Centralisez et sécurisez votre annuaire Active

Directory
À la fin de ce cours, vous serez capable de :
• Planifier l’utilisation d’un annuaire unique de ressources
• Concevoir l’annuaire des ressources d'une entreprise
• Installer un annuaire d’entreprise
• Sécuriser la gestion et les accès de l’annuaire
• Centraliser la configuration des ressources d'une entreprise

Identifiez les ressources de votre entreprise

En résumé

• Il vous faut avoir une vue globale de l’entreprise pour en identifier les
ressources
• La représentation hiérarchique permet de simplifier la conception
• Une cartographie des ressources d’une entreprise permet de préparer
l’utilisation d’un annuaire d’entrepris

Planifiez l’installation de l’annuaire

En résumé

• Active Directory est composé de 5 rôles :

o Schéma Master, RID Master, PDC Emulator, Infrastructure
Master et Domain Naming Master
• Il y a 3 types d’objets au sein d'un AD :
o des Unités Organisationnelles, des ressources et des groupes
• Il est conseillé d’avoir au moins deux contrôleurs de domaines pour une
forêt, même avec un domaine unique pour répartir la charge et
garantir la disponibilité du service d’annuaire

Planifiez les différents groupes de l’annuaire

En résumé

• Les groupes sont des objets particuliers de votre annuaire qui vont
permettre d’identifier rapidement des objets ressources,
• Les groupes permettent de structurer un annuaire
• Les groupes ont une portée en lien avec la structure d’un annuaire
• Il est plus simple d’affecter des droits en regroupant les membres d’un
même type
• Il existe 3 grands types de groupes :
 o Les groupes de type domaine local, ces groupes portent sur des
objets se trouvant au sein d’un même domaine
o Les groupes de type globaux, ces groupes portent sur des objets
se trouvant dans des domaines disposant d’une relation
d’approbation
o Enfin, les groupes de type universels. Ce dernier type porte sur
toute la forêt !

Planifiez les stratégies de groupes

En résumé

• Les GPO permettent d’appliquer des paramètres de sécurité

• Les groupes et les GPO fonctionnent nativement de pair
• Il est possible de centraliser une politique de sécurité

Savez-vous ce qu'est Active Directory ?

• Question 1

Est-ce qu’une forêt est une représentation logique d’une

entreprise ?

Non, une forêt est un regroupement d’arbres

Oui, on y retrouve un ou plusieurs domaines hébergeant les

objets d’un annuaire d’entreprise

Oui, on y retrouve les objets d’un annuaire d’entreprise

Une forêt permet de représenter une entreprise et est la base d’un
annuaire Active Directory. Elle est composée d’un ou plusieurs
domaines de sécurité dans lesquels se retrouvent des objets
représentant les différentes ressources d’une entreprise.

• Question 2

« Il ne peut y avoir qu’un seul domaine de sécurité au sein d’une

forêt Active Directory ». Dites si cette affirmation est vraie ou non.
 o

Oui

Non, 2 domaines sont possibles

Non, il peut y avoir autant de domaines qu’il est nécessaire

En effet, il est possible de mettre en place autant de domaines de
sécurité que nécessaire au sein d’une forêt AD. Cela permet de
partitionner l’annuaire en zone de sécurité distincte et d’augmenter
la sécurité des ressources. Attention toutefois à rester cohérent sur le
nombre de domaines afin de ne pas en augmenter la difficulté
d’administration.

• Question 3

Pour quelles raisons est-il intéressant d’avoir plusieurs contrôleurs

de domaine lorsque l’on a une forêt contenant un seul et unique
domaine ?
Attention, plusieurs réponses sont possibles.

Attention, plusieurs réponses sont possibles.

Cela permet de répartir la charge lors de l’authentification des

ressources au réseau

Cela permet d’avoir une maintenance sans arrêt de service

Cela permet d’avoir un serveur contrôleur de domaine dédié aux

groupes et un second dédiés aux ressources

C’est un prérequis Microsoft

 Il est conseillé d’avoir au moins deux serveurs Active Directory afin de
répartir la charge de l’authentification des ordinateurs et des
utilisateurs d’un domaine unique. De plus, cela permet de gérer une
panne ou une indisponibilité d’un des serveurs AD !

• Question 4

Qu’est-ce que les objets d’un annuaire AD permettent de

représenter ?

Des utilisateurs et des ressources en réseaux

Uniquement des ressources en réseaux

Des utilisateurs, des ressources en réseaux et des objets

spéciaux
Les objets représentent en effet, les utilisateurs et ressources en
réseau mais aussi des objets spéciaux. Ils permettent de regrouper les
objets en unités organisationnelles ou en groupes de sécurité et de
diffusion.

• Question 5

Comment sont identifiables les groupes de sécurité pouvant

contenir des membres de plusieurs domaines de sécurité ?
À noter qu’il est question ici de différents domaines de sécurité
sans approbation explicite !

Il faut leur donner un nom particulier.

Ils sont du type Universels

Ils sont du type Globaux

 Les groupes globaux permettent d’accueillir des membres issus de
différents domaines uniquement avec une relation d’approbation
explicite alors que les groupes Universels portent sur toute une forêt.

• Question 6

À quoi servent les unités organisationnelles ?

À représenter fidèlement une entreprise en séparant les

différents objets en fonction d’un service particulier ou d’un
département

À regrouper les objets de type utilisateurs

À regrouper les objets de type ordinateurs

Les unités organisationnelles ou UO (OU en Anglais) permettent de
représenter fidèlement une entreprise en séparant les différents
services (ou départements). Cela permet de hiérarchiser les différents
objets en fonction de l’organisation de l’entreprise. Ce sont également
des objets conteneurs !

• Question 7

Est-ce qu’une GPO est un objet AD ?

Oui

Non
Les GPO sont des objets de stratégies de groupe au même titre qu’un
utilisateur ou tout autre ressources au sein de l’annuaire AD. GPO
signifie Group Policy Objet. On le féminise à tort, car l’on met en avant
la stratégie (le P de GPO) alors qu'il s'agit bien d'un objet

• Question 8
 Les GPO permettent-elles de modifier la durée de validité d’un mot
de passe ?

Oui

Non

Oui, seulement sous Linux

Oui. Les GPO peuvent modifier la durée de validité d’un mot de passe,
c’est d’ailleurs une des stratégies par défaut d’un domaine AD. C’est
également un paramètre compatible Linux !

• Question 9

Pourquoi est-il intéressant de s’attarder sur le nom des groupes de

sécurité ?

Attention, plusieurs réponses sont possibles.

Pour avoir un annuaire ordonné

Pour éviter les virus

Pour simplifier la lisibilité et faciliter la gestion quotidienne de

l’annuaire
Il convient de faire apparaître le type de groupe, le type des membres
et un titre explicite comme GDL_U_Accès-Internet pour les
utilisateurs d’un domaine local ayant un accès internet. Cela permet
en plus d’avoir un annuaire ordonné, de simplifier la lisibilité et
faciliter la gestion quotidienne de l’annuaire.
Installez le service d’annuaire
En résumé

• Microsoft permet de tester tous ses systèmes entre 90 et 180 jours

• Active Directory utilise le service DNS
• Il est conseillé d’avoir une adresse IP fixe pour configurer le service AD-
DS
• L’installation d’Active Directory se fait via le Gestionnaire de serveur

Configurez un domaine
En résumé

• La promotion d’un serveur en tant que contrôleur de domaine se fait

via le Gestionnaire de serveur
• Le niveau fonctionnel d’un domaine peut être plus élevé que celui
d’une forêt
• Après la promotion en contrôleur de domaine, il faut s’authentifier sur
le domaine

Déclarez vos ressources

En résumé

• L’outil Utilisateurs et Ordinateurs Active Directory est un client

graphique pour l’AD
• La création d’une Unité Organisationnelle se fait uniquement avec un
nom
• Il existe une protection sur les Unités Organisationnelles pour éviter la
suppression accidentelle
• La création d’un objet Utilisateur se fait en fournissant un nom complet
obligatoirement

Enregistrez vos postes clients

En résumé

• Le DNS est primordial pour intégrer un poste client à un domaine AD

• Le fait de s’authentifier sur un poste client du domaine modifie le profil
sur le poste
• Chaque utilisateur qui s'authentifie sur un poste client d’un domaine
aura des droits différents et personnels
Maitrisez-vous l'installation d'un AD
?
• Question 1

Le service DNS est-il facultatif dans une configuration d’annuaire

Active Directory ?

Oui, il ne fait que centraliser les requêtes

vers www.openclassrooms.fr ou n’importe quelle adresse de site
web

Non, c’est un service obligatoire pour que l’Active Directory

fonctionne

Non, il est obligatoire de mettre en place un service de

résolution de nom
Le service DNS est obligatoire, il est notamment utilisé pour intégrer
un poste au domaine en identifiant le nom d’un contrôleur de
domaine via une requête DNS spécifique.

• Question 2

Est-ce que la création d’une Unité d’organisation est longue ou

basée sur de nombreux formulaires ?

Oui, il faut entrer 4 paramètres obligatoires pour une Unité

Organisationnelle

Non, 2 paramètres sont obligatoires

o
 Non, il suffit d’entrer le nom et 1 paramètre de sécurité
En effet, il est simple de créer une Unité Organisationnelle. Seul son
nom est nécessaire et une case, cochée par défaut, permettant de
mettre en œuvre la protection contre la suppression accidentelle.
Cela permet d’éviter de supprimer une Unité remplie d’objets.

• Question 3

Que faut-il pour intégrer un poste de travail à un domaine Active

Directory au sein d’un site unique ?
Attention, plusieurs réponses sont possibles.

Attention, plusieurs réponses sont possibles.

Une adresse IP publique

Une adresse IP

Un masque de sous-réseau

Un serveur DNS quelconque

Un des contrôleurs de domaine comme serveur DNS

Une passerelle
Un poste doit avoir une adresse IP, un masque de sous-réseau et un
serveur DNS. Le serveur DNS doit être un contrôleur de domaine. Il
n’est pas nécessaire d’avoir une passerelle de configurée au sein d’un
site unique.

• Question 4
 À quoi correspond l’UO Computers que l’on peut observer au sein
de l’AD ?

Une UO optionnelle que l’on doit ajouter pour les utilisateurs

d’ordinateurs

Une UO pour centraliser tous les comptes ordinateurs

Une UO dans laquelle seront placées par défaut toutes les

ressources de type Ordinateur
Computers est une des UO par défaut créé par Microsoft pour
centraliser les ressources de type Ordinateur. Pour une meilleure
lisibilité, il convient de placer les ressources de type Ordinateur dans
une UO que vous aurez choisie

• Question 5

Quel est l’outil qui permet de naviguer au sein d’un annuaire

Active Directory ?

Ldap Explorer

Utilisateurs et Ordinateurs
Bien qu’il soit possible d’utiliser Ldap Explorer, Microsoft a développé,
entre autres, un client particulier nommé Utilisateurs et Ordinateurs
Active Directory. Il est spécialement conçu pour afficher les données
en se basant sur le schéma de la base AD. Un nouvel outil est
également disponible : le Centre d'Administration Active Directory

• Question 6

Si je souhaite créer une forêt avec deux domaines, quelle

commande est-ce que je dois utiliser ?

o
 Il faut lancer la commande foretpromo sur un serveur
disponible puis deux fois la commande dcpromo sur deux
autres serveurs disponibles.

Il n’existe plus de commande dédiée à la création de domaines,

il faut utiliser le gestionnaire de serveur via la gestion du rôle AD
DS.

Il faut lancer la commande dcpromo sur le premier serveur

disponible puis choisir nouvelle forêt et relancer la commande
en choisissant nouveau domaine.
Il faut lancer le gestionnaire de serveur pour promouvoir un serveur
en tant que contrôleur de domaine. La première fois, cet assistant va
promouvoir un serveur en contrôleur de domaine sur nouvelle forêt.
Puis, sur un second serveur, il faut à nouveau lancer cette opération
en ajoutant un domaine à une forêt existante. La
commande dcpromo n’est plus utilisée depuis Windows 2012 !

• Question 7

Peut-on définir une adresse postale sur un objet utilisateur ?

Oui, cela permet d’ajouter de l’information supplémentaire à un

objet utilisateur.

Non, les utilisateurs sont uniquement représentés par leurs

noms et prénoms.

Ce n'est plus possible suite à la mise en œuvre du RGPD !

Un objet est défini par des attributs qui peuvent accueillir une ou
plusieurs valeurs. Plus un objet est défini finement, plus il devient
intéressant. Cela permet de mettre en œuvre des critères de
recherches ou de regroupement par exemple.

• Question 8
 Vous souhaitez vérifier qu’un domaine est présent au sein d’une
forêt, vous suffit-il d’effectuer un ping sur tous les contrôleurs de
domaine ?

Oui, cette technique est la plus simple pour identifier le nombre

de domaines au sein d’une forêt.

Non, l’outil ping permet juste de vérifier la connectivité réseau

entre deux hôtes ou équipements réseau.
L’outil ping fonctionne au niveau 3 du modèle OSI, il permet de
vérifier grâce à une requête ECHO REQUEST du protocole ICMP qu’un
hôte est bien accessible par le réseau. L’hôte enverra alors une
réponse ECHO REPLY.

• Question 9

Est-il possible d’ajouter un domaine à un domaine ?

Oui, cela permet d’avoir un sous-domaine

Non, un domaine est une partition de l’annuaire AD qui ne peut

être divisée
L’annuaire Active Directory est défini par une forêt qui peut être
partitionnée en domaines de sécurité. Il n’est pas possible de
partitionner à nouveau un domaine. Il est par contre possible de
mettre en œuvre des domaines enfants !

• Question 10

Une entreprise dispose de deux sites, un à Paris et un à New York.

Aura-t-elle besoin obligatoirement de créer deux domaines ?

Oui, car il s’agit de deux emplacements distants de plus de 100

km.
 o

Non, il est possible d’avoir un domaine unique mais déclaré sur

deux sites.
L’utilisation des sites et services Active Directory permet de définir la
fréquence de réplication des informations d’un domaine sur deux
sites géographiques distants.

Prenez en main les stratégies de groupe

En résumé

• Les GPO sont des objets AD particuliers

• Il existe deux GPO par défaut pour le domaine et les contrôleurs de
domaine
• La création et la consultation des GPO se font via l’outil Gestion de
stratégie de groupe
• Il est possible de filtrer par des groupes l’application des stratégies de
groupe

Approfondissez votre connaissance des

stratégies de groupes
En résumé

• Les GPO distinguent les paramètres utilisateurs et ceux des ordinateurs

• Il est possible de filtrer des GPO par groupes
• GPRESULT permet d’afficher le résultat de l'application des GPO
• GPUPDATE permet de lancer une mise à jour des GPO et d’en
appliquer les paramètres

Allez encore plus loin avec les GPO

En résumé

• Il est possible d’enrichir les GPO avec des modèles d’administration

• Les modèles d’administration sont des fichiers ADMX et ils disposent de
traductions dans différentes langues
• Les modèles d’administrations se stockent dans un magasin central, le
Central Store, au sein du dossier SYSVOL (qui est répliqué entre tous les
contrôleurs de domaine)
Analysez la sécurité de votre architecture

En résumé

• Microsoft fournit un outil d’analyse des bonnes pratiques de

configuration du rôle AD DS
• Il est important de faire un inventaire des membres de certains
groupes à privilèges élevés
• La sécurisation doit passer par l’ajout de différents rôles en plus de se
faire via l’application de stratégies de groupes
• WSUS et NPS permettent de sécuriser davantage un réseau en
centralisant l’application des correctifs de sécurité ou en authentifiant
les postes ou utilisateurs à accéder à des ressources particulières
• Question 1

Est-il possible de déclarer une stratégie de groupe dans un fichier

?

Oui, cela simplifie la gestion des règles de sécurité.

Non, les GPO sont des objets de l’annuaire

Non, cela se déclare dans la base de registre de Windows

Les stratégies de groupe (GPO, Group Policy Object) sont des objets. Il
n’est pas possible de déclarer ce type d’objet dans un fichier bien que
certains paramètres se retrouvent dans des fichiers.

• Question 2

Que représentent les fichiers ADMX ?

Ce sont des fichiers qui décrivent des modèles d’administration.

o
 Ce sont les fichiers qui permettent de stocker une GPO.
Il est possible d’avoir accès à des paramètres supplémentaires au
sein des GPO dans la partie Modèles d’administration. Par exemple,
cela permet d’administrer plus en profondeur Microsoft Office. Les
fichiers ADMX permettent de gérer les différents paramètres propres
à certaines configurations.

• Question 3

Où se trouvent les stratégies de groupes sur un serveur Windows

2016 ?
Attention, plusieurs réponses sont possibles !

Attention, plusieurs réponses sont possibles.

Dans c:\Windows

Dans outils d’administration > Stratégies de groupe

Au sein de la MMC Stratégies de groupe

Les stratégies de groupe (GPO, Group Policy Object) sont des objets. Il
n’est pas possible de déclarer ce type d’objet dans un fichier bien que
certains paramètres se retrouvent dans des fichiers.

• Question 4

Si je souhaite installer un logiciel sur mon parc informatique,

quelles solutions sont celles qui vont me faire gagner du temps
avec un serveur Windows 2016 ?

Attention, plusieurs réponses sont possibles.

Passer sur chaque poste pour lancer l’installation, si j’ai 50

postes, je dois donc effectuer 50 installations
 o

Créer une GPO de déploiement logiciel configuré dans les

paramètres utilisateurs ou ordinateurs

Je me procure un logiciel tiers que j’utilise pour effectuer un

déploiement.
Il est en effet possible d’installer un logiciel sur un parc de bien des
façons différentes, mais la plus optimale dépendra du temps dont
vous disposez pour administrer votre parc. Avec une GPO ou un
logiciel tiers, vous gagnerez du temps et aurez un suivi plus précis de
l’utilisation de vos licences.

• Question 5

Est-ce qu’il est possible de configurer un pare-feu via une GPO sur
un seul poste en particulier ?

Non, je dois configurer le pare-feu sur chaque poste, c’est une

bonne pratique de sécurité !

Je peux configurer les paramètres de sécurité d’une GPO mais

seulement sur les paramètres ordinateurs
Le pare-feu Windows est complètement configurable au travers des
GPO. Seulement, il n’est possible de configurer des règles de pare-feu
uniquement sur les paramètres ordinateurs. Il convient donc de cibler
les postes du domaine avec soin.

• Question 6

Que se passe-t-il au niveau des stratégies de groupes lorsqu’une

forêt AD est créée ?

Tant que la forêt ne contient pas un domaine, rien ne se passe.

o
 Deux GPO sont présentes et il est possible de créer des GPO sur
le domaine racine.

Une GPO spécifiant la sécurité du domaine racine est présente.

Les stratégies concernant le domaine et les contrôleurs de domaines
sont présentes. Il s’agit des GPO Default Domain Policy et Default
Domain Controllers Policy. Il est possible de créer de nouvelles GPO
sur le domaine racine d’une forêt nouvellement créée.

• Question 7

Comment est-il possible de filtrer les cibles sur lesquelles va

s’appliquer une GPO ?
Attention, plusieurs réponses sont possibles !

Attention, plusieurs réponses sont possibles.

Grâce à la partie Filtres de Sécurité de la GPO

Grâce à la partie Filtre WMI de la GPO

En créant un groupe AD portant le nom de la GPO

En liant la GPO sur une UO

Les stratégies de groupe peuvent être liées à une Unité
Organisationnelle mais il est également intéressant de filtrer les
cibles grâce à la création d’un groupe AD (ou des groupes par défaut)
et de les entrer dans la partie Filtres de Sécurité de la GPO. De même,
il est possible d’utiliser des scripts WMI afin de cibler, par exemple,
uniquement les postes Windows 10 !
• Question 8

Comment peut-on vérifier que la politique de sécurité d’un

domaine AD est cohérente ?
Attention, plusieurs réponses sont possibles !

Attention, plusieurs réponses sont possibles.

Grâce à l’analyse de la configuration du service AD DS

Grâce à l’analyse régulière des groupes privilégiés de l’AD

(présent dans built-in)

En installant uniquement les services NPS et WSUS

En allant plus loin avec NPS et WSUS

Les GPO vous permettent de mettre en œuvre une politique de
sécurité sur votre domaine AD. Il convient ensuite de vérifier
régulièrement que cette politique est cohérente en analysant la
configuration du service AD DS afin de s’assurer qu’il n’y a pas de
dérives de configuration avec le temps de même qu’une simple
vérification des membres des groupes AD disposant de hauts
privilèges. Il est possible d’aller plus loin en installant et configurant
les services NPS et WSUS !

• Question 9

Existe-t-il un moyen de déployer un logiciel qui ne dispose que

d’un installeur au format exécutable (.exe) ?

Non

o
 Oui, mais cela nécessite un logiciel tiers

Pas de soucis particuliers pour déployer ce type de fichier avec

une GPO
Les GPO n’ont que des possibilités limitées de déploiement de
logiciels. Il faudra utiliser obligatoirement un fichier au format .msi.
Pour installer d’autres types d'installations, il faudra se tourner vers
un outil tiers, qu’il soit payant ou non.

• Question 10

Quelle commande permet de forcer l’application de GPO sur un

poste client ?

gpresult /r

gpupdate

gpmaj
La commande gpupdate permet de lancer une mise à jour des GPO
auprès du serveur contrôleur de domaine auquel le poste s’est
authentifié. Cette commande va ensuite lancer l’application des GPO.
À noter que sans option particulière, la commande gpupdate
n’appliquera que les paramètres modifiés depuis la dernière
application. La commande gpupdate /force permet de forcer
l’application de tous les paramètres !

Apprenez à sécuriser votre AD

En résumé

• La segmentation réseau permet la segmentation d’un annuaire au

travers des Sites et services Active Directory
• Un RODC ne permet pas d’actions d'administration
 • Il convient de sensibiliser les utilisateurs
• Les GPO permettent d’appuyer techniquement une politique de
sécurité

Complétez la sécurité de votre AD

En résumé

• Durcir un système permet d’en assurer la maîtrise dans le temps au

sein d’un réseau
• Maîtriser les logiciels présents sur un réseau permet de s’assurer que les
logiciels sont sains et validés par le Responsable de la sécurité
• Il est possible de spécifier des emplacements précis pour le lancement
d’exécutables
• Il est conseillé de bloquer l’accès à internet pour les contrôleurs de
domaine

Lancez-vous dans l’exploitation de votre AD

En résumé

• Une exploitation quotidienne d’un AD est primordiale pour que le

service fonctionne correctement
• Une surveillance des processus internes de l’AD est possible avec
Nagios et le plug-in check_ad
• Une sauvegarde régulière est obligatoire pour ne pas avoir de
mauvaises surprises