Bonjour à tous,
Je débute auprès d’un nouvel employeur un poste d’admin réseau (pour lequel je n’ai qu’une expérience très relative). Cette société est répartie sur différents sites géographiques, qui ont tous été découpés en autant de domaines. Mon employeur voudrait à terme regrouper ces différents réseaux pour qu’ils communiquent enfin, et je me retrouve confronté à la première grande question : comment organiser les choses ?
Pour ce que j’en sais, je pourrais soit :
- regrouper tous ces domaines en un seul (mais de ce que je me suis documenté, j’ai cru comprendre que c’est à la fois délicat (collisions des stratégies de sécurité, problèmes des comptes en doublons (admin, réplication, …)) et qu’au final ça demande beaucoup de travail)
- faire simplement communiquer ces domaines, en établissant entre eux un système d’approbation (relations de trust), mais le problème de l’administration du tout pourrait rester lourde (?)
- hiérarchiser ces domaines en une forêt (domaines-enfants) avec un domaine parent (root), afin de les garder distincts (sans trop chambouler les choses) tout en gardant une gestion plus centralisée (compte admin unique, …).
Qu’en pensez-vous (ou que me préconiseriez-vous) ?
Merci pour vos réponses ! (je repasserai sans doute ici sous peu pour d’autres questions, comme vous l’imaginez bien (!)) 
Apparemment, ma question n’a pas l’air d’en inspirer beaucoup (:D) …
Personne pour m’aider et/ou partager une expérience de ce genre ?
J’ai encore un vieux domaine NT4 (que je devrais migrer cette année).
Pour moi, le plus simple pour toi est la relation d’approbation croisée. L’avantage est que normalement en étant admin sur un domaine, tu l’ai aussi sur l’autre.
Et au fur et à mesure des changements de postes, tu migres sur un seul domaine.
Il me semble que la relation d’approbation est spécifique à NT4, et que tu doives passer à la forêt d’AD.
Je crois en effet avoir lu, quelque part dans les ouvrages que j’ai achetés sur le sujet, que les relations d’approbation croisées concernent bien les domaines NT4 (mais c’est à re-vérifier malgré tout, car à force de bouquiner, on finit par se souvenir d’un tas de trucs qu’on ne sait plus toujours localiser ensuite pour s’en assurer).
Comme toi, j’aurais bien vu aussi une disposition en forêt (peut-être une arborescence des trois domaines pré-cités, avec un domaine parent pour les relier (root) et définir la sécurité globale dessus).
Un truc que je me demande, c’est s’il est possible de faire passer ces trois contrôleurs de domaine (qui ont toujours travaillé comme PDC isolés dans un domaine unique) en contrôleurs “de seconde zone” (dans le sens où il ne gère plus qu’un domaine-enfant).
Je m’explique : si j’ai bien compris, une arborescence de domaines est créée en installant d’abord le PDC du domaine parent (à l’install (DCPROMO.exe), on choisit les options “contrôleur d’un nouveau domaine”, puis “nouvelle arborescence”, puis “nouvelle forêt”). Ensuite, on rajoute les autres DC (des différents domaines-enfants) en choisissant “contrôleur d’un nouveau domaine”, puis “nouveau domaine enfant dans une arborescence existante”.
Mais comment s’y prendre lorsqu’on se retrouve dans la situation inverse (on a déjà les DCs-enfants), et qu’il faut les placer “sous la tutelle” d’un PDC d’un domaine-parent. Faut-il faire une sorte de “mini-dépromotion” de ces 3 DCs (toujours pas DCPROMO.exe !?) qui ont été depuis le début configuré comme des PDCs uniques (et est-ce même possible, sans risquer de compromettre leur fonctionnement, ni les réinstaller de A à Z) ?
Je sais qu’une bonne conception des choses aurait été de concevoir correctement les choses depuis le début, mais l’entreprise n’avait pas prévu la nécessité au départ de faire communiquer les trois sites (et mon prédécesseur se satisfaisait de faire le déplacement entre chacun d’entre eux pour les administrer séparément) …
Edité le 11/10/2008 à 18:06