← Retour à IT Topics

Contrôleurs de domaine et Active Directory : problèmes d’accès et d’identité d’entreprise

Sections

Dans la vie quotidienne des organisations, la sécurité d’accès aux ressources informatiques de l’organisation depuis n’importe quel appareil est devenue une priorité. Par conséquent, les stratèges en sécurité de l’organisation ont besoin de ressources pour rendre plus efficace la gestion à distance des mots de passe, de l’authentification et d’autres protocoles d’accès pour chaque appareil.

Qu’est-ce qu’un contrôleur de domaine ?

Pour comprendre ce qu’est un contrôleur de domaine, commençons par comprendre ce qu’est un domaine. Un domaine est simplement un réseau d’appareils (PC, ordinateur portable, imprimantes, caméras de sécurité, etc.) reliés par une infrastructure de connexion (câblée ou Wi-Fi) à un ordinateur serveur (qui sera le contrôleur de domaine). C’est à dire, un contrôleur de domaineeest un serveur à partir duquel un ensemble de fonctions d’un domaine est contrôlé.
Les principales fonctions d’un contrôleur de domaine sont les suivantes :

  • Héberger des informations sur les utilisateurs, la gestion des mots de passe et des accès.
  • Distribution de logiciels à l’aide de stratégies de groupe.
  • Gérer les politiques des utilisateurs et des équipes.

Chaque utilisateur qui se trouve à l’intérieur d’un domaine aura un compte d’utilisateur unique associé, grâce auquel il pourra accéder aux ressources à l’intérieur du domaine tant qu’il aura un droit d’accès.

Types de contrôleurs de domaine

Les contrôleurs de domaine sont généralement déployés en cluster, afin de garantir une haute disponibilité et de maximiser la fiabilité. Dans un environnement Windows, un contrôleur de domaine agit en tant que contrôleur de domaine primaire (Primary Domain Controller PDC) ; les autres serveurs agissent en tant que contrôleurs de domaine de sauvegarde (Backup Domain Controller, BDC). Dans les environnements basés sur Unix, une machine agit en tant que contrôleur de domaine maître et d’autres en tant que contrôleurs de domaine de réplication, répliquant périodiquement les informations de la base de données du contrôleur de domaine principal et les stockant dans un format en lecture seule. Pour être plus clair :

  • Contrôleur de domaine primaire (PDC) : Dans les premières versions de Windows Server, un contrôleur de domaine était désigné comme PDC, qui était responsable de la maintenance de la copie principale de la base de données de l’utilisateur et de la gestion des demandes de connexion des clients. Si le PDC échouait, un contrôleur de domaine de sauvegarde (BDC) pouvait être promu pour prendre sa place.
  • Contrôleur de domaine de sauvegarde (BDC) : Les BDC ont été introduits pour assurer la redondance des PDC. Ils conservaient une copie de la base de données des utilisateurs et pouvaient authentifier les clients au cas où le PDC ne serait pas disponible.

Même si aujourd’hui PDC et BDC ne sont plus utilisés dans les réseaux modernes basés sur Windows, ils représentent les deux types de contrôleurs de domaine utilisés dans les premières versions de Windows Server. Depuis Windows 2000, Active Directory (nous l’expliquerons plus loin) a remplacé les fonctions de contrôleur de domaine principal et de contrôleur de domaine de sauvegarde.

Rôles Spécialisés du Contrôleur de Domaine

Lors de l’installation de Windows Server sur un ordinateur, une fonction serveur spécifique à cet ordinateur peut être configurée. Lorsque vous souhaitez créer un nouveau domaine ou un contrôleur de domaine supplémentaire dans un domaine existant, configurez le serveur avec le rôle de contrôleur de domaine en installant Active Directory® Domain Services (AD DS).
Il existe des fonctions de contrôleur de domaine spécialisées qui remplissent des fonctions spécifiques dans un environnement AD DS. Ces rôles spécialisés sont :

  • Serveurs de catalogue global
    Un serveur de catalogue global stocke sa propre réplique de domaine complète et enregistrable (tous les éléments et tous les attributs) plus une réplique partielle en lecture seule de tous les autres domaines. Le système de réplication AD DS crée et met à jour automatiquement le catalogue global. Les attributs d’élément répliqués sur les serveurs de catalogue global sont les attributs les plus susceptibles d’être utilisés pour rechercher l’élément dans AD DS. Les attributs répliqués dans le catalogue global sont identifiés dans le schéma comme l’ensemble des attributs partiels et sont définis par défaut par Microsoft. Cependant, pour optimiser la recherche, vous pouvez modifier le schéma en ajoutant ou en supprimant des attributs stockés dans le catalogue global.
    Le catalogue global permet aux clients de rechercher dans AD DS sans avoir à être référencés d’un serveur à un autre jusqu’à ce qu’un contrôleur de domaine soit trouvé avec la partition du répertoire du domaine stockant l’élément demandé. Par défaut, les recherches AD DS sont dirigées vers des serveurs de catalogue global.
    Le premier contrôleur de domaine est créé automatiquement en tant que serveur de catalogue global. Par la suite, ils peuvent désigner d’autres contrôleurs de domaine pour être des serveurs de catalogue global si nécessaire.
  • Maîtres d’opérations
    Les contrôleurs de domaine qui jouent le rôle de maître des opérations sont désignés pour effectuer des tâches spécifiques afin d’assurer la cohérence et d’éliminer la possibilité d’entrées conflictuelles dans la base de données Active Directory. AD DS définit cinq rôles de maître d’opérations : maître de schéma, maître de nom de domaine, maître d’identifiant relatif (relatif identifier, RID), émulateur de contrôleur de domaine principal (PDC) et maître d’infrastructure.

Système de noms de domaine (DNS)

Le système de noms de domaine, DNS)​ est un système de nomenclature hiérarchique décentralisé pour les appareils connectés à des réseaux IP tels qu’Internet ou un réseau privé. Ce système associe des informations variées à des noms de domaine attribués à chacun des participants.
Le serveur DNS utilise une base de données distribuée et hiérarchisée qui stocke les informations associées aux noms de domaine sur des réseaux tels qu’Internet. Bien qu’en tant que base de données, le DNS soit capable d’associer différents types d’informations à chaque nom, les utilisations les plus courantes sont l’attribution de noms de domaine à des adresses IP et la localisation des serveurs de messagerie de chaque domaine.
Trois composants principaux sont utilisés pour le DNS :

  • Clients phase 1
    Un programme client DNS qui s’exécute sur l’ordinateur de l’utilisateur et qui génère des demandes DNS de résolution de noms à un serveur DNS (Par exemple : Quelle adresse IP correspond à nom.domaine?)
  • Serveurs DNS
    Qui répondent aux demandes des clients. Les serveurs récursifs ont la possibilité de renvoyer la demande à un autre serveur s’ils ne disposent pas de l’adresse demandée.
  • Zones d’autorité
    C’est une partie de l’espace de noms de domaine sur laquelle un serveur DNS est responsable, qui peut avoir autorité sur plusieurs zones. (Par exemple : sous-domaine.Wikipedia.ORG, sous-domaine.COM, etc.)

Éléments dans Active Directory

Les structures Active Directory contiennent des informations sur les objets classés en deux catégories : les ressources (telles que les imprimantes) et les principes de sécurité (qui incluent les comptes et les groupes d’utilisateurs ou les ordinateurs). Chaque entité de sécurité se voit attribuer un identifiant de sécurité unique (Security Identifier, SID). Un objet représente une entité unique, telle qu’un utilisateur, un ordinateur, une imprimante ou un groupe d’objets, avec ses attributs. Certains éléments peuvent même contenir d’autres éléments à l’intérieur. Chaque objet a un nom unique et sa définition est un ensemble de caractéristiques et d’informations à l’aide d’un schéma qui détermine le stockage dans Active Directory.

Une chose importante à considérer est que chaque objet de schéma fait partie intégrante de la définition des objets Active Directory, les désactiver ou les modifier peut altérer ou interrompre fondamentalement une implémentation. La modification du schéma affecte automatiquement l’ensemble du système et les nouveaux objets ne peuvent pas être supprimés, mais seulement désactivés. Changer le schéma nécessite généralement une bonne planification.

Réplication dans Active Directory

L’infrastructure Active Directory dépend d’une réplication saine. Cela est dû au fait que chaque contrôleur de domaine du réseau doit être à jour sur chaque modification apportée. Lorsque le contrôleur de domaine déclenche une synchronisation, il transmet les données sur le réseau physique à sa destination.

Il existe essentiellement deux types de réplications :

  • Réplication au sein du site : Il fait référence à la réplication qui se produit sur un site. Par défaut, (selon Microsoft) n’importe quel contrôleur de domaine découvrira les mises à jour de l’annuaire dans les 15 secondes. Au sein du site, malgré le nombre de contrôleurs de domaine, toute mise à jour de l’annuaire sera répliquée en moins d’une minute.
    Dans le site, les connexions de réplication fonctionnent dans une topologie en anneau. Ce qui signifie que tout contrôleur de domaine a deux liens de réplication (bien sûr, il y a un minimum de trois contrôleurs de domaine). Cette architecture empêchera les contrôleurs de domaine d’avoir des boucles de réplication sans fin. Par exemple, s’il y a 5 contrôleurs de domaine et qu’ils sont tous connectés les uns aux autres avec une connexion un-à-un, chaque contrôleur de domaine aura 4 connexions, et lorsqu’il y aura une mise à jour sur l’un des contrôleurs de domaine, vous devrez l’annoncer aux 4 contrôleurs de domaine. Cela signifie que, malgré le nombre de contrôleurs de domaine sur le site, un contrôleur de domaine donné n’a besoin d’annoncer ou d’écouter que deux contrôleurs de domaine à un moment donné.

  • Réplication intersites : Si l’infrastructure Active Directory contient plusieurs sites, une modification se produit sur un site qui doit être répliquée sur d’autres sites. C’est ce qu’on appelle la réplication intersite, et sa topologie est différente de la réplication intrasite. La réplication sur site bénéficie toujours de liaisons à haut débit. Mais lorsqu’il s’agit de bande passante intersite, la latence et la fiabilité sont des éléments à prendre en compte.

    Lorsqu’il s’agit de liens intersites, la réplication est effectuée sur des liens annexes : la réplication sur chaque site utilise toujours la topologie en anneau. En prenant la figure ci-dessus comme exemple, supposons qu’un objet ait été ajouté à REBEL-DC-02 sur le site de Londres. Maintenant, en fonction de la topologie, il sera également annoncé dans REBEL-DC-03. Mais en plus d’être un contrôleur de domaine, ce contrôleur de domaine particulier est également un serveur tête de pont. Par conséquent, il est de la responsabilité de ce serveur d’annoncer les mises à jour qu’il a reçues sur le serveur de pont sur le site du Canada, qui est REBEL-DC-04. Une fois la mise à jour reçue, elle sera annoncée aux autres contrôleurs de domaine du site. La réplication intersite doit toujours obéir aux règles qui s’appliquent à la réplication de contrôle. Active Directory Domain Services sélectionne automatiquement le serveur de pont d’un site. Mais si nécessaire, nous pouvons décider de ce qui doit servir de serveur de pont pour le site.

Active Directory (AD)

Introduction à Active Directory

Nous avons mentionné Active Directory à plusieurs reprises, il est donc temps de comprendre de quoi il s’agit. Active Directory (AD) est un service d’annuaire développé par Microsoft pour les réseaux de domaine Windows. Les systèmes d’exploitation Windows Server l’incluent en tant qu’ensemble de processus et de services. À l’origine, seule la gestion centralisée des domaines utilisait Active Directory. Cependant, il est finalement devenu un titre générique pour divers services liés à l’identité basés sur l’annuaire.

Désormais, un contrôleur de domaine est un serveur qui exécute la fonction AD DS (Active Directory Domain Service). Comme mentionné précédemment, AD authentifie et autorise tous les utilisateurs et ordinateurs sur un réseau de type domaine Windows, attribue et applique des stratégies de sécurité pour tous les ordinateurs, et installe ou met à jour des logiciels. Par exemple, si un utilisateur se connecte à un ordinateur faisant partie d’un domaine Windows, Active Directory vérifie le nom d’utilisateur et le mot de passe pour déterminer s’il s’agit d’un administrateur système ou d’un utilisateur non administrateur. Il permet également la gestion et le stockage de l’information, fournit des mécanismes d’authentification et d’autorisation et établit un cadre pour la mise en œuvre d’autres services connexes : services de certification,
servicios de federación de Active Directory et Services de gestion des droits.

Autres services Active Directory

Les services Active Directory se composent de plusieurs services d’annuaire.

  • Les services de domaine Active Directory (AD DS) sont les plus courants et constituent la base de tout réseau de domaine Windows. AD DS stocke des informations sur les membres du domaine, y compris les appareils et les utilisateurs, vérifie leurs identifiants et définit leurs droits d’accès. Le serveur qui exécute ce service est appelé contrôleur de domaine. Un contrôleur de domaine est contacté lorsqu’un utilisateur se connecte à un appareil, accède à un autre appareil via le réseau ou exécute une application métier téléchargée sur une machine.
    D’autres services Active Directory incluent les politiques de groupe, le système de cryptage de fichiers, BitLocker, les services de noms de domaine, les services de bureau à distance, Exchange Server et SharePoint Server.
  • Services de repertoire légers (AD LDS) s’exécute en tant que service sur Windows Server et offre les mêmes fonctionnalités qu’AD DS, y compris une API équivalente. Toutefois, AD LDS ne nécessite pas la création de domaines ni de contrôleurs de domaine. Il fournit un entrepôt de données pour stocker les données de répertoire et un service de répertoire avec une interface de service de répertoire Lightweight Directory Access Protocol (LDAP). Contrairement à AD DS, plusieurs instances AD LDS peuvent fonctionner sur le même serveur.
  • Services de certification Active Directory Certificate Services (AD CS) eétablissent une infrastructure à clé publique locale. Vous pouvez créer, valider, révoquer et effectuer d’autres actions similaires, ainsi que des certificats à clé publique pour les utilisations internes d’une organisation. Ces certificats peuvent être utilisés pour chiffrer des fichiers (lorsqu’ils sont utilisés avec Encrypting File System, EFS), des courriels (selon la norme S/MIME) et du trafic réseau (lorsqu’ils sont utilisés dans des réseaux privés virtuels, le protocole Transport Layer Security ou le protocole IPSec). AD CS nécessite une infrastructure AD DS.
  • Les services de fédération Active Directory (AD FS) sont un service d’authentification unique. Avec une infrastructure AD FS déployée, les utilisateurs peuvent utiliser plusieurs services Web (par exemple, forums Internet, blogs, achats en ligne, messagerie Web) ou ressources réseau en utilisant un seul ensemble d’informations d’identification stockées dans un emplacement central, au lieu d’avoir à demander des informations d’identification pour chaque service. AD FS utilise de nombreux standards ouverts populaires pour transmettre des identifiants token SAML, OAuth ou OpenID Connect. Le but d’AD FS est d’être une extension d’AD DS, permettant aux utilisateurs de s’authentifier et d’utiliser les appareils qui font partie du même réseau à l’aide d’un ensemble d’informations d’identification. AD FS nécessite une infrastructure AD DS.
  • Services de gestion des droits : Active Directory Rights Management Services (AD RMS), anciennement connu sous le nom de Rights Management Services ou RMS avant Windows Server 2008, est un logiciel serveur qui permet la gestion des droits d’information, inclus avec Windows Server. Il utilise le cryptage et le refus sélectif pour restreindre l’accès à divers documents, tels que les courriels d’entreprise, les documents Microsoft Word et les pages Web. Il limite également les opérations que les utilisateurs autorisés peuvent effectuer sur eux, telles que la visualisation, l’édition, la copie, l’enregistrement ou l’impression. Les administrateurs informatiques peuvent créer des modèles prédéfinis pour les utilisateurs finaux pour plus de commodité, mais les utilisateurs finaux peuvent également définir qui peut accéder à certains contenus et quelles actions ils peuvent effectuer.

Structure Active Directory

Active Directory est un service comprenant une base de données et un code exécutable, responsable de la gestion des demandes et de la maintenance de la base de données. L’agent du système d’annuaire (Directory System Agent) est la partie exécutable, en tant qu’ensemble de services et de processus Windows s’exécutant sur Windows 2000 et les versions ultérieures. Les objets dans les bases de données Active Directory sont accessibles via diverses interfaces, telles que LDAP, ADSI, messaging API et services de gestion de compte utilisateur (Security Accounts Manager).

Les structures Active Directory contiennent des informations sur les objets classés en deux catégories : les ressources (telles que les imprimantes) et les principes de sécurité (qui incluent les comptes et les groupes d’utilisateurs ou les ordinateurs). Chaque entité de sécurité se voit attribuer un identifiant de sécurité unique (Security Identifier, SID). Un objet représente une entité unique, telle qu’un utilisateur, un ordinateur, une imprimante ou un groupe d’objets, avec ses attributs. Certains éléments peuvent même contenir d’autres éléments à l’intérieur. Chaque objet a un nom unique et sa définition est un ensemble de caractéristiques et d’informations à l’aide d’un schéma qui détermine le stockage dans Active Directory. Les administrateurs peuvent étendre ou modifier le schéma. Cependant, comme nous l’avons mentionné précédemment, chaque objet de schéma faisant partie intégrante de la définition des objets Active Directory, les désactiver ou les modifier peut altérer ou interrompre fondamentalement une implémentation.

Dans Active Directory, le cadre contenant les objets a différents niveaux : la forêt, l’arbre et le domaine :

  • Les domaines contiennent des objets stockés dans une seule base de données reproductible et la structure de noms DNS identifie leurs domaines (namespace).
  • Un domaine est un groupe logique d’objets réseau, tels que des ordinateurs, des utilisateurs et des périphériques, qui partagent la même base de données Active Directory.
  • Un arbre est une collection de domaines et d’arbres de domaines dans un espace de noms lié dans une hiérarchie de confiance transitive. La forêt est en haut de la structure, où se trouve une collection d’arbres avec un catalogue global standard, un schéma de répertoire, une structure logique et une configuration de répertoire. La forêt est une limite sécurisée qui limite l’accès aux utilisateurs, ordinateurs, groupes et autres objets.

Un autre élément important dans la structure d’AD sont les unités organisationnelles ou unités organisationnelles (OUs), qui se réfèrent au fait que les objets contenus dans un domaine peuvent être regroupés en unités organisationnelles. Ces unités fournissent une hiérarchie à un domaine, facilitent son administration et peuvent ressembler à la structure de l’organisation en termes administratifs ou géographiques.

Microsoft recommande d’utiliser les OUs plutôt que les domaines pour structurer et simplifier la mise en œuvre des politiques et de l’administration – bien que les politiques puissent également s’appliquer aux domaines ou aux sites.

Utilisation de Pandora FMS avec les contrôleurs de domaine

Pandora FMS peut nous aider à gérer notre contrôleur de domaine :

Données pouvant être extraites avec Pandora FMS

Pandora FMS dispose de plugins, de requêtes à distance WMI et de l’agent logiciel avec lesquels nous pouvons extraire des informations de notre serveur pour vous alerter en cas de problème.

Les données que nous pouvons extraire sont les suivantes :

  • Fichiers journaux.
  • Journaux d’accès.
  • Superviser le service du serveur.
  • Obtenir des informations sur les ressources du serveur.

Intégration Active Directory dans Pandora FMS

Pouvons-nous utiliser notre contrôleur de domaine dans Pandora FMS ? La réponse est oui.

Pandora FMS permet d’utiliser l’authentification par AD (Active Directory) qui sont des outils faisant partie de notre contrôleur de domaine.

Avec cette intégration, nous pourrons nous connecter automatiquement à Pandora FMS avec les utilisateurs créés dans notre AD sans avoir à les créer au préalable, ni à leur associer aucun type de profil dans notre console Pandora FMS.

Conclusion

Il est plus que clair qu’il existe des centaines d’appareils sur n’importe quel réseau (imprimantes, PC, LapTops, serveurs, etc.), donc gérer les informations d’identification des utilisateurs et l’authentification de chaque appareil individuellement peut être une tâche titanesque en termes de temps, de coûts et d’efforts. Les contrôleurs de domaine viennent simplifier les tâches du personnel informatique, à partir d’un contrôleur de domaine, vous pouvez gérer les authentifications des autres appareils afin que chaque fois qu’un utilisateur ouvre une session, ses informations d’identification soient vérifiées contre la base de données du répertoire maître.
Bien sûr, la cybercriminalité le sait aussi, et les contrôleurs de domaine sont généralement une cible de cyberattaque. Une cybersécurité suffisamment robuste et constamment mise à jour doit donc être mise en œuvre. Il est également recommandé de travailler à tour de rôle avec des experts en configuration de contrôleurs de domaine pour savoir quelles données extraire (logs, journaux d’accès, services serveur, etc.) et ils peuvent nous aider à identifier les risques potentiels de connectivité ou les éventuelles violations de la sécurité du réseau.

← Retour à Thèmes IT

Parlez à l'équipe de vente, demandez un devis ou posez vos questions sur nos licences

Contactez nous !