Structure Identite — Vonnas¶
Modele hybride en transition
Entra ID = systeme de production (~100 comptes, postes bureautiques). d-sormg.local = AD legacy usine, decommissionnement planifie lors de la prochaine migration usine. Aucune synchronisation entre les deux systemes.
Vue d'ensemble¶
Equipements¶
| Nom | IP | Type | Zone | Criticite |
|---|---|---|---|---|
| ENTRA | Entra ID, ~100 comptes | Fournisseur identite | Cloud | C1 |
| M365 | Microsoft 365, Suite collaborative | Service | Cloud | C1 |
| INTUNE | Entra Join, Postes bureautiques | Gestion postes | Cloud | C2 |
| SORDC1 | 10.1.230.120 | DC principal | On-premises | C1 |
| SORDC2 | 10.1.230.121 | DC secondaire | On-premises | C1 |
| DNS | DNS / DHCP, Reseau local | Service reseau | On-premises | C1 |
| ERESIS | Compte partage 'eresis', ~73 machines | Compte domaine | Usine | C1 |
| POSTES | Postes Entra Join, Authentification cloud | Postes | Bureaux | Standard |
Connexions¶
| Source | Destination | Type | Detail |
|---|---|---|---|
| ENTRA | M365 | Hard | Suite collaborative |
| ENTRA | INTUNE | Hard | Gestion postes |
| INTUNE | POSTES | Hard | Authentification cloud |
| SORDC1 | DNS | Hard | Services reseau |
| SORDC1 | SORDC2 | Soft | HotStandby |
| DNS | ERESIS | Hard | Resolution DNS |
| ERESIS | SORDC1 | Hard | Authentification domaine |
Entra ID — Systeme de production¶
| Attribut | Valeur |
|---|---|
| Fournisseur d'identite | Entra ID (ex Azure AD) |
| Comptes utilisateurs | ~100 |
| Suite collaborative | Microsoft 365 |
| Postes bureautiques | Joints a Entra ID (Entra Join) |
| Synchronisation AD | Aucune (pas d'AD Connect / Cloud Sync) |
| Portail admin | https://admin.microsoft.com |
| Backup M365 | SorBackupM365 (10.1.230.170) — Veeam Backup for M365 |
Gestion moderne
Les utilisateurs bureautiques s'authentifient directement via Entra ID. Les postes ne sont pas joints au domaine d-sormg.local. La gestion se fait via le portail M365 / Entra.
Services M365 dependants¶
| Service | Usage | VM relais |
|---|---|---|
| Exchange Online | Messagerie | SORM365 (10.1.230.160) — relais SMTP imprimantes uniquement |
| Entra ID | Authentification, SSO | Direct cloud |
| OneDrive / SharePoint | Stockage fichiers | Direct cloud |
Active Directory on-premises — Legacy usine¶
| Attribut | Valeur |
|---|---|
| Domaine | d-sormg.local |
| Niveau fonctionnel | A verifier (Windows Server 2016 sur les DCs) |
| DC principal | SORDC1 — 10.1.230.120 (VLAN V230, CLU-Soreal) |
| DC secondaire | SORDC2 — 10.1.230.121 (VLAN V230, soresxback / usine) |
| Sites AD | Vonnas (actif), ~~Joigny~~ (decommissionne — residuel) |
| Statut | En cours de decommissionnement |
| Usage residuel | Machines usine uniquement |
Services AD encore actifs¶
| Service | Serveur | Usage |
|---|---|---|
| DNS interne | SORDC1 (principal), SORDC2 (secondaire) | Resolution d-sormg.local + zones publiques groupe-soreal.fr, sorealsudest.fr |
| DHCP | SORDC1 (principal), SORDC2 (HotStandby) | 3 scopes : V110 (30 IPs), V120 (40 IPs), V1 legacy (87 IPs) |
| AD DS | SORDC1 + SORDC2 | Authentification machines usine |
DNS double usage
Les DCs hebergent aussi les zones DNS publiques (groupe-soreal.fr, sorealsudest.fr). Lors du decommissionnement AD, planifier la migration DNS vers un autre service (Azure DNS, hebergeur, ou FortiGate).
Machines usine sur le domaine¶
Les ~73 machines usine (connectees via BAIE_INDUS, FortiSwitch S108F) sont jointes au domaine d-sormg.local et utilisent un compte partage unique.
| Attribut | Valeur |
|---|---|
| Compte utilise | eresis |
| Type | Compte domaine partage |
| Machines concernees | ~73 (VLAN usine via BAIE_INDUS port1) |
| Tracabilite individuelle | Aucune |
| MFA | Non |
Risque securite — Compte partage usine
Le compte eresis est utilise sur toutes les machines usine sans distinction. Aucune tracabilite individuelle des actions. En cas d'incident de securite, impossible d'identifier l'operateur concerne. Ce risque sera resolu lors de la migration usine vers Entra ID.
Alertes identite¶
| # | Alerte | Severite | Action |
|---|---|---|---|
| 1 | Compte partage eresis sur ~73 machines |
CRITIQUE | Accepte temporairement — sera resolu a la migration usine |
| 2 | SORDC1/SORDC2 non supervises | HAUTE | Integrer dans un outil de monitoring (services AD, DNS, DHCP, replication) |
| 3 | 14 enregistrements DNS fantomes | HAUTE | Nettoyage planifie (voir nettoyage-site-joigny) |
| 4 | Site AD Joigny residuel | MOYENNE | Supprimer le site et les enregistrements SRV associes |
| 5 | Niveau fonctionnel AD a verifier | MOYENNE | Confirmer si releve au-dessus de 2008 R2 |
| 6 | Pas de revue d'acces Entra ID formalisee | MOYENNE | Planifier une revue semestrielle |
Plan de decommissionnement AD¶
| Phase | Action | Declencheur | Prerequis |
|---|---|---|---|
| 1 | Inventorier toutes les machines usine encore jointes | Avant migration | Export Get-ADComputer |
| 2 | Migrer les machines usine vers Entra Join + comptes individuels | Migration usine | Licences Entra ID, Intune, connectivite cloud usine |
| 3 | Migrer les zones DNS publiques | Apres migration machines | Hebergeur DNS alternatif identifie |
| 4 | Migrer les scopes DHCP | Apres migration machines | Serveur DHCP alternatif (FortiGate ou autre) |
| 5 | Decommissionner SORDC2 puis SORDC1 | Toutes machines migrees | Validation que plus aucun service ne depend de l'AD |
| 6 | Supprimer le domaine d-sormg.local | DCs eteints, DNS migre | Confirmation zero dependance |
Declencheur
La migration usine est le declencheur unique du decommissionnement. Aucune action avant cette migration, sauf le nettoyage DNS (site Joigny, fantomes).
Scripts de preparation (a executer avant migration)¶
# Inventaire machines encore jointes au domaine
Get-ADComputer -Filter * -Properties LastLogonDate,OperatingSystem,IPv4Address |
Select Name,OperatingSystem,IPv4Address,LastLogonDate,Enabled |
Sort LastLogonDate -Descending |
Export-Csv -Path "C:\temp\ad-computers-audit.csv" -NoTypeInformation -Encoding UTF8
# Comptes actifs dans le domaine
Get-ADUser -Filter {Enabled -eq $true} -Properties LastLogonDate,Description |
Select SamAccountName,Name,Description,LastLogonDate,Enabled |
Export-Csv -Path "C:\temp\ad-users-actifs.csv" -NoTypeInformation -Encoding UTF8
# Groupes avec membres
Get-ADGroup -Filter * -Properties Members |
Where { $_.Members.Count -gt 0 } |
Select Name,@{N='MemberCount';E={$_.Members.Count}},GroupScope |
Export-Csv -Path "C:\temp\ad-groups-actifs.csv" -NoTypeInformation -Encoding UTF8
Voir aussi¶
- fiche-reflexe-SORDC1 — Fiche reflexe DC principal
- fiche-reflexe-SORDC2 — Fiche reflexe DC secondaire
- SORDC1 — Fiche equipement DC principal
- SORDC2 — Fiche equipement DC secondaire
- SORM365 — VM relais SMTP M365
- documentation-dns-vonnas — Configuration DNS complete
- documentation-dhcp-vonnas — Configuration DHCP complete
- nettoyage-site-joigny — Action de nettoyage DNS Joigny
- carte-dependances-vonnas — Carte des dependances systemes
Document genere par A4-Gatekeeper le 2026-02-17. Consolide depuis les donnees A2 (equipements), A3 (reseau/DNS/DHCP) et A7 (fiches reflexes).
Historique¶
| Date | Action | Auteur |
|---|---|---|
| 2026-02-17 | Creation — etat des lieux identite hybride Vonnas | A4-Gatekeeper |