URGENT !!! Workgroup ou domaine ?

Dans le message news:20d8a01c459d8$dde755b0$a501280a@phx.gbl ,
mcam <sav@sbi.be> s'est ainsi exprimé:

Bonjour,

j'aimerais connaître les avantages et inconvénients
(surtout pour la connexion des pc) entre workgroup et
domaines sur un domaines ou les users sont définis dans
l'active directory du serveur.

Quelles sont les possibilités des users avec un pc en
worgroup et idem pour les users qui nt des pc en domaine.

(copier-coller d'un message que j'ai posté le 13/05/04)

Pour commencer, il faut distinguer
"Domaine Microsoft"
et
"Domaine Internet"!

Petits rappels :
1) Domaine Internet
-------------------
TOUTE machine connectée à Internet est identifiée par une adresse unique,
dite "adresse IP", sous la forme d'un nombre binaire codé sur 32 bits (ou
plus, cf. IP V6).
La manipulation de tels nombres n'étant pas pratique, on va donner à chaque
machine un nom symbolique, appelé "nom de domaine", beaucoup plus parlant et
facile à retenir par un interlocuteur humain, et c'est un "service
d'annuaire" qui effectuera la traduction nom symbolique-adresse.
Ce service, géré automatiquement par des serveurs dialoguant entre eux est
appelé "DNS" (Domain Name Service)
Par exemple :
Microsoft -> microsoft.com
l'Elysée -> elysee.fr
La CIA -> cia.gov
JCB -> bellamyjc.org (;+))
...
Chaque point, dans le nom symbolique, sépare ce qu'on appelle un "domaine"
d'un "sous-domaine".
L'arborescence doit être lue de droite à gauche.
Les domaines de 1er niveau (=les plus à droite) sont définis à l'échelle
mondiale par l'ICANN (Internet Corporation for Assigned Names and Numbers)
(.com, .edu, .net, ...) et de plus chaque pays possède son propre domaine
(.be, .ca, .ch, .fr, .ch, ...)
Le domaine de 2ème niveau définit l'entreprise (ou organisme,
université, .).
Par exemple ".edf", ".microsoft", ".bellamyjc" ,.
Les domaines de 3ème niveau et au-delà sont facultatifs, et sont gérés par
l'entreprise pour distinguer plusieurs serveurs éventuels.
Quand une entreprise (organisme, ..) décide de "déposer un nom de domaine",
elle s'adresse à un prestataire habilité pour le faire (dans son pays pour
les domaines "régionaux" OU aux USA pour les domaines "génériques"), qui va
vérifier si le nom n'existe pas déjà, et ensuite va lui attribuer une (ou
plusieurs) adresse(s) IP disponible(s).

Le couple domaine-adresse IP est ensuite communiqué à des serveurs DNS, tous
connectés à Internet, qui vont dialoguer entre eux pour "répliquer" (si
besoin est) cette mise à jour d'annuaire.


2) Domaine Microsoft
--------------------
Il n'a AUCUN rapport avec le précédent, MEME SI, depuis l'arrivée de Windows
2000 et d'Active Directory, les noms de domaine Internet et domaine
Microsoft peuvent se ressembler, voire être identiques (au point d'être
source de conflits et problèmes parfois difficiles à surmonter par les
administrateurs!!!)

Cela concerne l'ORGANISATION d'un réseau de machines utilisant des OS
Microsoft et la façon de gérer les comptes des utilisateurs de ces machines.

Un réseau de machines Microsoft peut être organisé de 2 façons différents :
"Groupe de travail" (Workgroup)
ou
"Domaine"

(j'ai éliminé le cas de machines totalement isolées, étant donné qu'il
serait absurde d'intégrer une machine dans un réseau alors qu'on ne veut pas
qu'elle communique avec d'autres!)

2.1) Workgroup :
----------------
Chaque machine est AUTONOME, et gère elle-même la liste des utilisateurs
autorisés à s'y connecter (nom et mot de passe), avec leurs droits
respectifs.

Donc si l'utilisateur "Duschmurz" de la machine "A", mot de passe "plops",
veut se connecter sur la machine "B" (montage d'une ressource partagée,
disque ou imprimante), il faudra qu'il existe également sur cette machine B
un compte identique ("Duschmurz"/"plops").
Si par hasard le compte n'existe pas sur "B", ou si le mot de passe est
différent, la connexion sera refusée (à moins de préciser qu'on veut, au
préalable, changer d'identification)

Ce système est SIMPLE, ne demande aucune architecture particulière, un
serveur n'est pas nécessaire.
Par contre si le nombre d'utilisateurs est important, cela devient vite
INGÉRABLE! (il faut modifier la liste de comptes sur chaque machine pour que
tout le monde puisse communiquer)

Un Workgroup est défini par un nom, totalement arbitraire, et il est fixé au
niveau de chaque machine.
P.ex. sous XP depuis le panneau de config système, onglet "Nom de
l'ordinateur", Modifier

Dans un même réseau, il peut y avoir plusieurs groupes distincts (à la
limite autant qu'il y a de machines!).
Mais le fait d'appartenir au même workgroup facilite l'exploration du réseau
et réduit les temps de recherche de machine, c'est tout.

TOUTE machine, quel que soit son OS, peut être membre d'un Workgroup (Win
3.11, Win9X/ME, NT4 WS et SRV, W2K PRO et SRV, XP HOME ET PRO, W2K3)


2.2) Domaine (Microsoft):
-------------------------
La gestion des comptes (et des machines) est CENTRALISÉEE sur un SERVEUR de
DOMAINE (NT4, W2K, W2K3, Netware, Linux+Samba). (il peut y avoir aussi des
serveurs auxiliaires, de sauvegarde,..)

Dans ce cas, lorsque l'utilisateur "Duschmurz" veut ouvrir une session sur
sa machine "A", l'identification "Duschmurz"/"plops" est transmise
(automatiquement, par diffusion) sur le réseau, pour aboutir à un serveur
responsable du domaine (le nom de ce domaine est indiqué dans la boite
dialogue de connexion).

Tout domaine est donc identifié par un NOM, arbitraire, qui a été défini une
fois pour toutes sur le SERVEUR principal.
P.ex. "COMMERCIAL", "RECHERCHE", ..., voire "personnel.glutzenbaum.com" dans
le cas de serveurs Netware ou W2k/W2K3 avec Active Directory (donc ayant la
même structure qu'un nom de domaine Internet, ce qui est parfois source de
conflits et/ou d'erreurs humaines comme je l'indiquais plus haut).

NB: pour qu'un utilisateur puisse se connecter depuis un poste de travail à
un domaine, il aura fallu au préalable que cette machine ait été "déclarée"
dans le domaine (opération effectuée par un administrateur de domaine)

Le serveur de domaine va examiner cette requête, en vérifiant que :
- la machine "A" est autorisée
- le compte "Duschmurz" est autorisé
- que le mot de passe "plops" est correct

Il va retourner alors un "jeton" d'autorisation à "A", ce qui va permettre
l'ouverture de la session en local, et aussi autoriser les montages de
ressources éventuelles.
Si "Duschmurz" veut monter un partage de la machine "B", appartenant au même
domaine, c'est l'authentification effectuée par le serveur de domaine (et
non pas par "B") qui va autoriser (ou refuser) cette opération.

Le fonctionnement en domaine est donc très PUISSANT, car DYNAMIQUE.

Ainsi, dans le cas d'un nouvel utilisateur, il suffit de créer son compte
UNIQUEMENT sur le serveur. A partir de cet instant, il pourra se connecter
sur n'importe quelle machine du domaine, et accéder à n'importe quelle
ressource, sous réserve de droits suffisants alloués par l'administrateur.
De plus, si l'administrateur a prévu la gestion de "profils itinérants"
(stockés sur le serveur), l'utilisateur retrouvera, quelle que soit la
machine sur laquelle il se connecte, l'environnement de travail qui lui est
propre (fond d'écran, icônes, raccourcis, petites manies, ...)

Un domaine réalisé avec un serveur NT4 ne possède qu'un seul niveau
("glutzenbaum"), par contre avec Netware ou W2k(3)+Active Directory on peut
avoir une arborescence quasi infinie ("siege.glutzenbaum",
"commercial.glutzenbaum", "personnel.glutzenbaum",
"filiale-A.etudes.glutzenbaum",...) ce qui permet d'affiner les droits (les
utilisateurs appartenant à une filiale n'auront pas accès aux machines et
ressources du siège, ...)

NB: Sous W2K et W2K3, cette liste de comptes et machines est stockée dans un
annuaire LDAP, composant principal de "Active Directory" (n'existe pas sous
NT4)


Il est évident que la mise en place d'un domaine peut s'avérer très complexe
(dans de très grandes entreprises cela peut nécessiter plusieurs mois, car
il faut faire attention, en particulier, dans la définition de
l'arborescence!) et nécessite obligatoirement la présence
d'administrateur(s).

Toute machine, ***** SAUF CELLES QUI SONT sous XP HOME *****, peut être
membre d'un Domaine (Win9X/ME, NT4,W2K, XP PRO, W2K3)


NB: Domaine et WorkGroup peuvent cohabiter dans un même réseau physique
(même si ce n'est pas très rationnel!). Je l'ai fait chez moi, à des fins de
tests des 2 architectures.
Un utilisateur ayant ouvert une session sur un ordinateur d'un Workgroup
pourra se connecter sur une ressource d'un ordinateur d'un domaine pour
autant que son compte local (username/password) se retrouve à l'identique
dans la liste des comptes du domaine, et inversement.


----------------------------
PS: j'ai essayé de synthétiser au maximum, car cette question fait l'objet
de livres entiers!


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
http://www.bellamyjc.org Jean-Claude.Bellamy@wanadoo.fr *
JC.Bellamy@free.fr

En résumé, tout dépend du nombre de poste et de client à
gérer.
Pour 3 clients, un Worksgroup te suffit.
Le plus gros avantage du DC avec AD c'est la gestion des
users qui est centralisé !
A+
Nico

-----Message d'origine-----
Bonjour,

j'aimerais connaître les avantages et inconvénients
(surtout pour la connexion des pc) entre workgroup et
domaines sur un domaines ou les users sont définis dans
l'active directory du serveur.

Quelles sont les possibilités des users avec un pc en
worgroup et idem pour les users qui nt des pc en domaine.

Merci
.

Excellente explication. tout est détaillé et
compréhensible.
J'allais moi aussi répondre mais tu as tout dit et il n'y
a rien à rajouter.

FRED