Active Directory

2019 :CONFIGURATION ET
BONNES PRATIQUES

1
Hamdaoui Khadija
Dans cette formation Active Directory, vous allez maîtriser les bonnes pratiques de
déploiement et de configuration de l'AD 2019.

# L’Active Directory (AD)

Active Directory est un service d'annuaire qui centralise la gestion des utilisateurs,
ordinateurs et autres objets au sein d'un réseau.
Sa fonction principale est d'authentifier et d'autoriser les utilisateurs et les ordinateurs
dans un domaine Windows.
Par exemple, lorsqu'un utilisateur se connecte à un ordinateur du domaine, il vérifie le
nom d'utilisateur et le mot de passe été soumis pour vérifier le compte.
S'il s'agit d'un nom d'utilisateur et d'un mot de passe valides, l'utilisateur est authentifié et
connecté à l'ordinateur.
Les administrateurs utilisent Active Directory pour stocker et organiser des objets sur
un réseau (tels que des utilisateurs, des ordinateurs, des périphériques, etc.) dans une
structure de confinement hiérarchique sécurisée appelée structure logique.

# Dans cette formation Active directory 2019 -

Configuration et bonnes pratiques
Dans cette formation Active Directory, vous allez acquérir les notions de base
essentielles et indispensables pour comprendre et maîtriser une infrastructure sous Active
Directory 2019.
Dans cette formation Active Directory 2019, vous serez capable de :
Concevoir et préparer votre déploiement de l’Active Directory ;
Gérer les groupes et les utilisateurs ;
Déployer d’applications par GPO ;
Assurer la sécurité des différents services proposés ;
Centraliser la gestion des paramètres du système ;
Surveiller et maintenir l'infrastructure AD ;
Sauvegarder et restaurer les objets d’un annuaire Active Directory ;
Faire de l'administration et gestion des tâches avec PowerShell.

+ Un LAB d’une infrastructure Active Directory

Cette formation Active Directory est axée sur un LAB virtuel simulant un
environnement réel, dans lequel vous allez comprendre et appliquer les concepts et
pratiques expliqués dans les vidéos tutoriels.

2
Hamdaoui Khadija
Les ressources et prérequis du LAB sont attachés à la formation Active Directory et
disponible pour le téléchargement.

Sommaire :

3
Hamdaoui Khadija
I .Introduction :
a) Présentation de la formation :

4
Hamdaoui Khadija
 5
Hamdaoui Khadija
b) Présentation du lab :

6
Hamdaoui Khadija
 7
Hamdaoui Khadija
II- Introduction à l’infrastructure Active Directory :

a) Découvrir l’architecture de l’Active Directory :

Active Directory est un rôle qui est contenu dans Windows Server :

8
Hamdaoui Khadija
Active Directory est un répertoire dynamique comme les pages jaunes :

9
Hamdaoui Khadija
 L’Active Directory contient des objets, tout est objet. Chaque objet va avoir des
attributs qui lui sont propres. Les attributs sont les informations sur les objets. Pour
résumé AD est un annuaire qui regroupe les objets et chaque objet est identifié par des
attributs. L’annuaire peut ainsi gérer les autorisations et les authentifications
Explorons les types d’objets :

Lorsque l’on souhaite créer un utilisateur, on va nous donner des éléments qui sont
des attributs : nom prénom. On peut ajouter un attribut spécifique la couleur des yeux

10
Hamdaoui Khadija
cheveux. Les attributs sont enregistrées dans ce qu’on appelle le schéma et pas tous le
monde y a accès par mesure de sécurité.

Dans le sysvol on va retrouver les paramètres GPO, netlogon un dossier partagé par
défaut. Tous les utilisateurs du domaine ont accès en lecture seule à ses dossiers.

11
Hamdaoui Khadija
 12
Hamdaoui Khadija
 13
Hamdaoui Khadija
 RODC est un contrôleur qui est en lecture seule comme cela on réduit les attaques,
on ne peut pas modifier les élément qui y sont. Les informations comme un utilisateur ne
peuvent pas être changées, qu’à travers un vrai contrôleur de domaine.

ADLDS est une version d’AD très légère, elle ne contient pas les informations
sensibles et donc, elle nous permet d’avoir une copie de l’AD sans compromettre la
sécurité. Elle est souvent utilisées dans les messageries Exchange.

b) Le protocole LDAP :

Il permet de faire des modifications sur les service de l’annuaire. Pour qu’une
machine distante Win 10 communique avec l’annuaire, nous avons besoin d’un protocole,
d’un moyen de communication.

Pour passer un appel téléphonique il faut un opérateur téléphonique, c’est à peu

près le même système. LDAP est le protocole utilisée pour contacter l’AD.

C’est un langage universel, il est connu dans d’autres distributions comme Linux. Il
écoute sur le port 389 par défaut. On a un autre protocole sécurisé qui est LDAPS. La
dernière version de LDAP est la version V.3.

14
Hamdaoui Khadija
Qu’est ce que le protocole LDAP permet de faire ?

Rechercher une information : est ce que l’utilisateur est la ? Est ce que la machine
fait partie du domaine ? Il permet de modifier et réinitialiser un mot de passe, il nous
permet de contacter notre annuaire et de faire des manipulations dessus.

15
Hamdaoui Khadija
 16
Hamdaoui Khadija
c) Comprendre les notions de domaine :

C’est l’identité sous laquelle tous les objets seront gérés. Ils peuvent communiquer
ensemble. Le domaine c’est une identité qui permet de gérer les éléments qui le
composent. Le serveur qui contient l’annuaire c’est DC domain controller. (le domaine
c’est le nom de la société qui contient tous les éléments). Elle permet de pouvoir identifier
les machines attachés au domaine.

Des machines ou utilisateurs qui ont une identité workgroup, ne peuvent pas être
gérées par un domaine. Le contrôleur de domaine est le serveur AD.

17
Hamdaoui Khadija
 Le nom de domaine est une limite de réplication signifie que on ne peut pas
échanger avec un autre domaine extérieur. (exemple : le boulanger.com avec le
maçon.com).

Le domaine est limité aux éléments qui font partie de mon domaine. Si j’ai un autre
PC qui n’est pas rattaché au domaine , je ne peux pas ouvrir de session, je ne peux pas

18
Hamdaoui Khadija
appliquer de stratégie de mot de passe, je ne peux pas la gérer tant qu’elle n’est pas intégré
au domaine. C’est ce qu’on appelle limite de domaine.

Windows Server 2019-2022 sont identiques que la version Windows Server 2016.
Dans le Windows Server 2016 on a le PAM. Si on a plusieurs serveurs dans mon entreprise,
un serveur sous 2012 et un autre sous 2016, que je souhaite augmenter le niveau du
domaine, les serveur 2012 ne sera pas fonctionnel. Il faut s’assurer qu’il n’y a plus de
versions d’active directory antérieur.

Le 2012 R2 peut installer et cohabiter avec le windows server 2016 et même 2019.
Mais pour avoir les nouvelles fonctionnalités de 2019/2022, il faut augmenter au niveau de
la foret, au minimum 2016 c’est le dernier.

Si on upgrade un serveur en 2016, tous les serveurs 2012, 2012 R2 ne seront plus
fonctionnels. Ils ne pourront plus communiquer ni cohabiter ensemble. Exemple : j’installe
une nouvelle fonctionnalité car besoin pour mon client, en upgradant ma foret, je ne peux
plus communiquer avec mes autres serveurs qui ont des versions antérieurs.

d) Comprendre les notions de forêt :

Un domaine est lui-même une forêt dans l’exemple ci-dessous il s’agit de

fabrikam.com, j’ai un autre domaine qui s’appelle adatum.com, j’ai atl.adatum.com qui est
une filiale de adatum.com. Ainsi chaque domaine crée est une forêt, on le voit dans le
schéma ci-dessous. Une forêt regroupe un domaine ou plusieurs domaines.

Admettons qu’il y a l’achat d’une autre société, on va la connecter à notre domaine, à

partir du moment qu’il y a connexion entre deux domaines différents, par conséquent deux
forêts différentes, on parle d’une nouvelle forêt. Une foret est une extension de domaine.

19
Hamdaoui Khadija
 Lors de l’achat on va connecter les services entre eux, cela crée une grande forêt. Les
deux forêts se sont regroupées en une seule forêt.

Pour résumé une foret est un ou plusieurs domaines qui communique ensemble. Si
pas de communication entre les deux domaines, on parle de deux forets différentes (si pas
de relation informatique ente eux). A partir du moment où il y a regroupement, on parle
d’une seule forêt.

20
Hamdaoui Khadija
 Les attributs de fabrikam.com ne seront pas répliqués dans adatum.com par
exemple.

Copie légère des informations de notre domaine, pour un utilisateur on va retrouver

juste le nom et le prénom. Pas besoin des attributs adresse, mot de passe, quand est-ce
qu’il s’est logué etc. Le serveur qu gère le catalogue global, permet en cas de plusieurs
forets ou un autre domaine, le catalogue global n’est utilisé que dans ce cas la précis.

Exemple on a une entreprise A et une entreprise B, pour que l’entreprise B

communique avec un utilisateur de l’entreprise A elle n’a pas besoin d’avoir accès à l’AD,
pas besoin d’avoir toutes les informations sur un utilisateur, on va faire une copie simple
du catalogue global,

Il ne va pas faire appel à l’AD pour savoir si l’utilisateur existe bien, ce sera le
catalogue global qui va lui donner les informations sur l’utilisateur en question. Le serveur
catalogue global c’est le seul à répondre aux domaines externes.

A travers le protocole LDAP, l’entreprise B va avoir les informations minimum : elle

ne va pas avoir les informations sur quand l’utilisateur s’est logué ? Au groupe auquel il
appartient ? Ce sont des informations qui appartiennent à l’AD. Une partie des
informations de l’utilisateur sont dans le catalogue global afin de répondre aux multiples
domaines qui font des requêtes.

21
Hamdaoui Khadija
 Par exemple une forêt responsable et une forêt utilisateur, salarié dans lequel il se
logue.

La relation entre deux forets fait que cela devient une seule foret comme on a pu le
dire plus haut, L’échange ou la communication entre deux domaines dans l’AD ou DC
s’appelle l’approbation, cela va nous permettre d’identifier ou authentifier des utilisateurs.

22
Hamdaoui Khadija
 L’approbation peut être dans un sens ou dans un autre, on parle de transitif ou pas.
Est ce que les utilisateurs du domaine A se connecteront au domaine B ou seulement les
utilisateurs du domaine B se connecteront au domaine A. Ce sont des configurations faire
selon le besoin.

e) Découvrir le DNS (public, privé,root) :

On va voir son importance avec l’AD ainsi que sa définition.

Le DNS est un service qui permet la résolution des noms de domaines des adresses
ip et vis-versa. Il utilise le port 53 en udp. Pour contacter un site web, nous avons besoin de
son adresse ip. Toutes les machines dans le réseau communiquent à travers une adresse ip.
Pour le site par exemple google.com, il faut que l’on connecte le fournisseur DNS qui va
nous retourner l’adresse ip.

On ne se rend pas compte de ce qu’il se passe en arrière plan, pour voir l’échange
qui se fait entre le DNS et le navigateur on peut utiliser la commande ipconfig /displaydns.
Je vais vider mon cache avec la commande flushdns puis faireun displaydns.

On va faire un ping vers google.com et on va pouvoir récupérer l’adresse ip du site.

On refera après la commande displaydns pour voir la requête que l’on a fait auprès du
DNS.

23
Hamdaoui Khadija
 24
Hamdaoui Khadija
 Celui qui m’a donné l’adresse ip de Google c’est le DNS. Durée de vie on a 17 ce qui
correspond au temps qu’il sera dans le cache de la machine. Ce sera le même

25
Hamdaoui Khadija
fonctionnement dans le domaine. Cela est le fonctionnement du DNS transformer les
adresses ip en nom de domaine.

https://www.cloudflare.com/fr-fr/learning/dns/glossary/dns-root-server/

C’est une hiérarchie qui permet de mieux d’organiser la recherche ou les

informations. Pa exemple, on a une zone qui s’appelle .com, .fr, .net, .org. Chaque
serveur .com il fait autorité sur les sites. Supposons que mon site c’est alphorm.com, mon
DNS va interrogé le serveur racine sur .com qui est l’autorité sur .com et il va me retourner
l’adresse ip qui est enregistré.

C’est pour cela que l’on évite de créer des sites en .com, .net, .fr car ce sont des
suffixes Dns qui sont en la possession d’une autorité et non pas à notre possession. Nous
n’avons pas l’autorité sur .com, si on crée notre AD avec alphorm.com cela risque de poser
problème car le .com nous appartient pas. Même si cela paraît logique et que le site c’est
mon entreprise, l’enregistrement public nous appartient pas. Si on paye hébergement du
site internet, elle aura alphorm.com.

Pour résumé les noms de domaine nous appartiennent pas lorsqu’il s’agit de nom
domaine connu publiquement comme ceux dans le schéma ci-dessus.

Historiquement il y avait 13 serveurs racines connus mondialement pour résoudre

les noms de domaine lorsque l’on tenté de joindre un site web. Ces serveurs racines sont
installés par défaut et joignable dans l’AD.

26
Hamdaoui Khadija
 Le DNS privé fera la résolution des machines, des serveurs locaux contrairement au
DNS public qui est exposé sur Internet et donc au grand public avec une adresse ip
publique. Le DNS privé lui n’est pas exposé sur Internet, il reste localement et gère des
résolutions internes. Les personnes extérieures à la structure ne pourront pas y accéder.

Le DNS public pour qu’il soit accessible à tous le monde, il doit faire l’objet d’un
enregistrement au DNS (hébergeur de site).

Sur l’AD, on va installer le DNS privé qui va prendre autorité on va prendre par
exemple kh.loc on doit prendre des noms pas routables sur Internet, kh.loc qui sera mon
AD, quand un PC local veut accéder à un serveur local (IIS) qui s’appelle SRV, elle va
ajouter l’extension SRV.kh.loc. Le DNS il va comprendre que c’est lui l’autorité de kh.loc,
c’est mon domaine, je le connais, il va chercher dans son enregistrement s’il a l’adresse ip
de site kh.loc. Il va me la trouver et me la retourner.

27
Hamdaoui Khadija
 Si au lieu de .loc, je mets kh.com comme nom de domaine, si un utilisateur local
veut accéder au site kh.loc, je vais contacter mon AD, l’AD fait autorité sur son propre
domaine, il va voir s’il a cet enregistrement en local pas dans le DNS public. Je n’aurai pas
accès car comme dit précédemment le .com est une autorité qui réside sur Internet, on n’a
pas autorité sur celui ci.

Ce pourquoi on ne peut pas en local utilisé les serveurs racines connus. Si on veut
faire une migration dans Microsoft 365 qui est public le .com, .fr, .lan etc vont poser
problème dans l’enregistrement.

Le rôle du DNS est primordial, l’AD s’installe automatiquement avec le DNS. Le

DNS il va permettre de s’authentifier lorsque souhaite intégrer un PC dans l’AD, on aura
besoin du DNS. En effet, on a dit que toutes les machines avaient une adresse ip et la
machine comprend les adresses ip et n’ont pas les noms. Il va avoir une résolution qui sera
faite avec l’adresse ip de l’utilisateur. Pour que l’utilisateur s’authentifie il faut lui donner le
DNS de l’AD.

L’AD a besoin du DNS pour savoir quel est l’adresse ip de la machine pour pouvoir
lui répondre. Pour accéder à Internet, on ne doit pas jamais dans le DNS TCP/IP, l’adresse
8.8.8.8 (DNS de Google) car il a une autorité racine.

28
Hamdaoui Khadija
 Dans un parc informatique AD, chaque requête et chaque accès Internet se fera via
le DNS. Si une machine veut aller sur google.fr, il sera obligé de contacter l’AD pour faire la
résolution. L’AD va voir son DNS et il va lui dire je suis Kh.loc je ne peux pas faire la
résolution, je vais demander au racine.

Le racine va lui transmettre l’adresse ip de Google.fr, l’AD va le retourner à la

machine et la machine elle va contacter le site à travers la passerelle. D’où l’importance de
la bonne configuration du DNS qui risque d’encombrer le fonctionnement et ne pas
fonctionner correctement.

Le DNS permet ainsi de résoudre, authentifier, répondre, il est associé à l’AD, toutes
les machines dans le parc informatique, accède à Internet qu’a travers le DNS de l’AD.
C’est l’AD qui va aller chercher l’adresse ip du site que l’utilisateur souhaite atteindre.

https://www.it-connect.fr/creer-un-domaine-ad-avec-windows-server-2016/

Le DNS est un sujet très long qui est étudié dans des bouquins qui font 1000 pages.

29
Hamdaoui Khadija
f) Gestion des objets dans AD DS :

On va voir les différents types d’objets et comment les gérer :

Un des objets est l’utilisateur :

Cet utilisateur il a une particularité, il a un suffixe UPN (User Principal Name), qui
est le nom principal de l’utilisateur. Supposons que l’on a Donna Teur qui est associé au
domaine kh.loc son UPN sera [email protected], kh /dteur. On peut ouvrir la session avec
Donna Teur ou les deux annotés.

30
Hamdaoui Khadija
 On a sur l’image ci-dessus un profil itinérant, il est important d’avoir l’UPN pour
mettre le chemin dans l’onglet Profil. On peut connecter un lecteur de réseau à l’ouverture
de sessions. La variable username permet de simuler son nom. L’utilisateur aura un
partage réseau à l’ouverture de session avec son nom.

31
Hamdaoui Khadija
Autre objet : les types de groupes :

Il va contenir des utilisateurs qui va permettre de donner directement des droits

d’accès à un groupe plutôt qu’a gérer des droits d’accès utilisateur par utilisateur. Le
groupe local a la particularité d’être utilisé que dans un seul domaine.

Imaginons on a deux domaines A et B, les utilisateurs du groupe local A sera

accessible que dans le domaine A et pas dans le B. S’il y a une relation d’approbation entre
le domaine A et B, il faut plutôt utilisé les groupes globaux. Si j’ai un groupe technicien
dans le domaine A je pourrai les utiliser dans le domaine B avec les groupes globaux et la
relation d’approbation établit entre les deux domaines. Pas besoin de recréer ce groupe il
est reconnu. Par contre non, le groupe local il est utilisé que dans le domaine A. Il ne peut
pas être utilisé dans un autre domaine même si il y a une relation d’approbation entre les
deux domaines. Le groupe universel est utilisé à l’ensemble de la forêt.

Si ma foret comprend plusieurs domaines A, B ,C, si je crée un groupe universel

technicien, il sera utilisé dans A, B et C. Les groupes de distribution ce sont les groupes qui
n’ont pas l’onglet sécurité. Ils ont peu d’informations importantes, généralement ils
récupèrent quelques informations des utilisateurs. Il est très utilisé pour la messagerie et
pour la diffusion. Pa exemple je crée un groupe étudiants, il n’y aura pas de données
sensibles, il sera accessible dans les groupes de messagerie Exchange ou Microsoft office
365.

Pour le groupe sécurité, il est le plus utilisé, il va regrouper les étudiants par
exemple de 1 à 10, il va être utilisé pour donner le droit d’accès à un dossier. On peut créer
un dossier étudiant, qui va donner le droit aux étudiants read-only (lecture seule).

32
Hamdaoui Khadija
https://neptunet.fr/intro-ad-p7/

Cette méthode permet d’organiser les autorisations sur les serveurs de fichiers.
AGDLP est une approche pour mieux donner les droits. Je ne vais pas prendre un
utilisateur et lui donner le droit sur le dossier compta par exemple cela ne respecte pas la
méthode ITIL.

On va créer un utilisateur qu’on va intégrer dans un groupe global, on va mettre se

groupe global dans un groupe accès documents comptable et un groupe compta lecture
seule. Quand je vais créer un groupe global je vais partager des dossiers en lecture seule ou
écriture ou contrôle totale etc. Dans les entreprises on a des dossiers nommées comme
suit : GR-compta-L ou E (lecture ou écriture). On ne donne jamais à un utilisateur final des
droits directement.

33
Hamdaoui Khadija
https://www.it-connect.fr/agdlp-bien-gerer-les-permissions-de-son-serveur-de-fichiers/
https://neptunet.fr/agdlp/

On utilise jamais l’administrateur il comprend à la fois dedans l’administrateur du

schéma et l’administrateur de l’entreprise. Cela constitue une grande faille. Si on garde
cette pratique on risque en entreprise d’ouvrir des portes et d’encombrer le système.

34
Hamdaoui Khadija
 L’administrateur par défaut est utilisé pour du maintien ou de diagnostic très
avancé. L’administrateur du domaine est inférieur au trois autres. Il peut créer des
utilisateurs des GPO mais il a beaucoup de limites. Il ne peut pas ajouter de domaine par
exemple.

Si on veut avoir une sauvegarde on crée un serveur de sauvegarde dans lequel on

intègre l’opérateur de sauvegarde, on ne va pas créer un administrateur du domaine qui
aura comme fonctionnalité la sauvegarde (dans lequel on lui donne les droits sauvegarde).
Il est important de prendre conscience des groupes par défaut et de leur importance.

Ne pas utiliser l’administrateur crée un administrateur du domaine avec notre nom

et séparer les rôles ceux qui ont le rôle de sauvegarde, lecture des journaux etc on crée des
groupes spécifiques par exemple groupes de journaux mais on ne les mets pas
administrateur du domaine.

Autre objet : les comptes ordinateurs et canaux sécurisées :

Les comptes ordinateurs ont également un nom d’utilisateur et un mot de passe que
l’on ne voit pas. Il a le nom SAMAccountName c’est un nom qui est propre à la machine,
cela peut-être le nom avec lequel on ouvre la session. Il faut savoir que l’ordinateur a un
canal de sécurité, c’est comme un mot de passe enregistré dans l’AD, que l’on ne voit pas
mais que l’on constate en cas d’erreur.

En cas d’écrasement d’un même compte utilisateur, lorsqu’il y a une relation

d’approbation et que la machine n’arrive pas a joindre le domaine, cela signifie que le mot
de passe il est cassé, soit la elle a été renommé, soit une autre machine porte le même nom
a intégré le domaine, on verra comment empêcher cela. Soit le mot de passe est expiré. En
général il n’expire jamais, parfois 6 ou 9 mois.

35
Hamdaoui Khadija
 Dans ce cas, on peut sortir la machine du domaine et la réintègre, soit on réinitialise
le mot de passe de ce canal à travers des commandes de Powershell. Voici un scénario dans
lequel le canal de sécurité peut-être cassé : plusieurs temps que la machine n’a pas contacté
son domaine, etc.

Active Directory : samAccountName VS UserPrincipalName | Active Directory | IT-

Connect

C’est l’OU Computer, le SAMAccount dont on a parlé plus haut, quand on intègre les
ordinateurs de manière graphique, ils sont intégrés dans une OU par défaut : Computers.
Sa particularité c’est qu’aucun paramètre de GPO ne sera appliquée. Le poste il sera
neutre. Aucun paramètre, ni aucune GPO ne sera appliquée, qui vont dans l’OU Computer.

36
Hamdaoui Khadija
 Elles facilitent les objets à travers un annuaire, elles ont comme utilité d’organiser la
hiérarchie de l’entreprise. Lorsque je développe l’annuaire je vais voir clairement les
différents services. Les OU sont protégés contre des suppressions accidentelles. Pour
supprimer on va dans affichage et onglet sécurité > décocher suppression accidentelle.
Pour résumé les GPO ce sont des conteneurs.

h) Découvrir le rôle FSMO :

37
Hamdaoui Khadija
 Apparu à partir de la version Windows Server 2003, il permet d’organiser les
échanges entre les contrôleurs de domaine. Cela va permettre de donner l’autorité d’un
serveur sur l’autre. Supposons que l’on a trois contrôleurs de domaine, si je crée le même
utilisateur dans DC1 et DC3, cela va crée un conflit.

Les rôles maître d’opérations des noms de domaine et contrôleur de schéma ne peuvent
pas être utilisés en dehors d’une autre foret. Ils sont utilisables que dans une AD et avec un
seul DC. Une foret qui regroupe plusieurs domaines, il y aura toujours un seul de
contrôleur de schéma et un seul maître d’opérations des noms de domaine.

Par contre maître RID, etc eux sont présents dans chaque DC.

Si on a deux AD, il y a un seul contrôleur de schéma qui pourra effectuer les

changements d’attributs (nom, couleurs de cheveux etc).

38
Hamdaoui Khadija
Pareille il est présent que dans un serveur.

Chaque utilisateur dans un domaine a un SID unique. Le RID permet d’identifier un

utilisateur d’un autre, le PC1 de PC2. Celui qui l’attribut c’est l’AD. Au moment de la
création de l’objet, on aura un SID propre pas répété dans le domaine. Le serveur AD qui
héberge le rôle RID. Si on a trois AD, dans chaque je crée un user1, user2, user3 chaque
user aura un SID et celui qui crée leur ID c’est le maître SID. Il va distribuer des pools dans
les différents AD par exemple 5000 (objets) et si ils en n’ont plus, c’est le maître RID qui va
redéfinir le pool distribué.

39
Hamdaoui Khadija
 40
Hamdaoui Khadija
 Pour la prise de rôle, si j’ai deux AD et que j’ai le rôle PDC. Si le serveur AD1 ne
répond plus ou est HS, alors je peux forcer l’AD2 à reprendre le rôle PDC via les
commandes Powershell sans migrer. Attention si je restaure ou répare l’AD1, toute
l’infrastructure sera corrompue avec la prise de rôle. Donc on ne rallume jamais ou
restaure jamais l’AD qui est tombé.

III- Déployer une infrastructure AD DS :

a) Planifier l’installation de l’AD :

41
Hamdaoui Khadija
 On va dans un premier temps schématiser planifier et faire une documentation.
C’est dedans que l’on va savoir combien j’ai besoin d’utilisateurs, de choisir le nom du
domaine et l’adressage.

42
Hamdaoui Khadija
Schéma du LAB sur Packet Tracer :

43
Hamdaoui Khadija
Utilisation Hyper-V : Création d’un réseau Externe Wan- Ethernet :

44
Hamdaoui Khadija
Création du réseau interne :

45
Hamdaoui Khadija
Création de l’ordinateur virtuel :

46
Hamdaoui Khadija
 47
Hamdaoui Khadija
On le connecte à la carte réseau que l’on a crée Lan :

48
Hamdaoui Khadija
Installation de l’ISO :

49
Hamdaoui Khadija
Avant de la lancer ajout de processeur :

50
Hamdaoui Khadija
Sous Windows 10 il faut décocher l’option utiliser des points de contrôle automatiques :

Puis lancement de l’installation :

51
Hamdaoui Khadija
 52
Hamdaoui Khadija
 Il est important de donner un nom à son domaine, cependant le choix est primordial
si on met AD ou DC risque de cibles d’attaques car ce sont des noms connus de tous.

Installation de Pfsense :

On va sur le site Pfsense on choisit la version AMD64, on sélectionne ISO puis on le

télécharge, puis on crée une nouvelle machine virtuelle :

53
Hamdaoui Khadija
Lorsque distribution Linux on cochera la génération 1 :

Mémoire 512 MG suffisant :

54
Hamdaoui Khadija
On va le connecter à deux interfaces réseaux une en WAN et une en LAN :

55
Hamdaoui Khadija
Je prends l’iso de Pfsense que l’on a téléchargé :

56
Hamdaoui Khadija
On va avant de démarrer ajouter une autre carte réseau :

57
Hamdaoui Khadija
 Il faut que cette carte réseau soit en deuxième position on verra pourquoi il est
important de mettre les cartes dans un certain ordre afin d’éviter les erreurs de
configuration sur Pfsense.

Puis on démarre on laisse l’installation se faire : après le redémarrage on éjecte l’iso

au risque de relancer l’installation de Pfsense.

58
Hamdaoui Khadija
Pour la machine DC on va mettre un mot de passe pour l’administrateur :

Pour éjecter le CD de Pfsense sur Hyper V voici ce qu’il faut réaliser :

59
Hamdaoui Khadija
Configuration des interfaces sur Pfsense :

hn0 étant le WAN elle correspond à notre première carte réseau et hn1 étant la LAN que
l’on a configuré auparavant.

60
Hamdaoui Khadija
 On va modifier l’adresse ip de l’interface LAN puisque l’on souhaite qu’il soit dans le
même réseau que le DC. (cf schéma précédent). Pour ce faire on va cliquer sur l’option 2 ,
Set interface(s) IP Address.

61
Hamdaoui Khadija
On pourra accéder à l’interface graphique suivant :

https://www.vmware.com/fr/products/workstation-pro/workstation-pro-evaluation.html

b) L’installation du rôle de l’AD :

62
Hamdaoui Khadija
La première chose à faire c’est changer le nom du domaine ainsi que l’adresse ip :

63
Hamdaoui Khadija
Configuration de l’adresse ip :

On décoche l’adressage ipv6 si on utilise pas l’ipv6 dans l’entreprise.

64
Hamdaoui Khadija
L’adresse ip du schéma de Packet tracer, la passerelle par défaut étant celui de Pfsense :

Pour le DNS on peut le remplir ou pas, il va le faire automatiquement. (127.0.0.1).

65
Hamdaoui Khadija
On redémarre la machine après avoir fait ces changements :

66
Hamdaoui Khadija
Le compte administrateur utilisé est celui qui ne faudra pas réutiliser par la suite, il faudra
créer un compte spécifique.

Une fois que les changements ont été initialisés on va voir les bonnes pratiques :

67
Hamdaoui Khadija
 68
Hamdaoui Khadija
 69
Hamdaoui Khadija
 70
Hamdaoui Khadija
 71
Hamdaoui Khadija
 Pas nécessaire de cocher le DNS, l’AD automatiquement va installer le DNS car il a
besoin de ce dernier pour fonctionner.

On peut exporter une configuration.

72
Hamdaoui Khadija
 73
Hamdaoui Khadija
 Le mot de passe va nous servir de restaurer les services ou de rétrograder ou les
supprimer. Les machines vont communiquer avec le préfixe Alphorm :

Les fichiers présents sont fichiers ou l’AD seront enregistrés, Sysvol là ou il y a les
paramétrages des différentes GPO.

74
Hamdaoui Khadija
On peut installer le domaine Active Directory avec Powershell via le script :

75
Hamdaoui Khadija
Une fois l’installation terminée, la machine va redémarrer seule.

On se logue avec le mot de passe de l’admin local.

76
Hamdaoui Khadija
On va créer un utilisateur pour ne pas à avoir à utiliser le compte administrateur.

77
Hamdaoui Khadija
Une fois crée on va ajouter cet utilisateur dans le groupe admin du domaine :

78
Hamdaoui Khadija
 79
Hamdaoui Khadija
 80
Hamdaoui Khadija
On se déconnecte et on se logue avec le compte nouvellement crée.

81
Hamdaoui Khadija
c) DNS Redirecteur :

Par ce DNS Redirection, on va donner accès à Internet à tout notre parc, cela va
nous éviter de que notre DC, si les machines veulent résoudre un nom de domaine qui n’est
pas autoritaire (pas alphorm.local), l’AD va demander à un autre DNS pour demander
l’adresse du site que cela soit www.google.com etc. Par défaut, si on met 1.1.1.1 ou 8.8.8.8 ,
on a constaté que nous avons quand même accès à Internet.

82
Hamdaoui Khadija
On a accès à Internet car on a des redirecteurs par défaut,

Ce sont les redirecteurs racines, ils sont intégrés dans le système. Celui fait autorité est le
alphorm.local, si on souhaite atteindre alphorm.com ce sera le DNS racine qui fera la
résolution.

83
Hamdaoui Khadija
 On peut voir que alphorm.com n’est pas l’autorité de alphorm, ce n’est pas mon
serveur qui a résolu la requête, c’est un autre serveur qui est DNS redirecteur alors que l’on
n’a pas configurer de redirecteur.

84
Hamdaoui Khadija
 Ce sont les indicateurs connus et configurés par défaut qui vont la résolution. Si je
ne souhaite pas les utiliser et refuser l’accès Internet. Je configure mes redirecteurs.

85
Hamdaoui Khadija
 Dans ce cas-la, l’AD utilisera le 8.8.8.8 afin de faire la résolution externe et donner
accès à Internet : je peux autoriser que le port 53 (par défaut DNS).

86
Hamdaoui Khadija
On va faire une redirection sur le Pfsense :

Première connexion c’est admin pfsense :

87
Hamdaoui Khadija
 88
Hamdaoui Khadija
On va voir que le Pfsense joue le rôle de redirecteur :

89
Hamdaoui Khadija
 Donc un utilisateur avant de contacter un site par exemple sport.fr, il va passer dans
un premier temps vers l’AD, il va y avoir une première requête vers l’AD puis l’AD va
interrogeait le DNS redirecteur ou relai qui est le pare-feu, le pare-feu va interroger les
DNS public (box), il lui retourne l’adresse ip vers l’AD et le DC retourne l’adresse ip à
l’utilisateur. L’utilisateur peut contacter le site à travers la passerelle. La machine va garder
dans son cache la requête faite. Par défaut c’est une heure, parfois 4 minutes en fonction
des sites consultés.

On va demander à l’AD d’utiliser non pas le DNS 8.8.8.8 mais plutôt le DNS de
Pfsense, comme cela notre AD est protégé il n’a pas à sortir sur aucun port et les gens de
l’extérieur n’ont pas à entrer dans mon infrastructure.

Le DNS dans Pfsense c’est le 127.0.0.1 je retourne sur mon DC et je vais changer la
redirection sur Pfsense :

90
Hamdaoui Khadija
On ne va pas mettre 127.0.0.1 on va mettre l’adresse ip de Pfsense qui nous sert de
passerelle qui est la 192.168.10.1 :

91
Hamdaoui Khadija
Je teste si je peux pinger mon Pfsense et si je ma redirection est fonctionnelle :

On peut même ajouter un enregistrement type A :

92
Hamdaoui Khadija
 93
Hamdaoui Khadija
Il est important d’utiliser interne :

94
Hamdaoui Khadija
d) Configure le DNS - Zone inversée :

Par défaut l’AD permet de faire la résolution d’adresse ip en nom, mais pas des
noms vers des adresses ip.

95
Hamdaoui Khadija
A : enregistrement de type ip statique, je donne un nom et je lui donne une adresse ipv4 en
général le DHCP le fait automatiquement. On peut le faire manuellement sur un serveur
statique.

CNAME : on va donner un nom au serveur pour que les personnes extérieurs ne puissent
pas connaître le nom du serveur réel interne. On va créer ainsi un Alias. Au lieu que des
personnes saisissent Serveur-68 par exemple, ils vont saisir Serveur-Alphorm. Le grand
public il voit le nom du CNAME pas le vrai nom du serveur que l’on a attribué.

MX : permet d’identifier et désigner le serveur de messagerie.

Pourquoi utiliser une Zone inversée ? Il va nous permettre d’utiliser la double

résolution pour cela on va faire dans le cmd :

On peut observer dans l’image ci-dessus que l’on a une résolution de nom vers
l’adresse ip mais pas de l’adresse ip vers le nom. Pour ce faire on doit créer une zone
inversée.

96
Hamdaoui Khadija
 97
Hamdaoui Khadija
 Si tous le monde est dans la même zone ce qui est notre cas, on note .10 cependant
si on a des sous-réseaux .10,.20,.30 etc dans ce cas on va se contenter de mettre les deux
premiers octets. Dans la bonne pratique il est préférable de créer des zones pour chaque
sous réseaux.

98
Hamdaoui Khadija
Une fois crée on devra faire le premier enregistrement à la main : Je me rends sur DC1 :

On clique sur mettre à jour l’enregistrement du pointeur :

99
Hamdaoui Khadija
Puis on actualise et on peut observer l’enregistrement apparaître :

Il faut effectuer une vérification si je suis toujours dans le domaine, parfois cela fait
retirer le domaine : (commande raccourci ncpa.cpl)

100
Hamdaoui Khadija
 On est en réseau privée on n’est pas encore dans le domaine, on va activer et
réactiver la connexion réseau :

Si cela est privée cela risque de poser des problèmes et de compromettre lé réseau
de l’entreprise :

101
Hamdaoui Khadija
Comme on a fait un enregistrement manuel pour Pfsense, il faut attendre un peu.

102
Hamdaoui Khadija
Ils ont un horodatage statique on peut aller le voir dans la barre Affichage :

103
Hamdaoui Khadija
Supprimer l’enregistrement n’est pas coché puisque cela correspond à un enregistrement
fait via DHCP. Dans le cas présent notre enregistrement à une durée illimitée. On peut
également redémarrer le service DNS ou attendre que l’enregistrement apparaisse.

104
Hamdaoui Khadija
S’il n’apparaisse pas, on peut anticiper vers un nouveau pointeur :

105
Hamdaoui Khadija
On choisit la zone :

106
Hamdaoui Khadija
 107
Hamdaoui Khadija
Pour voir les différents types d’enregistrement vu en cours je peux créer un Alias

108
Hamdaoui Khadija
Je vais le nommer secret et je vais le faire pointer vers Pfsense :

109
Hamdaoui Khadija
Au lieu de pinger pfsense on pingue secret :

Les personnes vont penser se connecter sur le serveur secret qui est en réalité le serveur
pfsense.

110
Hamdaoui Khadija
 On continue dans les bonnes pratiques pour masquer le réseau, néanmoins le DFS
reste la bonne pratique. Il est préférable d’utiliser cette méthode plutôt que de donner le
vrai nom du serveur de fichier aux utilisateurs.

e) Créer les objets :

On va voir comment créer des objets et surtout de bien les organiser :

création via Powershell :

111
Hamdaoui Khadija
 112
Hamdaoui Khadija
Pour accéder à la console on peut faire dsa.msc ou dsac (nouvelle console d’administration
center :

113
Hamdaoui Khadija
On a un historique de Powershell dans lequel on pourra voir apparaître les commandes
effectuées :

On va crée sur l’interface graphique, ce qui est important c’est l’organisation.

114
Hamdaoui Khadija
 115
Hamdaoui Khadija
 116
Hamdaoui Khadija
On va crée un premier objet dans OU Informaticien qui sera un utilisateur :

Le plus difficile étant la planification.

117
Hamdaoui Khadija
On verra comment ajouter un UPN pour ouvrir plus facilement la session de l’utilisateur .

On va créer un groupe qui va regrouper les techniciens :

118
Hamdaoui Khadija
Dans le groupe technicien j’ajoute le tech1 :

119
Hamdaoui Khadija
 120
Hamdaoui Khadija
De la même façon, on peut gérer sur l’interface DSAC :

On se rend sur Marseille > salariés > Nouveau

121
Hamdaoui Khadija
On aura plus de choix :

122
Hamdaoui Khadija
L’utilisateur est crée on va voir l’historique de Powershell :

123
Hamdaoui Khadija
Je copie la commande New-ADDUser et j’ouvre l’invite de commande Powershell :

Pas saisie de mot de passe, il sera demandé à l’ouverture de session. Lorsque l’on
crée un utilisateur en Powershell, il n’est pas activé par défaut :

124
Hamdaoui Khadija
 Rappelons nous l’utilisateur peut ouvrir sa session avec @alphorm.local. Si je veux
associer ma messagerie alphorm.fr par exemple, ou j’ai un autre domaine alphorm.fr, ne
jamais mettre

J’ouvre la propriété et j’ajoute mon suffixe :

125
Hamdaoui Khadija
On peut modifier dans l’utilisateur soit en commande Powershell soit en graphique de
cette manière :

Il sera vu comme Alphorm.local parce que cela est vu par le SID.

126
Hamdaoui Khadija
Pour afficher plus d’attributs : on se rend dans Affichage > Fonctionnalités avancées > :

On peut ainsi voir l’ensemble des attributs de l’utilisateur il a changé de mot de

passe, quand le compte a été crée, quand il a été changé, etc

127
Hamdaoui Khadija
f) Déléguer le contrôle administratif :

Chaque utilisateur peut intégrer jusqu’à 10 machines dans le domaine, peut importe son
statut (stagiaire, etc...) cela est une grande vulnérabilité. Cela ne s’applique pas aux
administrateurs qui eux peuvent réinitialiser les mots de passe. https://www.it-
connect.fr/restreindre-lajout-de-machines-au-domaine

Cela est très similaire au RBAC (droit basé sur le rôle), je vais ainsi contrôler qui va
réinitialiser les mots de passe et qui va intégrer les machines au domaine.

128
Hamdaoui Khadija
Certains le font avec les GPO, nous on va plutôt le faire avec ADSI:

Cette console permet de modifier l’active directory. On se connecte à sa base de données de

l’AD :

129
Hamdaoui Khadija
On met Ok puis on va développer les dossiers :

130
Hamdaoui Khadija
 On se rend dans Propriétés de DC=alphorm,DC=local puis on descend dans l’onglet
qui s’affiche pour arriver sur : ms-DS-Machine-AccountQuota : 10. On constate ainsi que
l’utilisateur peut ajouter 10 machines.

131
Hamdaoui Khadija
Ce qui signifie que même les utilisateurs que l’on a crée auparavant user1, user2 peuvent
intégrer des machines dans mon parc informatique. C’est la seule modification qu’il faut
faire dans l’ADSI.

132
Hamdaoui Khadija
On retourne dans dsa.msc et je vais déléguer : je me rends sur l’OU Marseille je clique sur
Délégation de contrôle :

J’ajoute dans la délégation le groupe des techniciens :

133
Hamdaoui Khadija
 On va lui déléguer le rôle de réinitialisation des mots de passe utilisateur et forcer le
changement de mot de passe. A présent, il y a que les techniciens qui peuvent réinitialiser
les mots de passe. Pour joindre les machines dans le domaine, je fais une délégation sur la
racine ou sur l’OU Computer, on ajoute le groupe Techniciens :

134
Hamdaoui Khadija
On va cliquer sur :

135
Hamdaoui Khadija
On va affiner cela : on retourne dans l’OU Marseille :

Toujours les techniciens :

136
Hamdaoui Khadija
 Ce qu’on a fait avant c’est que l’on a donné aux groupes techniciens des ordinateurs
aux domaine même dans des groupes qui ne leur sont pas appropriés. Je veux que cela soit
uniquement dans des OU spécifiques et pas dans l’ensemble du domaine.

137
Hamdaoui Khadija
On va spécifier les objets qui peuvent être ajouter au domaine et les droits que le groupe
techniciens ont sur ces objets :

Ils vont pouvoir créer des machines et les supprimer si besoin. On va corriger dans la
racine le droit que l’on a donné pour le groupe techniciens. Pour retire cela on vient dans :

138
Hamdaoui Khadija
On clique sur Propriétés :

On se rend dans l’onglet sécurité :

139
Hamdaoui Khadija
On clique sur l’onglet Avancé :

On a corrigé le tir pour qu’il n’est pas le droit dans tous les domaines mais
uniquement dans l’OU Marseille. On peut ajouter des éléments comme la création et
suppression des ordinateurs jusqu’à 19h, si une personne dérobe le mot de passe d’un
technicien, il ne pourra pas créer de machines ni supprimer des ordinateurs à 20 h par
exemple. https://www.it-connect.fr/restreindre-lajout-de-machines-au-domaine/

g) Mettre en œuvre les stratégies de mot de passe (PSO) :

140
Hamdaoui Khadija
 Ils sont liés à tous ce qui est gestion des mots de passe et identifiants. En toute
confidence, les mots de passe ne servent pas à grand-chose peu importe la longueur que ce
soit 4 ou 55000. Le PSO apparaît avec Windows server 2012 il n’y a pas trop de
changement avec les versions suivantes. Il permet de consolider notre stratégie de mot de
passe. Au lieu de passer par des GPO, cette méthode est très intuitive :

On va voir comment mettre en place une PSO : on va passer dan dsca.msc :

141
Hamdaoui Khadija
 Une fois la console ouverte on se rend dans alphorm.local > System > Password
Settings Container dans laquelle on va crée notre première stratégie :

L’historique de mot de passe permet d’au bout d’un certain nombre de fois de
changer de mot de passe et de ne pas reprendre les anciens mots de passe utilisés :
exemple si je mets toto puis au boit de quelques mois je mets comme mot de passe info1
puis après 6 mois info2 au bout du quatrième je dois faire un mot de passe différents des
trois premiers. Forcer les utilisateurs à avoir plusieurs mots de passe différents est une
mauvaise stratégie car ils vont finir par noter les mots de passe sur un post-it. On peut
mettre trois ou deux.

L’age minimum de mot de passe c’est le temps minimum qu’un utilisateur puisse
utiliser pour changer son mot de passe. Cela fonctionne que pour les utilisateurs exemple :
user1 a fait un changement de mot de passe aujourd’hui info10, il pourra pas le rechanger

142
Hamdaoui Khadija
après il devra attendre 24 h si il souhaite le changer. Il y en a qui mettent 7 jours d’autres
0, dans le cas de 0, l’utilisateur ne pourra jamais changer de mot de passe à vous de
décider de la stratégie. Il devra passer par le hotliner pour changer son mot de passe. On
ne peut pas mettre 0 on peut simplement décocher la case.

L’age maximale est l’age de conservation du mot de passe et donc l’utilisateur devra
changer son mot de passe après ce nombre de jours. Si on met 90 jours par exemple. Il faut
être vigilant aux vacances des utilisateurs si un utilisateur au bout du 88ème jours par en
vacances et à son retour il souhaite se connecter il ne pourra pas se loger. Il ne pourra pas
réinitialiser son mot de passe il sera bloquer. Certains mettent 3 mois on va plutôt opter
pour 6 mois (180 jours). Dans notre cas, comme cette stratégie s’applique au groupe
techniciens on va mettre 90 jours.

Appliquer la stratégie de verrouillage si l’utilisateur a tenté de se connecter a son

compte au bout de X fois, ceci est important à mettre en place. On va mettre 4/5, si attaque
par force brut ou 5 fois que l’on se trompe de mot de passe, le compte sera verrouillé
pendant 30 minutes.

Si l’utilisateur a changé son mot de passe au bout des 90 jours mais que son mot de
passe est toujours enregistré sur son téléphone ou tablette de chez lui, Outlook va lancer au
bout de 5 fois en 10 secondes elle va lancer 5 tentatives de connexion, il ne va pas se rendre
compte que son compte s’est verrouillé. En changeant son mot de passe il va déconnecte
toutes les autres machines. On va l’appliquer aux groupes utilisateurs.

143
Hamdaoui Khadija
 On va mettre une priorité, la priorité la plus basse en cas de conflit l’emporte c’est-à-
dire, si un technicien est dans un autre groupe où la priorité est 12, ce sera la priorité la
plus petite qui l’emporte.

On va créer une autre PSO pour les utilisateurs :

144
Hamdaoui Khadija
 Certains mettent utilisateurs du domaine ce qui n’est pas bon car ce sera mes
administrateurs du domaine et les techniciens et cela est très dangereux. A ce moment la je
dois créer un groupe (dsa.msc) salariés, il est important de ne pas laisser les utilisateurs
dans aucun groupe.

145
Hamdaoui Khadija
Dans ce groupe salarié, je vais mettre les users que j’avais crée :

146
Hamdaoui Khadija
 147
Hamdaoui Khadija
 On retourne dans le Centre d’administration : on applique sur le groupe
nouvellement crée salarié et on met une priorité de 15 :

148
Hamdaoui Khadija
 On va vérifier cela dans dsa.msc je vais dans le groupe salarié pour voir si ma
stratégie a bien été prise en compte, je vais mettre un mot de passe de trois caractères :

149
Hamdaoui Khadija
https://www.appvizer.fr/magazine/services-informatiques/securite-informatique/gpo-
mot-de-passe

h) Joindre une machine à un domaine :

Dans un premier temps, création de la machine avec Win 10, on devra le mettre sur le
même réseau que l’AD.

150
Hamdaoui Khadija
On peut intégrer une machine au domaine lors de l’installation de la machine (système de
provisionnement) sans qu’elle n’ait besoin d’une connexion réseau directement au
domaine. Cette méthode est avancée, il est bon de savoir que l’on peut intégrer une
machine au domaine lors de la l’installation de l’iso.

On va ouvrir le serveurs le temps que cela s’installe. On va voir la méthode Powershell, la

méthode graphique n’est pas professionnel on va en voir les limites.

Par défaut les machines s’intègrent dans l’OU Computer cependant les GPO sur l’OU
Computer ne s’applique pas. Dans ce cas-la, on va créer un PC au même nom que notre
machine que l’on souhaite intégrer dans l’OU machines :

151
Hamdaoui Khadija
 Je vais renommer à la fin de l’installation Win 10, le PC en PC-1. Lorsque l’on va
l’intégrer dans le domaine, elle va se positionner dans l’OU Machines plutôt que dans l’OU
Computers. La carte réseau doit être sur le même LAN que l’AD. On a mis la machine AD
sur 192.168.10.10/24 et la gateway de 192.168.10.1. On va configurer la carte réseau de la
machine client et changer de nom de la machine. On ne décoche jamais l’IPV6 sur les
clients juste sur les serveurs.

152
Hamdaoui Khadija
On va renommer la machine via les commandes Powershell :

On va faire entrer la machine dans le domaine :

153
Hamdaoui Khadija
On va ajouter le chemin LDAP pour l’intégrer dans l’OU machines :

On va supprimer le PC-1 que l’on a crée dans l’OU Machines avec la commande Powershell,
il va directement la crée dedans.

154
Hamdaoui Khadija
On ne peut pas l’intégrer au domaine car on n’avait pas donné au tech1 la délégation de
joindre le domaine.

155
Hamdaoui Khadija
 156
Hamdaoui Khadija
On refait la commande Powershell :mot de passe : info

157
Hamdaoui Khadija
Si j’actualise dans l’AD, on va voir que le PC-1 est bien entré dans l’OU machines et non pas
Computers :

158
Hamdaoui Khadija
IV- Sécuriser AD DS :

a) Auditer les groupes admins :

L’audit nous permet de surveiller les logs, journaliser. On peut voir qui tente d’accéder à un
groupe, qui tente de se connecter au domaine, qui tente de supprimer un dossier etc.

Les types d’audit que l’on peut voir dans notre journal :

159
Hamdaoui Khadija
 On peut voir les différentes actions effectuées exemple : modification d’un dossier
etc, on peut aussi voir l’utilisateur qui a effectué l’action, le type : est ce qu’il a réussi ou
échouer et l’heure de l’événement.

On va avoir besoin de trois choses : donner la sécurité à notre groupe, activer la GPO
et lier la tache aux personnes. On va s’attaquer aux groupes administrateur du domaine qui
sont dans le conteneur User (dsa.msc).

On doit avoir ajouter un administrateur domaine :

160
Hamdaoui Khadija
On se rend dans Affichage> Fonctionnalités avancées :

Maintenant que l’onglet sécurité est apparu je peux retourner dans Users>
Administrateur du domaine > Propriétés > Avancée :

161
Hamdaoui Khadija
Je sélectionne le premier puis je mets modifier : je mets contrôle totale :

162
Hamdaoui Khadija
On peut auditer les échecs et la réussite :

On va rester sur Réussite, on va appliquer le changement effectué. Je vais ouvrir le

gestionnaire de groupe avec gpmc.msc.

Il y en a qui la crée dans la racine mais notre GPO est lié au contrôleur de domaine
donc je vais crée une GPO à ce niveau :

163
Hamdaoui Khadija
 164
Hamdaoui Khadija
Puis on effectue un clique droit sur cette GPO pour la modifier :

165
Hamdaoui Khadija
On va auditer les modifications du service d’annuaire :

On va choisir que les succès :

166
Hamdaoui Khadija
 On va faire un gpudate pour mettre à jour les gpo : sur les controleurs de domaines
les mises à jour des GPO se fait toutes les 5 minutes, pour le mettre rapidement en
application on fait la commande suivante :

On va ajouter un administrateur dans le groupe administrateur du domaine pour

faire le teste. On va intégrer user1 dans l’administrateur du domaine :

Si je pars dans mon observateur d’événements :

167
Hamdaoui Khadija
 168
Hamdaoui Khadija
On a ajouté un membre user1 par l’administrateur du domaine mehdi :

On peut créer un script .bat : création d’un fichier alerte :

169
Hamdaoui Khadija
 On fait attention si l’extension ne s’affiche pas on se rend dans le dossier Bureau et
on regarde dans Affichage on coche afficher les extensions :

On change l’extension txt en bat

170
Hamdaoui Khadija
Je modifie le fichier et j’enregistre avec CTRL+F :

Création d’un script qui permet de lire correctement le journal et de l’affiner. On retourne
dans l’observateur d’événements : on clique joindre une tache à cet événement :

171
Hamdaoui Khadija
 172
Hamdaoui Khadija
On retourne dans dsa.msc : on supprimer le user1 du groupe administrateur du domaine

173
Hamdaoui Khadija
Supposons qu’un pirate s’intègre comme membre du domaine administrateur :

On va avoir le cmd qui s’ouvre et qui notifie une alerte :

On va modifier le script car il ne prend pas en compte les accents :

174
Hamdaoui Khadija
b) Protéger les groupes administrateurs :

Ce sont des groupes qui ont vu le jour à partir de Windows Server 2012R2. Ils ont
beaucoup d’avantages il se situent dans la dsa.msc.

175
Hamdaoui Khadija
Parmi les avantages :

- la génération du ticket Kerberos c’est-à-dire le jeton qui va nous permettre de contacter

les serveurs de s’authentifier, d’avoir accès il ne dure que 4 heures,
-L’authentification NTLM est refusée, on ne peut pas s’authentifier avec des adresses ip
mais seulement avec des noms de machines,
-l’utilisateur pourra ouvrir sa session que si sa machine est connecté au réseau,
-le cache n’est pas enregistré sur la machine locale.

Plusieurs administrateurs ne font pas attention à cela, pourtant c’est un pré-requis,

ils attendent que les prestataires auditeurs viennent et leur disent de faire cette mise en
place. Le plus important c’est l’architecture de l’entreprise, ce groupe Protected User doit
être mis en place des le début.

176
Hamdaoui Khadija
On va déplacer mehdi dans l’OU Informaticiens :

On va même plutôt crée un autre dossier pour ne pas mélanger les administrateurs
et les techniciens. Ne pas mettre un nom qui est trop parlant et connu comme adm.

177
Hamdaoui Khadija
Mehdi est un administrateur du domaine et on devrait l’ajouter dans le groupe Protected
User.

178
Hamdaoui Khadija
 Avant de faire la démonstration, sur la machine Win 10 je vais en tant que Mehdi
qui est l’administrateur du domaine :

Lorsque je serais connecté je vais débrancher le câble réseau et je vais la

reconnecter, il ne pourra pas car c’est un compte protégé. On va vérifier que je suis bien
connecté avec l’administrateur du domaine mehdi :

179
Hamdaoui Khadija
Puis on se déconnecte :

On retire le câble du réseau :

Puis on retente de se connecter, les autres comptes normalement devrait fonctionner :

180
Hamdaoui Khadija
 L’administrateur du domaine ne peut pas se connecter à deux sessions, il faut créer
un autre utilisateur on n’ouvre jamais de session avec un administrateur du domaine. On
crée un mehdi-std qui sera intégré dans l’OU salarié et c’est avec ce compte que l’on ouvre
la session (OU Marseille). Ainsi l’utilisateur Mehdi il a un compte administrateur du
domaine et un compte standard sur lequel il peut se loguer sur une machine.

Pour aller plus loin dans le lab, on va télécharger Ps.exe sur la machine : une fois le
téléchargement terminé, on dézippe le fichier et on se rend dans l’invite de commande en
tant qu’administrateur : on va l’ouvrir en tant qu’utilisateur du système :

181
Hamdaoui Khadija
On va voir les caches des mots de passe et des comptes :

Les caches de mot de passe permettent de se connecter quand je n’arrive pas à

contacter le contrôleur de domaine. Ils me permettent d’ouvrir une session même si je
n’arrive pas a joindre le DC. Le but d’ajouter dans le compte protégé c’est que le compte
n’apparaît pas dans le cache.

182
Hamdaoui Khadija
On va pouvoir vérifier en regardant le SID de Mehdi :

On ne trouve pas le SID finissant par 1103. On va voir avec le SID de user1 si on le trouve :

183
Hamdaoui Khadija
 Le SID de user finit par 1106 : on va faire la conversion car dans le cache on a des
valeurs hexadécimales : 452

Mon user1 il a bien son cache :

Pour le tech1 : son SID fini par 1104 ce qui correspond à 450 en hexadécimal :

184
Hamdaoui Khadija
Vérification faite par mes soins :

Pour le compte administrateur de domaine mehdi, on a un SID qui se termine par

1103 et on a ainsi cette valeur en hexadécimale : 44F.
https://www.rapidtables.com/convert/number/decimal-to-hex.html

Vérifions au niveau du cache si on trouve ce SID :

185
Hamdaoui Khadija
 Tous les comptes à privilège doivent faire partie de ce groupe, c’est une obligation.
Les administrateurs standards doivent avoir plusieurs comptes comme on a pu le voir.

https://pbarth.fr/node/334

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-
2012-R2-and-2012/dn466518(v=ws.11)

c)Restreindre les annuaires :

C’est l’administrateur qui sécurise le répertoire de l’AD.

186
Hamdaoui Khadija
 LDAP est un protocole qui permet d’interroger l’AD en lecture seule. De ce fait, tous
les utilisateurs dans l’entreprise peuvent interroger LDAP et récolter des informations.

Le protocole LDAP (Lightweight Directory Access Protocol) permet aux utilisateurs

de trouver des données sur des entreprises, des personnes, etc. Ce protocole a deux
objectifs principaux : stocker des données dans l'annuaire LDAP et authentifier les
utilisateurs qui veulent y accéder.

https://www.it-connect.fr/chapitres/les-protocoles-ldap-dns-et-kerberos/#:~:text=Qu'est
%2Dce%20que%20le,Directory%20est%20un%20annuaire%20LDAP.

Je me connecte sur la session user1 : cet utilisateur va ouvrir l’invite de commande et saisir
des commandes simples :

Si je mets user1 qui est

moi-même :

187
Hamdaoui Khadija
On va obtenir tout un tas d’informations le concernant :

Si on fait :

On va obtenir tous les groupes du domaines :

188
Hamdaoui Khadija
Si on prend le groupe administrateur du domaine :

Si je souhaite plus de détails sur l’administrateur du domaine mehdi :

Ceci n’est pas normal, l’utilisateur user1 peut voir quand j’ai changé de mot de
passe, le compte utilisateur etc.

Il y a certains qui suppriment ces commandes via GPO ce n’est surtout pas une
chose à faire. On n’empêche pas les utilisateurs d’accéder à l’invite de commande car ils
ont parfois besoin d’utiliser certains outils. On va protéger notre annuaire de manière plus
intelligent.

189
Hamdaoui Khadija
Dans Windows Powershell identique l’utilisateur peut accéder un tas d’informations :

https://www.it-connect.fr/active-directory-et-les-notions-de-sid-rid-et-sid-history/
https://pbarth.fr/node/334

190
Hamdaoui Khadija
L’utilisateur va pouvoir faire également cette commande :

Microsoft nous met à notre disposition un outil dans lequel on doit gérer au mieux et
consolider les accès. A nous de mettre en place la sécurisation souhaitée.

On retourne dans le DC (dsa.msc) : on choisit fonctionnalités avancées

Il est important de travailler par les groupes pour pouvoir mieux gérer et donner les
accès minimal. On a crée un groupe salarié dans lequel on a mis tous les salariés standards
(user1, user2, etc).

191
Hamdaoui Khadija
On se rend sur OU Users :

192
Hamdaoui Khadija
Il y en a qui font un script Powershell pour retirer le droit aux utilisateurs. On se rend dans
l’onglet sécurité :

Je vais dans avancé puis je clique sur ajouter :

193
Hamdaoui Khadija
On va faire plus simple : on retourne en arrière on ajoute le groupe salarié :

194
Hamdaoui Khadija
Je vais dans Builtin et je fais la même chose :

Si je refais la même commande chez user1 : on a un accès refusé :

Si je veux me connecter sur tech1 :

195
Hamdaoui Khadija
 Par contre l’administrateur du domaine aura accès, ce pourquoi il est important de
bien organiser son travail :

Au départ, on avait donner le droits aux techniciens d’entrer des machines dans
l’ensemble du domaine (contrôle total), sauf que je ne souhaite pas qu’il entre des
machines dans certaines OU comme Builtin, Usrs, ect

196
Hamdaoui Khadija
On va le supprimer, je retourne dans l’OU Marseille > Propriétés > Avancées :

197
Hamdaoui Khadija
 On va supprimer l’accès Contrôle Totale et on va affiner ses droits en lui donnant le
droit de joindre des ordinateurs dans l’OU Marseille uniquement. Mes techniciens ils
peuvent réinitialiser des mots de passe, entrer et supprimer des machines uniquement
dans l’OU Marseille.

198
Hamdaoui Khadija
 On peut aller jeter un œil pour vérifier si les techniciens sont toujours présents sur
les autres OU.

199
Hamdaoui Khadija
 Pour résumé, on retire le droit de lecture aux salariés de l’entreprise sur Builtin et
Users et les techniciens doivent avoir des droits sur des OU spécifiques et non pas sur
toutes les OU.

On peut faire un gpudate /force sur la machine Win 10 et on peut toujours accéder
au domaine : cela n’a pas d’impacts.

d) Forcer NTLMV2 et Kerberos :

Ce sont des méthodes d’authentification dans l’AD.

200
Hamdaoui Khadija
 NTLM est très ancien i est utilisé lorsque Kerberos n’est pas disponible. Pour
Kerberos c’est un protocole de chiffrement très puissant il existe en version 5 et elle date
depuis 1993. Voyons la différence des deux :

201
Hamdaoui Khadija
 NTLM comme on a pu le dire, c’est un mécanisme de client challenge réponse parce
que le client au moment où on va entrer le nom de domaine, le nom d’un utilisateur ainsi
que notre mot de passe, la machine va hacher le mot de passe avec un hachage et elle va
supprimer le mot de passe. L’ensemble des informations seront envoyés au serveur, le
serveur va générer un nombre aléatoire de 16 octets appelés challenge et il va retourner à la
machine, le poste client il va chiffrer ce challenge avec le mot de passe et retourner le
résultat au serveur ce que l’on appelle réponse.

https://france.devoteam.com/paroles-dexperts/la-securite-des-protocoles-
dauthentification-ntlm-et-kerberos-en-environnement-active-directory/#:~:text=NTLM
%20est%20utilis%C3%A9%20pour%20v%C3%A9rifier,un%20syst%C3%A8me%20de
%20challenge%2Dresponse.

On a besoin d’une clé à chaque fois qui est généré pour s’authentifier. Elle peut être
vulnérable car cette clé peut circuler sur le net, sur l’ensemble du réseau, si une personne
malveillante elle pourra intercepter la clé et générer sa propre clé. Ainsi pour résumé, on va
donner au serveur un code chiffré et si il arrive à le déchiffrer et que j’ai la bonne réponse
cela signifie que je suis la bonne personne et que je peux m’authentifier.

Pour Kerberos :

202
Hamdaoui Khadija
 Au moment où la machine joint le domaine, chaque machine à sa propre clé, le
serveur AD qui est généralement centre de distribution de clé (KDC), c’est le serveur qui a
distribué à la machine du domaine. Le serveur va garder la clé généré pour le client et le
client va garder la sienne.

Le serveur connaît ma clé, je vais chiffrer mon mot de passe, mon nom de session et
d’utilisateur avec la clé généré lors de l’intégration aux domaines. J’envoie le tout chiffré au
serveur qui lui le compare à ses clés, si cela correspond alors le serveur va délivrer un ticket
d’émission (TGT : ticket integration ticket, qui correspond à un ticket d’authentification).

Dans ce TGT, il y a l’horodatage qui durent 10 heures par défaut, il y a également les
informations sur le groupe auquel j’appartiens, les accès auquel je peux accéder etc. C’est
ce ticket, qui va me permettre de me connecter dans des serveurs de l’entreprise comme
par exemple sur le schéma ci-dessous le serveur d’impression ou serveur de fichiers.

Ainsi la différence avec NTLM c’est que l’on envoie des éléments chiffrés au serveur (mp,
utilisateur etc, qui lui à contrario on attendait une clé pour chiffrer avec pour faire le
challenge. Avec Kerberos, dès le départ on a quelque chose de chiffre c’est plus difficile de
casser. C’est pour cette raison que l’on utilise plus Kerberos. On désactive jamais le NTLM,

Kerberos n’est pas disponible pour des machines qui ne sont pas dans le domaine
(workgroup) :

Lorsque l’on souhaite accéder à un service ou à une machine distante avec son
adresse ip, si on désactive NTLM, on ne pourra plus accéder avec les adresses ip. Si tu
souhaites accéder à l’imprimante ou à une application avec son adresse ip en RDP tu ne
pourras pas t’authentifier si tu désactives NTLM.

Il faut plutôt réduire l’utilisation vers NTLMv2. On va désactiver NTLMV1, on ne

désactivera pas NTLMv2, on fera dans un premier temps un audit pour pouvoir voir si on
n’atteint pas nos serveurs impression, fichiers ou autre via leur adresse ip. Si tel est le cas
on pourra le désactiver.

Les comptes privilégiés ont les ajoutent au compte Protected Users, ce compte
utilisent uniquement Kerberos. Pour les autres utilisateurs cela ne posent pas de problème
qu s’authentifient avec NTLMv2 sauf si on est une entreprise gouvernementale avec des
éléments confidentiels. On fait appel à des experts afin d’étudier notre infrastructure et
l’adapter au mieux.

203
Hamdaoui Khadija
 Pour ceux qui veulent approfondir le sujet, on a Philippe BART : il existe 5 niveaux
de NTLM, pour utiliser uniquement la V2 il faudra utiliser le niveau 5.
(https://learn.microsoft.com/fr-fr/windows/security/threat-protection/security-policy-
settings/network-security-lan-manager-authentication-level)

(https://www.it-connect.fr/comment-desactiver-le-protocole-ntlm-dans-un-domaine-
active-directory/)

Nous allons voir comment on va mettre en place sur notre serveur :on doit ouvrir la
stratégie de groupe gpmc.msc : on se rend sur domaine controller et on va créer une GPO :

On va nommer cette GPO :

204
Hamdaoui Khadija
Puis on vient sur Modifier :

Je me rends dans Paramètres Windows je fais défiler Paramètres de sécurité :

205
Hamdaoui Khadija
 206
Hamdaoui Khadija
 207
Hamdaoui Khadija
Je vais forcer l’utilisation de NTLMv2 :

208
Hamdaoui Khadija
e) Configurer et sécuriser le bureau à distance (RDP) :

C’est un protocole très vulnérable : parce qu’il utilise un port par défaut qui est
connu de tous, il est la cible de beaucoup de personnes.

209
Hamdaoui Khadija
 Qu’est ce que le NLA ? On va envoyer une authentification avant d’établir la
connexion, il envoie son identifiant et son mot de passe au challenge, s’ils ne
correspondent pas le serveur va refuser l’accès (image à gauche NLA et image à droite
désactivation du NLA).

NLA va nous permettre d’authentifier la personne avant d’initier l’ouverture d’une

session RDP pour ainsi éviter de solliciter inutilement le serveur si la personne ne peut
s’authentifier (https://www.antrimohamed.fr/nla-avec-rdp/#:~:text=NLA%20(Network
%20Level%20Authentication)%20est,d'une%20connexion%20au%20serveur.)
(https://www.informatiweb-pro.net/admin-systeme/win-server/ws-2012-2012-r2-rds-
activer-le-nla-et-utiliser-le-ssl-tls-1-0.html)

Il serait bien de changer de port : Il y a des ports réservés que l’on ne peut pas
utiliser, des ports inscrits pour les applications, on va plutôt utiliser un port dynamique
et/ou privés.

210
Hamdaoui Khadija
La configuration va se passer sur les GPO (gpmc.msc) :

On va créer à la racine de alphorm.local puis on va modifier cet GPO :

211
Hamdaoui Khadija
Rappelons dans un bloc note ce que l’on va faire :

212
Hamdaoui Khadija
 213
Hamdaoui Khadija
 Pour activer l'authentification au niveau du réseau (NLA) via les stratégies de
groupe, vous devez activer la stratégie : Requérir l'authentification utilisateur pour les
connexions à distance à l'aide de l'authentification au niveau du réseau.
Cette stratégie est disponible dans : Configuration ordinateur -> Stratégies -> Modèles
d'administration -> Composants Windows -> Services Bureau à distance -> Hôte de la
session Bureau à distance -> Sécurité.

214
Hamdaoui Khadija
 Par défaut ce sera uniquement les administrateurs du domaine qui peuvent ouvrir
une session sur le DC, on va ainsi ajouter les techniciens :

215
Hamdaoui Khadija
Il nous manque changer les ports et règles de pare-feu :

Je vais aller chercher ma clé qui est dans : Hkey-local-machines > System >
CurrentControlSet > Control > Terminal Server > WinStations > RDP-TCP>

216
Hamdaoui Khadija
 217
Hamdaoui Khadija
On coche sur Décimal et on change le port par défaut de 3389 > 50221 puis on le remet en
Hexadécimal avant d’appliquer la règle :

Il nous manque la partie pare-feu, on se rend dans Windows > Paramètres de

sécurité > Pare-feu Windows > Règle entrante :

218
Hamdaoui Khadija
 219
Hamdaoui Khadija
 220
Hamdaoui Khadija
On peut également faire une règle personnalisée à la place d’une règle port, on revient en
arrière :

221
Hamdaoui Khadija
On va choisir les ordinateurs sur lesquels cette règle va s’appliquer :

Imaginons que ces plages d’adresses ce sont ceux des techniciens. Donc il est important de
ne pas appliquer la règle à toute les adresses IP du réseau.

222
Hamdaoui Khadija
On va faire un gpudate /force sur ma machine ainsi que sur celle du client. On va se
connecter sur tech1 :

Avec Windows Serveur 2022, si on n’arrive pas à accéder sur la machine en RDP, on peut
aller sur la GPO Bureau à distance et on va faire ceci : Groupe restreint > Ajouter
Utilisateurs bureau à distance dans lequel on va ajouter les membres : techniciens :

223
Hamdaoui Khadija
 224
Hamdaoui Khadija
On retourne sur la machine client et on va faire un gpupdate /force :

Le nom de ma machine :

on va faire appel à RDP : on mettra le nom du PC:numéro de part (puisqu’il n’est plus par
défaut) :

225
Hamdaoui Khadija
On a cette fenêtre qui s’affiche : (NLA) :

V- Configuration avancée de l’AD :

a) Découvrir les stratégies groupe (GPO) :

226
Hamdaoui Khadija
 Les GPO ce sont des stratégies de groupe qui nous permettent de contrôler,
centraliser, configurer l’ensemble des machines et des utilisateurs de notre parc
informatique. Acronyme de GPO : Group Police Object, une gpo est une règle de sécurité
qui s’applique soit aux utilisateurs ou soit aux ordinateurs du domaine.

On peut installer des logiciels avec les GPO sur les ordinateurs, définir des
paramètres réseaux, remonter des imprimantes, mettre un fond d’écran sur le PC des
utilisateurs, faire un partage de réseau etc pleins d’éléments qui facilitent la gestion des
machines.

Les GPO n’ont pas vraiment changé avec les arrivées des différents Windows Server,
il y a de légère modification apportée : si on voulait mettre à jour les paramètres de GPO
entre les différents Windows Server. Par exemple Win Server 2008 était compatible avec
Windows Server2012 R2 et que l’on voulait mettre les fonctionnalités additionnelles lié à la
mise à jour : il fallait faire un fichier .admx pour mettre à jour les paramètres de GPO.

Pour le serveur Win 2019 et Win 2022 entre les deux il n’y a pas de grosse différence
pas nécessaire de faire cette mise à jour. Les GPO s’appliquent sur des conteneurs ou des
OU, elle est géré par la console gpmc.msc. Ils sont stockés dans des fichiers Sysvol, ils sont
modifiables avec les éditeurs de stratégie de groupe.

227
Hamdaoui Khadija
Voici la console de stratégie de groupe :

Les modifications apportées aux ordinateurs ne seront appliquées qu’aux machines,

si j’ai un PC-1 et que je mets en place un logiciel ou un fond d’écran. Cet machine elle est lié
à une OU PC. Peu importe l’utilisateur qui va ouvrir sa session dessus, julien, paul, serge,
etc le fond d’écran apparaîtra sur la machine dans laquelle on appliquée la GPO
(contrairement à l’application sur l’utilisateur).

Si modification sur la partie utilisateur, par exemple toujours le fond d’écran ce sera
à un utilisateur ou à un groupe d’utilisateur. Si j’attache une imprimante à Mehdi, peu
importe sur l’ordinateur où il va se connecter, il va toujours avoir mon imprimante. Si je
fais la même chose dans la partie ordinateur, elle s’appliquera que sur l’ordinateur en
question.

Il y a aussi les GPP : les stratégies de groupe

de préférence : il est apparu dans Win Server 2016,
2019,2022. Il permet de faire des raccourcis assez
simple pour faire des configurations. Les GPP sont
des GPO. Il est lié au dossier de préférences que
l’on peut voir sur l’image ci-dessous.

228
Hamdaoui Khadija
Les GPO s’appliquent sur un ordre de priorité : de la racine du domaine jusqu’à l’OU :

Si dans la GPO racine je mets supprimer l’icône Corbeille et dans une GPO un peu
plus loin je fais activer la Corbeille, ce sera la GPO la plus proche de la racine qui sera
prioritaire sur nos machines. Je vais me connecter à mon contrôleur de domaine à travers
le RDP :

229
Hamdaoui Khadija
On se connecte avec le compte administrateur du domaine :

On se connecte à la console gpmc.msc, les GPO ont un lien avec le dsa.msc :

230
Hamdaoui Khadija
 Si je fais une GPO sur les PC qui se trouvent dans l’OU Machines et que je la relis à l’
OU salariés elle ne sera pas appliqué. Les GPO une fois crée pour les désactiver, on fait un
clique droit sur la GPO et on clique sur lien activé :

Pour la réactiver il suffit de la décocher, pas nécessaire de la supprimer. Faire attention

désactiver ne permet pas de supprimer la GPO. Les GPO une fois crée elle se place dans le
dossier Objets de stratégie de groupe.

231
Hamdaoui Khadija
 Ainsi pour les supprimer, on le fait à partir d’objets de stratégie de groupe. Même si
la GPO est crée sur la racine je peux la lier à une OU :

Ce sont juste des liens que l’on fait avec des OU, la création et la suppression se
trouve dans le dossier Objets de stratégie de groupe. Un autre élément à prendre en
compte lorsque je crée des GPO je peux voir des détails :

232
Hamdaoui Khadija
Le SID est très important pour la dépanner. On peut voir l’ordre de priorité des GPO :

Il est important de bloquer l’héritage, on va toujours la faire au niveau du conteneur

Domain Controllers : il contient deux GPO par défaut : Default Domain Policy et Default
Controller Domain Policy, il ne faut jamais les modifier. La bonne pratique veut que je
bloque l’héritage. Qu’est ce que cela signifie ?

233
Hamdaoui Khadija
 Quoi que je crée comme GPO, sur la racine ne seront pas hérités dans le DC. Si je
désactive l’héritage, les GPO crée à la racine seront appliqués à mon DC. On peut les voir
sur l’image ci-dessous après la désactivation de l’héritage sur le conteneur DC :

234
Hamdaoui Khadija
Pour être prudent je bloque et voici ce que l’on a au niveau de l’héritage :

Il est ainsi dans la bonne pratique de bloquer l’héritage et d’ajouter une nouvelle
couche de sécurité. Attention il faudra lié la GPO bureau à distance à notre OU puis on
pourra faire le blocage de l’héritage sinon on risque de ne pas pouvoir appliquer la GPO
RDP.

235
Hamdaoui Khadija
 Il y a une option appliqué, cela ne sert à rien de cliquer sur cette option :

C’est une mauvaise traduction de l’anglais qui est « enforced » qui signifie forcé l’héritage.
La ou il y a un blocage d’héritage comme ce que l’on a fait sur le conteneur DC, j’aurai que
ceux lié à mon OU, ceux liés à la racine elles ne seront pas appliqués dans l’OU DC. Quand
je vais cliquer sur Appliqué cela va forcer l’héritage même si j’ai bloqué dans le conteneur
DC.

236
Hamdaoui Khadija
On va ainsi voir après actualisation la GPO time dans le conteneur DC :

On va créer deux GPO : une lié aux salariés et une liés aux machines de l’OU
Marseille dans lequel on va déployer un logiciel et un fond d’écran. Pour ce faire on va soit
crée un fond d’écran ou soit récupérer un fond d’écran : que l’on va mettre dans les
dossiers partagés \\dc-1 (nom du serveur) et on va l’enregistrer dans Sysvol (on avait dit
plus haut que tous ce qui est lié aux gpo se trouvent dans ce dossier).

On va faire un net share pour voir où l’on doit positionner le fond d’écran afin qu’il soit
partager :

237
Hamdaoui Khadija
On se rend dans Windows > Sysvol > sysvol\alphorm.local\SCRIPTS :

Il sera disponible sur le Netlogon :

238
Hamdaoui Khadija
 On va télécharger une image et un logiciel (7zip) que l’on va mettre dans le dossier
partage que l’on a crée afin de mettre en place les deux GPO :

Je vais déplacer l’image dans le dossier partage qui se trouve dans Netlogon : via le
chemin Net share vu précédemment ( Windows > Sysvol > sysvol\alphorm.local\
SCRIPTS).

239
Hamdaoui Khadija
On va créer une GPO au niveau Marseille :

On clique sur Modifier et on va partir dans Configuration Utilisateurs car il est lié
aux utilisateurs :

240
Hamdaoui Khadija
On va activer et lui mettre le chemin :

241
Hamdaoui Khadija
 On va créer une nouvelle GPO pour le logiciel que l’on va appliquer à la
Configuration Ordinateurs :

242
Hamdaoui Khadija
 On va déjà le mettre dans le dossier partage qui se trouve dans Netlogon : on copie
le logiciel 7zip puis on se rend dans
Windows>Sysvol>sysvol>alphorm.local>scripts>partage et on le colle à l’intérieur.

On va dans la GPO et on ouvre le chemin de partage \\dc1 :

On clique sur le logiciel :

243
Hamdaoui Khadija
Attribué = directement installer sur les PC
Publié = l’utilisateur du PC l’installera lui-même
Les extensions .exe doivent être déployés par script contrairement au extension msi.

244
Hamdaoui Khadija
On va lier la GPO logiciel à l’OU Machines :

Je vais le supprimer de la où je l’ai crée dans l’OU Marseille :

245
Hamdaoui Khadija
On va faire la même chose avec l’OU salariés on va le lier à la GPO arrière-plan :

On va mettre également un script d’ouverture de session : que l’on va appeler script-Hello :

246
Hamdaoui Khadija
On va créer un script à l’ouverture de session :

247
Hamdaoui Khadija
On va créer un script en .bat :

248
Hamdaoui Khadija
On va vérifier si on peut l’exécuter :

249
Hamdaoui Khadija
On peut voir le résultat du résultat de la stratégie de groupe :

250
Hamdaoui Khadija
 On va se rendre sur le PC-1 et on va voir si les GPO mis en place ont bien été prises
en compte : (fond d’écran, script-Hello, logiciel) :

Le fond d’écran est apparu :

7zip n’est pas déployé on va faire la commande gpupdate /force sur l’invite de
commande : pour un logiciel il faut parfois deux redemarrage, on va le constater en faisant
la commande :

251
Hamdaoui Khadija
 On peut faire la commande gpresult /z qui permet de voir les GPO qui sont
appliquées : voila le résultat obtenu et on voit bien les trois GPO que l’on a mis en place :

Après redémarrage le logiciel c’est bien installé :

252
Hamdaoui Khadija
 Le script-Hello il s’est ouvert et fermé rapidement, il y a peut-être une petite erreur
dans le script : on va faire une recherche dans le partage réseau \\dc1\sysvol\
alphorm.local\Policies

b) Configurer le groupe restreint :

253
Hamdaoui Khadija
 C’est une nouvelle partie qui est sortie à partir de 2016 présente sur 2019/2022 elle
permet de gérer les groupes qui prennent le contrôle sur nos machines, c’est-à-dire les
administrateurs locaux de nos machines, comment on les configure ? On a les
administrateurs du domaine qui sont responsables de toutes les machines et cela est très
dangereux de les utiliser, on va donc ajouter un groupe technicien responsable des
machines dans un groupe restreint.

On va pas utiliser ainsi les administrateurs du domaine pour gérer les machines
mais plutôt un groupe technicien qui va être dans un groupe restreint. A partir de ma
machine cliente, je vais me connecter à mon DC : on va ouvrir le gmsc.msc : création d’une
GPO groupe restreint :

On va la modifier :

254
Hamdaoui Khadija
On va supprimer les administrateurs du domaine sur les machines on va ainsi ajouter :

Voilà ce que l’on obtient dans la GPO groupe-restreint :

255
Hamdaoui Khadija
 On va lier le groupe-restreint à OU Marseille : et on va supprimer le groupe-
restreint de la racine :

On va faire un gpupdate /force dans le PC-1 :

256
Hamdaoui Khadija
 On peut voir que les administrateurs du domaine ne sont plus présents on a les
techniciens qui peuvent gérer les machines de l’OU. Cela est une grosse faille laisser
apparaître les administrateurs du domaine. Pour rappel : on va créer dans la GPO deux
groupe locaux un administrateur qui va permettra la suppression des administrateurs du
domaine sur les machines et un autre qui va donner la gestion des machines aux
techniciens :

c) Gérer la corbeille :

257
Hamdaoui Khadija
 Depuis Win Serveur 2008 R2, la corbeille permet de récupérer des informations. La
suppression d’un objet que ce soit utilisateur ou autre, il y a des techniciens ou
administrateur qui le recrée, or lorsque l’on recrée ce n’est pas le même utilisateur le SID
sera différent il s’agit d’un nouvel objet. Il n’aura pas les mêmes accès à la session etc
puisqu’il a été supprimé et recréé. Quand on le supprime il faut faire un processus de
récupération plutôt que de récréation de l’utilisateur supprimé. Il y a deux types de
restauration :

- Restauration autoritaire (redémarrage du serveur car il y a des réplications qui sont faites
- Deleted-objects (récupération de l’objet à travers la corbeille)

La corbeille une fois activée on ne peut pas la désactiver. Elle est irréversible. Une
fois que l’on a activé la corbeille il faut faire un back-up, si on revient sur une période de
trois mois et qu’il n’y avait pas de corbeille cela peut causer des problèmes. La taille de la
corbeille doit être limité par défaut, la durée de l’objet supprimé est de 90 jours. Si on a
une petite entreprise on peut étendre à 180 jours. Il n’est pas nécessaire d’utiliser un outil
cher pour restaurer un groupe ou un objet.

On va ouvrir le dsa.msc (centre d’administration AD) :

258
Hamdaoui Khadija
On va supprimer un utilisateur et un groupe pour tester :

259
Hamdaoui Khadija
 260
Hamdaoui Khadija
On actualise le centre d’administration AD :

On va les restaurer :

On va changer la configuration de la durée de la corbeille. Il faut savoir que l’objet

contient deux éléments : la méthode et la propriété. On se rend dans adsi :

261
Hamdaoui Khadija
On développe la partie configuration :

262
Hamdaoui Khadija
Dans Services > Windows NT :

263
Hamdaoui Khadija
On se positionne sur Directory Services et on fait un Propriété :

On va rechercher MsDSDeletedObject :

264
Hamdaoui Khadija
Il n’est pas défini cela signifie que la valeur par défaut est de 90 jours, on a un autre onglet
qui nous indique que toutes les propriétés des objets va rester en place durant 180 jours :

Si on est une petite entreprise on peut mettre 365 jours :

265
Hamdaoui Khadija
d) Mettre en place le LAPS :

Il est important de le mettre en place vu aujourd’hui la recrudescence des attaques

et menaces qui entourent les entreprises. LAPS va permettre de générer des mots de passe
aléatoire d’une machine à l’autre. Si une personne malveillante découvre le mot de passe, il
ne pourra pas le propager partout. Un autre point à ne pas négliger, si un technicien quitte
l’entreprise, cela va empêcher qu’il part avec des mots de passe puisqu’ils sont générés
aléatoirement.

266
Hamdaoui Khadija
https://www.it-connect.fr/chapitres/installation-de-laps-sur-un-controleur-de-domaine/

https://www.it-connect.fr/chapitres/fonctionnalites-et-prerequis-de-laps/

Je vais installer LAPS sur le contrôleur de domaine qui a le rôle schéma. Il me faut
ainsi un administrateur du schéma et non pas un administrateur du domaine.
(https://www.it-connect.fr/chapitres/les-cinq-roles-fsmo/). Une fois installé, il faut
l’installer par GPO dans les machines clients manuellement ou par script.

Chaque ordinateur client va générer un mot de passe aléatoire difficile, il sera

enregistré dans un attribut dans l’AD. Lorsque l’on a un parc informatique d’une centaine,
1000 il est possible qu’une mise à jour par exemple vienne casser un compte d’utilisateur,
il faudrait faire un script pour voir si toutes les machine ont bien enregistrés leur mot de
passe et qu’ils ont bien été changés. On peut aussi voir que le mot de passe d’une machine
n’a pas été changé et qu’elle n’accède pas au domaine (exemple dans un groupe la GPO a
été appliquée sur plusieurs machines mais une machine n’a pas pu avoir son changement
de mot de passe).

On se connecte sur l’AD en RDP (bonne pratique à adopter) : en général les AD

n’ont pas accès à Internet, on peut le télécharger sur notre machine physique et faire un
copier coller. Dans notre cas, c’est Pfsense qui a la partie WAN on va allumer le Pfsense et
ensuite on pourra se connecter sur Internet.

https://www.microsoft.com/en-us/download/details.aspx?id=46899

267
Hamdaoui Khadija
Lors de l’installation : on coche tout :

On va l’installer le PC client (on pourrait le faire via GPO) : gpmc.msc

(https://www.it-connect.fr/chapitres/la-console-gpmc-group-policy-management-
console/)

268
Hamdaoui Khadija
Création d’une GPO LAPS :

Je vais copier coller mon fichier dans le chemin :

269
Hamdaoui Khadija
https://www.it-connect.fr/chapitres/configuration-de-la-gpo-laps/

270
Hamdaoui Khadija
On met attribué et voici le logiciel dans un chemin accessible :

Je mets quiet pour une installation silencieuse. On peut ainsi soit faire l’installation
via GPO ou en téléchargeant le logiciel sur le PC Client. On laisse ces éléments décochés.

271
Hamdaoui Khadija
On va dans notre cas faire l’installation avec la GPO, on va redémarrer la machine client.

On retourne sur la machine DC et on va mettre à jour le schéma à travers deux

commandes Powershell :

Cela ne fonctionne pas parce qu’il faut les droits administrateurs du schéma pour
effectuer cette commande. Il faut créer un utilisateur dans l’administrateur du schéma. On
va utiliser le compte administrateur mais ce n’est pas la bonne pratique.

On va donner des droits pour que les PC puissent enregistrés leur mot de passe : on
ouvre la commande dsa.msc : on va récupérer le chemin dans adsi.msc :

272
Hamdaoui Khadija
On va créer une GPO LAPS :

Le module LAPS est apparu dans les GPO :

273
Hamdaoui Khadija
On va activer Password Settings et on va le complexifié :

274
Hamdaoui Khadija
 Pour ce qui est du name administrator account to manage : c’est lorsque le l’on crée
un autre administrateur local pour ne pas utiliser l’administrateur. Dans notre cas on n’a
pas crée d’administrateur local pour gérer. Donc on ne l’activera pas mais il est dans les
bonnes pratiques de le faire.

On va faire un gpupdate / force sur la machine Win 10 puis je reviens sur ma

machine Windows Server et je vais voir en cochant fonctionnalités avancées puis on va
dans éditeur d’attributs :

Laps crée un logiciel :

275
Hamdaoui Khadija
On peut avoir des éléments par exemple sur la machine PC-1 qui a généré un mot de
passe :

On va peaufiner notre LAPS puisque comme on n’a pu le voir tous les utilisateurs peuvent
voir les attributs et donc cela est une grande faille et les comptes administrateurs locaux. O
va s’assurer qu’avec adsi on a refusé les accès aux OU importantes tels que Users, Builtin.

On va ainsi voir que tout le monde a des droits qu’il ne devrait pas avoir sur l’OU
Machines :

276
Hamdaoui Khadija
On va ajouter ainsi ceux que je souhaite qui lisent ses paramètres (techniciens) :

Dans tous le monde si on a la case coché droits étendus alors on va la décocher :

277
Hamdaoui Khadija
On va vérifier avec les commandes Powershell les droits attribués :

On peut donner le droit à l’OU Machines de changer les mots de passe :

On se rend dans la machine Win 10 on installe LAPS de cette manière :

On se rend sur l’emplacement du fichier LAPS :

278
Hamdaoui Khadija
On va ouvrir en tant qu’u autre utilisateur :

On va pouvoir afficher l’outil LAPS en tant que technicien et voir si on a bien accès
aux changements de mot de passe :

279
Hamdaoui Khadija