Gestion automatique des groupes administrateurs locaux

Publié le par
Répondre

Dans beaucoup d’environnements Active Directory, il est courant de rencontrer des pratiques simples mais risquées :

  • Un groupe “Administrateurs serveurs” regroupant tous les administrateurs avec droits sur tous les serveurs.
  • Un groupe “Administrateurs postes” donnant les droits d’administration sur l’ensemble des postes de l’entreprise.

Cette approche, bien que pratique, présente plusieurs risques :

  • Propagation rapide des attaques : un compte compromis sur un serveur ou poste peut compromettre tous les autres.
  • Perte de traçabilité : difficile de savoir quel administrateur a accès à quelle machine.

Dans cet article je vous présente le principe du moindre privilège qui consiste à donner à chaque compte uniquement les droits nécessaires pour accomplir ses tâches, ni plus, ni moins.

Continuer la lecture

Sécuriser le Tiering Model Active Directory

Publié le par
Répondre

Dans l’article Sécuriser Active Directory avec le Tiering Model, nous avons vu comment mettre en place une structure Tiering Active Directory pour mieux organiser et isoler les différents environnements (T0, T1, T2).
Comme indiqué, cette première étape ne suffit pas : pour que le modèle soit réellement efficace, il est nécessaire d’appliquer une sécurisation adaptée aux unités d’organisation et de protéger les objets qu’elles contiennent.

Dans cet article, nous allons voir comment :

  1. Sécuriser les OU du Tiering Model.
  2. Appliquer des GPO afin de limiter l’accès et protéger les comptes à privilèges contre les compromissions.
Continuer la lecture

Ma boite a outils en 2025

Publié le par
Répondre

L’administration d’environnements Windows en 2025 nécessite une vigilance constante, entre sécurité, performance, supervision, et intégration avec le cloud.

Heureusement, de nombreux outils gratuits permettent aux administrateurs de gagner en efficacité et de résoudre rapidement les problèmes du quotidien.

Voici une sélection d’outils que je considère comme incontournables sur les environnements Windows.

Continuer la lecture

Maintenance WSUS – Optimisez vos serveurs de mises a jours

Publié le par
Répondre

WSUS est essentiel pour centraliser la gestion des mises à jour Windows. Mais sans un minimum de maintenance, il devient lent, consomme énormément d’espace disque, et difficile à administrer.

Maintenir WSUS n’a rien de sorcier avec les bons outils. Le script proposé ici est une solution simple, efficace et éprouvée pour automatiser les tâches essentielles, réduire les lenteurs et assurer une gestion fluide des mises à jour.

Continuer la lecture

Sécuriser Active Directory avec le Tiering Model

Publié le par
Répondre

La sécurité des environnements Active Directory est aujourd’hui un enjeu majeur pour les entreprises. Face à la multiplication des menaces et à la complexité croissante des infrastructures, il devient essentiel d’adopter des modèles d’organisation robustes et éprouvés. Le Tiering Model, recommandé par l’ANSSI, permet de structurer les privilèges et les ressources de manière hiérarchisée afin de limiter les risques de compromission.

Dans cet article, je vous explique ce qu’est le Tiering Model et je propose un script PowerShell prêt à l’emploi pour en faciliter la mise en œuvre au sein de votre annuaire Active Directory.

Continuer la lecture

Attention a la partition de récupération Windows Server

Publié le par
Répondre

Depuis la sortie de Windows Server 2022, Microsoft a modifié la disposition par défaut des partitions lors de l’installation du système. Notamment, la partition de récupération est désormais placée à la fin du disque, ce qui peut sembler anodin… mais pose un problème majeur en environnement virtualisé.

En effet, dans les machines virtuelles, il est courant d’augmenter la taille du disque système (C:) pour répondre à des besoins croissants. Or, lorsque la partition de récupération se trouve juste après la partition système, elle empêche toute extension du volume C: via les outils standards de gestion de disque.

Dans cet article, nous allons explorer une méthode alternative d’installation de Windows Server, permettant de repositionner la partition de récupération avant la partition système. Cette approche garantit une plus grande flexibilité pour les extensions futures, tout en respectant les bonnes pratiques de partitionnement GPT.

Continuer la lecture

Windows est vulnérable à lui-même : une faille intégrée à portée de clic

Publié le par
Répondre

Derrière ce titre provocateur se cache une réalité troublante : Windows embarque en son sein un outil parfaitement légitime, mais qui peut devenir une véritable porte dérobée.

Dans cet article, je vais vous montrer comment cet outil, pourtant intégré nativement à toutes les versions modernes de Windows, peut être détourné pour obtenir un accès administrateur complet, avec les privilèges système les plus élevés. Et si cette manipulation est réalisée sur un contrôleur de domaine, les conséquences peuvent aller bien au-delà d’un simple poste de travail compromis…

Continuer la lecture

Nom de domaine Active Directory et DNS dissocié

Publié le par
Répondre

Dans la plupart des cas, le nom DNS d’un environnement correspond directement au nom de domaine Active Directory. Cependant, certaines architectures ou besoins spécifiques peuvent justifier l’utilisation d’un nom de domaine DNS distinct de celui de l’Active Directory. Ce concept est connu sous le nom de « Disjoint Namespace », ou en français « Espace de noms dissocié ».

Ce type de configuration peut s’avérer particulièrement utile dans des environnements multi-sites, où un domaine Active Directory unique est partagé entre plusieurs entités ou localisations. Par exemple, il est possible de déléguer la gestion d’une zone DNS à des administrateurs locaux tout en conservant une structure AD centralisée. L’un des avantages majeurs de cette approche est que le FQDN (Fully Qualified Domain Name) renseigné dans les attributs Active Directory peut être utilisé par les applications, tout en restant cohérent avec les enregistrements DNS dynamiques générés localement.

Dans cet article, nous allons explorer ce type de configuration, ainsi que les bonnes pratiques pour sa mise en œuvre.

Continuer la lecture

Résoudre l’échec de connexion sur un contrôleur de domaine

Publié le par
Répondre

Il peut arriver qu’après un crash du système d’exploitation ou suite à une restauration effectuée avec Veeam Agent, votre contrôleur de domaine redémarre en mode sans échec. Ce comportement, bien que rare, peut avoir des conséquences critiques sur l’accès au réseau, notamment si ce serveur est le seul contrôleur de domaine de votre infrastructure.

Dans ce scénario, l’écran de connexion affiche un message d’erreur tel que :
« Aucun serveur d’accès n’est actuellement disponible pour traiter la demande d’ouverture de session »
ou, en version anglaise :
« There are currently no logon servers available to service the logon request ».

Ce message indique que le serveur, en mode restreint, ne peut pas assurer les fonctions d’authentification nécessaires à l’ouverture de session. Cela rend impossible toute connexion, même pour les administrateurs, et complique considérablement les opérations de dépannage.

Dans cet article, nous allons voir comment en sortir efficacement pour restaurer l’accès à votre infrastructure.

Continuer la lecture

Attention aux sauvegardes de volumes dédupliqués

Publié le par
Répondre

Lorsqu’on active la déduplication sur un volume Windows Server, cela peut considérablement optimiser l’espace de stockage. Cependant, cette fonctionnalité peut également introduire des comportements inattendus lors des opérations de sauvegarde.

En particulier, dans le cadre de sauvegardes incrémentielles, il n’est pas rare d’observer des points de restauration qui ressemblent à des sauvegardes complètes. Ce phénomène peut perturber la stratégie de sauvegarde prévue, allonger les temps de traitement et augmenter la consommation de ressources. Cet article explore les causes de ce comportement, ses implications sur les chaînes de sauvegarde, et les bonnes pratiques pour y remédier.

Dans cet article, nous allons explorer en détail les mécanismes à l’origine de ce comportement, ses impacts sur les chaînes de sauvegarde, ainsi que les bonnes pratiques à adopter pour en atténuer les effets.

Continuer la lecture