Cette formation permet d’acquérir les notions de base indispensable pour comprendre et maitriser une infrastructure sous Active Directory

1. Formation
Active Directory
Configuration et Bonnes pratiques
Une formation
Mehdi DAKHAMA

2. Une formation
Mettre en place, Configurer, Sécuriser et administrer une
infrastructure sous Active Directory 2019 – 2022
Trois Axes Majeurs
Cours (introduction)
Configuration et Administration (Recommandation)
Sécurité (bonne pratique)
Objectif
Acquérir les compétences nécessaire pour monter une
infrastructure AD opérationnel, respectant les normes et
exigences
Ce que vous allez apprendre

3. Une formation
Découvrir l'Architecture d'Active Directory
Découvrir le protocole Ldap
Comprendre les Notions du domaine
Comprendre les Notions de foret
Découvrir le DNS (privé, public, root)
Gestion d'objets dans AD DS
Découvrir les rôles FSMO
Introduction

4. Une formation
Planifier l’installation d’un Active Directory
Installer le rôle AD
Configurer le DNS - Redirecteur
Configurer le DNS - Zone inversée
Créer les objets
Déléguer le contrôle administratif
Mettre en œuvre les stratégies de mots de passe (PSO)
Joindre une machine au domaine
Découvrir les stratégies de groupe (GPO)
Configuration

5. Une formation
Auditer les groupes admins
Protéger les groupes admins
Restreindre l'accès à l'annuaire
Forcer NTLMV2 et Kerberos
Configurer et sécuriser le bureau à distance (RDP)
Configurer le groupe restreint
Gérer la corbeille
Mettre en place le Laps
Configurer PAM (Privileged Access Management)
Activer le RRL (contrer les attaques ddos)
Sécurité

6. Une formation
Gérer les profils (standards itinerents)
Installer les outils RSAT
Configurer le serveur du temps NTP
Administrer avec Powershell - Gérer les comptes
Administrer avec Powershell - Automatiser le traitement
Découvrir Azure Active directory
Administration

7. Cycle de formation

8. Une formation
Administrateurs système et réseaux
Consultant / Architecte informatique
Technicien système et réseaux
Responsable sécurité informatique
Curieux désirant découvrir le service AD
Public concerné

9. Une formation
Connaissances requises

11. Présentation du Lab
Une formation
Mehdi DAKHAMA

12. Une formation
Prérequis ateliers

13. Une formation
Ressources
VM Conf Minimal
DC-1 2 procs
2 GO RAM
40 GB
PC-1 2 procs
2 GO RAM
20 GB
Pfsense 1 proc
512 MO ram
10 GB

14. Sources Windows 2019
https://www.microsoft.com/fr-fr/evalcenter/evaluate-windows-server-2019

15. Découvrir l'Architecture
d'Active Directory
Une formation
Mehdi DAKHAMA

16. Une formation
Présentation de l’AD
Composition de l’AD
Architecture de l’AD
Console d’administration de l’AD
Différent Types d’AD
Plan

17. Active Directory est un rôle présent dans toutes les différentes
versions de Windows server
Chaque version de Windows Server apporte des améliorations,
ainsi que des modifications dans la structure et compositions de
l’AD
Des incompatibilités entre versions peuvent causer des problèmes
dans le fonctionnement général de l’AD, ou la prise en charge
d’une fonctionnalité
Windows Server 2019 est compatible avec une version minimum
AD 2008 R2
Pour profiter des améliorations et nouveautés comme
PAM,JEA,RRL, un niveau fonctionnel du foret 2016 est exigé
Le rôle AD est aussi appelé AD DS
(Active Directory Domaine Service)
Une formation
Présentation de l’AD

18. Composition de l’AD

19. Les objets

20. Type d’objet

21. Schéma

22. Une formation
L’ensemble des informations d’un domaine Active Directory
est contenu dans un fichier de base de données nommé
NTDS.DIT
Par défaut, celui-ci est stocké dans le dossier
%SYSTEMROOT%NTDS
Ce dossier contient également des fichiers de logs et de base
temporaire
La base est en lecture seule tant que le service Domaine
Active Directory est en cours d’exécution, et ne peut être
copiée ou déplacée, ce service est très important, et ca
supervision permet d’assurer le bon fonctionnement de l’AD
Deux autres dossiers sont présents lors de la création de l’AD,
netlogon et sysvol
Eléments à savoir sur l’AD

23. Architecture de l’AD

24. Vue d’ensemble des composants physiques

25. Vue d’ensemble des composants logique

26. Console d’administration de l’AD
La console par défaut Utilisateurs et ordinateur permet de gérer
Les objets de l’AD, elle est accessible avec le raccourci dsa.msc

27. C’est la nouvelle console permettant en plus de gérer les comptes
D’activer la corbeille
De créer des stratégie de Mot de passe affinée
Visionner l’historique PowerShell
Créer des modèles silos
Le centre d’administration (ADAC)

28. Une formation
Différent Types d’AD
ADDS
Annuaire du domaine classique
RODC
(Read Only Domain Controller) est un contrôleur qui par défaut
ne contient pas les mots de passe utilisateurs.
De plus, ces informations étant stockées en lecture seule aucune
modification ne peut être initiée depuis un contrôleur de domaine
en lecture seule
ADLDS
(Active Directory Lightweight Directory Services ) est un service
d'annuaire plus léger et plus indépendant que nous pouvons
exécuter en tant qu'annuaire autonome sans intégration avec un
AD existant, il est plus utilisé avec les messageries Exchange

29. Découvrir le protocole Ldap
Une formation
Mehdi DAKHAMA

30. LDAP (Lightweight Directory Access Protocol) est un
protocole ouvert et multiplateforme permettant
l'interrogation et la modification des services
d'annuaire
Fournit le langage de communication utilisé par les
applications pour communiquer avec d’autres
serveurs de services d’annuaire
Il écoute sur le port 389 par défaut
La dernière version en date du protocole est LDAPv3
Une formation
Le Protocole LDAP

31. Se connecter
Se déconnecter
Rechercher des informations
Comparer des informations
Insérer des entrées
Modifier des entrées
Supprimer des entrées
Une formation
Méthodes

32. LDAP présente les informations sous forme d'une arborescence
d'informations hiérarchique appelée DIT (Directory Information Tree)
L'arborescence d'informations (DIT)

33. Netdom
Dsquery
Dsget
Net user * /domain
Net group * /domain
Get-aduser
Une formation
Commandes pour interroger l’AD

34. Comprendre les Notions
du domaine
Une formation
Mehdi DAKHAMA

35. Une formation
Domaine AD DS
AD DS nécessite un ou plusieurs contrôleurs de
domaine
Tous les contrôleurs de domaine détiennent une
copie de la base de données de domaine, qui est
continuellement synchronisée
Le domaine est le contexte dans lequel les comptes
d’utilisateurs, les comptes d’ordinateurs et les
groupes sont créés
Le nom de domaine est une limite de réplication

36. Domaine AD DS
AD DS nécessite un ou plusieurs contrôleurs de domaine
Tous les contrôleurs de domaine détiennent une copie de la base de données de domaine, qui est
continuellement synchronisée
Le domaine est le contexte dans lequel les comptes d’utilisateurs, les comptes d’ordinateurs et les groupes
sont créés
Le nom de domaine est une limite de réplication
Le domaine est un centre administratif pour la configuration et la gestion des objets
Tout contrôleur de domaine peut authentifier n’importe quelles infos d’identification, partout dans le
domaine
Le domaine donne l’autorisation

37. Vue d’ensemble des limites de domaine
Objet AD DS Type de limite
Domaine Réplication de partition de domaine
Autorisations administratives
Application de la stratégie de groupe
Audit
Stratégie de mot de passe et de compte
Réplication de zone DNS de domaine

38. Une formation
Niveaux fonctionnels du domaine AD DS
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Pas possible d’augmenter le niveau fonctionnel si les
contrôleurs de domaine exécutent des versions
précédentes de Windows Server
Pas possible d’ajouter de contrôleurs de domaine
exécutant des versions précédentes de Windows Server
après avoir augmenté le niveau fonctionnel

39. Comprendre les Notions
de foret
Une formation
Mehdi DAKHAMA

40. Forêt AD DS

41. Vue d’ensemble des limites de foret
Objet AD DS Type de limite
Forêt Sécurité
Réplication de partition de schéma
Réplication de partition de configuration
Réplication du catalogue global
Réplication de zone DNS de forêt

42. Catalogue global
Le catalogue global
Héberge un jeu d’attributs partiel
Pour d’autres domaines de la forêt
Prend en charge les requêtes pour des
objets dans la forêt

43. Une formation
Pourquoi implémenter plusieurs forêts ?
Les entreprises peuvent choisir de déployer des forêts
multiples pour répondre à
Des exigences d’isolement de sécurité
PAM dans Windows Server 2016 AD DS utilise une forêt de
bastion séparée pour isoler les comptes privilégiés afin de
les protéger contre les techniques de vol d’informations
d’identification
Des exigences de schéma incompatible
Des exigences multinationales
Des exigences de sécurité Extranet
Des exigences de fusion ou de cession d’entreprise

44. Aperçu des différents types d’approbations AD DS

45. Découvrir le DNS
Une formation
Mehdi DAKHAMA

46. Domain Name System
Ecoute sur le port 53, et permet de traduire un nom de domaine exemple site.fr en
adresse IP

47. Le DNS Racine
Un serveur racine du DNS est un serveur DNS qui répond aux requêtes qui concernent
les noms de domaine du premier niveau (TLD) et qui les redirige vers le serveur DNS
de premier niveau concerné

48. DNS public Vs DNS privé
DNS public
Pour qu’un serveur soit accessible sur l’Internet public, il doit avoir
un enregistrement DNS public, et son adresse IP doit être
accessible sur Internet
DNS privé
Les ordinateurs qui sont derrière un pare-feu ou dans un réseau
interne utilisent un enregistrement DNS privé qui permet aux
ordinateurs locaux de les identifier par leur nom
Les utilisateurs extérieurs, sur Internet, ne pourront pas accéder
directement à ces ordinateurs
Une formation

49. Une formation
Rôle du DNS
Les clients trouvent les contrôleurs de domaine par le biais
de la recherche DNS
Les contrôleurs de domaine enregistrent dynamiquement
leurs adresses avec DNS
Les résultats des requêtes DNS pour les contrôleurs de
domaine sont retournés dans cet ordre
Une liste des contrôleurs de domaine du même site que le client
Une liste des contrôleurs de domaine dans le prochain site le plus
proche, si aucun n’est disponible sur le même site
Une liste aléatoire de contrôleurs de domaine sur d’autres sites, si
aucun contrôleur de domaine n’est disponible sur le site le plus
proche

50. Gestion d’objets dans AD DS
Une formation
Mehdi DAKHAMA

51. Une formation
Création de comptes d’utilisateurs
Comptes d’utilisateur :
• Autoriser ou refuser l’accès pour la connexion aux
ordinateurs
• Accorder l’accès aux processus et services
• Gérer l’accès aux ressources réseau
Les comptes d’utilisateur peuvent être créés en
utilisant :
• Utilisateurs et ordinateurs Active Directory
• Centre d’administration Active Directory
• Windows PowerShell
• Outil de ligne de commande Directory dsadd
Les considérations relatives à l’attribution de noms aux
utilisateurs sont les suivantes :
• Nommer les formats
• Suffixes UPN

52. Une formation
Profils d’utilisateurs
La section Profil de la fenêtre Propriétés de
l’utilisateur

53. Une formation
Types de groupes
Les groupes locaux peuvent contenir des utilisateurs, des ordinateurs,
des groupes globaux, des groupes locaux de domaine et des groupes
universels du même domaine
Groupes de distribution
• Utilisé uniquement avec des applications de messagerie
• Sécurité pas activée (pas de SID)
• Impossible d’accorder les autorisations
Groupes de sécurité
• Principal de sécurité avec un SID
• Peut recevoir des autorisations
• Peut également être activé pour le courrier
électronique

54. Une formation
Implémentation d’une gestion de groupe
La méthode IGDLA est une bonne pratique pour définir et gérer les
accès aux ressource, autrement appelé AGDLP
(Account,Global,Domain Local, Permission)
I : Identités, utilisateurs ou ordinateurs
G : Groupes globaux, qui recueillent les membres sur la base de leurs rôles
DL : Groupes de domaine local, qui assurent la gestion tels que l’accès aux
ressources
A : Accès affecté à une ressource

55. Une formation
Groupes par défaut
Groupe Emplacement
Administrateurs de
l’entreprise
Conteneur Utilisateurs du domaine racine de la
forêt
Administrateurs du
schéma
Conteneur Utilisateurs du domaine racine de la
forêt
Administrateurs Conteneur intégré de chaque domaine
Administrateurs du
domaine
Conteneur Utilisateurs de chaque domaine
Opérateurs de serveur Conteneur intégré de chaque domaine
Opérateurs de
compte
Conteneur intégré de chaque domaine
Opérateurs de
sauvegarde
Conteneur intégré de chaque domaine

56. Une formation
Comptes ordinateurs et canaux sécurisés
Les ordinateurs ont des comptes :
• SAMAccountName et mot de passe
• Utilisés pour créer un canal sécurisé entre l’ordinateur
et un contrôleur de domaine
Les scénarios dans lesquels un canal sécurisé peut être rompu :
• La réinstallation d’un ordinateur, même avec le même
nom, génère un nouveau SID et mot de passe
• La restauration d’un ordinateur à partir d’une ancienne
sauvegarde ou la restauration d’un ordinateur vers une
ancienne capture instantanée
• Le désaccord entre l’ordinateur et le domaine sur le
mot de passe

57. Une formation
Quel est le conteneur Ordinateurs ?
Le Centre d’administration Active Directory est ouvert au
conteneur Alphorm (local)Ordinateurs
Le nom unique est CN=Ordinateurs, DC=Alphorm, DC=com

58. Une formation
Implémentation et gestion d’OU
Les unités d’organisation peuvent être créées en utilisant les outils graphiques
AD DS ou des outils en ligne de commande
• Les nouvelles unités d’organisation sont par défaut
protégées contre toute suppression accidentelle
Quand des objets sont déplacés entre des unités d’organisation:
• Les autorisations directement assignées restent en place
• Les autorisations héritées changent
• Les autorisations appropriées sont nécessaires pour déplacer des objets
entre des unités d’organisation

59. Découvrir les rôles FSMO
Une formation
Mehdi DAKHAMA

60. Une formation
Les contrôleurs d’opérations
La notion des rôles FSMO (Flexible Single Master
Opération) est une fonctionnalité de l’Active Directory
Au sein d’un domaine Active Directory avec deux ou
plusieurs contrôleur de domaine, les rôles permettent
d’organiser et contrôler
Les échanges
La réplication
Les taches de transfert
Eviter les conflits et les erreurs au niveau du domaine
ou foret

61. Les différents Rôles
Dans le modèle de réplication multi maître, certaines opérations doivent être des
opérations à maître unique
De nombreux termes sont utilisés pour les opérations à maître unique dans AD DS,
notamment :
Maître d’opérations (ou rôle maître d’opérations)
Rôle de maître unique
Opérations à maître unique flottant (FMSO)

62. Une formation
Contrôleur de de schéma
Le titulaire du rôle du maître de schéma est
le responsable des mises à jour et
modification du schéma d’annuaire

63. Une formation
Maitre d’opérations des noms de
domaine
Le responsable des modifications apportées
à l’espace de noms de domaine à l’échelle
de la forêt du répertoire

64. Une formation
Maitre RID
C’est le seul responsable du traitement des
demandes de pool RID à partir de tous les DCS
au sein d’un domaine
Chaque objet doit posséder un ID de sécurité unique, ce
dernier est composé d’un :
Un SID de domaine identique pour tous les SID créés dans
un domaine
ID relatif (RID) unique pour chaque SID principal de sécurité
créé dans un domaine

65. Une formation
Emulateur PDC
Permet de synchroniser le temps dans une
entreprise
Il assure les modifications de mot de passe,
et le traitement en cas des échecs
d’authentification

66. Une formation
Maitre d’infrastructure
Il garantit que les références d'objets inter
domaines sont correctement gérées
En cas d’ajout d'un membre du domaine A
dans un domaine B

67. Une formation
Le transfert et la prise de rôles
Le transfert
Planifié
Réalisé avec les dernières données
Effectué grâce à des composants logiciels enfichables
Windows PowerShell ou ntdsutil.exe
La prise de rôle
Non planifiée et utilisée en dernier recours
Faite avec des données incomplètes ou obsolètes
Effectuée grâce à Windows PowerShell ou ntdsutil.exe

68. Planifier l’installation
d’un Active Directory
Une formation
Mehdi DAKHAMA

69. Une formation
Prérequis technique
Respecter la topologie de l’environnement
informatique
Nombre d’utilisateurs par sites
Type et vitesse de connexion entre les sites
Services utilisés par les utilisateurs (partage de fichiers,
messagerie, bureau à distance …)
Environnement sécurisé pour l’installation des serveurs,
qui va déterminer le type de contrôleur de contrôleurs
(RODC)
Choix du nom de domaine

70. Une formation
Configuration matériel
Pour un rôle AD DS en GUI
2 CPU pour une machine virtuelle, pour un ordinateur physique
un processeur est suffisant
4 à 8 GO de RAM
100 à 200 GO d’espace disque en fonction des éléments qui
seront distribués
Une connexion réseau 1 Gbit minimum
Configuration de Windows
Dédier l’ordinateur au rôle de contrôleur de domaine
Configuré une adresse IP fixe
Avoir un antivirus et le pare-feu d’activé

71. Une formation
Bonnes pratiques
Dédier le serveur au seul rôle Active Directory (AD
DS) et DNS
Effectuer des sauvegardes régulières
Limiter l’utilisation du compte administrateur
Vérifier régulièrement l’état de santé des contrôleurs
de domaine

72. Installer le rôle AD
Une formation
Mehdi DAKHAMA

73. Une formation
Plan
Installation du rôle AD DS
Configuration post-installation
Configuration sécurité renforcée sur navigateur
Activer les BPA
Vérifier les logs
Configuration du pare-feu

75. Configurer le DNS
Redirecteur
Une formation
Mehdi DAKHAMA

76. Une formation
Par défaut le service DNS de Windows est configuré pour
utiliser les serveurs DNS racines, leur utilisation entraine
des requêtes itératives qui prennent du temps
Il est nécessaire de configurer un ou plusieurs redirecteurs
DNS vers des serveurs publiques pour résoudre les noms
de domaine externe à la place d’utiliser les serveurs DNS
racines
La configuration de redirecteur DNS va permettre d’utiliser
les serveurs DNS de votre FAI, Google….
DNS Redirecteur

78. Configurer le DNS
Zone inversée
Une formation
Mehdi DAKHAMA

79. Une formation
Les zones de recherche inversée sont utilisées pour
résoudre les adresses IP en un nom d'hôte
Pour que les zones de recherche inversée
fonctionnent, elles utilisent un enregistrement PTR
qui fournit le mappage de l'adresse IP de la zone
avec le nom d'hôte
Configurer le DNS

80. Une formation
A
Les enregistrements A permettent la résolution d’un nom
d’hôte FQDN en adresse IPv4
AAAA
Les enregistrements AAAA sont liés à IPv6
CNAME
Les enregistrements Cname sont des alias d’un nom FQDN
vers un autre nom
MX
Les enregistrements de ressources de type MX (Mail
eXchanger) identifient les serveurs de messageries
Types d’enregistrements

81. Une formation
La commande Nslookup permet de se connecter et
interroger le premier serveur dns disponible, afin de
configurer ou diagnostiquer ce dernier
Nslookup

82. Créer les objets
Une formation
Mehdi DAKHAMA

83. Une formation
OU
Utilisateurs
Machines
Groupes
Création des objets par interface
graphique dsa

88. Déléguer le contrôle
administratif
Une formation
Mehdi DAKHAMA

89. Une formation
Désactiver l’intégration des machines par
défaut
Déléguer la réinitialisation des mots de
passes et l’ajout de machine aux techs
Plan

90. Une formation
Un modèle de délégation efficace repose sur
l’application du principe du moindre privilège
Dans la pratique, cela signifie que chaque
responsable de la sécurité ne doit pouvoir accomplir
que les tâches liées à son rôle et rien de plus
En principe, tous les administrateurs doivent
normalement se connecter en tant qu’utilisateurs
ordinaires et n’utiliser leurs droits privilégiés que
lorsqu’ils en ont besoin
Déléguer le contrôle

91. Mettre en œuvre les stratégies
de mots de passe (PSO)
Une formation
Mehdi DAKHAMA

92. Une formation
Les stratégies de mots de passe affinées correspondent à
des objets « Paramètres de mots de passe » et sont
également appelées « PSO » pour « Password Settings
Object »
PSO (Password Settings Object) : Objet de Paramètres de
mot de passe
PSC (Password Settings Container) : Conteneur de
paramètres de mot de passe
Stratégies de mots de passe affinées

94. Joindre une machine
au domaine
Une formation
Mehdi DAKHAMA

95. Une formation
Powershell
add-computer –domainname
mondomain.local
-Credential MONDOMAINEadministrateur
-restart –force

96. Auditer les groupes
Admins
Une formation
Mehdi DAKHAMA

97. Une formation
Permet de suivre à la fois les activités des utilisateurs
et les activités système qui sont des événements
nommés, sur un ordinateur
Le journal de sécurité peut conserver un
enregistrement des tentatives d’ouverture de session
Des événements valides et non valides liés à la
création, l’ouverture ou la suppression de fichiers ou
d’autres objets
L’audit Windows Server

98. Une formation
Action effectuée
Utilisateur qui a pris l’action
La réussite ou l’échec de l’événement et
l’heure à l’événement
L’entrée d’audit dans le journal
de sécurité

99. Protéger les groupes admins
Une formation
Mehdi DAKHAMA

100. Le groupe « Protected User »
Permet de réduire les risques liés aux comptes d'administration

101. Avantages
Une formation
Les informations d'identification mises en cache sont
bloquées
Un contrôleur de domaine doit être disponible pour
authentifier l'utilisateur
Les tickets d'octroi de tickets Kerberos (TGT) ne peuvent
pas être renouvelés pour plus de 4 heures de durée de vie
(TTL)
Les mots de passe en texte clair ne sont pas mis en cache
pour l'authentification Windows Digest
La fonction unidirectionnelle NTLM (NTOWF) est bloquée

102. Resteindre l'accès à l'annuaire
Une formation
Mehdi DAKHAMA

103. Une formation
Objectif
Sécuriser son infrastructure
Protéger son Annuaire
Contrôler le flux

104. Une formation
Intérêt
Ldap est un protocole ouvert et l’AD est un
annuaire en lecture seul
Tout utilisateur peut récolter par défaut des
informations importantes sur des membres
privilégies

105. Forcer NTLMV2 et Kerberos
Une formation
Mehdi DAKHAMA

106. Une formation
Protocoles d'authentification
NT LAN Manager (NTLM)
Il s'agit d'un protocole d'authentification par
challenge-réponse qui existe en deux version NTLM
1 et NTLM 2
Kerberos
Utilise un système de chiffrement symétrique pour
assurer un dialogue sécurisé

107. Kerberos n'est pas disponible :
Dans un groupe de travail
Lorsque vous accédez à un service avec un compte local à la machine
En accédant avec @IP
Kerberos

108. Protocol NTLM NTLMv2 Kerberos
Technique
cryptographique
Cryptographie à clé
symétrique
Cryptographie à clé
symétrique
Cryptographie à clé
symétrique,
Cryptographie
asymmétrique
Niveau de sécurité Faible Intermédiaire Haut
Type de message Nombre aléatoire Hash MD4, nombre
aléatoire
Ticket chiffré utilisant
DES, MD5
Tiers de confiance Domain controller Domain controller Domain controller,
centre de distribution
clé

109. Configurer et sécuriser
le bureau à distance (RDP)
Une formation
Mehdi DAKHAMA

110. L’utilisation du service bureau à distance permet de configurer et administrer
des machines à distance
RDP (Remote Desktop Protocol)
Protocole propriétaire Microsoft
Permet de compresser les données échangées
Etablir la connexion
Bureau à distance

111. Le protocole RDP est couramment utilisé dans les entreprises
Il utilise par défaut le port 3389
Il est très visé par les attaques
Il représente une menace de sécurité s’il est activé avec les paramètres par
défaut ou mal configuré
Le protocole RDP

112. Activation NLA (Network Level Authentication) : mécanisme permettant de sécuriser
les connections RDP
Il permet d’authentifier l’utilisateur avant d’initier la connexion avec le serveur
Configuration Avancé du Bureau à distance

113. Changement port par défaut
Plage des numéros de ports Groupe de ports
0 à 1023 Ports réservés (Contact)
1024 à 49151 Ports inscrits
49152 à 65535 Ports dynamiques et/ou privés

114. Découvrir les stratégies
de groupe (GPO)
Une formation
Mehdi DAKHAMA

115. Une formation
Avantages
La stratégie de groupe est un outil administratif
très puissant
Utiliser pour appliquer différents types de paramètres
à un grand nombre d’utilisateurs et d’ordinateurs
Appliquer les paramètres de sécurité
Gérer les paramètres d’application de bureau
Déployer des logiciels d’application
Gérer la redirection de dossiers
Définir les paramètres réseau

116. Un conteneur pour un ou plusieurs paramètres de
stratégie
Géré avec la GPMC
Stocké dans un conteneur de GPO
Modifié avec l’Éditeur de gestion des stratégies de
groupe
Appliqué à un niveau spécifique dans la hiérarchie AD
DS
Objets de stratégie de groupe
Une formation

117. Console de gestion des stratégies de
groupe
Console de gestion des stratégies de groupe Éditeur de gestion des
stratégies de groupe

118. Une formation
Vue d’ensemble de l’héritage GPO
Les GPO sont traités sur un ordinateur client dans
l’ordre suivant
1. GPO locaux
2. GPO au niveau du site
3. GPO de domaine
4. GPO de l’unité d’organisation, y compris les
unités d’organisation imbriquées

119. Configurer le groupe restreint
Une formation
Mehdi DAKHAMA

120. Une formation
Permet de contrôler et sécuriser les groupes locaux
des machines
Par défaut les admins du domaine sont des admins
locaux des machines, ceci représente un grand
risque de sécurité
Affecter un groupe (techniciens par exemple) au
groupe administrateur local de machine grâce aux
groupes restreints
Le groupe restreint

121. Gérer la corbeille
Une formation
Mehdi DAKHAMA

122. Une formation
SID
C’est un identifiant de sécurité unique dans une
domaine, attribué à un objet (groupe, utilisateur,
ordinateur, imprimante…)
La recréation d’un objet après sa suppression
causera beaucoup de problème (conflit et perte
d’information)
Il existe deux façons pour restaurer un objet :
La restauration autoritaire
Deleted-objects

123. Le niveau fonctionnel de votre Active Directory doit être
au minimum à Windows Server 2008 R2
L’activation de la corbeille est irrémédiable
Après avoir activé la corbeille pensez à sauvegarder
votre Active Directory car les sauvegardes précédentes
ne sont plus utilisables
La taille de la base Active Directory va grandir plus vite
Prérequis d’activation de la corbeille
Une formation

125. Mettre en place le Laps
Une formation
Mehdi DAKHAMA

126. LAPS (Local Administrator Password Solution) de Microsoft fournit
des capacités de gestion des mots de passe des comptes
d’administrateur local pour les ordinateurs joints à un domaine
Les mots de passe sont aléatoires et stockés dans Active Directory
(AD)
Les mots de passe sont protégés par des listes de contrôle d’accès
seuls les utilisateurs éligibles peuvent les lire ou demander leur
réinitialisation
LAPS simplifie la gestion des mots de passe
LAPS résout la vulnérabilité de l’utilisation d’un compte local
commun avec un mot de passe identique sur chaque ordinateur
d’un domaine
Microsoft LAPS
Une formation

128. Une formation
(comptes avec droit admin schéma, sources laps.msi)
Installation sur l’AD
Préparation du Schéma
Attribution des droits ACL d’écriture pour les
machines
Attribution des droits de lecture et réinitialisation
Déploiement de Laps sur les clients
Visualiser et valider le bon fonctionnement
Prérequis et étapes

129. Configurer PAM
(Privileged Access Management)
Une formation
Mehdi DAKHAMA

130. Une formation
C’est une solution pour restreindre l’accès privilégié dans
un environnement Active Directory isolé et existant
Objectifs
Rétablissement du contrôle d’un environnement Active
Directory compromis en conservant un environnement
bastion distinct connu pour être non affecté par des
attaques malveillantes
Isolement de l’utilisation des comptes privilégiés pour
réduire le risque de vol de ces informations d’identification
Privileged Access Management

132. Activer le RRL
Une formation
Mehdi DAKHAMA

133. Une formation
C’est une nouveauté de Windows server apparu dans la
version 2016
Permet de contrôler la façon de répondre aux
demandes adressées à un client DNS lorsque votre
serveur reçoit plusieurs demandes ciblant le même
client
Empêcher une personne d’envoyer une attaque par
déni de service (ddos) à l’aide de vos serveurs DNS
Sans RRL, vos serveurs DNS peuvent répondre à toutes
les demandes en saturant le troisième ordinateur
RRL (limitation de temps de réponse)

134. Une formation
Réponses par seconde
Il s’agit du nombre maximal de fois que la réponse est
donnée à un client dans un délai d’une seconde
Erreurs par seconde
Il s’agit du nombre maximal de fois qu’une réponse
d’erreur sera envoyée au même client en une seconde.
Fenêtre
Il s’agit du nombre de secondes pendant lesquelles les
réponses à un client seront interrompues
Configuration

135. Une formation
Il s’agit de la fréquence à laquelle le serveur DNS répond à
une requête pendant l’interruption des réponses
Nombre maximal de réponses
Nombre maximal de réponses que le serveur émettra à un
Domaines Allowlist
La liste des domaines à exclure
Sous-réseaux Allowlist
La liste des sous-réseaux à exclure
Taux de fuite

137. Configurer des comptes
de services administrés
Une formation
Mehdi DAKHAMA

138. Une formation
Auto-géré par les serveurs et le mot de
passe n'est connu par personne
Lancer un service Windows
Une tâche planifiée
Une application compatible avec les
comptes de service administrés
Le compte de service administré (msga)

139. Une formation
Un même gMSA est utilisable sur plusieurs serveurs
Les gMSA sont stockés dans le container "Managed Service Account"
dans l'Active Directory
Un gMSA est utilisable uniquement sur Windows Server 2012 et
ultérieur
Nécessite l'utilisation de Microsoft Key Distribution Service (kdssvc.dll)
pour la gestion automatique des mots de passe et la création des
comptes
Un gMSA s'apparente à un groupe de sécurité dans lequel on va
associer des objets ordinateurs qui seront autorisés à utiliser ce
compte de service sécurisé
Le niveau fonctionnel de votre forêt Active Directory doit être
Windows Server 2012 au minimum
Le mot de passe est géré par l'Active Directory
gMSA

140. Les comptes de services sont gérés à partir des commandes Powershell :
Les cmdlets New-ADServiceAccount,
Add-ADComputerServiceAccount,
Install-ADServiceAccount
gMSA

141. Gérer les profils
(standards itinérants)
Une formation
Mehdi DAKHAMA

142. Standard
Itinérant
Obligatoire
Une formation
Type de profiles

143. Le profil Standard
Enregistre les données et paramètres de l’utilisateur sur la
machine locale
Le profil Itinérant
Redirige les profils utilisateurs vers un partage de fichiers afin que
les utilisateurs reçoivent les mêmes paramètres de système
d’exploitation et d’application sur plusieurs ordinateurs
Le profil Obligatoire
Profil utilisateur itinérant qui a été préconfiguré par un
administrateur pour spécifier des paramètres pour les utilisateurs.
Les modifications de configuration apportées pendant la session
d’un utilisateur ne seront pas enregistrées
Une formation
Types de profils

144. Dossier partagé
Accessible en modification par les utilisateurs
Prérequis

145. Installer les outils RSAT
Une formation
Mehdi DAKHAMA

146. Une formation
RSAT
Par défaut, seuls les administrateurs sont autorisés à
ouvrir une session à distance ou directement à partir
de l’hyperviseur sur l’AD
Le nombre de sessions simultanées est limité à deux
Les outils RSAT permettent de contourner ces limites

147. Une formation
RSAT permet aux administrateurs et techniciens
informatiques de gérer à distance les rôles et les
fonctionnalités dans Windows Server à partir d’un
ordinateur exécutant Windows 10
A partir de 1903 RSAT est inclus en tant qu'ensemble de
fonctionnalités à la demande’ directement à partir de
Windows 10 avec la possibilité de n’installer que les
composants souhaités
Prérequis
Nécessite win10 pro ou entreprise, avec un accès internet
Outils d’administration de serveur distant

149. Configurer le serveur
du temps NTP
Une formation
Mehdi DAKHAMA

150. Une formation
Définition
Le service de temps Windows (W32Time)
synchronise la date et l’heure de tous les ordinateurs
gérés par Active Directory
Un grand décalage de temps entre serveur et
machine empêche l’ouverture de session
Le serveur NTP utilise le port UDP 123

151. W32tm.exe
Commande en ligne, qui permet de paramétrer, configurer,
synchroniser, et récupérer l’état d’un serveur NTP
w32tm /query /status

152. Administrer avec PowerShell
Gérer les comptes
Une formation
Mehdi DAKHAMA

153. Une formation
Get-Aduser
Affiche les informations sur un compte
Unlock-ADAccount
Débloque un compte d’utilisateur verrouillé
Enable-ADAccount
Active un compte d’utilisateur
Disable-ADAccount
Désactive un compte d’utilisateur
Get-ADGroup
Affiche les propriétés des groupes
Le filtrage permet d’obtenir un résultat plus précis et affiné
Quelque commandes de base

154. Interrogation d’objets avec Windows PowerShell
-eq Égal à
-ne Différent de
-It Inférieur à
-Ie Inférieur ou égal à
-gt
-ge
-like
Supérieur à Supérieur ou égal à
Utilise des caractères génériques
pour les critères spéciaux
Descriptions des opérateurs
Paramètre Description
SearchBase Définit le chemin d’accès AD DS pour commencer la recherche
SearchScope Définit à quel niveau en dessous de la base de données une recherche doit être
effectuée
ResultSetSize Définit le nombre d’objets à retourner en réponse à une requête
Propriétés Définit les propriétés de l’objet à retourner et afficher
Filter Définit un filtre en utilisant la syntaxe PowerShell
LDAPFilter Définit un filtre en utilisant la syntaxe de requête LDAP

155. Interrogation d’objets avec Windows PowerShell
Afficher toutes les propriétés d’un compte d’utilisateur
Afficher tous les comptes d’utilisateur dans l’unité d’organisation Marketing et tous
ses sous-conteneurs :
Afficher tous les comptes d’utilisateurs avec une date de dernière connexion
postérieure à une date spécifique :
Afficher tous les comptes d’utilisateurs dans le service Marketing qui ont une date
de dernière connexion postérieure à une date spécifique :
Get-ADUser –Name “Administrateur” -Properties *
Get-ADUser –Filter * -SearchBase "ou=Marketing,dc=adatum,dc=com" -SearchScope
subtree
Get-ADUser -Filter {lastlogondate -lt "January 1, 2016"}
Get-ADUser -Filter {(lastlogondate -lt "January 1, 2016") -and (department -eq
"Marketing")}

156. Administrer avec Powershell
Automatiser le traitement
Une formation
Mehdi DAKHAMA

157. Une formation
Ldifde
Un utilitaire en ligne de commande intégré
au module AD
Permet d’exporter/importer ou modifier les
utilisateurs depuis ou vers un fichier au
format LDAP (très utile lors des migrations)

158. Une formation
CSVDE
Un outil en ligne de commande, qui permet
d’importer/exporter des objets depuis ou
vers un fichier au format CSV

159. Une formation
Le pipe avec set
Permet de modifier plusieurs objets à la fois

160. Une formation
Import-CSV
Permet de récupérer les valeurs d’un fichier
CSV, afin d’automatiser l’action dans un
script

161. New-ADUser "Sten Faerch" –AccountPassword (Read-Host
–AsSecureString "Enter password") -Department IT
Applet de commande Description
New-ADUser Crée des comptes d’utilisateurs
Set-ADUser Modifie les propriétés des comptes d’utilisateurs
Remove-ADUser Supprime les comptes d’utilisateurs
Set-ADAccountPassword Réinitialise le mot de passe d’un compte d’utilisateur
Set-
ADAccountExpiration
Modifie la date d’expiration d’un compte d’utilisateur
Enable-ADAccount Active un compte d’utilisateur
Disable-ADAccount Désactive un compte d’utilisateur
cmdlets PowerShell pour gérer des comptes d’utilisateurs

162. Modification des objets avec Windows PowerShell
Utiliser la barre verticale ( | ) pour passer une liste d’objets à une applet
de commande pour la poursuite du traitement
Get-ADUser -Filter {company -notlike "*"} | Set-ADUser -Company "A.
Datum"
Get-ADUser -Filter {lastlogondate -lt "January 1, 2016"} | Disable-
ADAccount
Get-Content C:users.txt | Disable-ADAccount

163. Utilisation de fichiers CSV
La première ligne d’un fichier .csv définit les noms des colonnes
Une boucle foreach traite le contenu d’un fichier .csv qui a été importé
dans une variable
$mdp = Pwd2021
$users=Import-CSV –LiteralPath “C:users.csv” foreach ($user in
$users) {
New-Aduser $user.FirstName -AccountPassword (ConvertTo-SecureString
-AsPlainText $mdp -Force)
}
FirstName,LastName,Department Greg,Guzik,IT Robin,Young,Research
Qiong,Wu,Marketing

164. Découvrir Azure Active
directory
Une formation
Mehdi DAKHAMA

165. Une formation
Azure Active Directory
Azure Active Directory (Azure AD) est le service de gestion
de l’accès et des identités basé sur le cloud de Microsoft
Il permet à vos employés de se connecter et d’accéder aux
ressources suivantes
Ressources externes telles que Microsoft 365, le portail
Azure et des milliers d’autres applications SaaS
Ressources internes telles que les applications situées sur
votre réseau d’entreprise et intranet ainsi que les
applications cloud développées par votre propre
organisation

167. Conclusion
Une formation
Mehdi DAKHAMA

168. Une formation
Bilan
Cette formation nous a permis de comprendre,
concevoir, planifier, déployer et sécuriser une
infrastructure sous Active Directory 2019/2022
Preview en respectant les bonnes pratiques et les
recommandations