Archives de catégorie : Active Directory

Sécuriser le Tiering Model Active Directory

Publié le par
Répondre

Dans l’article Sécuriser Active Directory avec le Tiering Model, nous avons vu comment mettre en place une structure Tiering Active Directory pour mieux organiser et isoler les différents environnements (T0, T1, T2).
Comme indiqué, cette première étape ne suffit pas : pour que le modèle soit réellement efficace, il est nécessaire d’appliquer une sécurisation adaptée aux unités d’organisation et de protéger les objets qu’elles contiennent.

Dans cet article, nous allons voir comment :

  1. Sécuriser les OU du Tiering Model.
  2. Appliquer des GPO afin de limiter l’accès et protéger les comptes à privilèges contre les compromissions.
Continuer la lecture

Sécuriser Active Directory avec le Tiering Model

Publié le par
Répondre

La sécurité des environnements Active Directory est aujourd’hui un enjeu majeur pour les entreprises. Face à la multiplication des menaces et à la complexité croissante des infrastructures, il devient essentiel d’adopter des modèles d’organisation robustes et éprouvés. Le Tiering Model, recommandé par l’ANSSI, permet de structurer les privilèges et les ressources de manière hiérarchisée afin de limiter les risques de compromission.

Dans cet article, je vous explique ce qu’est le Tiering Model et je propose un script PowerShell prêt à l’emploi pour en faciliter la mise en œuvre au sein de votre annuaire Active Directory.

Continuer la lecture

Nom de domaine Active Directory et DNS dissocié

Publié le par
Répondre

Dans la plupart des cas, le nom DNS d’un environnement correspond directement au nom de domaine Active Directory. Cependant, certaines architectures ou besoins spécifiques peuvent justifier l’utilisation d’un nom de domaine DNS distinct de celui de l’Active Directory. Ce concept est connu sous le nom de « Disjoint Namespace », ou en français « Espace de noms dissocié ».

Ce type de configuration peut s’avérer particulièrement utile dans des environnements multi-sites, où un domaine Active Directory unique est partagé entre plusieurs entités ou localisations. Par exemple, il est possible de déléguer la gestion d’une zone DNS à des administrateurs locaux tout en conservant une structure AD centralisée. L’un des avantages majeurs de cette approche est que le FQDN (Fully Qualified Domain Name) renseigné dans les attributs Active Directory peut être utilisé par les applications, tout en restant cohérent avec les enregistrements DNS dynamiques générés localement.

Dans cet article, nous allons explorer ce type de configuration, ainsi que les bonnes pratiques pour sa mise en œuvre.

Continuer la lecture

Résoudre l’échec de connexion sur un contrôleur de domaine

Publié le par
Répondre

Il peut arriver qu’après un crash du système d’exploitation ou suite à une restauration effectuée avec Veeam Agent, votre contrôleur de domaine redémarre en mode sans échec. Ce comportement, bien que rare, peut avoir des conséquences critiques sur l’accès au réseau, notamment si ce serveur est le seul contrôleur de domaine de votre infrastructure.

Dans ce scénario, l’écran de connexion affiche un message d’erreur tel que :
« Aucun serveur d’accès n’est actuellement disponible pour traiter la demande d’ouverture de session »
ou, en version anglaise :
« There are currently no logon servers available to service the logon request ».

Ce message indique que le serveur, en mode restreint, ne peut pas assurer les fonctions d’authentification nécessaires à l’ouverture de session. Cela rend impossible toute connexion, même pour les administrateurs, et complique considérablement les opérations de dépannage.

Dans cet article, nous allons voir comment en sortir efficacement pour restaurer l’accès à votre infrastructure.

Continuer la lecture

Actualiser les appartenances aux groupes Active Directory sans redémarrage

Publié le par
Répondre

Dans un environnement Active Directory, les utilisateurs et les ordinateurs sont souvent membres de plusieurs groupes de sécurité, ce qui permet de gérer efficacement les droits d’accès et les stratégies à appliquer. Cependant, lorsqu’un administrateur modifie l’appartenance à un groupe, ces changements ne sont généralement pris en compte qu’à la prochaine ouverture de session, voire après un redémarrage de la machine.

Cette contrainte peut s’avérer gênante, notamment dans les environnements de production où la disponibilité des postes est cruciale. Heureusement, il existe des méthodes permettant de forcer la mise à jour des jetons de sécurité sans avoir à redémarrer l’ordinateur ni à fermer la session utilisateur.

Dans cet article, nous allons explorer ces solutions pratiques pour appliquer les modifications de groupe en temps réel, tout en améliorant l’expérience utilisateur et en optimisant la gestion des ressources informatiques.

Continuer la lecture