Aller au contenu

Rappels sur Active Directory et travaux du GT

Microsoft Active Directory (AD), qu’est-ce que c’est ?

Selon l’ANSSI, l’AD est un service d’annuaire introduit par Microsoft sous Windows 2000 Serveur. Il permet de centraliser des informations relatives aux utilisateurs et aux ressources d’un SI.

L’AD permet de déclarer et de gérer des comptes et des groupes d’utilisateurs ayant accès au SI ainsi que d’autres ressources comme les serveurs, les postes de travail, les imprimantes, les domaines, …

Par conséquent, l’AD permet aux utilisateurs d’accéder aux ressources avec des mécanismes d’identification, d’authentification et d'autorisation. Pour que les ordinateurs puissent être gérés par l’AD et bénéficier des stratégies GPO, ils doivent être intégrés à un “DOMAINE” AD.

Des services AD comme l’authentification, l’annuaire, la réplication sont portés par des contrôleurs de domaine AD.

Structurer l’Active Directory

1. Structure cohérente de l’AD avec le regroupement logique en OU = Unités d’Organisation (groupes d'ordinateurs, d’utilisateurs).

2. Création de GPO en fonction de la structure de l’AD afin de lier une stratégie de groupe à une unité d'organisation, à un domaine ou à un site.

3. Création de GPO avec des filtres wmi afin de cibler un système spécifique pour l’application de la GPO. filtres WMI

4. Ajout des modèles ADMX dans la structure. Il s'agit d'ajouter des fichiers permettant d’aller plus loin dans le paramétrage en utilisant des modèles d’administration. Certains composants de Windows 10/Windows 11 sont présents, mais pas tous. Il peut être intéressant de récupérer les dernières versions des fichiers ADMX. Ces fichiers ADMX sont copiés dans le magasin central pour intégrer toutes les possibilités de paramétrage pour fabriquer des GPO.

5. Gestion des clés Bitlocker dans l’AD.

Sécuriser l’Active Directory

les règles de bonnes pratiques

les outils d’audit et de supervision

Sauvegarder l’AD

Il est indispensable de sauvegarder les contrôleurs de domaine afin de pouvoir repartir en cas de crash. Pour cela, il existe 2 outils complémentaires pour sauvegarder l’AD:

  • Veeam Backup (payant mais une partie gratuite): pour externaliser les sauvegardes des machines virtuelles (VM) entières.
  • Windows Server Backup : inclus à Windows Server pour sauvegarder les données et l’état du système. Sauvgarder l'AD