Gestion des groupes dans une foret

Bonsoir,

Cela dépend de multiples paramètres!

Exemple:
Qui va gérer le domaine racine et les domaines enfants? est ce la même
personne?
Dans quel domaine vont se trouver les utilisateurs? Vont ils tous accéder au
serveurs du domaine racine?

Ce que je veux dire, c'est qu'en fonction de ton design et de tes besoins,
la réponse peut varier ...
L'approche décrite dans le lien que tu donnes est une approche académique.

Cependant, le modèle de groupes Universels reste une valeur sure dans un
contexte de forêt

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le message de
news:369BAA58-1D41-4683-ABD6-8B1A0E326312@microsoft.com...

Bonsoir!
Etant en train de remonter un domaine sous windows 2003 Server R2, je suis
en pleine création des groupes.
Mon domaine étant structuré comme ceci:
- 2 Serveurs en tant que DC racine.
- 2 X 1 Serveur pour les domaines enfant. (2 domaines enfant).
j'ai créé mes OU et mes utilisateurs sur mes DC enfant pour le moment. Je
vais également y créer des groupes pour les autorisations. Mais du fait
que mes serveurs applicatif et que le serveur de fichier vont se trouvé
rattaché au domaine root, je voulais si il était utile de créé des groupes
universels sur les serveurs root et des groupes locaux pour gérer les
autorisations ou vaut-il mieux mettre tout les groupes sur les domaines
enfant et donner directement les droits à partir de là?

J'ai un peu suivi cet article et surtout la partie 3 sur la gestion des
groupes dans une foret:
http://www.laboratoire-microsoft.org/articles/win/groupes/2/

Merci pour votre aide...

Bonjour,

En fait dans mon cas, c'est la même personne qui va gérer le domaine racine
et les domaines enfants.
Les utilisateurs se trouvent dans leur domaine enfant respectif. Cela est du
à la spécificité de chaqu'un des domaines enfants.

Par contre les serveurs applicatifs, de messagerie, de fichiers, ..., et
internet seront déclaré au niveau du domaine racine puisque les utilisateurs
des deux domaines enfant pourront accéder à ces ressources.

Voilà pour ce qui est du design dans les grandes lignes.

Merci pour votre aide.

"Michaël THIBAUT" <mthibaut@-enlever-hotmail.fr> a écrit dans le message de
news:C238B934-9DAE-4C2C-9C04-D6CD7741A764@microsoft.com...

Bonsoir,

Cela dépend de multiples paramètres!

Exemple:
Qui va gérer le domaine racine et les domaines enfants? est ce la même
personne?
Dans quel domaine vont se trouver les utilisateurs? Vont ils tous accéder
au serveurs du domaine racine?

Ce que je veux dire, c'est qu'en fonction de ton design et de tes besoins,
la réponse peut varier ...
L'approche décrite dans le lien que tu donnes est une approche académique.

Cependant, le modèle de groupes Universels reste une valeur sure dans un
contexte de forêt

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le message de
news:369BAA58-1D41-4683-ABD6-8B1A0E326312@microsoft.com...

Bonsoir!
Etant en train de remonter un domaine sous windows 2003 Server R2, je
suis en pleine création des groupes.
Mon domaine étant structuré comme ceci:
- 2 Serveurs en tant que DC racine.
- 2 X 1 Serveur pour les domaines enfant. (2 domaines enfant).
j'ai créé mes OU et mes utilisateurs sur mes DC enfant pour le moment. Je
vais également y créer des groupes pour les autorisations. Mais du fait
que mes serveurs applicatif et que le serveur de fichier vont se trouvé
rattaché au domaine root, je voulais si il était utile de créé des
groupes universels sur les serveurs root et des groupes locaux pour gérer
les autorisations ou vaut-il mieux mettre tout les groupes sur les
domaines enfant et donner directement les droits à partir de là?

J'ai un peu suivi cet article et surtout la partie 3 sur la gestion des
groupes dans une foret:
http://www.laboratoire-microsoft.org/articles/win/groupes/2/

Merci pour votre aide...

Bonjour Baptiste,

en ce cas, il n'est peut être pas mauvais de suivre le classique A-G-U-DL-P
décrit dans l'article.
En fait, ça me parait surtout la meilleure façon de faire, puisque tu as
choisi un modèle de forêt de type domaine de ressources / domaines de
comptes.

PS : salut mon Michaël ;)
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le message de
news: eygw3F5cIHA.4968@TK2MSFTNGP02.phx.gbl...

Bonjour,

En fait dans mon cas, c'est la même personne qui va gérer le domaine
racine et les domaines enfants.
Les utilisateurs se trouvent dans leur domaine enfant respectif. Cela est
du à la spécificité de chaqu'un des domaines enfants.

Par contre les serveurs applicatifs, de messagerie, de fichiers, ..., et
internet seront déclaré au niveau du domaine racine puisque les
utilisateurs des deux domaines enfant pourront accéder à ces ressources.

Voilà pour ce qui est du design dans les grandes lignes.

Merci pour votre aide.

"Michaël THIBAUT" <mthibaut@-enlever-hotmail.fr> a écrit dans le message
de news:C238B934-9DAE-4C2C-9C04-D6CD7741A764@microsoft.com...

Bonsoir,

Cela dépend de multiples paramètres!

Exemple:
Qui va gérer le domaine racine et les domaines enfants? est ce la même
personne?
Dans quel domaine vont se trouver les utilisateurs? Vont ils tous accéder
au serveurs du domaine racine?

Ce que je veux dire, c'est qu'en fonction de ton design et de tes
besoins, la réponse peut varier ...
L'approche décrite dans le lien que tu donnes est une approche
académique.

Cependant, le modèle de groupes Universels reste une valeur sure dans un
contexte de forêt

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le message
de news:369BAA58-1D41-4683-ABD6-8B1A0E326312@microsoft.com...

Bonsoir!
Etant en train de remonter un domaine sous windows 2003 Server R2, je
suis en pleine création des groupes.
Mon domaine étant structuré comme ceci:
- 2 Serveurs en tant que DC racine.
- 2 X 1 Serveur pour les domaines enfant. (2 domaines enfant).
j'ai créé mes OU et mes utilisateurs sur mes DC enfant pour le moment.
Je vais également y créer des groupes pour les autorisations. Mais du
fait que mes serveurs applicatif et que le serveur de fichier vont se
trouvé rattaché au domaine root, je voulais si il était utile de créé
des groupes universels sur les serveurs root et des groupes locaux pour
gérer les autorisations ou vaut-il mieux mettre tout les groupes sur les
domaines enfant et donner directement les droits à partir de là?

J'ai un peu suivi cet article et surtout la partie 3 sur la gestion des
groupes dans une foret:
http://www.laboratoire-microsoft.org/articles/win/groupes/2/

Merci pour votre aide...

D'accord!

Mais alors ai-je bien fait de créé mes OU au niveau du domaine enfant?
Sachant que mes utilisateurs y sont également créé...
De plus si je suis cette logique il faut que je créé des groupes globaux au
niveau du domaine enfant et qu'ensuite je créé des groupes universels et des
groupes locaux sur le domaine racine.

J'aurais peut-etre du créé mes utilisateurs au niveau du domaine enfant les
mettre dans des groupes globaux et créé mes OU au niveau racine pour y
mettre mes GPO, mes groupes universels et mes groupes locaux...



"Jonathan BISMUTH" <jonath.b@free.fr> a écrit dans le message de
news:e$bOMX5cIHA.1204@TK2MSFTNGP03.phx.gbl...

Bonjour Baptiste,

en ce cas, il n'est peut être pas mauvais de suivre le classique
A-G-U-DL-P décrit dans l'article.
En fait, ça me parait surtout la meilleure façon de faire, puisque tu as
choisi un modèle de forêt de type domaine de ressources / domaines de
comptes.

PS : salut mon Michaël ;)
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le message de
news: eygw3F5cIHA.4968@TK2MSFTNGP02.phx.gbl...

Bonjour,

En fait dans mon cas, c'est la même personne qui va gérer le domaine
racine et les domaines enfants.
Les utilisateurs se trouvent dans leur domaine enfant respectif. Cela est
du à la spécificité de chaqu'un des domaines enfants.

Par contre les serveurs applicatifs, de messagerie, de fichiers, ..., et
internet seront déclaré au niveau du domaine racine puisque les
utilisateurs des deux domaines enfant pourront accéder à ces ressources.

Voilà pour ce qui est du design dans les grandes lignes.

Merci pour votre aide.

"Michaël THIBAUT" <mthibaut@-enlever-hotmail.fr> a écrit dans le message
de news:C238B934-9DAE-4C2C-9C04-D6CD7741A764@microsoft.com...

Bonsoir,

Cela dépend de multiples paramètres!

Exemple:
Qui va gérer le domaine racine et les domaines enfants? est ce la même
personne?
Dans quel domaine vont se trouver les utilisateurs? Vont ils tous
accéder au serveurs du domaine racine?

Ce que je veux dire, c'est qu'en fonction de ton design et de tes
besoins, la réponse peut varier ...
L'approche décrite dans le lien que tu donnes est une approche
académique.

Cependant, le modèle de groupes Universels reste une valeur sure dans un
contexte de forêt

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le message
de news:369BAA58-1D41-4683-ABD6-8B1A0E326312@microsoft.com...

Bonsoir!
Etant en train de remonter un domaine sous windows 2003 Server R2, je
suis en pleine création des groupes.
Mon domaine étant structuré comme ceci:
- 2 Serveurs en tant que DC racine.
- 2 X 1 Serveur pour les domaines enfant. (2 domaines enfant).
j'ai créé mes OU et mes utilisateurs sur mes DC enfant pour le moment.
Je vais également y créer des groupes pour les autorisations. Mais du
fait que mes serveurs applicatif et que le serveur de fichier vont se
trouvé rattaché au domaine root, je voulais si il était utile de créé
des groupes universels sur les serveurs root et des groupes locaux pour
gérer les autorisations ou vaut-il mieux mettre tout les groupes sur
les domaines enfant et donner directement les droits à partir de là?

J'ai un peu suivi cet article et surtout la partie 3 sur la gestion des
groupes dans une foret:
http://www.laboratoire-microsoft.org/articles/win/groupes/2/

Merci pour votre aide...

ça ne me choque pas outre mesure, mais ma réponse sera plus nuancée.

Si tu utilise tes OU pour classer tes utilisateurs par périmètre, leurs
appliquer des GPO users etc... pourquoi les déplacer, ils sont très bien
dans les OU des domaines enfants.
Ton travail complémentaire en revanche, monter des OU ordinateurs (par
exemple par application, ou périmètre applicatif) dans le domaine parents.

Cela, afin de te permettre de bien faire le distinguo entre tes
organisations ressources et administratives (users).
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le message de
news: exrOPk5cIHA.3788@TK2MSFTNGP02.phx.gbl...

D'accord!

Mais alors ai-je bien fait de créé mes OU au niveau du domaine enfant?
Sachant que mes utilisateurs y sont également créé...
De plus si je suis cette logique il faut que je créé des groupes globaux
au niveau du domaine enfant et qu'ensuite je créé des groupes universels
et des groupes locaux sur le domaine racine.

J'aurais peut-etre du créé mes utilisateurs au niveau du domaine enfant
les mettre dans des groupes globaux et créé mes OU au niveau racine pour y
mettre mes GPO, mes groupes universels et mes groupes locaux...



"Jonathan BISMUTH" <jonath.b@free.fr> a écrit dans le message de
news:e$bOMX5cIHA.1204@TK2MSFTNGP03.phx.gbl...

Bonjour Baptiste,

en ce cas, il n'est peut être pas mauvais de suivre le classique
A-G-U-DL-P décrit dans l'article.
En fait, ça me parait surtout la meilleure façon de faire, puisque tu as
choisi un modèle de forêt de type domaine de ressources / domaines de
comptes.

PS : salut mon Michaël ;)
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le message
de news: eygw3F5cIHA.4968@TK2MSFTNGP02.phx.gbl...

Bonjour,

En fait dans mon cas, c'est la même personne qui va gérer le domaine
racine et les domaines enfants.
Les utilisateurs se trouvent dans leur domaine enfant respectif. Cela
est du à la spécificité de chaqu'un des domaines enfants.

Par contre les serveurs applicatifs, de messagerie, de fichiers, ..., et
internet seront déclaré au niveau du domaine racine puisque les
utilisateurs des deux domaines enfant pourront accéder à ces ressources.

Voilà pour ce qui est du design dans les grandes lignes.

Merci pour votre aide.

"Michaël THIBAUT" <mthibaut@-enlever-hotmail.fr> a écrit dans le message
de news:C238B934-9DAE-4C2C-9C04-D6CD7741A764@microsoft.com...

Bonsoir,

Cela dépend de multiples paramètres!

Exemple:
Qui va gérer le domaine racine et les domaines enfants? est ce la même
personne?
Dans quel domaine vont se trouver les utilisateurs? Vont ils tous
accéder au serveurs du domaine racine?

Ce que je veux dire, c'est qu'en fonction de ton design et de tes
besoins, la réponse peut varier ...
L'approche décrite dans le lien que tu donnes est une approche
académique.

Cependant, le modèle de groupes Universels reste une valeur sure dans
un contexte de forêt

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le message
de news:369BAA58-1D41-4683-ABD6-8B1A0E326312@microsoft.com...

Bonsoir!
Etant en train de remonter un domaine sous windows 2003 Server R2, je
suis en pleine création des groupes.
Mon domaine étant structuré comme ceci:
- 2 Serveurs en tant que DC racine.
- 2 X 1 Serveur pour les domaines enfant. (2 domaines enfant).
j'ai créé mes OU et mes utilisateurs sur mes DC enfant pour le moment.
Je vais également y créer des groupes pour les autorisations. Mais du
fait que mes serveurs applicatif et que le serveur de fichier vont se
trouvé rattaché au domaine root, je voulais si il était utile de créé
des groupes universels sur les serveurs root et des groupes locaux
pour gérer les autorisations ou vaut-il mieux mettre tout les groupes
sur les domaines enfant et donner directement les droits à partir de
là?

J'ai un peu suivi cet article et surtout la partie 3 sur la gestion
des groupes dans une foret:
http://www.laboratoire-microsoft.org/articles/win/groupes/2/

Merci pour votre aide...

En fait mes OU colle à la hiérarchie de ma société.

Je pensais reprendre la même structure pour les repertoires.
Mais vu que mon serveur de fichier va surement se retrouvé au niveau du
domaine racine...
Pour ce qui est du périmetre applicatif au niveau du domaine racine c'est
une bonne idée... et vu que tout mes serveurs applicatif vont s'y retrouvés.

Du coup pour la gestion des droits sur les repertoires il faudrait que je le
fasse directement avec les groupes globaux du domaine enfant?! Est-ce une
bonne solution?

Comme ça je garde le domaine administratif (user et gestion des repertoire
au niveau du domaine enfant) et je gere la partie applicative au niveau du
domaine racine.

"Jonathan BISMUTH" <jonath.b@free.fr> a écrit dans le message de
news:eoqIM05cIHA.5160@TK2MSFTNGP05.phx.gbl...

ça ne me choque pas outre mesure, mais ma réponse sera plus nuancée.

Si tu utilise tes OU pour classer tes utilisateurs par périmètre, leurs
appliquer des GPO users etc... pourquoi les déplacer, ils sont très bien
dans les OU des domaines enfants.
Ton travail complémentaire en revanche, monter des OU ordinateurs (par
exemple par application, ou périmètre applicatif) dans le domaine parents.

Cela, afin de te permettre de bien faire le distinguo entre tes
organisations ressources et administratives (users).
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le message de
news: exrOPk5cIHA.3788@TK2MSFTNGP02.phx.gbl...

D'accord!

Mais alors ai-je bien fait de créé mes OU au niveau du domaine enfant?
Sachant que mes utilisateurs y sont également créé...
De plus si je suis cette logique il faut que je créé des groupes globaux
au niveau du domaine enfant et qu'ensuite je créé des groupes universels
et des groupes locaux sur le domaine racine.

J'aurais peut-etre du créé mes utilisateurs au niveau du domaine enfant
les mettre dans des groupes globaux et créé mes OU au niveau racine pour
y mettre mes GPO, mes groupes universels et mes groupes locaux...



"Jonathan BISMUTH" <jonath.b@free.fr> a écrit dans le message de
news:e$bOMX5cIHA.1204@TK2MSFTNGP03.phx.gbl...

Bonjour Baptiste,

en ce cas, il n'est peut être pas mauvais de suivre le classique
A-G-U-DL-P décrit dans l'article.
En fait, ça me parait surtout la meilleure façon de faire, puisque tu as
choisi un modèle de forêt de type domaine de ressources / domaines de
comptes.

PS : salut mon Michaël ;)
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le message
de news: eygw3F5cIHA.4968@TK2MSFTNGP02.phx.gbl...

Bonjour,

En fait dans mon cas, c'est la même personne qui va gérer le domaine
racine et les domaines enfants.
Les utilisateurs se trouvent dans leur domaine enfant respectif. Cela
est du à la spécificité de chaqu'un des domaines enfants.

Par contre les serveurs applicatifs, de messagerie, de fichiers, ...,
et internet seront déclaré au niveau du domaine racine puisque les
utilisateurs des deux domaines enfant pourront accéder à ces
ressources.

Voilà pour ce qui est du design dans les grandes lignes.

Merci pour votre aide.

"Michaël THIBAUT" <mthibaut@-enlever-hotmail.fr> a écrit dans le
message de news:C238B934-9DAE-4C2C-9C04-D6CD7741A764@microsoft.com...

Bonsoir,

Cela dépend de multiples paramètres!

Exemple:
Qui va gérer le domaine racine et les domaines enfants? est ce la même
personne?
Dans quel domaine vont se trouver les utilisateurs? Vont ils tous
accéder au serveurs du domaine racine?

Ce que je veux dire, c'est qu'en fonction de ton design et de tes
besoins, la réponse peut varier ...
L'approche décrite dans le lien que tu donnes est une approche
académique.

Cependant, le modèle de groupes Universels reste une valeur sure dans
un contexte de forêt

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le
message de news:369BAA58-1D41-4683-ABD6-8B1A0E326312@microsoft.com...

Bonsoir!
Etant en train de remonter un domaine sous windows 2003 Server R2, je
suis en pleine création des groupes.
Mon domaine étant structuré comme ceci:
- 2 Serveurs en tant que DC racine.
- 2 X 1 Serveur pour les domaines enfant. (2 domaines enfant).
j'ai créé mes OU et mes utilisateurs sur mes DC enfant pour le
moment. Je vais également y créer des groupes pour les autorisations.
Mais du fait que mes serveurs applicatif et que le serveur de fichier
vont se trouvé rattaché au domaine root, je voulais si il était utile
de créé des groupes universels sur les serveurs root et des groupes
locaux pour gérer les autorisations ou vaut-il mieux mettre tout les
groupes sur les domaines enfant et donner directement les droits à
partir de là?

J'ai un peu suivi cet article et surtout la partie 3 sur la gestion
des groupes dans une foret:
http://www.laboratoire-microsoft.org/articles/win/groupes/2/

Merci pour votre aide...

Du coup pour la gestion des droits sur les répertoires il faudrait que je
le fasse directement avec les groupes globaux du domaine enfant?! Est-ce
une bonne solution?
Puisque ton serveur de fichiers va justement se retrouver sur le domaine

parent, l'idéal est plutôt de coller tes globaux dans des universels du
domaine parent, et ceux-ci dans des groupes locaux de domaines (sur lesquels
tu mets tes droits), mais j'ai peut être raté une étape du raisonnement?

Ceci dit, qu'importe la manière, n'oublie juste pas que tes groupes globaux
du domaine enfant ne pourront pas aller dans des groupes globaux du parent
(tu ne les verra même pas), alors que tu verra les groupes universels et que
tu pourra les voir dans tes groupes locaux du parent

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le message de
news: uzFlZo6cIHA.1208@TK2MSFTNGP05.phx.gbl...

En fait mes OU colle à la hiérarchie de ma société.

Je pensais reprendre la même structure pour les repertoires.
Mais vu que mon serveur de fichier va surement se retrouvé au niveau du
domaine racine...
Pour ce qui est du périmetre applicatif au niveau du domaine racine c'est
une bonne idée... et vu que tout mes serveurs applicatif vont s'y
retrouvés.

Du coup pour la gestion des droits sur les repertoires il faudrait que je
le fasse directement avec les groupes globaux du domaine enfant?! Est-ce
une bonne solution?

Comme ça je garde le domaine administratif (user et gestion des repertoire
au niveau du domaine enfant) et je gere la partie applicative au niveau du
domaine racine.
...

Salut mon jonathan !! :-)

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Jonathan BISMUTH" <jonath.b@free.fr> a écrit dans le message de
news:e$bOMX5cIHA.1204@TK2MSFTNGP03.phx.gbl...

Bonjour Baptiste,

en ce cas, il n'est peut être pas mauvais de suivre le classique
A-G-U-DL-P décrit dans l'article.
En fait, ça me parait surtout la meilleure façon de faire, puisque tu as
choisi un modèle de forêt de type domaine de ressources / domaines de
comptes.

PS : salut mon Michaël ;)
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le message de
news: eygw3F5cIHA.4968@TK2MSFTNGP02.phx.gbl...

Bonjour,

En fait dans mon cas, c'est la même personne qui va gérer le domaine
racine et les domaines enfants.
Les utilisateurs se trouvent dans leur domaine enfant respectif. Cela est
du à la spécificité de chaqu'un des domaines enfants.

Par contre les serveurs applicatifs, de messagerie, de fichiers, ..., et
internet seront déclaré au niveau du domaine racine puisque les
utilisateurs des deux domaines enfant pourront accéder à ces ressources.

Voilà pour ce qui est du design dans les grandes lignes.

Merci pour votre aide.

"Michaël THIBAUT" <mthibaut@-enlever-hotmail.fr> a écrit dans le message
de news:C238B934-9DAE-4C2C-9C04-D6CD7741A764@microsoft.com...

Bonsoir,

Cela dépend de multiples paramètres!

Exemple:
Qui va gérer le domaine racine et les domaines enfants? est ce la même
personne?
Dans quel domaine vont se trouver les utilisateurs? Vont ils tous
accéder au serveurs du domaine racine?

Ce que je veux dire, c'est qu'en fonction de ton design et de tes
besoins, la réponse peut varier ...
L'approche décrite dans le lien que tu donnes est une approche
académique.

Cependant, le modèle de groupes Universels reste une valeur sure dans un
contexte de forêt

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Baptiste Schwartzbart" <bschwartzbart@free.fr> a écrit dans le message
de news:369BAA58-1D41-4683-ABD6-8B1A0E326312@microsoft.com...

Bonsoir!
Etant en train de remonter un domaine sous windows 2003 Server R2, je
suis en pleine création des groupes.
Mon domaine étant structuré comme ceci:
- 2 Serveurs en tant que DC racine.
- 2 X 1 Serveur pour les domaines enfant. (2 domaines enfant).
j'ai créé mes OU et mes utilisateurs sur mes DC enfant pour le moment.
Je vais également y créer des groupes pour les autorisations. Mais du
fait que mes serveurs applicatif et que le serveur de fichier vont se
trouvé rattaché au domaine root, je voulais si il était utile de créé
des groupes universels sur les serveurs root et des groupes locaux pour
gérer les autorisations ou vaut-il mieux mettre tout les groupes sur
les domaines enfant et donner directement les droits à partir de là?

J'ai un peu suivi cet article et surtout la partie 3 sur la gestion des
groupes dans une foret:
http://www.laboratoire-microsoft.org/articles/win/groupes/2/

Merci pour votre aide...