L'intelligence de l'innovation au service de l'Excellence

Les fondamentaux : Youtube Playlist Concepts Dessinés

La Playlist Active Directory

Qu'est-ce qu'Active Directory ?

Active Directory (AD) est un service d'annuaire développé par Microsoft pour les réseaux Windows. Il stocke des informations sur les objets du réseau et met ces informations à la disposition des utilisateurs et administrateurs. Il offre une gestion centralisée des identités, des accès et des ressources dans un environnement Windows.

Points clés :

  • Service d'annuaire hiérarchique et extensible
  • Utilise le protocole LDAP (Lightweight Directory Access Protocol)
  • Sécurité intégrée avec authentification Kerberos
  • Réplication multi-maître pour la haute disponibilité

La structure logique d'Active Directory

Forêts

Une forêt est la limite de sécurité la plus élevée dans une infrastructure Active Directory. Elle représente une collection de domaines qui partagent un schéma commun, une configuration commune et un catalogue global.

  • Limite de sécurité ultime dans AD
  • Partage un schéma commun entre tous les domaines
  • Relations d'approbation implicites entre domaines d'une même forêt

Domaines

Un domaine est une limite administrative dans Active Directory. Il s'agit d'un ensemble d'objets (utilisateurs, ordinateurs, groupes) qui partagent une base de données commune, des politiques de sécurité et des relations d'approbation.

  • Unité de réplication dans Active Directory
  • Possède son propre espace de noms DNS
  • Contient ses propres stratégies de groupe (GPO)
  • Gestion administrative déléguée au niveau du domaine

Unités d'Organisation (UO)

Les Unités d'Organisation sont des conteneurs utilisés pour organiser les objets dans un domaine. Elles permettent de structurer hiérarchiquement les objets et de déléguer des droits d'administration.

  • Structure hiérarchique personnalisable
  • Point d'application des stratégies de groupe (GPO)
  • Permet la délégation d'administration granulaire
  • Facilite l'organisation logique des ressources

Hiérarchie logique d'Active Directory

La structure physique d'Active Directory

Sites

Un site représente une ou plusieurs sous-réseaux IP bien connectés. Les sites sont utilisés pour contrôler la réplication et l'authentification dans un environnement AD, en se basant sur la topologie physique du réseau.

  • Basé sur la topologie physique du réseau
  • Optimise le trafic de réplication et d'authentification
  • Permet aux clients de trouver des ressources proches (affinité de site)

Contrôleurs de domaine

Les contrôleurs de domaine (DC) sont des serveurs qui hébergent une copie de la base de données Active Directory. Ils gèrent l'authentification des utilisateurs et les requêtes d'informations sur les objets du domaine.

  • Stockent une copie de l'annuaire du domaine
  • Réplication multi-maître entre les contrôleurs
  • Rôles FSMO (Flexible Single Master Operations)
  • Peuvent être en lecture/écriture ou en lecture seule (RODC)

Liens de sites

Les liens de sites définissent les connexions entre les sites AD. Ils déterminent comment et quand la réplication se produit entre les contrôleurs de domaine situés dans différents sites.

  • Définissent la fréquence et les horaires de réplication
  • Peuvent être configurés selon la bande passante disponible
  • Permettent de définir des coûts pour favoriser certains chemins

Topologie physique d'Active Directory

Processus clés d'Active Directory

Réplication

La réplication est le processus de synchronisation des données entre les contrôleurs de domaine. Elle est essentielle pour maintenir la cohérence des données dans un environnement distribué.

  • Réplication multi-maître (tous les DC peuvent recevoir des modifications)
  • Réplication par attribut (seuls les attributs modifiés sont répliqués)
  • Résolution des conflits basée sur les numéros de version et horodatages
  • Topologie de réplication automatique via KCC (Knowledge Consistency Checker)

Authentification et autorisation

Active Directory utilise Kerberos comme protocole d'authentification principal. L'autorisation est basée sur les ACL (Access Control Lists) attachées aux objets.

  • Authentification Kerberos (tickets et TGT)
  • Protocole NTLM pour la compatibilité descendante
  • Contrôle d'accès basé sur les SID (Security Identifiers)
  • Délégation d'authentification (simple, contrainte, basée sur les ressources)

Stratégies de groupe (GPO)

Les stratégies de groupe permettent de configurer et de contrôler les environnements utilisateur et ordinateur dans un domaine AD.

  • Configuration centralisée des postes de travail et serveurs
  • Héritage hiérarchique (forêt, domaine, UO)
  • Filtrage WMI et par sécurité pour le ciblage précis
  • Modèles administratifs extensibles

Concepts avancés

Rôles FSMO

Les rôles FSMO (Flexible Single Master Operations) sont des rôles spécialisés attribués à certains contrôleurs de domaine pour éviter les conflits dans un environnement multi-maître.

  • Maître de schéma : Contrôle les modifications du schéma
  • Maître de dénomination de domaine : Gère l'ajout ou la suppression de domaines
  • Maître d'infrastructure : Gère les références entre domaines
  • Émulateur PDC : Synchronisation du temps, authentification de secours
  • Maître RID : Attribution des identificateurs de sécurité uniques

Relations d'approbation

Les relations d'approbation permettent aux utilisateurs d'un domaine d'accéder aux ressources d'un autre domaine. Elles sont essentielles dans les environnements multi-domaines.

  • Approbations transitives : Se propagent automatiquement
  • Approbations non transitives : Limitées à deux domaines
  • Approbations à sens unique/bidirectionnelles : Direction du flux d'authentification
  • Approbations externes : Entre domaines de forêts différentes
  • Approbations de forêt : Entre forêts entières

Catalogue global

Le catalogue global est un contrôleur de domaine qui stocke une copie partielle de tous les objets de tous les domaines de la forêt. Il facilite les recherches à l'échelle de la forêt.

  • Stocke un sous-ensemble d'attributs pour tous les objets
  • Accélère les recherches dans toute la forêt
  • Essentiel pour la résolution des appartenances aux groupes universels
  • Nécessaire pour le processus d'ouverture de session

Bonnes pratiques et conception

Conception de sites AD

  1. Créer des sites basés sur la connectivité réseau (latence et bande passante)
  2. Placer au moins un contrôleur de domaine dans chaque site physique important
  3. Configurer les liens de sites en fonction de la bande passante disponible
  4. Optimiser les horaires de réplication pour minimiser l'impact sur le réseau
  5. Considérer les sites de secours pour la continuité d'activité

Conception de domaines

  1. Limiter le nombre de domaines (préférer les UO pour la structure)
  2. Créer des domaines pour l'autonomie administrative, des exigences légales ou d'isolation
  3. Utiliser une structure de nommage DNS cohérente
  4. Positionner stratégiquement les contrôleurs de domaine
  5. Planifier soigneusement les relations d'approbation inter-domaines

Structure d'Unités d'Organisation

  1. Concevoir en fonction des besoins administratifs et des GPO
  2. Éviter les hiérarchies trop profondes (max 4-5 niveaux)
  3. Considérer une approche fonctionnelle ou géographique
  4. Adapter la structure aux besoins de délégation d'administration
  5. Documenter la conception et les raisons des choix

Sécurité d'Active Directory

Sécurisation des contrôleurs de domaine

Les contrôleurs de domaine sont des cibles privilégiées pour les attaquants. Leur sécurisation est primordiale pour protéger l'ensemble de l'infrastructure.

  • Durcissement des configurations de base
  • Mise à jour régulière et gestion des correctifs
  • Restriction des accès administratifs (modèle de privilèges minimaux)
  • Mise en place de contrôleurs RODC pour les sites peu sécurisés
  • Surveillance avancée des événements de sécurité

Modèle d'administration à plusieurs niveaux (Tiering)

Le modèle de tiering sépare les comptes et ressources administratives en différentes couches pour limiter la propagation des compromissions.

  • Tier 0 : Administration des contrôleurs de domaine et composants critiques
  • Tier 1 : Administration des serveurs
  • Tier 2 : Administration des postes de travail et utilisateurs
  • Isolation des privilèges entre niveaux
  • Station d'administration dédiée pour chaque niveau

Protection contre les attaques modernes

Active Directory est vulnérable à de nombreuses attaques modernes qu'il convient de comprendre pour mieux s'en protéger.

  • Protection contre le vol d'identifiants (Pass-the-Hash, Pass-the-Ticket)
  • Détection des mouvements latéraux (Kerberoasting, Golden Ticket)
  • Sécurisation des délégations Kerberos
  • Mise en place de l'authentification multifacteur (MFA)
  • Détection des activités suspectes via le monitoring