Bonjour à toutes et à tous,
J'ai un petit souci avec une architecture actuelle AD 2003:
Un siège social (environ 100 personnes): 15 serveurs Windows 2003 (2 DCs
entre autres, 1 TSE 2003 pour applis distantes et quelques serveurs
d'applications locales)
Une 60taine de sites distants avec en majorité 1 DC par site (en Windows
2000 /2003) - Chaque site peuplé avec en moyenne 40 users (les ressources
sont des dossiers, des imprimantes, des applications locales)
Le siège est une forêt avec ses domaines
Les sites sont indépendants en tout: 1 site = 1 forêt + 1 domaine
L'infrastructure Télécom repose sur des lignes "bas débit" ADSL (128
upload, 1 Mo Download)
Et tout cela réplique joyeusement dans la bonne humeur ...
Je me pose une question existentielle (à la demande du client final)
- En émettant une hypothèse d'acquisition de lignes haut-débit symétriques
IP 4 Mo):
- Jouer la carte de la mobilité des collaborateurs (accès aux ressources
locales des sites distants, à partir du siège ou à partir d'un point
quelconque hors société (liaisions GPRS / 3 G / Wifi) à partir de PDAs, de
portables, applications comprises, via une distribution Citrix ou TSE à
voir en fonctions des types d'applications.
- Verrouiller les sites distants
- Créer une seule forêt (siège)
- Décrocher les arborescences des sites distants de leur forêt
- Raccrocher les arborescences dans la nouvelle forêt au siège
- Supprimer les forêts des sites distants.
Est-ce jouable ?
- 2ème solution:
- Laisser les forêts telles quelles le sont.
- Rajouter des relations d'approbations inter forêts ou inter-domaines
Est-ce jouable ?
Sachant que l'on peut toujours laisser une marge de manoeuvre, en cas
d'indisponibilité du siège, les sites pourront fonctionner en autonome
(mode dégradé). Et si un site souhaite se séparer du siège, il sera
parfaitement autonome (présence de la forêt et du domaine)
Petit hic! Si je rajoute la possibilité de placer un Exchange 2007
(j'aimerais bien) dans ce type d'infrastructure, comment dois-je m'y
prendre pour que ce soit le plus souple possible tout en gardant
l'administration centralisée et sécurisée (par PKI notamment) ?
2ème petit hic: et je rajoute un portail Sharepoint MOSS 2007, comment le
place-t-on, quelle serait la meilleure infrastructure ?
J'ai quelques idées .... mais qu'en pensent les pros de l'AD ?
Sachant que je dois ramener depuis quelques sites des infos provenant de
divers annuaires ou de les conserver ? Avec quels produits MS puis-je les
synchroniser (MIIS ? ou autres ). en open source, j'ai mon idée.
Merci de vos conseils éclairés.
Cordialement,
Forum
Bonjour à toutes et à tous,
J'ai un petit souci avec une architecture actuelle AD 2003:
Un siège social (environ 100 personnes): 15 serveurs Windows 2003 (2 DCs
entre autres, 1 TSE 2003 pour applis distantes et quelques serveurs
d'applications locales)
Une 60taine de sites distants avec en majorité 1 DC par site (en Windows
2000 /2003) - Chaque site peuplé avec en moyenne 40 users (les ressources
sont des dossiers, des imprimantes, des applications locales)
Le siège est une forêt avec ses domaines
Les sites sont indépendants en tout: 1 site = 1 forêt + 1 domaine
L'infrastructure Télécom repose sur des lignes "bas débit" ADSL (128
upload, 1 Mo Download)
Et tout cela réplique joyeusement dans la bonne humeur ...
Je me pose une question existentielle (à la demande du client final)
- En émettant une hypothèse d'acquisition de lignes haut-débit symétriques
IP 4 Mo):
- Jouer la carte de la mobilité des collaborateurs (accès aux ressources
locales des sites distants, à partir du siège ou à partir d'un point
quelconque hors société (liaisions GPRS / 3 G / Wifi) à partir de PDAs, de
portables, applications comprises, via une distribution Citrix ou TSE à
voir en fonctions des types d'applications.
- Verrouiller les sites distants
- Créer une seule forêt (siège)
- Décrocher les arborescences des sites distants de leur forêt
- Raccrocher les arborescences dans la nouvelle forêt au siège
- Supprimer les forêts des sites distants.
Est-ce jouable ?
- 2ème solution:
- Laisser les forêts telles quelles le sont.
- Rajouter des relations d'approbations inter forêts ou inter-domaines
Est-ce jouable ?
Sachant que l'on peut toujours laisser une marge de manoeuvre, en cas
d'indisponibilité du siège, les sites pourront fonctionner en autonome
(mode dégradé). Et si un site souhaite se séparer du siège, il sera
parfaitement autonome (présence de la forêt et du domaine)
Petit hic! Si je rajoute la possibilité de placer un Exchange 2007
(j'aimerais bien) dans ce type d'infrastructure, comment dois-je m'y
prendre pour que ce soit le plus souple possible tout en gardant
l'administration centralisée et sécurisée (par PKI notamment) ?
2ème petit hic: et je rajoute un portail Sharepoint MOSS 2007, comment le
place-t-on, quelle serait la meilleure infrastructure ?
J'ai quelques idées .... mais qu'en pensent les pros de l'AD ?
Sachant que je dois ramener depuis quelques sites des infos provenant de
divers annuaires ou de les conserver ? Avec quels produits MS puis-je les
synchroniser (MIIS ? ou autres ). en open source, j'ai mon idée.
Merci de vos conseils éclairés.
Cordialement,
Forum
Bonjour à toutes et à tous,
J'ai un petit souci avec une architecture actuelle AD 2003:
Un siège social (environ 100 personnes): 15 serveurs Windows 2003 (2 DCs
entre autres, 1 TSE 2003 pour applis distantes et quelques serveurs
d'applications locales)
Une 60taine de sites distants avec en majorité 1 DC par site (en Windows
2000 /2003) - Chaque site peuplé avec en moyenne 40 users (les ressources
sont des dossiers, des imprimantes, des applications locales)
Le siège est une forêt avec ses domaines
Les sites sont indépendants en tout: 1 site = 1 forêt + 1 domaine
L'infrastructure Télécom repose sur des lignes "bas débit" ADSL (128
upload, 1 Mo Download)
Et tout cela réplique joyeusement dans la bonne humeur ...
Je me pose une question existentielle (à la demande du client final)
- En émettant une hypothèse d'acquisition de lignes haut-débit symétriques
IP 4 Mo):
- Jouer la carte de la mobilité des collaborateurs (accès aux ressources
locales des sites distants, à partir du siège ou à partir d'un point
quelconque hors société (liaisions GPRS / 3 G / Wifi) à partir de PDAs, de
portables, applications comprises, via une distribution Citrix ou TSE à
voir en fonctions des types d'applications.
- Verrouiller les sites distants
- Créer une seule forêt (siège)
- Décrocher les arborescences des sites distants de leur forêt
- Raccrocher les arborescences dans la nouvelle forêt au siège
- Supprimer les forêts des sites distants.
Est-ce jouable ?
- 2ème solution:
- Laisser les forêts telles quelles le sont.
- Rajouter des relations d'approbations inter forêts ou inter-domaines
Est-ce jouable ?
Sachant que l'on peut toujours laisser une marge de manoeuvre, en cas
d'indisponibilité du siège, les sites pourront fonctionner en autonome
(mode dégradé). Et si un site souhaite se séparer du siège, il sera
parfaitement autonome (présence de la forêt et du domaine)
Petit hic! Si je rajoute la possibilité de placer un Exchange 2007
(j'aimerais bien) dans ce type d'infrastructure, comment dois-je m'y
prendre pour que ce soit le plus souple possible tout en gardant
l'administration centralisée et sécurisée (par PKI notamment) ?
2ème petit hic: et je rajoute un portail Sharepoint MOSS 2007, comment le
place-t-on, quelle serait la meilleure infrastructure ?
J'ai quelques idées .... mais qu'en pensent les pros de l'AD ?
Sachant que je dois ramener depuis quelques sites des infos provenant de
divers annuaires ou de les conserver ? Avec quels produits MS puis-je les
synchroniser (MIIS ? ou autres ). en open source, j'ai mon idée.
Merci de vos conseils éclairés.
Cordialement,
Forum
Salut Yael,
Je ne te répondrais pas sur de l'Exchange ou Sharepoint, n'étant pas expert
sur ce sujet.
Toutefois, concernant ton changement d'infrastructure, tout me parait
viable. Ce qui m'embête, c'est ton "Décrocher les arborescences des sites
distants de leur forêt". Tu ne peux pas faire ça simplement en interforêt.
Dans ton cas, penses plutôt à une migration par restructuration (via ADMT)
vers un domaine cible rattaché à la forêt du siège ou vers une OU déléguée
au site, suivant le seuil de délégation d'administration que tu souhaite
octroyer aux administrateurs locaux.
Dans tous les cas, penses toujours à mette un GC par site pour limiter les
allers-retours au siège. De plus, comme tu es en full 2003, penses aussi à
activer la mise en cache de l'appartenance au groupe universel, histoire de.
Enfin, penses aux best practices des guides de déploiement branch offices
(http://www.microsoft.com/downloads/details.aspx?FamilyId53A4F6-A8A8-40BB-9FA7-3A95C9540112&displaylang=en)
qui te sauveront la vie pour ton admin quotidienne de l'infrastructure en
elle même
Cordialement,
==================================== Bonjour Jonathan,
Salut Yael,
Je ne te répondrais pas sur de l'Exchange ou Sharepoint, n'étant pas expert
sur ce sujet.
Toutefois, concernant ton changement d'infrastructure, tout me parait
viable. Ce qui m'embête, c'est ton "Décrocher les arborescences des sites
distants de leur forêt". Tu ne peux pas faire ça simplement en interforêt.
Dans ton cas, penses plutôt à une migration par restructuration (via ADMT)
vers un domaine cible rattaché à la forêt du siège ou vers une OU déléguée
au site, suivant le seuil de délégation d'administration que tu souhaite
octroyer aux administrateurs locaux.
Dans tous les cas, penses toujours à mette un GC par site pour limiter les
allers-retours au siège. De plus, comme tu es en full 2003, penses aussi à
activer la mise en cache de l'appartenance au groupe universel, histoire de.
Enfin, penses aux best practices des guides de déploiement branch offices
(http://www.microsoft.com/downloads/details.aspx?FamilyId53A4F6-A8A8-40BB-9FA7-3A95C9540112&displaylang=en)
qui te sauveront la vie pour ton admin quotidienne de l'infrastructure en
elle même
Cordialement,
==================================== Bonjour Jonathan,
Salut Yael,
Je ne te répondrais pas sur de l'Exchange ou Sharepoint, n'étant pas expert
sur ce sujet.
Toutefois, concernant ton changement d'infrastructure, tout me parait
viable. Ce qui m'embête, c'est ton "Décrocher les arborescences des sites
distants de leur forêt". Tu ne peux pas faire ça simplement en interforêt.
Dans ton cas, penses plutôt à une migration par restructuration (via ADMT)
vers un domaine cible rattaché à la forêt du siège ou vers une OU déléguée
au site, suivant le seuil de délégation d'administration que tu souhaite
octroyer aux administrateurs locaux.
Dans tous les cas, penses toujours à mette un GC par site pour limiter les
allers-retours au siège. De plus, comme tu es en full 2003, penses aussi à
activer la mise en cache de l'appartenance au groupe universel, histoire de.
Enfin, penses aux best practices des guides de déploiement branch offices
(http://www.microsoft.com/downloads/details.aspx?FamilyId53A4F6-A8A8-40BB-9FA7-3A95C9540112&displaylang=en)
qui te sauveront la vie pour ton admin quotidienne de l'infrastructure en
elle même
Cordialement,
==================================== Bonjour Jonathan,
Salut Yael,
Je ne te répondrais pas sur de l'Exchange ou Sharepoint, n'étant pas
expert sur ce sujet.
Toutefois, concernant ton changement d'infrastructure, tout me parait
viable. Ce qui m'embête, c'est ton "Décrocher les arborescences des sites
distants de leur forêt". Tu ne peux pas faire ça simplement en
interforêt.
Dans ton cas, penses plutôt à une migration par restructuration (via
ADMT) vers un domaine cible rattaché à la forêt du siège ou vers une OU
déléguée au site, suivant le seuil de délégation d'administration que tu
souhaite octroyer aux administrateurs locaux.
Dans tous les cas, penses toujours à mette un GC par site pour limiter
les allers-retours au siège. De plus, comme tu es en full 2003, penses
aussi à activer la mise en cache de l'appartenance au groupe universel,
histoire de.
Enfin, penses aux best practices des guides de déploiement branch offices
(http://www.microsoft.com/downloads/details.aspx?FamilyId53A4F6-A8A8-40BB-9FA7-3A95C9540112&displaylang=en)
qui te sauveront la vie pour ton admin quotidienne de l'infrastructure
en elle même
Cordialement,
==================================== > Bonjour Jonathan,
Il y avait longtemps ...ceci dit Meilleurs voeux pour 2007
Je n'ai que 2 solutions vraiment envisageables ...
Soit je laisse l'infrastructure telle quelle, mais je crée des relations
inter-forêts et ou inter-domaines (uni ou bidirectionnelle)
Avantages: en cas de dysfonctionnements du siège, les sites continuent à
fonctionner, puisqu'ils ont une forêt et un domaine unique (donc, un GC)
juridiquement parlant, ils sont autonomes et en cas de désaccord avec le
siège, on peut toujours les décrocher et leur rendre la liberté.
Questions: avec leur accord (bien sûr), on peut toujours réduire les
droits des administrateurs sur sites, ce qui permettrait aux
administrateurs du siège de prendre en totalité l'administration
centralisée. Est-ce faisable ? (en gros, je voudrais leur supprimer
l'accès via les comptes Admin de l'entreprise / Schéma / Domaine par site
et par forêt).
La méthode par restructuration peut être moins bonne. Juridiquement
parlant, comment leur rendre la liberté ? Il faut leur recréer une forêt
.... j'avoue que .... je ne vois pas comment faire.
Techniquement parlant, il faudrait, selon toi, créer une structure
parallèle dans la forêt existante, avec tous les sites transformés en
domaines, et migrer les objets (ressources, users, grp, printers,etc,
annuaires,etc... le chantier risque d'être important ...
Hypothèse: si je construis une autre forêt en parallèle de celle du siège,
que je créée les domaines avec les ressources (ex sites) et que
j'établisse des relations d'approbation entre les 2 forêts (1 forêt siège
et une forêt sites), est-ce que cela pourrait fonctionner ?
Mon problème de départ est double: je dois pouvoir rajouter ou supprimer
une entité sans que cela ait trop d'impact (juridique) et assurer un
fonctionnement centralisé / dégradé avec le moins de gêne possible, tout
en ayant des privilèges réduits pour les sites.
J'avoue que je "brasse un peu".
Vos conseils sont les bienvenus.
Cordialement,
Forum
Salut Yael,
Je ne te répondrais pas sur de l'Exchange ou Sharepoint, n'étant pas
expert sur ce sujet.
Toutefois, concernant ton changement d'infrastructure, tout me parait
viable. Ce qui m'embête, c'est ton "Décrocher les arborescences des sites
distants de leur forêt". Tu ne peux pas faire ça simplement en
interforêt.
Dans ton cas, penses plutôt à une migration par restructuration (via
ADMT) vers un domaine cible rattaché à la forêt du siège ou vers une OU
déléguée au site, suivant le seuil de délégation d'administration que tu
souhaite octroyer aux administrateurs locaux.
Dans tous les cas, penses toujours à mette un GC par site pour limiter
les allers-retours au siège. De plus, comme tu es en full 2003, penses
aussi à activer la mise en cache de l'appartenance au groupe universel,
histoire de.
Enfin, penses aux best practices des guides de déploiement branch offices
(http://www.microsoft.com/downloads/details.aspx?FamilyId53A4F6-A8A8-40BB-9FA7-3A95C9540112&displaylang=en)
qui te sauveront la vie pour ton admin quotidienne de l'infrastructure
en elle même
Cordialement,
==================================== > Bonjour Jonathan,
Il y avait longtemps ...ceci dit Meilleurs voeux pour 2007
Je n'ai que 2 solutions vraiment envisageables ...
Soit je laisse l'infrastructure telle quelle, mais je crée des relations
inter-forêts et ou inter-domaines (uni ou bidirectionnelle)
Avantages: en cas de dysfonctionnements du siège, les sites continuent à
fonctionner, puisqu'ils ont une forêt et un domaine unique (donc, un GC)
juridiquement parlant, ils sont autonomes et en cas de désaccord avec le
siège, on peut toujours les décrocher et leur rendre la liberté.
Questions: avec leur accord (bien sûr), on peut toujours réduire les
droits des administrateurs sur sites, ce qui permettrait aux
administrateurs du siège de prendre en totalité l'administration
centralisée. Est-ce faisable ? (en gros, je voudrais leur supprimer
l'accès via les comptes Admin de l'entreprise / Schéma / Domaine par site
et par forêt).
La méthode par restructuration peut être moins bonne. Juridiquement
parlant, comment leur rendre la liberté ? Il faut leur recréer une forêt
.... j'avoue que .... je ne vois pas comment faire.
Techniquement parlant, il faudrait, selon toi, créer une structure
parallèle dans la forêt existante, avec tous les sites transformés en
domaines, et migrer les objets (ressources, users, grp, printers,etc,
annuaires,etc... le chantier risque d'être important ...
Hypothèse: si je construis une autre forêt en parallèle de celle du siège,
que je créée les domaines avec les ressources (ex sites) et que
j'établisse des relations d'approbation entre les 2 forêts (1 forêt siège
et une forêt sites), est-ce que cela pourrait fonctionner ?
Mon problème de départ est double: je dois pouvoir rajouter ou supprimer
une entité sans que cela ait trop d'impact (juridique) et assurer un
fonctionnement centralisé / dégradé avec le moins de gêne possible, tout
en ayant des privilèges réduits pour les sites.
J'avoue que je "brasse un peu".
Vos conseils sont les bienvenus.
Cordialement,
Forum
Salut Yael,
Je ne te répondrais pas sur de l'Exchange ou Sharepoint, n'étant pas
expert sur ce sujet.
Toutefois, concernant ton changement d'infrastructure, tout me parait
viable. Ce qui m'embête, c'est ton "Décrocher les arborescences des sites
distants de leur forêt". Tu ne peux pas faire ça simplement en
interforêt.
Dans ton cas, penses plutôt à une migration par restructuration (via
ADMT) vers un domaine cible rattaché à la forêt du siège ou vers une OU
déléguée au site, suivant le seuil de délégation d'administration que tu
souhaite octroyer aux administrateurs locaux.
Dans tous les cas, penses toujours à mette un GC par site pour limiter
les allers-retours au siège. De plus, comme tu es en full 2003, penses
aussi à activer la mise en cache de l'appartenance au groupe universel,
histoire de.
Enfin, penses aux best practices des guides de déploiement branch offices
(http://www.microsoft.com/downloads/details.aspx?FamilyId53A4F6-A8A8-40BB-9FA7-3A95C9540112&displaylang=en)
qui te sauveront la vie pour ton admin quotidienne de l'infrastructure
en elle même
Cordialement,
==================================== > Bonjour Jonathan,
Il y avait longtemps ...ceci dit Meilleurs voeux pour 2007
Je n'ai que 2 solutions vraiment envisageables ...
Soit je laisse l'infrastructure telle quelle, mais je crée des relations
inter-forêts et ou inter-domaines (uni ou bidirectionnelle)
Avantages: en cas de dysfonctionnements du siège, les sites continuent à
fonctionner, puisqu'ils ont une forêt et un domaine unique (donc, un GC)
juridiquement parlant, ils sont autonomes et en cas de désaccord avec le
siège, on peut toujours les décrocher et leur rendre la liberté.
Questions: avec leur accord (bien sûr), on peut toujours réduire les
droits des administrateurs sur sites, ce qui permettrait aux
administrateurs du siège de prendre en totalité l'administration
centralisée. Est-ce faisable ? (en gros, je voudrais leur supprimer
l'accès via les comptes Admin de l'entreprise / Schéma / Domaine par site
et par forêt).
La méthode par restructuration peut être moins bonne. Juridiquement
parlant, comment leur rendre la liberté ? Il faut leur recréer une forêt
.... j'avoue que .... je ne vois pas comment faire.
Techniquement parlant, il faudrait, selon toi, créer une structure
parallèle dans la forêt existante, avec tous les sites transformés en
domaines, et migrer les objets (ressources, users, grp, printers,etc,
annuaires,etc... le chantier risque d'être important ...
Hypothèse: si je construis une autre forêt en parallèle de celle du siège,
que je créée les domaines avec les ressources (ex sites) et que
j'établisse des relations d'approbation entre les 2 forêts (1 forêt siège
et une forêt sites), est-ce que cela pourrait fonctionner ?
Mon problème de départ est double: je dois pouvoir rajouter ou supprimer
une entité sans que cela ait trop d'impact (juridique) et assurer un
fonctionnement centralisé / dégradé avec le moins de gêne possible, tout
en ayant des privilèges réduits pour les sites.
J'avoue que je "brasse un peu".
Vos conseils sont les bienvenus.
Cordialement,
Forum
Re,
Désolé pour le délais :(
Je te laisse à ton choix de solutions. Juste quelques points :
Si tu laisse l'archi telle quelle, la méthode qui me paraît la plus simple
est de confisquer les rôles domain admins / schema / enterprise... et dans
chaque domaine, créer une OU de niveau 1 dans laquelle tu déplace toutes tes
ressources, de sortes que les admins sites puissent administrer le quotidien
sans avoir à toucher aux mécanisme d'infra type réplication, FSMO etc...
Le seul inconvénient (hors politique), c'est qu'ils devront te solliciter
pour autoriser un DHCP ou RIS Microsoft dans leur domaine.
Avantage : le temps de mise en place, nettement moins long que la solution 2
La solution n°2 a un côté plus coercitif, mais plus corporate. Moins de
problèmes pour le partage des ressources, pour des solutions SSO ou
assimilés. c'est en revanche effectivement un chantier de longue haleine,
mais optimise le fonctionnement centralisé.
=> Globalement, si la "politique" privilégie la centralisation de
l'administration et de la sécurité tout en limitant les privilèges des
sites, la solution n° 2 est réellement à cogiter.
=> Dans le cas où le choix est plutôt un fonctionnement dégradé optimisé et
une réelle aisance à l'ajout / suppression de sites (qui ne seront en
revanche jamais vu comme tel), la solution est probablement la n° bien que
n'étant pas vraiment très best practice.
Ton hypothèse une forêt siège / 1 forêt sites n'est pas mauvaise mais -ça
n'est que mon opinion- ne correspond, je trouve, pas trop à tes demandes,
puisque tu aura d'une part la restructuration des sites à faire (l'étape la
plus lourde de la solution n°1) et de l'autre une relation d'appro
inter-forêt qui empêche le côté corporate et la centralisation de
l'administration.
Cordialement,
=============================================================================== Bonjour Jonathan,
Re,
Désolé pour le délais :(
Je te laisse à ton choix de solutions. Juste quelques points :
Si tu laisse l'archi telle quelle, la méthode qui me paraît la plus simple
est de confisquer les rôles domain admins / schema / enterprise... et dans
chaque domaine, créer une OU de niveau 1 dans laquelle tu déplace toutes tes
ressources, de sortes que les admins sites puissent administrer le quotidien
sans avoir à toucher aux mécanisme d'infra type réplication, FSMO etc...
Le seul inconvénient (hors politique), c'est qu'ils devront te solliciter
pour autoriser un DHCP ou RIS Microsoft dans leur domaine.
Avantage : le temps de mise en place, nettement moins long que la solution 2
La solution n°2 a un côté plus coercitif, mais plus corporate. Moins de
problèmes pour le partage des ressources, pour des solutions SSO ou
assimilés. c'est en revanche effectivement un chantier de longue haleine,
mais optimise le fonctionnement centralisé.
=> Globalement, si la "politique" privilégie la centralisation de
l'administration et de la sécurité tout en limitant les privilèges des
sites, la solution n° 2 est réellement à cogiter.
=> Dans le cas où le choix est plutôt un fonctionnement dégradé optimisé et
une réelle aisance à l'ajout / suppression de sites (qui ne seront en
revanche jamais vu comme tel), la solution est probablement la n° bien que
n'étant pas vraiment très best practice.
Ton hypothèse une forêt siège / 1 forêt sites n'est pas mauvaise mais -ça
n'est que mon opinion- ne correspond, je trouve, pas trop à tes demandes,
puisque tu aura d'une part la restructuration des sites à faire (l'étape la
plus lourde de la solution n°1) et de l'autre une relation d'appro
inter-forêt qui empêche le côté corporate et la centralisation de
l'administration.
Cordialement,
=============================================================================== Bonjour Jonathan,
Re,
Désolé pour le délais :(
Je te laisse à ton choix de solutions. Juste quelques points :
Si tu laisse l'archi telle quelle, la méthode qui me paraît la plus simple
est de confisquer les rôles domain admins / schema / enterprise... et dans
chaque domaine, créer une OU de niveau 1 dans laquelle tu déplace toutes tes
ressources, de sortes que les admins sites puissent administrer le quotidien
sans avoir à toucher aux mécanisme d'infra type réplication, FSMO etc...
Le seul inconvénient (hors politique), c'est qu'ils devront te solliciter
pour autoriser un DHCP ou RIS Microsoft dans leur domaine.
Avantage : le temps de mise en place, nettement moins long que la solution 2
La solution n°2 a un côté plus coercitif, mais plus corporate. Moins de
problèmes pour le partage des ressources, pour des solutions SSO ou
assimilés. c'est en revanche effectivement un chantier de longue haleine,
mais optimise le fonctionnement centralisé.
=> Globalement, si la "politique" privilégie la centralisation de
l'administration et de la sécurité tout en limitant les privilèges des
sites, la solution n° 2 est réellement à cogiter.
=> Dans le cas où le choix est plutôt un fonctionnement dégradé optimisé et
une réelle aisance à l'ajout / suppression de sites (qui ne seront en
revanche jamais vu comme tel), la solution est probablement la n° bien que
n'étant pas vraiment très best practice.
Ton hypothèse une forêt siège / 1 forêt sites n'est pas mauvaise mais -ça
n'est que mon opinion- ne correspond, je trouve, pas trop à tes demandes,
puisque tu aura d'une part la restructuration des sites à faire (l'étape la
plus lourde de la solution n°1) et de l'autre une relation d'appro
inter-forêt qui empêche le côté corporate et la centralisation de
l'administration.
Cordialement,
=============================================================================== Bonjour Jonathan,
Salut Yael,
Je ne te répondrais pas sur de l'Exchange ou Sharepoint, n'étant pas
expert sur ce sujet.
Toutefois, concernant ton changement d'infrastructure, tout me parait
viable. Ce qui m'embête, c'est ton "Décrocher les arborescences des
sites distants de leur forêt". Tu ne peux pas faire ça simplement en
interforêt.
Dans ton cas, penses plutôt à une migration par restructuration (via
ADMT) vers un domaine cible rattaché à la forêt du siège ou vers une
OU déléguée au site, suivant le seuil de délégation d'administration
que tu souhaite octroyer aux administrateurs locaux.
Dans tous les cas, penses toujours à mette un GC par site pour limiter
les allers-retours au siège. De plus, comme tu es en full 2003, penses
aussi à activer la mise en cache de l'appartenance au groupe
universel, histoire de.
Enfin, penses aux best practices des guides de déploiement branch
offices
(http://www.microsoft.com/downloads/details.aspx?FamilyId53A4F6-A8A8-40BB-9FA7-3A95C9540112&displaylang=en)
qui te sauveront la vie pour ton admin quotidienne de
l'infrastructure en elle même
Cordialement,
==================================== > Bonjour Jonathan,
Il y avait longtemps ...ceci dit Meilleurs voeux pour 2007
Je n'ai que 2 solutions vraiment envisageables ...
Soit je laisse l'infrastructure telle quelle, mais je crée des relations
inter-forêts et ou inter-domaines (uni ou bidirectionnelle)
Avantages: en cas de dysfonctionnements du siège, les sites continuent à
fonctionner, puisqu'ils ont une forêt et un domaine unique (donc, un GC)
juridiquement parlant, ils sont autonomes et en cas de désaccord avec le
siège, on peut toujours les décrocher et leur rendre la liberté.
Questions: avec leur accord (bien sûr), on peut toujours réduire les
droits des administrateurs sur sites, ce qui permettrait aux
administrateurs du siège de prendre en totalité l'administration
centralisée. Est-ce faisable ? (en gros, je voudrais leur supprimer
l'accès via les comptes Admin de l'entreprise / Schéma / Domaine par
site et par forêt).
La méthode par restructuration peut être moins bonne. Juridiquement
parlant, comment leur rendre la liberté ? Il faut leur recréer une forêt
.... j'avoue que .... je ne vois pas comment faire.
Techniquement parlant, il faudrait, selon toi, créer une structure
parallèle dans la forêt existante, avec tous les sites transformés en
domaines, et migrer les objets (ressources, users, grp, printers,etc,
annuaires,etc... le chantier risque d'être important ...
Hypothèse: si je construis une autre forêt en parallèle de celle du
siège, que je créée les domaines avec les ressources (ex sites) et que
j'établisse des relations d'approbation entre les 2 forêts (1 forêt
siège et une forêt sites), est-ce que cela pourrait fonctionner ?
Mon problème de départ est double: je dois pouvoir rajouter ou supprimer
une entité sans que cela ait trop d'impact (juridique) et assurer un
fonctionnement centralisé / dégradé avec le moins de gêne possible, tout
en ayant des privilèges réduits pour les sites.
J'avoue que je "brasse un peu".
Vos conseils sont les bienvenus.
Cordialement,
Forum
====================================================================== Bonjour Jonathan,
Salut Yael,
Je ne te répondrais pas sur de l'Exchange ou Sharepoint, n'étant pas
expert sur ce sujet.
Toutefois, concernant ton changement d'infrastructure, tout me parait
viable. Ce qui m'embête, c'est ton "Décrocher les arborescences des
sites distants de leur forêt". Tu ne peux pas faire ça simplement en
interforêt.
Dans ton cas, penses plutôt à une migration par restructuration (via
ADMT) vers un domaine cible rattaché à la forêt du siège ou vers une
OU déléguée au site, suivant le seuil de délégation d'administration
que tu souhaite octroyer aux administrateurs locaux.
Dans tous les cas, penses toujours à mette un GC par site pour limiter
les allers-retours au siège. De plus, comme tu es en full 2003, penses
aussi à activer la mise en cache de l'appartenance au groupe
universel, histoire de.
Enfin, penses aux best practices des guides de déploiement branch
offices
(http://www.microsoft.com/downloads/details.aspx?FamilyId53A4F6-A8A8-40BB-9FA7-3A95C9540112&displaylang=en)
qui te sauveront la vie pour ton admin quotidienne de
l'infrastructure en elle même
Cordialement,
==================================== > Bonjour Jonathan,
Il y avait longtemps ...ceci dit Meilleurs voeux pour 2007
Je n'ai que 2 solutions vraiment envisageables ...
Soit je laisse l'infrastructure telle quelle, mais je crée des relations
inter-forêts et ou inter-domaines (uni ou bidirectionnelle)
Avantages: en cas de dysfonctionnements du siège, les sites continuent à
fonctionner, puisqu'ils ont une forêt et un domaine unique (donc, un GC)
juridiquement parlant, ils sont autonomes et en cas de désaccord avec le
siège, on peut toujours les décrocher et leur rendre la liberté.
Questions: avec leur accord (bien sûr), on peut toujours réduire les
droits des administrateurs sur sites, ce qui permettrait aux
administrateurs du siège de prendre en totalité l'administration
centralisée. Est-ce faisable ? (en gros, je voudrais leur supprimer
l'accès via les comptes Admin de l'entreprise / Schéma / Domaine par
site et par forêt).
La méthode par restructuration peut être moins bonne. Juridiquement
parlant, comment leur rendre la liberté ? Il faut leur recréer une forêt
.... j'avoue que .... je ne vois pas comment faire.
Techniquement parlant, il faudrait, selon toi, créer une structure
parallèle dans la forêt existante, avec tous les sites transformés en
domaines, et migrer les objets (ressources, users, grp, printers,etc,
annuaires,etc... le chantier risque d'être important ...
Hypothèse: si je construis une autre forêt en parallèle de celle du
siège, que je créée les domaines avec les ressources (ex sites) et que
j'établisse des relations d'approbation entre les 2 forêts (1 forêt
siège et une forêt sites), est-ce que cela pourrait fonctionner ?
Mon problème de départ est double: je dois pouvoir rajouter ou supprimer
une entité sans que cela ait trop d'impact (juridique) et assurer un
fonctionnement centralisé / dégradé avec le moins de gêne possible, tout
en ayant des privilèges réduits pour les sites.
J'avoue que je "brasse un peu".
Vos conseils sont les bienvenus.
Cordialement,
Forum
====================================================================== Bonjour Jonathan,
Salut Yael,
Je ne te répondrais pas sur de l'Exchange ou Sharepoint, n'étant pas
expert sur ce sujet.
Toutefois, concernant ton changement d'infrastructure, tout me parait
viable. Ce qui m'embête, c'est ton "Décrocher les arborescences des
sites distants de leur forêt". Tu ne peux pas faire ça simplement en
interforêt.
Dans ton cas, penses plutôt à une migration par restructuration (via
ADMT) vers un domaine cible rattaché à la forêt du siège ou vers une
OU déléguée au site, suivant le seuil de délégation d'administration
que tu souhaite octroyer aux administrateurs locaux.
Dans tous les cas, penses toujours à mette un GC par site pour limiter
les allers-retours au siège. De plus, comme tu es en full 2003, penses
aussi à activer la mise en cache de l'appartenance au groupe
universel, histoire de.
Enfin, penses aux best practices des guides de déploiement branch
offices
(http://www.microsoft.com/downloads/details.aspx?FamilyId53A4F6-A8A8-40BB-9FA7-3A95C9540112&displaylang=en)
qui te sauveront la vie pour ton admin quotidienne de
l'infrastructure en elle même
Cordialement,
==================================== > Bonjour Jonathan,
Il y avait longtemps ...ceci dit Meilleurs voeux pour 2007
Je n'ai que 2 solutions vraiment envisageables ...
Soit je laisse l'infrastructure telle quelle, mais je crée des relations
inter-forêts et ou inter-domaines (uni ou bidirectionnelle)
Avantages: en cas de dysfonctionnements du siège, les sites continuent à
fonctionner, puisqu'ils ont une forêt et un domaine unique (donc, un GC)
juridiquement parlant, ils sont autonomes et en cas de désaccord avec le
siège, on peut toujours les décrocher et leur rendre la liberté.
Questions: avec leur accord (bien sûr), on peut toujours réduire les
droits des administrateurs sur sites, ce qui permettrait aux
administrateurs du siège de prendre en totalité l'administration
centralisée. Est-ce faisable ? (en gros, je voudrais leur supprimer
l'accès via les comptes Admin de l'entreprise / Schéma / Domaine par
site et par forêt).
La méthode par restructuration peut être moins bonne. Juridiquement
parlant, comment leur rendre la liberté ? Il faut leur recréer une forêt
.... j'avoue que .... je ne vois pas comment faire.
Techniquement parlant, il faudrait, selon toi, créer une structure
parallèle dans la forêt existante, avec tous les sites transformés en
domaines, et migrer les objets (ressources, users, grp, printers,etc,
annuaires,etc... le chantier risque d'être important ...
Hypothèse: si je construis une autre forêt en parallèle de celle du
siège, que je créée les domaines avec les ressources (ex sites) et que
j'établisse des relations d'approbation entre les 2 forêts (1 forêt
siège et une forêt sites), est-ce que cela pourrait fonctionner ?
Mon problème de départ est double: je dois pouvoir rajouter ou supprimer
une entité sans que cela ait trop d'impact (juridique) et assurer un
fonctionnement centralisé / dégradé avec le moins de gêne possible, tout
en ayant des privilèges réduits pour les sites.
J'avoue que je "brasse un peu".
Vos conseils sont les bienvenus.
Cordialement,
Forum
====================================================================== Bonjour Jonathan,
