Aller au contenu
Loewyn

Les postes fantomes.....

Messages recommandés

Bonjour à tous !

 

Une nouvelle fois je me tourne vers votre expérience pour un problème assez particulier....

 

Je travail pour une association possédant un parc informatique d'environs 250 ordinateurs.

 

Cette association se compose d'un siège social où le service informatique est localisé. Nous disposons d'un serveur Active Directory. 


Les postes sont dispersés sur 20 sites distant qui sont tous dans un VPN géré par Orange.

 

 

Jusqu'ici tout va bien !! MAIS nous avons aujourd'hui un problème. En gros chaque site à un directeur et au siège social il y a un directeur général. Pour mettre en service un nouveau poste informatique celui ci doit être acheté et mis en service par le service informatique (domaine, antivirus, session, mail ...) 

 

Sauf qu'avec un informaticien pour 20 sites certains ont fini par aller à Auchan acheter leurs postes.... 

 

Bon maintenant que je suis présent nous sommes deux. Mais nous sommes face à un problème.

 

Comment pouvons nous détecter les postes sur le VPN qui ne sont pas dans le domaine ? Comment pouvons nous bloquer l'accès réseau aux postes qui ne sont pas dans le domaine ? 

 

Ces postes sont pour la plus part bourrés de virus et représente un sérieux risque pour l'association. De plus je viens de mettre en place un serveur GLPI + FusionInventory mais le soucis c'est que je ne peux pas déployer d'agent sur des postes hors domaine....

 

Avez vous des idées, des propositions sur ce que je peux faire pour verrouiller mon réseau et empêcher les directeurs d'autre sites de mettre en place des postes sans passer par nous ?

Je précise que la manière "douce" comme leur demander de nous lister les dit PC etc... ça ne fonctionne pas et la direction générale ne veux pas les sanctionner. De plus certains site s'oppose a ce que nous (service informatique) allions sur place pour contrôler les postes et le peu de fois ou nous avons été ils ont cacher les PC portables...

 

Bref a nous de nous démerder par nos propre moyen ! 
 

Merci d'avance :) 

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut,

 

Ce qui est un peu aberrant dans ton histoire, c'est que le SI ne soit plus maitre de son parc info... La direction devrait comprendre que c'est tout à fait malsain de travailler comme ca.

Mais bon, bref.

 

A mon avis, la meilleure solution se trouvera très certainement dans la sphère "réseau".

Par exemple, quel matériel réseau est utilisé sur site (routeur, switchs)?

Quel matériel fait office de serveur DHCP?

 

En fonction de ce matériel, s'il permet par exemple de faire du MAC filtering, tu pourras rentrer dans une politique restrictive mais qui t’amènera à la maitrise de ton parc.

Fais valider par la direction ce nouveau principe, puis ensuite chaque agence devra te fournir la liste des adresses MAC de chaque équipement, que tu devras controller et valider (team viewer?)

Uniquement les équipements autorisés sur les éléments réseaux pourront fonctionner sur ton LAN.

 

Ca correspondrait assez bien au problème non?

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Abérrant ? C'est le mot je crois oui !! 

Alors on a des switch non manageable (des 100 mega déjà pour la pluspart xD)
et des routeurs orange.

 

Le DHCP c'est les point d'accès wifi qui le fait...

 

La solution que je pense mettre en place c'est un serveur DHCP qui se trouvera sur un RPI avec filtre mac. 
après si ils se mettent en IP statique..... Je l'ai dans l'os non ?

 

Pareil pour les PC hors domaine, je dois faire moi même le déplacement pour les mettre dedans je suppose :/ ça c'est relou aussi.

 

Tu vois quelque chose d'autre ? 

 

Merci de ton aide :)

Partager ce message


Lien à poster
Partager sur d’autres sites

woooaahhh. Je suis sans voix de lire ça !! Il te faut le soutien de ta direction pour empêcher l achat de pc chez n importe qui ! Il faut implanter une politique d achat.tu vas te retrouver avec du windows familial et sans intégration au domaine possible. 

je suis bien d accord avec Pyrithe, il faut reprendre en main la gestion du SI c est la base.

 

Ensuite je ne pense pas que bloquer les pc que tu ne gères pas(encore) soit la bonne solution, cela va bloquer les utilisateurs et faire monter les tensions.

 

si vraiment tu retiens cette solution, si tu as le meme équipement Orange sur chaque site. Vois ce que l operateur peut proposer : Lien avec l ad, seul les pc avec tel antivirus peuvent aller sur le vpn ...

Partager ce message


Lien à poster
Partager sur d’autres sites

Alors pour le soutien normalement maintenant ça devrait commencer à changer (tout doucement)...

j'ai du windows familial déjà la !!! Tkt pas pour ça !!

 

Si ces postes sont vraiment pourris ils seront bloqués, c'est discuté avec le DG.... Mais bon je vois déjà les directeurs venir pleurer.... Bref à voir

 

Oui je compte me rapprocher d'orange quand j'aurais tirer au clair ce que je peux faire :/

 

En attendant je vous remercie de votre aide et je suis toujours ouvert à toutes vos propositions ! :)

 

Bonne soirée !

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 11 heures, Loewyn a dit :

j'ai du windows familial déjà la !!! Tkt pas pour ça !!

Du windows familial en entreprise?

Alors premièrement c'est pas légal (et ca serait bien de sensibiliser la direction de la boite à ca), deuxièmement il existe des licences pour les associations je crois, et troisièmement, je vois mal comment gérer correctement un parc qui comporte des produits ne s'intégrant pas sur un AD et qui n'ont pas les fonctionnalités dédiées aux entreprises.

Je pense qu'il y a un gros boulot de reprise sur ce parc!

 

A mon avis aussi, laisser gérer l'intégralité du réseau par Orange c'est moyen.

C'est pas des interlocuteurs très réactifs, et ils botteront vite en touche. C'est compliqué de travailler vraiment de manière proche avec eux.

Soit vous avez de bonnes compétences réseau et gérez ca par vous même, soit vous ne les avez pas et vous pourriez voir avec une boite spécialisée en réseau non?

Partager ce message


Lien à poster
Partager sur d’autres sites

 

il y a une heure, Pyrithe a dit :

deuxièmement il existe des licences pour les associations je crois

 

pour les licences oui pour les asso voir avec ADBsolidatech, genre pack office pro a 25€.

 

pour la partie reseau, j évoquais Orange vu que c est le seul presta ayant un équipement(identique) sur chaque site.

 

après comme indiquer, la solution ultime est de reprendre le parc en gestion correctement.

Partager ce message


Lien à poster
Partager sur d’autres sites

Je sais bien que ce n'est pas normal.... La direction est au courant que c'est illégal, mais ils ne mettent pas la priorité la dessus.... Bref, ça va se régler mais c'est pas si simple malheureusement....

 

Moi j'ai demandé un remplacement dans les plus brefs délais. C'est accepté maintenant il reste à ce que ce soit accepté. Mais pour cela il faut identifier tous les postes.

 

Les compétences pour gérer le réseau je les aient, le seul soucis que j'ai c'est pour reprendre le réseau en main. Soit identifier tous les postes et surtout ceux que l'on nous cache ! 

 

Après on pourra discuter avec la direction pour les décisions à prendre.

 

Après ils sont d'accord pour remplacer, mais on est une association à but non lucratif dans le secteur médico social qui a pour finalité de venir en aide à des personnes en situation de handicap.

 

l'informatique à dans cette association à une place fonctionnelle qui est très présente mais l'aspect financier est très limité. les finances étant des subventions de l'état qui sont destinés aux personnes handicapés. Le budget informatique est extrêmement faible.

 

De par ce fait les erreurs commis par les directeurs ne peuvent pas être réparés d'un claquement de doigts.... ça va prendre au moins plusieurs mois.

 

Mais le nombre de postes qui sont concernés par ces problèmes reste assez faible... ce doit être une dizaine de postes.... Sur plus de 200 c'est assez peu.

Partager ce message


Lien à poster
Partager sur d’autres sites

Oui, si on résume un peu le truc :

  • On a des licences pro/familiales, pas adaptées ni fonctionnellement ni financièrement à la structure.
  • On a des pc qui ne sont jamais passés par le Service Info, et donc potentiellement sans antivirus, mal paramétrés, et d'une configuration non validée.

Pour moi, impossible de travailler sereinement.

Pour le réseau géré par Orange, passe encore, même si c'est un peu bête d'avoir la main sur rien. Enfin bref, ca se discute, il y a des avantages et des inconvénients.

Par contre pour les licences, déjà, explique à la direction que ce n'est pas légal, et que la responsabilité des informaticiens peut être mises en cause. Là, il faut clarifier les responsabilités sous peine de légères embrouilles en cas de demande d'inventaire de licences...

Ensuite, même si le nombre de pc concerné est faible, un réseau informatique s'appréhende dans son intégralité, et des machines qui ne devraient pas exister sont des failles énormes. Tu peux faire ce que tu veux niveau sécu, tant qu'il y a des machines que tu ne maitrise pas dans un coin, alors ton réseau est complètement faillible.

 

Pour ce qui est du budget, que ce soit en PME ou associations, c'est pareil. L'informatique coûte trop cher, toujours trop cher.

Sauf qu'on économise pas en achetant des pc dans un coin... Ca se démontre très facilement, et c'est ton boulot aussi que d'argumenter ça ;)

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Tout à fait tu résumes bien.

 

Le réseau sera toujours géré en interne, orange ne gère que les liaisons VPN, rien d'autre.

La responsabilités ça a était discuté mais ce sont des postes qui ne sont même pas immobilisés car acheter avec la liquidité des établissement... Ils n’existent même pas au niveau comptable donc bon je m'en fait pas trop. 

Il y a une procédure d'achat de poste qui dit que les postes sont achetés par le service informatique mais comme avant mon collègue était seul il laissait passer un laps de temps assez long entre la demande d'achat, l'achat et l'installation.... Du coup certains ont décidés d'aller acheté eux même....

Mais maintenant ce soucis d'achat est résolu, mais il faut maintenant reprendre en main le parc :) 

 

Historiquement il est aussi important de dire qu'il n'y avait rien du tout pour gérer le parc.... 

Je viens de mettre en place un GLPI avec Fusion inventory pour répertorier les postes dans le domaine et commencer à regarder ce qu'il y a dedans et c'est pas joli joli à voir, avant que j'arrive le serveur AD était totalement permissif...

Je vais mettre en place un serveur Wapt pour pouvoir déployer les logiciels et faire les maj plus simplement  et il faut encore que je fasse l'achat de raspberry pi qui me serviront de serveur DHCP sur chaque site pour pouvoir identifier les postes.

J'ai déjà sécurisé le serveur AD avec des règles plus strictes mais le mal est fait sur beaucoup de postes :/ 

 

Je fais ce qu'il faut pour remettre en ordre le parc mais le soucis est toujours le même. Les finances.

 

Le travail est monstrueux ! Mais je suis sur que je serais capable de reprendre ne main le parc

Partager ce message


Lien à poster
Partager sur d’autres sites

Windows Familial en entreprise n'est pas illégal. Exemple un poste pour faire la compta dans un petit garage, et bien le familial fera l'affaire. Quel intérêt à acheter une version pro ?

 

Mais lorsque qu'il y a un AD, le pro devient obligatoire !! Pas de bras, pas de chocolats 

 

Trouvé dans le CLUF : utiliser le logiciel en association avec des services d’hébergement commercial

Modifié par donut
lecture du CLUF

Partager ce message


Lien à poster
Partager sur d’autres sites

Hello,

 

Pour l'utilisation des licences, précise que si Microsoft leur tombe dessus l’amende est salée ! J'ai déjà vu le cas et ça grimpe vite en dizaine de milliers d'euros ...

 

Concernant le Raspberry comme serveur DHCP, je te conseille d'avoir du spare prêt a être envoyé sur site si jamais y'en a un qui grille. Ca arrive plus souvent qu'on ne le croit.

Partager ce message


Lien à poster
Partager sur d’autres sites

Concernant les RPI j'ai encore une appréhension par rapport à la fiabilité oui.... Je vais prendre le temps d'y réflechir. 

Je ferais un autre post je pense pour demander des avis :)

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

Question, j'ai un soucis avec mon parc. j'ai des sites qui sont en ADSL / fibres / SDSL.

Certains sites ont une connexion plutôt mauvaise et sont toujours avec une connexion qui galère :/ 

 

Est ce que vous avez un logiciel (sous licence GNU, ou propriétaire gratuit(ah ah) ) qui me permettrai de voir le trafic entrant / sortant des cartes réseaux ? 

 

ça m'aiderais beaucoup à diagnostiqué les soucis que j'ai...

Partager ce message


Lien à poster
Partager sur d’autres sites

@Loewyn Malheureusement l'analyse réseau n'est pas aussi simple.

Pour aller vraiment chercher qui génère du trafic et comment la bande passante est saturée sur un site, il faut du matériel spécifique.


J'utilise pour ma part une appliance (un mini TAP) qui me permet de capter la totalité du trafic (ou une partie, selon l'endroit où je positionne mon TAP).

Ensuite je peux analyser le trafic par le biais d'un logiciel d'analyse des paquets (Omnipeek).

 

Tout ça nécessite des compétences (pour analyser le trafic récolté), et a un coût assez important.

C'est pour ça que, ayant investi dans cette solution, je propose mes services en soustraitance à des distributeurs, intégrateurs, et même à des FAI.

Partager ce message


Lien à poster
Partager sur d’autres sites

Oui je me disais bien...

Néanmoins j'ai pu installer la version d'essai de NetBalancer qui me permets de voir la consommation en débit de chaque applications.

 

Y aurait il une solution de ce type (gratuite :/ ) que je pourrais déployer sur mes postes :)

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×