Active Directory

[AD DS] Conception de la structure logique : notion de domaine et de forêt

Avant la création d'Active Directory, la gestion des utilisateurs et des ressources se faisait à l'aide d'un ou plusieurs domaines « NT » (New Technology). Une entreprise présente sur plusieurs sites disposait souvent d'un domaine pour chacun de ses sites. Dans un domaine NT, il y avait un serveur qui était accessible en écriture, le « Primary Domain Controller », les autres « Backup Domain Controller » ne sont que des copies en lecture de l'annuaire et pouvait assurer le rôle d'authentification de l'utilisateur.

[Windows News] Mise à jour cumulative 2022-11

 

Vous avez peut-être déjà entendu parler des problèmes sur Kerberos depuis l'installation des mises à jour du mois de novembre.

En effet des problèmes reconnus par Microsoft peuvent exister sur l'authentification Kerberos depuis l'application des mises à jour.

Il y aura pas mal de choses à dire sur les mises à jour du mois de novembre, vu qu'elle intègre deux évolutions progressives sur le protocole Kerberos et une sur Netlogon.

[Active Directory] Qui peut ajouter un ordinateur à un domaine ?

Dans un domaine Active Directory les comptes membres du groupe « admins du domaine » ou « administrateurs de l'entreprise » peuvent ajouter un ordinateur à un domaine.

Il est possible de déléguer l'autorisation de joindre un ordinateur au domaine à des personnes ou des groupes. Pour ce faire il faut autoriser le groupe ou l'utilisateur à créer des objets ordinateurs dans le domaine.

[Active Directory] Verrouillage des comptes et audit

Dans cet article, nous allons voir le suivi du verrouillage de compte par suite d'une succession de tentatives de connexion avec un mot de passe erroné.

L'environnement de test est composé de deux contrôleurs de domaine : LAB2016dc1 et LAB2019DC2 et d'un poste client Windows 10 LABCL1. Tous les rôles FSMO sont gérés par LAB2016DC1.

La stratégie de verrouillage a été définie dans la GPO « Default Domain Policy ». Nous avons défini un verrouillage de 10 minutes si pendant une durée de 10 minutes, 3 mauvais mot de passe sont saisie.

[AD PowerShell] Déterminé la stratégie de mot de passe appliquée

J'avais déjà publié un message sur la stratégie de mot de passe affiné et sur la commande « Get-ADUserResultantPasswordPolicy » ainsi qu'un article plus détaillé sur la stratégie de mot de passe dans un domaine Active Directory.

[AD DS] Installation d’un DC Windows 2022

Vous trouverez dans ce post quelques informations sur l'installation des DC sous Windows server 2022.

 

Avant de promouvoir un nouveau contrôleur de domaine, il faut généralement mettre à jour le schéma Active Directory.

Depuis 2012 et la fin de « dcpromo.exe », l'assistant de configuration des services Active Directory effectue la mise à jour automatiquement lors de la promotion.

La commande suivante permet de connaître la version du schéma :

[NPS] Migrer NPS et serveur Radius

 

Si vous souhaitez migrer les services NPS, comme par exemple votre serveur Radius, sur un nouveau serveur, vous pouvez utiliser l'export et l'import de la configuration pour faciliter le déploiement sur le nouveau serveur. Dans cet exemple, la configuration des services NPS sur un Windows 2008R2 est exportée et ensuite importée sur un nouveau serveur en 2016 à l'aide de PowerShell. Le temps de l'opération est inférieur à 5 minutes et comprend :

Tags: 

[Windows 2016] Erreur dans la console de stratégie de groupe

 

Si vous avez installé la mise à jour de septembre sur Windows 2016 Server, vous pouvez rencontrer des erreurs lors de l’affichage des options de sécurité dans les stratégies de groupe (gpedit.local ou gpmc.msc pour les domaines AD), comme présenté dans l’image ci-dessous :

L’erreur est décrite dans le lien suivant :

Tags: 

[Active Directory] Mise à jour suite vulnérabilité

 

Au mois d’août Microsoft a publié un correctif de sécurité lié à une faille du protocole NetLogon, qui peut être exploité pour prendre le contrôle d’un domaine Active Directory 

Un petit rappel a été lancé ce jeudi 29/10/2020, pour les entreprises n’ayant pas encore appliqué la mise à jour du mois d’août sur les contrôleurs de domaine :https://msrc-blog.microsoft.com/2020/10/29/attacks-exploiting-netlogon-vulnerability-cve-2020-1472/  .

[AD Sécurité] Gérer vos comptes administrateurs locaux avec LAPS (partie 2)

Dans la première partie nous avons :

  • Installer LAPS sur le poste de management
  • Etendue le schéma de l'annuaire AD
  • Déléguer le droit d'enregistrer le mot de passe dans l'annuaire au compte de l'ordinateur
  • Déléguer le droit de lire le mot de passe à un compte spécifique de l'équipe support.

Dans cette seconde partie, nous allons :

[AD Sécurité] Gérer vos comptes administrateurs locaux avec LAPS (partie 1)

La gestion des comptes locaux des postes de travail membre du domaine peut s'avérer délicate. Il peut arriver de devoir utiliser un compte local avec des droits d'administrations sur l'ordinateur. Mais la gestion du mot de passe de ce compte présent sur l'ensemble des postes peut poser un problème. Il existe une solution gratuite proposée par Microsoft permettant de gérer des mots de passe uniques pour un compte spécifique sur l'ensemble des postes membres du domaine : Microsoft Local Administrator Password Solution (LAPS).

[AD DS Sécurité] Délégué l’administration de l’annuaire

Dans la gestion quotidienne des comptes de l'annuaire Active Directory, il n'est pas recommandé d'utiliser systématiquement des comptes membre de « Admins du domaine ». Il est possible de déléguer ces opérations à des groupes d'utilisateurs spécifiques. Vous pouvez par exemple, limiter le droit de réinitialiser le mot de passe à une partie de l'équipe IT, vous pouvez également déléguer le droit de remplir certaines informations comme la fonction ou le service de l'utilisateur à l'équipe RH.

[AD DS Securité] Gérer les administrateurs des postes avec GPP

Il y a quelques années j'avais écrit sur un article sur la gestion des utilisateurs et groupe locaux à l'aide des GPO. Je vous présente ici, une autre méthode qui existe depuis 2008 et qui utilise les préférences dans les stratégies de groupes. L'objectif est d'ajouter un groupe spécifique en tant qu'administrateurs des postes de travail, afin d'éviter d'utiliser des mots de passe de comptes administrateurs du domaine sur les postes.

[AD PowerShell] Déplacement des rôles FSMO

J'avais écrit il y a pas mal de temps un article sur le déplacement des rôles FSMO depuis les consoles Active Directory : http://www.pbarth.fr/node/79 .

Dans cet article nous allons voir comment déplacer rapidement l'ensemble des rôles FSMO avec PowerShell.

Les premières commandes que nous allons voir, permettent de déterminer les serveurs qui disposent des rôles actuellement.

Pour déterminer les serveurs qui disposent des rôles FSMO du domaine vous pouvez utiliser la commande :

[AD DS Securité] Désactiver SMB 1.0 (partie 3)

Si votre parc ne dispose pas d'OS antérieur à Windows Vista/ Windows Server 2008, vous pouvez envisager de désactiver SMB 1.0. Nous avons vu dans l'article précédent comment activer l'audit des demandes de connexions avec SMB 1.0, ce qui vous permettra de vérifier si des postes utilisent encore ce protocole obsolète. Dans cet article nous allons voir, comment modifier la configuration sur un ou l'ensemble de vos serveurs pour ne plus accepter de connexion SMB1.0.

[AD DS Sécurité] Auditer l’utilisation de SMB V1 (Partie 2)

Si vous n'avez pas lu l'article précédent sur SMB et le partage des fichiers, je vous renvoie sur le lien suivant.

Si vous souhaitez désactiver SMB 1 et si vous ne savez pas s'il est encore utilisé dans votre environnement, il est possible d'activer un audit de de ce protocole avant d'essayer de le désactiver.

Pour rappel, vous pouvez vérifier depuis un poste client les connexions et la version du protocole utilisé avec la commande : « Get-SMBConnection ». Dans l'image ci-dessous « 3.1.1 ».

[AD DS Securité] Partage de fichier et protocole SMB (Partie 1 )

À la suite de questions sur la compatibilité entre les OS anciens et récent dans un domaine AD, je vais essayer de résumer quelques informations utiles sur les protocoles de partage de fichiers (SMB). Dans un domaine Active Directory nous avons aux minimums deux partages présents sur tous les contrôleurs de domaine (en bonne santé) : « NetLogon » et « Sysvol ». Ces partages mettent à disposition des postes membres du domaine, les scripts et les paramètres de stratégie de groupes. Les protocoles d'accès aux partages de fichiers chez Microsoft sont assez anciens et ont évolué avec le temps.

[AD DS Sécurité] BitLocker et stockage des clés de récupération dans l’AD

 

Il est possible d'utiliser le cryptage BitLocker pour protéger par exemple, les postes nomades. Cela limite le risque de vol de données en cas de perte ou de vol du matériel.

Par défaut, BitLocker voudra utiliser un module sécurisé (TPM), sinon l'option ne sera pas disponible, comme dans l'image ci-dessous. Il est possible de modifier cette limitation avec les stratégies de l'ordinateur.

 

[RSAT] Outil d’administration de serveur distant pour Windows 10

L'article suivant http://www.pbarth.fr/node/100, expliqué comment installer les outils d'administration à distance de serveurs (RSAT). Il fallait télécharger le programme d'installation correspondant à votre version, avec par exemple le lien suivant https://www.microsoft.com/fr-FR/download/details.aspx?id=45520. Vous constaterez que les outils s'arrêtent à la version Windows 10 1803. A partir de la version 1809 la méthode d'installation est différente.

[AD DS Sécurité] Principe de l’authentification Kerberos

 

Dans un article précédent, nous avons expliqué de manière simplifiée le principe de l'authentification NTLm . Nous allons dans cet article tenté d'expliquer le principe de fonctionnement de Kerberos. L'authentification Kerberos est assurée par le centre de distribution de clés (KDC) des contrôleurs de domaine Active Directory.

Tags: 

[AD DS Sécurité] NTLM et niveau d’authentification Lan Manager

Dans un environnement Windows, il existe deux familles de protocoles d'authentifications natives permettant de gérer l'accès aux ressources. Les protocoles Lan Manager, NTLM et Kerberos. L'apparition du protocole LanManager remonte aux années 80, il y a presque 40 ans. Il est très ancien et très vulnérable. NTLM son successeur est apparu quelque temps après et la version actuel NTLMv2 date de Windows NT4 SP4. Kerberos est le protocole par défaut dans les domaines Active Directory.

[AD DS Sécurité] Le groupe « Protected User »

Avec Windows Server 2012 R2, un nouveau groupe a été rajouté dans Active Directory : « Protected Users ».

 

Le groupe « Protected User » permet de réduire les risques liés aux comptes d'administration. L'ajout d'un compte dans ce groupe va modifier certains comportements. Dans cet exemple, nous verrons quelques éléments de protection liés à ce groupe.

Tags: 

[AD DS Sécurité] L’objet « AdminSDHolder»

Dans un domaine Active Directory il existe un objet particulier qui sert de référence pour protéger les informations de sécurité de certains comptes à fort privilège. L'objet en question est « AdminSDHolder » et il est présent dans chaque domaine dans le conteneur « System ».

L'objet « AdminSDHolder » permet de protéger les informations de sécurité des comptes membres des groupes suivants :

[AD DS Sécurité] Introduction

 

À la suite de différents échanges et demande par mail ou autres, j'ai décidé d'ajouter une nouvelle rubrique concernant la sécurité et les bonnes pratiques sur l'administration d'un environnement Active Directory.

C'est un des deux sujets, que je souhaite élargir dans les prochains mois, avec la partie Azure.

[eBook /Book] Gérer Active Directory 2016/2019 au quotidien

 

Ce nouveau livre sur les services de domaine Active Directory, vous permettra de vous familiariser avec le module PowerShell sur les opérations que nous effectuons régulièrement.

Le contenu du livre vous permettra de tester les différentes commandes et scripts proposés au fil de la lecture.

Jusqu'au chapitre 5, vous apprendrez à utiliser des commandes PowerShell simple. A partir du chapitre 6, les commandes que vous allez découvrir sont proposés sous forme de fonction ou de script, afin de vous familiariser avec l'automatisation de tâche avec PowerShell.

Pages

S'abonner à RSS - Active Directory