Les services de domaines Active Directory sont la mise en œuvre d’un annuaire LDAP (Lightweight Directory Access Protocol) dans le monde Microsoft. La notion d’annuaire LDAP peut vous sembler étrangère et vous trouverez plus de détails sur le site de l’IETF : https://tools.ietf.org/html/rfc4510.
J'avais déjà écrit quelques articles sur le service de certificats Active Directory, comme une installation simple d'une autorité racine d'entreprise. Ce scénario peut sembler suffisant pour apprendre le produit et réaliser quelques petites opérations. Dans un environnement plus complexe et si l'on souhaite rester un peu plus dans les bonnes pratiques, il est préférable d'avoir une autorité racine autonome qui fournit un certificat à l'autorité secondaire d'entreprise.
PowerShell JEA permet de déléguer certaines opérations d'administration avec PowerShell à distance à vos équipes techniques. Les commandes disponibles peuvent être contrôlées. Elle facilite certaines opérations d'exploitation tout en limitant les risques.
NTLM est l'évolution du protocole Lan Manager. La première version de NTLM date de 1993 avec Windows NT 3.1. La version NTLM V2 quant à elle date de 1996 et Windows NT 4.0 SP4.
Microsoft a mis en place une nouvelle version de LAPS qui remplace l'ancien LAPS hérité. La solution n'est pas juste une mise à jour, mais un nouveau produit. En effet, elle utilise de nouveaux attributs dans l'annuaire Active Directory et offre des possibilités nouvelles dont entre autres :
Si vous utilisez les préférences dans les stratégies de groupe, il est possible d'utiliser des variables pour cibler certains éléments. Pour accéder aux variables, il suffit d'appuyer sur la touche « F3 » lorsque vous êtes dans le champ du paramètre pour ouvrir la liste des paramètres disponibles.
La stratégie de verrouillage des comptes permet de se protéger contre des tentatives de connexion abusives. La stratégie définit le nombre d'erreurs dans un intervalle de temps précis. Par exemple, 3 erreurs de mot de passe en 10 minutes provoquent le verrouillage du compte pendant 30 minutes.
Comme pour la connexion à des partages, il est possible de déployer des imprimantes via les stratégies de groupe. Si vous souhaitez déployer des imprimantes, il est nécessaire de gérer la partie installation du pilote. En effet une imprimante partagée peut être vue en 2 parties. La première est la file d'attente d'impression gérée par le serveur. La 2ème partie est le pilote d'impression qui devra s'installer sur le poste cible. Par défaut, les comptes utilisateurs du domaine ne peuvent pas installer de pilote.
Nous avons vu dans le chapitre précédent qu'il est possible d'utiliser les scripts d'ouverture de session pour connecter des lecteurs réseaux spécifiques à chaque utilisateur. Depuis Windows 2008, il existe une autre méthode permettant de gérer ce type de paramètre à l'aide des préférences dans les stratégies de groupe. Les préférences ne sont applicables en natif que sur les postes client en Windows Vista ou supérieurs.
Nous allons dans ce premier exemple modifier la stratégie de mot de passe définit par défaut dans un domaine. L'option la plus souvent utilisée est de modifier les paramètres de la stratégie de groupe « Default Domain Policy ». Si vous définissez une stratégie de mot de passe sur une unité d'organisation contenant des objets ordinateurs, la stratégie que vous avez définie remplacera la stratégie pour les comptes créés localement sur la machine (voir SAM local), mais les comptes du domaine ne sont pas impactés.
Il est possible de restreindre l'application d'une stratégie de groupe à l'aide de filtres. Dans la partie « étendue » de la stratégie de groupe, en dessous des liaisons, vous retrouvez « filtrage de sécurité ». Par défaut il est défini sur « utilisateurs authentifiés » qui est un groupe dynamique contenant tous les utilisateurs et ordinateurs authentifiés. Il est possible de supprimer ce filtrage pour le remplacer par un groupe Active Directory, dans ce cas seul les membres des groupes seront concernés :
La console de gestion des stratégies de groupes est installée par défaut avec les services Active Directory Domain Services depuis Windows 2008.
Vous pouvez y accéder par le gestionnaire de serveur dans le menu déroulant « outils » ou dans les outils d'administrations du panneau de configuration ou en saisissant la commande « gpmc.msc ».
Pour créer un nouvel utilisateur faites un clic droit sur l'unité d'organisation choisi puis « nouveau » et « utilisateur ». Lors de la création d'un utilisateur un nombre minimal d'informations sont demandée par rapport à l'ensemble des attributs dont dispose un utilisateur.
Une unité d'organisation est un conteneur permettant de classer les objets pour simplifier l'administration du domaine. Afin d'organiser au mieux vos unités d'organisation, il est vivement conseillé de tenir compte des contraintes de délégations de certaines opérations d'administration. Par exemple, il est possible de définir un groupe de personnes qui dispose du droit d'ajouter des ordinateurs dans le domaine sans que ces personnes ne fassent partie de l'équipe qui administre l'annuaire Active Directory.
La console « utilisateurs et Ordinateurs Active Directory est une des consoles les plus utilisées. Elle permet comme son nom l'indique de gérer les utilisateurs, les ordinateurs mais aussi les groupes, les unités d'organisation et quelques autres éléments. Il est possible d'accéder à la console soit par les outils d'administration dans le gestionnaire de serveur soit directement en exécutant « DSA.msc ».
Nous allons dans ce chapitre installé le premier contrôleur de domaine de notre nouvelle forêt. Le contrôleur de domaine sera virtualisé dans un environnement Hyper-V. La machine virtuelle aura 2 processeurs virtuels et 2 Go de RAM ce qui est suffisant pour la présentation.
La première étape consiste à installer le système d'exploitation, à configurer les disques.
Au niveau de l'édition de Windows Serveur 2016 et supérieur, vous pouvez, utiliser une version standard ou entreprise. Nous ne donnerons pas plus de détail sur la version Essentiel qui est très limitée.
Dans ce chapitre, nous commencerons par définir la notion d'annuaire et ses avantages. Il est vrai que ce paragraphe s'adresse avant tout à un public débutant et même si cela peut paraître superflue je vais prendre quelques lignes pour définir les notions de base.
La solution est généralement suffisante, mais il peut arriver que vos contrôleurs de domaine disposent de plusieurs certificats qui répondent au besoin des connexions LDAP sécurisées pour des usages différents.
Nous avons déjà vu l'importance de sécurisé les connexions LDAP.
Le blocage de l'authentification simple LDAP, l'exigence d'utiliser une signature avec l'authentification SASL, permet d'améliorer la sécurité de l'authentification, mais ne chiffre pas la connexion vers le contrôleur de domaine et les réponses aux requêtes.
Nous avons vu dans la première partie, comment activer les audits afin de rechercher les connexions LDAP non sécurisées sur le port 389(ou 3268 pour le catalogue global).
Lorsque vous avez détecté et corrigé les connexions non sécurisées, vous pouvez activer des paramètres pour les postes clients Windows et pour les contrôleurs de domaine afin d'exiger la signature. Cela supprime les authentifications simples et SASL non signé.
Il est recommandé de configurer les clients avant la mise en œuvre du paramètre sur les contrôleurs de domaine.
Il est fréquent dans nos environnements de connecter des applications tierces ou des équipements afin de récupérer les informations dans notre annuaire Active Directory.
C'est le cas par exemple de copieurs multifonctions qui dispose d'option de scan vers une adresse de messagerie électronique.
Dans ce cas, vous allez configurer le copieur vers le port 389 de votre contrôleur de domaine. Il vous faudra indiquer un compte et un mot de passe pour exécuter des recherches.