Questions diverses sur AD

Le
Houdini
Bonjour à toutes et à tous,

Contexte (1ère partie): Une entreprise "big.fr" possède une architecture AD
(CDs 2000 et 2003), gérée en partie, par des DNS de type BIND (Unix / BSD
pour les zones primaires) et des DNS MS Win pour les zones secondaires, ainsi
que par un serveur QIP qui orchestre le tout.

Contexte (2ème partie): Des sociétés indépendantes, juridiquement et
physiquement distinctes, doivent rejoindre, pour des questions
d'administration, de politiques et de coût, l'entreprise "Big.fr". Elles sont
actuellement en Windows NT4 Servers / Postes. Elles seront remplacées
progressivement par une infrastructure 2003 (DC 2003/ Postes 2000 & XP) avec
forêt et domaine (natifs 2003 ou pas), la question est loin d'être tranchée.

Chaque société aura donc une arborescence de domaine comprenant un domaine
parent avec ou sans domaine enfant, avec une forêt par société et un nom de
domaine. Exemple: ecole.fr (domaine unique), unite1.ecole.fr (domaine parent
et domaine enfant), le tout dans une forêt unique. Dans le cas "domaine
parent / enfant, les sites sont bien distincts". Les anciens domaines NT
pourront être conservés, en fonction du type d'applications encore en
activité, d'où une possible présence de relation d'approbation avec l'ancien
domaine NT4.

Ce qui aura pour conséquence que chaque société possèdera un annuaire
distinct.
Les DNS, gérant ces sociétés, sont en MS Win 2000/2003 et gèrent des zones
primaires/secondaires (avec ou sans délégation), peut-être stub si besoin.

Scénario 1:
Les sociétés "SMALL" rejoignent "BIG" en conservant leur forêt:
forêts "SMALL.fr" et forêt "BIG.fr", avec une relation d'approbation externe
bi-directionnnelle entre forêts, ce qui permettrait d'obtenir une certaine
autonomie.
Question: points à prendre en compte dans les relations entre forêts
(sécurité, authentification, réplication, ???)

Scénario 2:
Les sociétés "SMALL.fr" quittent leurs forêts respectives et viennent
rattacher leurs arborescences de domaine, directement dans la forêt "BIG.fr",
sous le domaine racine ou parent de la forêt.
Question: est-il possible de "sortir" une arborescence d'une forêt pour la
rattacher dans une autre forêt ? et ce moment-là, quid de la sécurité ?

Scénario 3:
Les sociétés "SMALL" et l'entreprise "BIG" fusionnent, les forêts avec.
Question: est-ce possible de fusionner des forêts et par conséquents les
objets qui
vont avec ?
Question: qu'advient-il des héritages entre domaines ? Est-il possble de
préserver les sécurités antérieures ? (ne pas passer outre)

Question: dans le cas d'une fusion ou d'un raccrochage, comment réagissent
les annuaires ? (un même user déclaré dans un annuaire différent). Peut-on
fusionner des annuaires ?

Dernière question: peut-on scripter tout cela en VBS / WSH / LDAP ? Si oui,
auriez-vous quelques éléménts ?

Le but: j'achète un serveur, je lance mon script qui me "raccorde" la
société "SMALL" à "BIG" en fonction des scénarios, au niveau annuaire et
structure organisationnelle.

Merci de votre aide.
Cordialement,
Houdini
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Jonathan Bismuth
Le #444654
Hello Houdini, ça c'est de la question ^_^ :

un petit début de réponse :

Scénario 1 :
Pourquoi pas. Avec win2003, on peut faire des relations bi-directionnelles
et avec Kerberos comme authentification si tout ce petit monde est en mode
de domaine/forêt 2003

Scénario 2 :
Il n'est pas possible "comme ça" de changer un domaine de forêt, Même un
renommage de domaine ne fonctionne que dans sa propre forêt
(http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/996741d8-28e4-4d20-9949-8f17fb9d3cfd.mspx).
La seule solution existante est une restructuration de domaines entre
l'ancienne et la nouvelle forêt, éventuellement à l'aide d'ADMT qui est
gratuit et surtout scriptable (contrairement à Quest ou NetIQ)

Scénario 3 :
Quasiment comme le scénario 2, il te faudra faire une migration des domaines
SMALL vers le domaine cible BIG

Je t'invite à jeter un coup d'oeil au document suivant qui traite des
fusions de forêts et autre
http://www.microsoft.com/downloads/details.aspx?familyid·17bfcd-6c1c-4af6-8b2c-b604e60067ba&displaylang=en

scripter une migration.... techniquement c'est possible (admt étant
scriptable), mais au final non.
Une migration est une opération lente et couteuse, où le travail en amont
déterminera la réussite ou l'échec.

Je laisse maintenant la parole aux autres

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?z5pCI2OyS6

"Houdini" news:
Bonjour à toutes et à tous,

Contexte (1ère partie): Une entreprise "big.fr" possède une architecture
AD
(CDs 2000 et 2003), gérée en partie, par des DNS de type BIND (Unix / BSD
pour les zones primaires) et des DNS MS Win pour les zones secondaires,
ainsi
que par un serveur QIP qui orchestre le tout.

Contexte (2ème partie): Des sociétés indépendantes, juridiquement et
physiquement distinctes, doivent rejoindre, pour des questions
d'administration, de politiques et de coût, l'entreprise "Big.fr". Elles
sont
actuellement en Windows NT4 Servers / Postes. Elles seront remplacées
progressivement par une infrastructure 2003 (DC 2003/ Postes 2000 & XP)
avec
forêt et domaine (natifs 2003 ou pas), la question est loin d'être
tranchée.

...


Poster une réponse
Anonyme