Win serv 2K3 R2 sp2, Domaine reseau local et DNS

[superlag]

Hello

J’étais face à un réseau avec un Win serveur 2003 hier. Le serveur gère une base de données partagé, ok.

Par contre je pige pas l’intérêt et le pourquoi du domaine. C'est juste un truc pour gérer les users et leur droits? Je veux dire, ça fait pas office de proxy donc ça filtre rien qui n'aille sur internet. Donc pourquoi pas avoir un simple partage type SMB comme on trouve sous les NAS Linux? Je dis ça parce que sans être la mort ça implique une configuration plus poussé d’être sous un domaine, sans trop voir ce que ça apporte, à part peut-être qu'on ne peut le rejoindre sans être identifié, sauf que un accès libre n'est pas un problème si les machines du réseau sont configurés comme il faut et n’autorisent pas le partage avec des users non identifié.

Bref c’est quoi l’intérêt en dehors d'avoir un truc moins limpide?

[Wolverine]

pour un particulier, ça n'a pas grand intérêt
y a la sécurité et restrictions d'accès mais on peut faire presque pareil sans domaine (si on reste sur un réseau d'un particulier)
la fonction DHCP mais n'importe quelle box et probablement n'importe quel NAS doit pouvoir le faire.
le routage mais pareil une box peut plus ou moins le faire

Il reste pouvoir mettre à jour via WSUS et les GPO des postes avec un OS à licence tendancieuse

[Daedaal]

Effectivement, ça n'a que peu d'intérêt pour un réseau domestique (quoique, je soit très content d'en avoir configuré un à la maison). Le gros avantage, c'est que ça permet de centraliser toutes les manipulations concernant les users, la sécurité et le déploiement (updates et/ou paramètres) en un seul point. Dés que tu as un peu plus de 2 PCs et un box sur ton réseau (et que tu réinstalle souvent l'une ou l'autre machine), c'est quand même assez sympa de ne pas avoir à se re-fader les différents paramètres de sécurité, de profil, etc... De même, quand tu te logues sur plusieurs bécanes différentes, c'est plutôt agréable d'avoir tes documents et paramètres qui te suivent automatiquement.

En termes de sécurité, tu rajoutes quand même une couche supplémentaire à un simple hardening d'une install "familiale" : Pour accéder au réseau il faut non seulement parvenir à s'y connecter, mais en plus s'authentifier par rapport à l'AD...

Enfin -pour avoir monté des réseaux de PME sans AD- tu simplifie grandement la notion de partage au niveau des utilisateurs, ils n'ont qu'à s'authentifier une fois au niveau de leur PC, et tous les partages prévus leurs sont accessibles sans avoir à se ré-authentifier (single sign-on).

Bref, même si je plussoie le monsieur du dessus, on peut quand même y trouver son compte (:zno pour un réseau domestique. Mais entre le tarif de la licence serveur, le surcoût des licences seven professional et l'apprentissage nécessaire, le bénéfice n'est pas suffisant.
Par contre, pour une PME -même avec juste 4-5 postes- ça commence à valoir le coup imho.

[Wolverine]

pour un particulier, à moins d'avoir un gros porte monnaie (avec plein de monnaie dedans), les avantages d'un domaine contre balance difficilement les coûts

[Daedaal]

On est bien d'accord...

.../...
Bref, même si je plussoie le monsieur du dessus, on peut quand même y trouver son compte (:zno pour un réseau domestique. Mais entre le tarif de la licence serveur, le surcoût des licences seven professional et l'apprentissage nécessaire, le bénéfice n'est pas suffisant.
Par contre, pour une PME -même avec juste 4-5 postes- ça commence à valoir le coup imho.

A l'époque où j'ai installé mon domain, mon boulot me donnait accès à ces licences gratos pour un usage personnel... C'était le bon temps !

[Nuigurumi]

Comme dit plus haut, cela apporte une centralisation de l'administration qui devient obligatoire dès que tu dois gérer beaucoup de postes de travail et qui améliore également la sécurité (gestion de comptes et GPO). Mais il y a également d'autres éléments qui se sont ajoutés dans un domaine Windows avec les nouvelles versions d'OS. Par exemple, la notion d'arborescence de domaines avec toute une notion d'approbation, délégation de droits et autres joyeusetés qui n'était pas très facile à utiliser sous Windows NT. Active Directory est aussi à la base un annuaire d'entreprise qui sert de référence à de nombreux logiciels. Pour déployer certaines applications Microsoft, c'est un prérequis indispensable.

Après, pour une toute petite entreprise, j'y vois surtout un gain en terme de gestion de comptes, de paramètres utilisateurs et de sécurité. Je ne me vois pas entrer mon login/mot de passe pour chaque serveur auxquels je dois accéder ou alors il faudrait qu'ils soient identiques sur chaque serveurs... une belle galère pour changer le mot de passe ou désactiver rapidement un compte sur tous les serveurs.

[deathdigger]

Et si t'as un exchange derrière, c'est obligatoire

[superlag]

C’est un environnement pro. Je n'ai pas vu d'exchange pour l'instant, juste une base de donnée.

Le truc c’est qu'il y a 7 postes à peine, que le système de sauvegarde est pas foutu de fonctionner, que le routeur xDSL connecté au switch (avec un superbe réseau local 10/100) semble perdre sa synchro plusieurs fois par jour ou quoi, que le win serveur 2003 semble pas avoir de création auto d'image disque ou quoi, que y'a aussi un serveur xenon pour héberger le site internet de l'entreprise, très bien vu avec les 0,3 Mega en upload. Que y'a des onduleurs partout, des imprimantes à 500 euro à chaque poste + une imprimante/photocopieuse à 2500 euro de location par an, des postes tous en double coeur 2,5Ghz et 8Go de ram mais avec XP pour la moitié, bref j'y comprends rien, y'a aucune cohérence.
Je pense que le gars précédent s'est fait plaisirs niveau vente de matériel, le truc c'est que le système cafouille complètement et que tout ce fric pour un résultat aussi minable c'est chaud quand même. L’équipe bosse dans un environnement très léger niveau perf au regard de l'investissement. Les gars de la maintenance viennent, font leur truc dans leur coin et ne communique jamais avec les users, bref il ne travaillent pas avec eux.

Bref y'a pas mal à faire, c’est vraiment du "à l'ancienne" sur la manière de bosser, on fout du cher mal choisi qu'on sous exploite et/ou mal. Y'a pas de vision globale de l'utilisation de l'info dans la boite on dirait.


Sinon, en ce qui concerne les bases de donnés sur serveur, autre part j'en ai foutu une (access) sur un NAS en partage SMB. Comme j'ai foutu un réseau gigabit et que la bdd ne pèse que 300 mo, y'a pas vraiment de latence (elle est partagé sur 3 postes).
Mais j'ai vu que win serveur toussa, pour des bdd de 1,5Go par exemple, ça permettait des accès bien rapide.
C'est traité de quelle manière, le serveur n’envoie que les infos nécessaire et pas le bloc complet? Je connais pas trop le truc je suis curieux.

[deathdigger]

Ben c'est les données "choisies" qui sont envoyées : c'est ton driver de bdd qui fait le nécessaire pour envoyer que ce dont tu as besoin (encore heureux ^^).
Je sais que sur une petite boite que j'ai faite, il y'avait un contrôleur de domaine pour gérer les droits à la bdd (MSSql pour Sage).
Pour du access, le seul avantage de cette daube est effectivement de pouvoir la coller où tu veux.
Ce que je te conseille, si ce sont des imprimantes réseaux, c'est de garder le serveur Windows 2003 (de toute façon il est payé), de foutre toutes les imprimantes en réseau dessus, comme ça il te servira de serveur d'impression. S'il n'y a pas de grosse appli, ou si les applis sont anciennes, reste sur Windows XP, c'est complétement con, mais t'es sûr de garder la compatibilité avec les applis existantes, et s'ils n'ont pas besoin de perf, aucune raison de passer sur du 7.
Après pour la sauvegarde des postes, honnêtement, ça sert pas à grand chose, tu leur as fait acheté un NAS, tu leur dis de toujours travailler dessus (en espérant que t'as pris un truc correct , au taff on a pris des QNAP avec double carte réseau et Raid 5, un peu disproportionné pour toi, mais bon, c'est à peine plus de 1000€). Après, si tu veux du bon Switch Gigabit, oriente toi vers des HP Procurve, là t'es sûr que ton réseau interne sautera jamais.

[superlag]

Ok. Pour la bdd concrètement ça se gère comment? On la fout dans un dossier sur le serveur, puis on renseigne le chemin de ce dossier dans l'interface de gestion du driver, puis on crée des users et leur droits (lecture / écriture), puis au niveau d'Access on pointe sur quoi? Un chemin réseau type smb (\\serveur\chemin_du_partage)?

[deathdigger]

Si t'as que du access en bdd, dans tes applis tu dois avoir un truc pour faire pointer au bon endroit (un .ini par exemple). Ou, t'as que l'endroit de ta bdd (et donc tu fous l'emplacement du nas), ou t'as la connection string complète (genre un truc comme ça : http://www.connectionstrings.com/access-2007 ).
Après, deux autres possibilités : c'est une "pseudo-application", et en fait tu lances directement les formulaires dans access, dans ce cas, t'as pas à te faire chier, et juste changer les raccourcis sur les PCs, ou l'application cliente va chercher une source de données avec un nom particulier, et dans ce cas là, tu modifies les infos dans tes sources de données (Panneau de config->Outils d'administration->Source de données de mémoire).

A vérifier aussi si t'as pas une application qui tourne sur le serveur qui sert au lock/unlock de ta bdd.

[superlag]

J'ai voulu joindre le domaine hier, echec Il s’appelle domaine.local

Si je renseigne le nom d’utilisateur et ça, ça me donne un échec. Si je change le suffixe DNS par domaine.local et reboote, idem.

Mon user est bien crée. Faut t il aussi crée une machine (comme on crée un user) pour qu'elle puisse rejoindre le truc (j'ai vu que les nom de machine était renseignés sur le serveur).

Ça peut venir de quoi mon problème de DNS, et c'est quoi la procédure de base pour joindre un domaine?

[Daedaal]

Alors, normalement, l'ordi sera créé tout seul comme un grand au sein de l'AD quand tu vas le joindre au domaine. Si il existe déjà ça ne pose pas de soucis non plus.

Pour joindre un domaine, il suffit d'aller dans les propriétés système, onglet "Computer Name" et de cliquer sur le bouton "Change".
Tu renseigne le nom de la bécane et le nom du domaine, et quand tu valides, il va te prompter pour un utilisateur qui des droits suffisants au niveau du domaine pour y joindre une bécane.

Par contre, je ne me rappelle plus si lors de ce prompt, il redirige déjà sur le domaine pour l'authentification. Donc autant lui préciser de le faire : Si ton utilisateur a pour login "nom.prenom" et que ton domaine est "domaine" (le suffixe .local n'est pas utile ici), tu mets "domaine\nom.prenom" dans la case user name, le password et c'est parti !

[superlag]

Ok, en fait j'avais bien fais:

Pour joindre un domaine, il suffit d'aller dans les propriétés système, onglet "Computer Name" et de cliquer sur le bouton "Change".
Tu renseigne le nom de la bécane et le nom du domaine, et quand tu valides,

Et là quand je valide il trouve keud et paf, me sort une erreur DNS....

Faut que je réussisse à résoudre cela.

---------- Post added at 12h21 ---------- Previous post was at 10h33 ----------

Bon comment ça se passe en gros avec le DNS?

-laisse-t-on le DNS du routeur actif ou pas
-le DNS de l'AD cohabite-t-il avec le DNS du routeur ou pas (en gros faut-il renseigner l'ip du routeur durant la config)?

---------- Post added at 12h22 ---------- Previous post was at 12h21 ----------

Ah oui à terme je pense tout désactiver sur la livebox (dhcp et DNS), comme ça en cas de plantage ou quoi, ça permetrai à ce que le réseau local tourne tj (seul l'accès internet serait coupé).

[superlag]

C'est bon pour le DNS je pense avoir capté comment il faut faire. Bon le DHCP maintenant.

[Daedaal]

Pour ton histoire d'erreur DNS, ta machine cliente, elle pointe vers quel DNS justement ?

Ce que j'ai fait ici (sans box, avec un routeur mais ça ne devrait pas changer grand chose), c'est -via DHCP- de faire pointer mes machines clientes vers le DNS du DC, et de mettre un forwarder dans ce dernier pour qu'il pointe vers mon routeur et donc vers les DNS de mon FAI.

Donc tu vires le DHCP de la box, tu paramètre le DHCP du DC pour le default gatway sur le routeur et pour le DNS sur le DC, tu fais les réservations nécessaires et tout devrait rouler...

[superlag]

Uep j'avais fait ça sur un autre réseau local (comme ça si on vire la livebox le local reste opérationnel).
Je vais tester une fois que j'aurai capté comment fonctionne le DHCP de win server (ça ne doit pas être très compliqué).

Pour le DNS, en gros ce, que j'ai compris :

Sur le serveur :

-IP Fixe (dans la classe habituelle évidement)

-indiquer l'IP du routeur DHCP (donc soit la box internet, soit l'ip fixe du serveur lui même s'il devient DHCP) concernant la passerelle

-foutre la propre IP du serveur en DNS


Sur le client:

-IP du serveur en DNS préféré (ceci si on utilise le DHCP de la box)

Du coup, en désactivant le DHCP du routeur/box internet, et en utilisant celui du serveur, on doit pouvoir tout foutre en réseau sans avoir à configurer les clients (et laisser le dhcp du serveur leur indiquer la sortie vers internet > l'IP de la box).



Sinon je pige tj pas pourquoi ces machines tournent avec un serveur et pas un NAS en SMB. J'ai l'impression que certaines sont connecté à la base de donné uniquement par SMB, là ou d'autre utilise un compte du nom de domaine. Dans les deux cas ça marche, donc la bdd ne doit pas être très lourde vu qu'un des PC est connecté en Wifi (et que le réseau filaire est du 10/100).

Je pige pas trop ce qu'à fait l'ancien admin, à mon avis c'est parce qu'il déployait les MAJ et autre à distance, en se connectant au serveur via log me in.

Mais bon perso j'ai plus la politique d'expliquer aux users ce qu'ils peuvent/doivent faire, c’est à dire pas grand chose sorti des MAJ windows/flash/java (le reste se fait tt seul).
En plus là, y'a 7 machines (bureautique + une bdd), ça me parait un peu overkill comme installation (même si je n'ai peut-être pas encore capté ce que ça peut amener de vraiment positif). Et je parle pas du deuxième serveur en xeon pour héberger leur propre site internet qui couterai surement 50 euro/an tout compris chez OVH...


Ah oui faudra que je remette en place la sauvegarde du serveur. On peut faire confiance à l’outil MS? Apparemment ça permet même de créer un CD de boot pour réinstaller le serveur depuis la save (comme avec Seven). C'est fiable ce truc ou j'oublie?
Perso j'ai envie de la foutre en auto une fois/semaine (le WE), puis save de la bdd deux fois par jours, à midi et le soir (reste à voir si comme avec Access il faut que tout les users soient bien deco pour que ça fonctionne ce qui est plutôt chiant :/ ), en enfin save en ligne de la bdd (ça reste LE truc important) tout les soirs (pas encore décidé avec quelle solution, faut aussi que je vérifie sa taille, on a keud en upload, peut-être 256Ko/s à tout casser -_- ).

[superlag]

Pour ton histoire d'erreur DNS, ta machine cliente, elle pointe vers quel DNS justement ?

Sur l'IP du serveur désormais et non plus l'ip de la box comme avant (en IP auto, juste que le DHCP de la box faisait ce travail).

[Daedaal]

Un petit dessin valant mieux qu'un long discours, c'est un peu comme ça que je vois la config de ton réseau (et que le mien est configuré) :



Bon, ceci dit, je ne suis pas sys admin. Sans doute que l'un ou l'autre expert pourra corriger/compléter.
Mais en tout cas, ça fonctionne sans problèmes comme ça chez moi...

[EDITH] Si tu ne définis pas de forwarder vers ta box au niveau du DNS, tu ne pourras pas sortir du réseau interne (pas de résolution d'adresse externe - même si par IP ça fonctionne).
Je ne sais pas si c'est le cas avec 2003, mais sous 2K, pour pouvoir accéder aux forwarders, il faut virer le root du serveur DNS (histoire qu'il sache qu'il n'est pas seul au monde). A vérifier.

Le fait de forwarder vers la box et pas vers des DNS spécifiques (genre google), c'est simplement parce que je n'arrive pas à accéder au SMTP de mon FAI quand je ne passe pas par ses DNS...

[Nihihi]

[EDITH] Si tu ne définis pas de forwarder vers ta box au niveau du DNS, tu ne pourras pas sortir du réseau interne (pas de résolution d'adresse externe - même si par IP ça fonctionne).
Je ne sais pas si c'est le cas avec 2003, mais sous 2K, pour pouvoir accéder aux forwarders, il faut virer le root du serveur DNS (histoire qu'il sache qu'il n'est pas seul au monde). A vérifier.

Je crois que ça a changé sous 2003 (sous 2008, c'est certain). Si tu défini des forwarders, il va les taper en priorité, et se rabattre sur les indications de racine si les forwarders répondent pas.
L'autre solution, c'est que ton DHCP envoie deux serveurs DNS : ton serveur et ta box. Si le serveur résout pas, la box répondra au PC. Il vaut de toute façon mieux avoir les deux adresses en DNS (au moins, si ton serveur crash, t'as toujours le net), mais si ton serveur ne peut pas résoudre tes requêtes, tu va sentir des lenteurs (il faudra attendre l’échec du serveur pour interroger la box).

Le fait de forwarder vers la box et pas vers des DNS spécifiques (genre google), c'est simplement parce que je n'arrive pas à accéder au SMTP de mon FAI quand je ne passe pas par ses DNS...

Parce que le SMTP de ton FAI a pas la même IP selon si tu es sur le réseau interne (en général, l'open relay est autorisé), ou si tu viens de dehors (là il n'accepte que les adresses qu'il gère).

[Daedaal]

Il me semble bien aussi que 2003 prend un peu mieux en compte les spécificités type SOHO (xDSL) que 2K. Par contre j'ose imaginer que les #@{[! d'ingénieurs de chez microsoft ont implémenté des systèmes qui gèrent différemment les adresses internes et externes... Un peu moins brutaux que Forwarders -> Interne... Juste histoire que le domaine soit reconnu en interne, par exemple...

.../...
Parce que le SMTP de ton FAI a pas la même IP selon si tu es sur le réseau interne (en général, l'open relay est autorisé), ou si tu viens de dehors (là il n'accepte que les adresses qu'il gère).

C'est bien pour ça que je persiste à les utiliser...

[deathdigger]

Tu peux aussi mettre uniquement le serveur 2k3 en DNS, celui-ci va chopper ceux de la box, mais ça te laisse la main pour "bloquer" certaines adresses (au hasard facebook & co). Le gros soucis par contre, c'est le jour où ton serveur est down, t'as plus de DHCP, et plus de DNS (en même temps t'es presta, ça te permettra de te faire des thunes )

[Daedaal]

On est bien d'accord... Sur tous les points...

En même temps, avec 7 postes sur le réseau (si je me souviens bien), il y a de grandes chances que le client de superlag utilise son DC aussi comme file server. Donc si il est down, l'accès au net sera le moindre des soucis de la boîte...

Ceci dit, correctement configuré (et hors panne HW), un serveur windows est remarquablement stable (n'en déplaise aux partisans du pingouin) : Mon DC/FS en 2k tourne 24/7 depuis près de 10 ans (sur une vieille workstation compaq à base de PII 266 et tellement gavée de HDDs que je n'ai jamais pu remettre le capot ) et a supporté sans broncher les migrations successives de mes bécanes de XP vers Vista puis Seven...

'Va quand même falloir que je le change un des ces jours : Plus moyen de trouver des HDDs IDE...
Mais je dois avouer que migrer le domaine m'enchante moyen moyen...

[superlag]

L'autre solution, c'est que ton DHCP envoie deux serveurs DNS : ton serveur et ta box.

Ué j'ai fais ça la première heure, puis en fait j'ai carrément foutu 8.8.8.8 (DNS Goole) en secondaire sur les clients (et IP du seveur en primaire). Et Bref, serveur éteint, tout marchait encore (enfin internet).
Du coup j'ai pu le nettoyer tranquille, il y avait un peu de poussière:


(En fait toutes les entrées/sortie d'air et ventilos étaient comme ça).

Tu peux aussi mettre uniquement le serveur 2k3 en DNS, celui-ci va chopper ceux de la box, mais ça te laisse la main pour "bloquer" certaines adresses (au hasard facebook & co). Le gros soucis par contre, c'est le jour où ton serveur est down, t'as plus de DHCP, et plus de DNS (en même temps t'es presta, ça te permettra de te faire des thunes )

Bah dans tout les cas, sur un réseau, si tu peux avoir plusieurs DNS, tu ne peux pas avoir plusieurs DHCP.
Là ce dont ils ont plus besoins, c’est le réseau local, donc c'est lui que je vais privilégier et donc le DHCP via serveur (comme ça comme je leur ai dit, si la box tombe en panne il la change et tout marche pendant ce temps).

Par contre je vais avoir du mal à foutre le DHCP vu qu'il ont perdu le CD 1.... Si jamais quelqu'un a ça (Windows Server 2003 R2 Standard Edition sp2 x86 CD1 Fr).


Bon sinon un truc marrant concernant le backup du serveur, l'ancien presta envoyait ça sur un HDD externe USB de 500Go formaté en...FAT32. Pas étonnant que les sauvegardes marchaient pas....
Et je le lui jette pas trop la pierre, n'ayant pas fait clic droit propriété je savais pas, nan ce qui m'a fait tilté c’est que la dernière save faisait exactement la taille maximale que peut faire un fichier sur un file systeme en ...FAT32. Du coup j'ai formaté et lancé une save pour demain matin à 2h00, je verrai Mercredi ce que ça a donné.

Ah ué, le fait que la save win 2K3 ne puisse bosser s’il y a des fichier ouvert sur le réseau c'est...nul. Enfin encore une fois un simple NAS aurait largement fait l'affaire.

[deathdigger]

J'ai peut être ça faut que je regarde. Sinon ouais un 2003 ou un 2008 R2, c'est du bonheur niveau stabilité/consommation de ressources.

[Nihihi]

Mon DC/FS en 2k tourne 24/7 depuis près de 10 ans

Miam les failles de sécurité

Mais je dois avouer que migrer le domaine m'enchante moyen moyen...

Migrer le domaine, une fois ton futur serveur installé et intégré au domaine, c'est fait en 15min.. Par contre, migrer tout le reste, ça peut être long...

[Daedaal]

Miam les failles de sécurité

Mouarf... Une bécane hardened à peu près comme il faut, qui ne tourne que sur ses services, anti-virus/FW à jour, derrière un FW Cisco HW et un ISA server et dont les fichiers importants sont cryptés... C'est suffisamment chiant pour réussir à faire passer le moindre packet que je doute qu'une attaque standard fasse beaucoup de mal... D'autant qu'il y a des proies beaucoup plus juteuses et moins protégées...

Migrer le domaine, une fois ton futur serveur installé et intégré au domaine, c'est fait en 15min.. Par contre, migrer tout le reste, ça peut être long...

C'est bien ce qui me fait chier... J'ai une petite dizaine de postes clients à la maison... Et pas franchement envie de me retaper la config de ces derniers...

[Nihihi]

C'est bien ce qui me fait chier... J'ai une petite dizaine de postes clients à la maison... Et pas franchement envie de me retaper la config de ces derniers...

Mais... Justement, y'a rien à faire sur les postes clients, si ce n'est modifier les DNS pour prendre l'IP du nouveau serveur.
Tu intègres ta nouvelle machine au domaine. Tu lui fait un dcpromo pour la mettre en SDC, tu lui transfères les 5 rôles FSMO pour la passer en PDC, tu dégage l'ancien du domaine, et c'est fini.

Quand je parlais du reste, c'est les autres services qui peuvent être hébergés sur ton 2K : IIS, DHCP, SMB etc...

[Daedaal]

On est bien d'accord pour l'aspect DC. Même pour le DHCP, je n'ai pas une config super complexe, ça sera vite fait.
C'est plus le transfert de son rôle de FS qui va m'obliger à repasser sur mes postes clients... En même temps, ça ne fera pas de mal de rationaliser un peu tout ça : 10 ans de shares qui trainent, créées selon des besoins ponctuels et oubliées. Je ne suis même plus sûr que j'en utilise encore la moitié.

Bref, il y a de grandes chances que je reprenne tout à zéro en créant un nouveau domaine en 2008. Ça sera l'occasion de faire un grand ménage (et puis une réinstall tous les 10 ans, c'est pas non plus la mort)...

[deathdigger]

Pour les fichiers, nous on ne s'est pas fait chier et on a tout migré sur un NAS (compatible AD), après, pour les autorisations, il suffit de rationaliser la façon de travailler de chacun, après c'est plus un problème de volonté des utilisateurs qu'un problème technique.