Quels avantages pour une entreprise ? Avoir recours à Active Directory est un moyen simple pour une entreprise d'automatiser de multiples actions et de gagner énormément de temps sur plusieurs processus informatiques, tout en réduisant les risques en termes de sécurité informatique.
Les sites Active Directory permettent d'optimiser la gestion dans des infrastructures multi sites / réseaux en : Gestion de la réplication entre les contrôleurs de domaine. Authentification des utilisateurs sur le ou les contrôleurs locaux.
L'Active Directory stocke des informations sur les utilisateurs du réseau (noms, numéros de téléphone, mots de passe, etc.) et les ressources (serveurs, volumes de stockage, imprimantes, etc.) dans une structure hiérarchique composée de domaines, d'arbres et de forêts.
AD DS fournit des certificats de sécurité, l'authentification unique (SSO), LDAP, et la gestion des droits. La compréhension d'AD DS est une priorité absolue pour les professionnels de la réponse aux incidents et de la cybersécurité.
Active Directory est le service d'annuaire développé par Microsoft à destination des domaines Windows. Outre les fonctions d'authentification et d'autorisation dont il est doté, il fournit un cadre aux autres services de ce type. L'annuaire est en réalité une base de données LDAP qui contient des objets interconnectés.
Active Directory, ou son petit acronyme AD, est un service d'annuaire créé par Microsoft en 1996 (et oui ça ne nous rajeunit pas !) qui stocke dans une base de données des informations relatives aux ressources du monde Microsoft.
LDAP est un protocole qui n'est pas lié à un produit. Par exemple, Active Directory prend en charge LDAP pour permettre aux applications basées sur ce protocole de fonctionner dans un environnement Active Directory existant.
Sélectionnez Démarrer > Outils d'administration > Utilisateurs et ordinateurs Active Directory. Dans l'arborescence Utilisateurs et ordinateurs Active Directory, cherchez et sélectionnez votre nom de domaine. Déroulez l'arborescence pour trouver le chemin de votre hiérarchie Active Directory.
Il existe deux types de GPO : Les GPO Utilisateur : Les règles des ces GPO vont êtres appliquées dès l'identification de l'utilisateur (ouverture de sa session), et nécessite dans certains cas, selon les opérations effectuées, d'être administrateurs de leur machine.
Le protocole LDAP est utilisé pour lire et écrire dans Active Directory.
Active Directory Domain Services (AD DS) utilise des services de résolution de noms DNS (Domain Name System) pour permettre aux clients de localiser les contrôleurs de domaine et les contrôleurs de domaine qui hébergent le service d'annuaire pour communiquer entre eux.
Un compte d'utilisateur peut être un compte d'utilisateur de domaine ou un compte d'utilisateur local. Un compte d'utilisateur de domaine permet au service de tirer pleinement parti des fonctionnalités de sécurité du service de Windows et de Microsoft Active Directory Domain Services.
Il est impossible de protéger un environnement Active Directory contre un Administrateur de domaine (attention au « mythe » Domain admin vs Enterprise admin) ; Il faut veiller de ne donner sous aucunes raisons un compte Administrateur local d'une station de travail à un utilisateur lambda.
Une forêt représente le niveau d'organisation le plus élevé dans Active Directory. Chaque forêt comporte une base de données unique, une liste d'adresses mondiales unique et une limite de sécurité. Par défaut, un utilisateur ou administrateur d'une forêt donnée n'a pas accès aux autres forêts.
Le protocole LDAP (Lightweight Directory Access Protocol) permet aux utilisateurs de trouver des données sur des entreprises, des personnes, etc. Ce protocole a deux objectifs principaux : stocker des données dans l'annuaire LDAP et authentifier les utilisateurs qui veulent y accéder.
NTLM : Protocole d'identification très répandu dans les technologies Microsoft. Active Directory se base dessus. Il est fourni nativement dans SharePoint (aucune configuration nécessaire). Kerberos : Protocole d'authentification par ticket très répandu dans les infrastructures réseau d'entreprises.
Si vous employez le port 389, l'ensemble du paquet est en texte clair. Dans la mesure où le port 389 autorise le texte clair, le serveur LDAP traite les demandes de lecture et d'écriture adressées à l'annuaire via ce port.
Les stratégies de groupe (GPO) sont stockées dans des fichiers de modèle d'administration (fichiers ADM et ADMX). Par défaut, ces fichiers sont stockés aux emplacements suivants : ADM - C:\WINDOWS\Inf. ADMX - C:\WINDOWS\PolicyDefinitions.
Veillez à sélectionner Fonctionnalités avancées dans le menu Affichage . Cliquez avec le bouton droit sur l'objet Active Directory que vous souhaitez auditer, puis sélectionnez Propriétés. Sélectionnez l'onglet Sécurité , puis Avancé. Sélectionnez l'onglet Audit , puis Ajouter.
Les GPO abritent de nombreuses options de configuration qui permettent de centraliser la gestion d'un parc informatique. Cela peut se faire tant au niveau utilisateur qu'au niveau de l'ordinateur. Au final, bien maîtrisées, les GPO vous garantissent un contrôle de la configuration au sein de votre réseau.
Les stratégies de groupe (En anglais, Group Policy ou GP) sont des fonctions de gestion centralisée de la famille Microsoft Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory.
Les GPO peuvent être configurées localement, dans un domaine, au niveau d'un site ou une OU (Unité Organisationnelle). Les GPP ne peuvent être configurées que dans les GPO de domaine. Une GPP ne peut être appliquée qu'une seule fois, lors de son chargement. Les GPO sont toujours mises à jour de façon cyclique.
S'il s'agit d'un paramètre Ordinateur, la GPO doit s'appliquer sur l'OU qui contient l'objet ordinateur ciblé. Sur le même principe s'il s'agit d'un paramètre Utilisateur, la GPO doit s'appliquer sur l'OU qui contient cet utilisateur.