La gestion Active Directory comprend un large éventail de tâches, notamment la configuration de vos domaines et forêts, le maintien de l’organisation et de l’intégrité de votre instance AD, la gestion correcte de la stratégie de groupe ainsi que l’assurance de la continuité de l’activité avec un processus de sauvegarde et restauration complet.
Gestion d’Active Directory
Bonnes pratiques pour une gestion réussie de votre instance AD
09:14
Établissement d’une structure AD saine
L’établissement d’une structure AD saine ou le nettoyage de celle dont vous disposez déjà est essentiel pour mener à bien une gestion Active Directory efficace. Elle simplifiera considérablement votre capacité à gérer votre stratégie de groupe, vous aidera à déléguer correctement des autorisations d’administration pour répartir la charge de travail de gestion sans sacrifier la sécurité et rationalisera les tâches courantes, par exemple le provisioning des comptes d’utilisateurs et la création de rapports.
Établissement de domaines
Établissement de domaines
L’unité de base de la gestion AD est le domaine Active Directory, autrement dit un groupe d’utilisateurs, d’ordinateurs, d’imprimantes associés et d’autres objets AD stockés dans une seule et même base de données AD. Comme les domaines doivent être des entités relativement stables, il convient de les configurer de manière réfléchie. Par exemple, vous pouvez disposer d’un domaine pour le bureau de votre société situé à Chicago et d’un autre domaine pour votre bureau de San Francisco. Comme un domaine représente un périmètre de gestion, vos administrateurs de Chicago ne peuvent pas supprimer les utilisateurs de votre domaine San Francisco, et vos administrateurs de San Francisco ne peuvent pas modifier les autorisations des utilisateurs du domaine Chicago.
Création d’unités organisationnelles
Création d’unités organisationnelles
Pour simplifier la gestion AD, regroupez les objets de chaque domaine dans des unités organisationnelles (UO). Les UO reflètent souvent la structure de l’organisation. Par exemple, vous pouvez avoir une UO pour chaque département de votre bureau de Chicago : ventes, marketing, IT, juridique, etc. Certaines UO peuvent être temporaires : vous pouvez créer des UO pour différents projets et les supprimer lorsque les projets correspondants sont terminés. Néanmoins, il est essentiel que ces modifications soient effectuées systématiquement ; autoriser des modifications ad hoc entraîne invariablement une structure AD confuse qui peut être beaucoup plus difficile à comprendre et à gérer.
Définition de votre schéma
Définition de votre schéma
Réfléchissez au schéma de votre base de données. Le schéma contient des définitions formelles de toutes les classes d’objets pouvant être créées et de tous les attributs dont peut être doté un objet AD. Active Directory est fourni avec un schéma par défaut, que vous devrez toutefois probablement adapter afin de répondre à vos besoins métiers spécifiques. Veillez à concevoir votre schéma avec soin pendant la phase de planification, car tout changement ultérieur peut considérablement perturber votre entreprise en raison du rôle central joué par AD dans l’authentification et les autorisations.
Utilisation d’une dénomination standard
Utilisation d’une dénomination standard
Pour tous les niveaux (domaine, UO, schéma), veillez à développer et suivre des pratiques de dénomination normalisées. De cette façon, il est plus facile pour tous, par exemple, de contacter l’utilisateur approprié ou d’identifier une machine dans une salle de conférence particulière. Il est particulièrement important de nommer systématiquement les groupes de sécurité AD afin que vous puissiez provisionner et reprovisionner les utilisateurs facilement et avec précision. Il est judicieux d’ajouter une description claire de l’objet de chaque groupe de sécurité. Cela ne prend que quelques secondes et peut vous aider à éviter de sérieux problèmes ultérieurement.
Surveillance de l’intégrité d’AD
Un environnement informatique est un lieu dynamique ; vous ne pouvez pas simplement configurer votre instance Active Directory et l’oublier, même si vous planifiez parfaitement vos domaines, UO, schémas, etc. Comme les utilisateurs, les ordinateurs, les imprimantes et les autres objets AD vont et viennent, vous avez besoin de procédures de provisioning et de déprovisioning, qui doivent être automatisées autant que possible via des workflows basés sur l’approbation. Vous devez également identifier régulièrement les comptes d’utilisateurs et d’ordinateurs inactifs afin de les nettoyer avant qu’ils ne soient utilisés à mauvais escient.
Plus largement, vous devez également surveiller l’intégrité de vos contrôleurs de domaine ainsi que la réplication des données entre eux en temps réel. Dans le cas contraire, les utilisateurs pourraient très bien connaître des problèmes pour se connecter ou accéder aux ressources dont ils ont besoin pour mener à bien leurs tâches.
Microsoft fournit plusieurs outils de gestion Active Directory, notamment Windows PowerShell, Utilisateurs et ordinateurs Active Directory (ADUC), Utilisateurs et groupes locaux ainsi que le composant logiciel enfichable Schéma Active Directory pour Microsoft Management Console (MMC). Néanmoins, la fonctionnalité des outils natifs est limitée ; il est au mieux délicat de passer d’un outil à l’autre, et les tâches sont souvent manuelles, chronophages et sujettes aux erreurs.
Suivi étroit des comptes de service
Suivi étroit des comptes de service
Les scripts et les applications ont souvent besoin de plus de droits d’accès qu’un compte d’utilisateur standard. Néanmoins, vous ne devez pas utiliser un compte administratif qui octroie souvent aux applications plus d’accès qu’il n’en faut, augmentant ainsi les risques de compromission de votre compte d’administrateur. La bonne pratique consiste plutôt à créer un compte de service pour chaque application et à octroyer à ce compte uniquement les autorisations nécessaires, requises par le privilège minimal.
Toutefois, veillez à ne pas oublier ces comptes. Comme les comptes de service ont accès aux ressources importantes de votre environnement informatique, il est essentiel de suivre l’activité de chacun de ces comptes. Recherchez proactivement toute activité inhabituelle ou injustifiée, qui pourrait être le signe que le compte a été compromis et qu’il est utilisé de façon incorrecte.
Gestion des stratégies de groupe
Gestion des stratégies de groupe
Un des autres aspects essentiels de la gestion Active Directory est l’administration des stratégiesde groupe. Une stratégie de groupe est un ensemble de stratégies, appelées objets de stratégie de groupe (GPO), qui peuvent être appliquées à tout un domaine ou uniquement certaines UO. Par exemple, vous pouvez utiliser une stratégie de groupe pour imposer à tous les utilisateurs de votre domaine Chicago d’utiliser des mots de passe complexes ou interdire l’utilisation des supports amovibles sur tous les ordinateurs uniquement dans l’UO Finance du domaine Chicago. Microsoft propose des centaines d’objets GPO que vous pouvez configurer.
Une stratégie de groupe est extrêmement puissante. Il est donc essentiel de la configurer correctement et de gérer avec précaution les modifications qui lui sont apportées. Une seule modification inappropriée apportée à un objet GPO peut entraîner un arrêt de service ou une violation de sécurité. Malheureusement, les outils natifs ne permettent pas de garder facilement le contrôle d’une stratégie de groupe.
- Désactivation de la création de fichiers PST
- Ajout de sites fréquemment utilisés aux navigateurs des utilisateurs
- Mappage des lecteurs réseau utiles
- Définition de valeurs de registre personnalisées sur tous les ordinateurs
- Déploiement de systèmes d’exploitation standard et d’autres logiciels sur toutes les machines Windows Server et d’autres ordinateurs
- Exécution de certains scripts au démarrage ou à l’arrêt de l’ordinateur ou lors de la connexion ou déconnexion de l’utilisateur
Mise en œuvre du contrôle des modifications
Mise en œuvre du contrôle des modifications
Toute modification inappropriée apportée à Active Directory ou à une stratégie de groupe, de manière délibérée ou accidentelle, peut perturber les services essentiels et bloquer l’accès des utilisateurs légitimes aux ressources, ce qui nuit aux opérations métiers. Pour éviter tout problème, veillez à planifier, documenter et tester toutes les modifications, et soyez assuré de pouvoir annuler les modifications qui provoquent des problèmes inattendus.
En outre, il est indispensable de pouvoir empêcher d’apporter des modifications à vos objets AD les plus importants, notamment les groupes de sécurité d’administration puissants et les objets GPO cruciaux. Les solutions Change Auditor et GPOADmin de Quest rationalisent le contrôle des modifications pour renforcer la gestion Active Directory.
Assurance de la continuité de l’activité
Enfin et surtout, une gestion Active Directory appropriée garantit la continuité de l’activité. Cela est possible grâce aux processus fiables de sauvegarde et restauration et grâce à l’automatisation des tâches AD répétitives.
Sauvegarde et restauration
Sauvegarde et restauration
Pour assurer la continuité de la productivité et de l’activité, vous devez sauvegarder régulièrement votre instance AD et être en mesure de reprendre l’activité suite à un incident ou à un désastre au niveau des objets et des attributs, de l’annuaire et du système d’exploitation dans l’ensemble de la forêt. Même si la Corbeille AD permet de restaurer rapidement certains objets récemment supprimés, elle n’est pas (et n’a jamais été conçue pour être) une solution de sauvegarde et de restauration d’entreprise.
L’intérêt de disposer de sauvegardes complètes et fiables d’Active Directory est illustré avec à-propos par le cas du géant international du transport maritime Maersk, qui a été victime de l’attaque NotPetya en 2017. Quelques heures après la diffusion du logiciel malveillant dans son réseau, Maersk était effectivement paralysé. C’est pratiquement l’ensemble de ses 150 contrôleurs de domaine du monde entier qui étaient hors service, et la société ne possédait pas une seule sauvegarde d’Active Directory à utiliser pour restaurer les opérations. Heureusement pour la société, un contrôleur de domaine au Ghana était hors ligne lorsque le logiciel malveillant a frappé, ce qui implique que ses données étaient toujours intactes. Toutefois, la bande passante du bureau ghanéen était si lente que le téléchargement des données depuis le contrôleur de domaine aurait pris des jours, et personne ne possédait de visa britannique. L’équipe de restauration a donc dû entreprendre une sorte de course de relais impliquant des vols de plusieurs heures pour apporter la précieuse machine au siège de la société au Royaume-Uni. L’entreprise a finalement pu utiliser cette machine pour recréer les autres contrôleurs de domaine.
Automatisation des tâches AD
Automatisation des tâches AD
De nombreuses tâches de gestion Active Directory sont assez fastidieuses et chronophages, ce qui augmente le risque qu’elles soient remises à plus tard ou effectuées de manière incorrecte. L’automatisation peut réduire la charge de travail informatique tout en éliminant les erreurs humaines et en garantissant l’exécution en temps voulu des tâches importantes, mais routinières. Par exemple, toutes les tâches suivantes représentent de parfaits exemples requérant un certain niveau d’automatisation :
- Création, modification et suppression de comptes d’utilisateurs
- Provisioning et mise hors service des ordinateurs
- Déploiement et correctifs de logiciels
- Inventaire
- Création de rapports
- Nettoyage d’annuaires
Où obtenir plus d’informations sur Active Directory ?
Active Directory joue un rôle central dans la réussite de toute entreprise moderne. Consultez ces pages d’aide pour découvrir les bonnes pratiques dans les domaines les plus stratégiques d’Active Directory :
Quiz en 7 questions : quelle est la qualité de votre solution de sauvegarde et de restauration AD ?
Blogs
The anatomy of Active Directory attacks
Learn the most common Active Directory attacks, how they unfold and what steps organizations can take to mitigate their risk.
8 ways to secure your Active Directory environment
Taking the right steps to secure your Active Directory has never been more critical. Learn 8 Active Directory security best practices to reduce your risk.
Active Directory forest: What it is and best practices for managing it
Active Directory forest is a critical — but often underappreciated — element of the IT infrastructure. Learn what it is and how to manage it.
Active Directory disaster recovery: Creating an airtight strategy
Businesses cannot operate without Active Directory up and running. Learn why and how to develop a comprehensive Active Directory disaster recovery strategy.
5 Active Directory migration best practices
Active Directory delivers key authentication services so it’s critical for migrations to go smoothly. Learn 5 Active Directory migration best practices.
Active Directory security groups: What they are and how they improve security
Active Directory security groups play a critical role in controlling access to your vital systems and data. Learn how they work.
Lancez-vous maintenant
Votre fournisseur de référence pour la gestion Active Directory.