Bon usage : création de groupes dans l'Enterprise Console

Dans l'Enterprise Console, un groupe est un ensemble d'ordinateurs qui utilisent les mêmes stratégies. Dans ADSync, ces groupes sont semblables à vos unités organisationnelles (OU, Organizational Units).

Les groupes et les sous-groupes sont des divisions logiques partageant des besoins communs en matière de stratégies. Un nouveau groupe est nécessaire chaque fois que vous avez un ordinateur qui exige une stratégie de mise à jour, antivirus et HIPS, de pare-feu, de contrôle des données, de contrôle des périphériques, de contrôle des applications différente des autres ordinateurs de votre réseau.

L'exemple type du besoin de groupes multiples est celui des serveurs qui ont en place une planification des mises à jour spéciale pour que le réseau soit mis à jour à des moments plus calmes de la journée. Ces serveurs ont besoin de leur propre groupe dans l'Enterprise Console avec une stratégie de mise à jour spéciale même s'ils peuvent partager avec les ordinateurs d'extrémité de votre réseau toutes les autres stratégies.

Nous avons compilé les conseils suivants pour la création de vos groupes d'ordinateurs dans l'Enterprise Console

1. Essayez de constituer vos groupes d'après le système d'administration informatique existant. La réplication des structures existantes vous fait gagner du temps par la suite lorsque vous concevez des stratégies et exécutez des actions correctives sur les ordinateurs.
   
   Si vous utilisez Active Directory, nous vous conseillons tout d'abord d'importer vos OU (conteneurs) ; ensuite, lorsque vous avez créé les groupes et les sous-groupes (et les sous-parcs, si vous utilisez cette fonction) appropriés dans l'Enterprise Console, synchronisez tous les groupes ou certains seulement avec Active Directory pour charger automatiquement les groupes Enterprise Console avec les ordinateurs dans les OU.
   

2. Si vous n'avez pas de structure existante ou si vous préférez en créer une nouvelle, nous avons constaté qu'un bon nombre de nos clients utilisent le lieu ou le service comme base pour leurs groupes. Ils peuvent donc utiliser un schéma comme :

   Ville

   Service

   Portable

   Créez au moins des groupes distincts pour vos systèmes d'extrémité et vos serveurs, car il est très probable que vous souhaitiez avoir des paramètres de contrôle et des planifications de mise à jour différents pour vos serveurs afin que les contrôles et les mises à jour ne créent pas de retards d'accès aux serveurs.

3. En particulier pour le déploiement initial, mais aussi pour la maintenance régulière, il est judicieux de restreindre vos groupes à 1000 ordinateurs maximum.
   
4. Si vous avez l'intention de créer et d'utiliser des sous-parcs, assurez-vous de définir les sous-parcs et les groupes qui appartiennent à chacun avant d'importer vos ordinateurs dans l'Enterprise Console. Ceci parce que le déplacement ultérieur d'ordinateurs entre groupes peut devenir compliqué lorsqu'ils sont dans des sous-parcs différents.
   
5. Enfin, soyez conscient des conséquences de certains paramètres de stratégie. Par exemple, vous pouvez, si vous le voulez, faire en sorte que votre service commercial ait accès à un programme de messagerie instantanée, mais pas votre service de production. Ces différents services devront, par conséquent, figurer dans des groupes différents pour y appliquer les différentes stratégies de contrôle des applications.
   
6. Si vous avez besoin d'encore plus de souplesse, vous pouvez aussi créer des sous-groupes qui peuvent avoir des stratégies différentes de leurs parents. Si vous utilisez Active Directory, ceci vous permettra d'utiliser les OU pour créer et synchroniser vos ordinateurs tout en appliquant encore une stratégie distincte (ou deux ou trois) à certains ordinateurs de ce groupe.
   
   Prenons l'exemple d'un service financier qui envoie régulièrement à tous les autres services des courriels contenant des informations bancaires ou financières. Vous pouvez paramétrer une stratégie de contrôle des données qui force la plupart de ces utilisateurs à accepter un avertissement lorsqu'ils sont sur le point de transférer les données, mais autorise les transferts sans aucune intervention entre les haut responsables de l'unité. La stratégie la plus permissive serait ainsi appliquée à un sous-groupe qui partage toutes les autres stratégies (antivirus, de pare-feu et les autres).
   
   Autre exemple d'utilisation des sous-groupes : les portables. Vous pouvez faire en sorte qu'ils utilisent les mêmes stratégies que les ordinateurs de bureau du groupe mais qu'ils aient une stratégie de pare-feu qui inclut un lieu secondaire ou des paramètres plus stricts que ceux appliqués aux ordinateurs de votre site. Créez simplement un sous-groupe pour les portables et appliquez toutes les mêmes stratégies que le groupe parent mais une stratégie de pare-feu différente (qui peut être partagée avec tous les portables de votre entreprises).
   
7. Nous vous conseillons de consulter le Guide de configuration des stratégies et les guides des paramètres antivirus et de pare-feu sur le Site de bon usage pour vous aider à décider du nombre de stratégies dont vous aurez besoin, ce qui affecte le nombre de groupes que vous créez. Les paramètres de stratégie qui peuvent affecter le nombre de groupes dont vous aurez besoin incluent :
   
   
   • les paramètres du contrôle sur accès
   • les paramètres du contrôle planifié
   • les planifications des contrôles planifiés
   • les exceptions aux applications potentiellement indésirables
   • les exceptions aux fichiers suspects
   • les exceptions des comportements suspects
   • les planifications et les emplacements de mise à jour
   • les exclusions et les règles d'applications du pare-feu
   • les exceptions au contrôle des périphériques
   • les exceptions au contrôle des applications
   • les différences dans les stratégies de contrôle des données et la manière dont les utilisateurs interagissent avec celles-ci

Articles associés

Pour en savoir plus sur la création de groupes, veuillez consulter Comment... Créer un groupe ?
Pour en savoir plus sur la création de sous-parcs et sur l'administration déléguée, reportez-vous au guide de bon usage : création de sous-parcs et administration déléguée.
Pour en savoir plus sur les paramètres de la stratégie antivirus et de pare-feu que vous pouvez envisager de paramétrer, reportez-vous aux guides des paramètres antivirus et HIPS et de pare-feu sur le Site de bon usage.
Pour obtenir de l'aide sur le déploiement de vos stratégies une fois que vous avez paramétré vos groupes, reportez-vous au Guide de configuration des stratégies.