Fondamentaux
Active Directory fondamentaux
Active Directory est le système d'identité central de nombreux environnements Windows. Il gère les comptes, groupes, machines, stratégies et accès au domaine.
Pourquoi Active Directory compte
AD concentre souvent les droits les plus sensibles de l'entreprise. Un domaine mal administré peut permettre à un incident sur un poste de devenir un incident global.
AD sert à gérer :
- utilisateurs
- groupes
- ordinateurs
- serveurs
- authentification
- stratégies de groupe
- droits d'administration
Domaine
Un domaine regroupe des objets administrés ensemble.
entreprise.local
├── Utilisateurs
├── Ordinateurs
├── Groupes
└── Unités d'organisation
Les contrôleurs de domaine hébergent les services essentiels d'Active Directory.
Objets courants
| Objet | Rôle |
|---|---|
| Utilisateur | Compte humain ou technique |
| Groupe | Attribution collective de droits |
| Ordinateur | Machine jointe au domaine |
| OU | Organisation logique |
| GPO | Stratégie appliquée aux objets |
LDAP et Kerberos
LDAP sert à consulter et modifier l'annuaire. Kerberos sert principalement à l'authentification dans le domaine.
Utilisateur
│
Authentification Kerberos
│
Accès aux ressources du domaine
Ces mécanismes sont puissants, mais demandent une administration propre.
Groupes sensibles
Groupes à surveiller particulièrement :
- Domain Admins
- Enterprise Admins
- Administrators
- Account Operators
- Server Operators
- Backup Operators
- groupes d'administration locaux déployés par GPO
L'appartenance à ces groupes doit être limitée, justifiée et surveillée.
GPO
Les Group Policy Objects appliquent des paramètres aux utilisateurs et ordinateurs.
Usages fréquents :
- configuration de sécurité
- scripts de démarrage
- restrictions système
- règles pare-feu
- déploiement de paramètres
Une GPO mal contrôlée peut diffuser une mauvaise configuration très rapidement.
Bonnes pratiques
- séparer comptes admin et comptes quotidiens
- limiter les groupes privilégiés
- surveiller les modifications de groupes
- appliquer le moindre privilège
- durcir les contrôleurs de domaine
- sauvegarder AD
- documenter les GPO sensibles
- auditer les comptes techniques
À retenir
Active Directory est une infrastructure d'identité. Sa sécurité dépend de la gestion des droits, des comptes, des groupes, des GPO et des contrôleurs de domaine.