Zonag |
|
|
|
|
|
