Active Directory
Active Directory (AD) est un service d'annuaire développé par Microsoft pour les réseaux de domaines Windows, offrant une gestion centralisée des utilisateurs, des ordinateurs et des ressources.
Microsoft Active Directory (AD) est un service d'annuaire développé par Microsoft pour les réseaux de domaine Windows. C'est un composant fondamental de la plupart des infrastructures informatiques d'entreprise, fournissant une gestion et une organisation centralisées des ressources réseau. AD stocke des informations sur des objets tels que les utilisateurs, les ordinateurs, les groupes, les imprimantes et les applications, et rend ces informations disponibles aux utilisateurs et aux administrateurs. La fonctionnalité principale d'AD tourne autour du concept de domaine, qui est un regroupement logique d'objets réseau. Au sein d'un domaine, AD applique des politiques de sécurité, gère l'authentification et l'autorisation des utilisateurs, et contrôle l'accès aux ressources. Il utilise une structure hiérarchique, généralement organisée en arbres et en forêts, permettant la scalabilité et la gestion de grandes organisations distribuées. Les protocoles clés utilisés par AD incluent LDAP (Lightweight Directory Access Protocol) pour interroger et modifier les informations de l'annuaire, Kerberos pour l'authentification, et DNS (Domain Name System) pour localiser les contrôleurs de domaine et autres ressources réseau. AD Domain Services (AD DS) est le rôle principal qui fournit la base de données de l'annuaire, les services d'authentification et d'autorisation. D'autres services connexes incluent Active Directory Certificate Services (AD CS) pour l'infrastructure à clé publique, Active Directory Federation Services (AD FS) pour l'authentification unique (SSO) entre différentes organisations, et Active Directory Rights Management Services (AD RMS) pour la protection des données. Le principal compromis est la complexité de la configuration et de la maintenance, nécessitant une expertise spécialisée, et les risques de sécurité potentiels s'il n'est pas correctement configuré et géré, tels que les vulnérabilités aux attaques pass-the-hash ou au Kerberoasting.
graph LR
Center["Active Directory"]:::main
Pre_dns["dns"]:::pre --> Center
click Pre_dns "/terms/dns"
Pre_authentication["authentication"]:::pre --> Center
click Pre_authentication "/terms/authentication"
Pre_authorization["authorization"]:::pre --> Center
click Pre_authorization "/terms/authorization"
Rel_ldap["ldap"]:::related -.-> Center
click Rel_ldap "/terms/ldap"
Rel_kerberos["kerberos"]:::related -.-> Center
click Rel_kerberos "/terms/kerberos"
Rel_group_policy["group-policy"]:::related -.-> Center
click Rel_group_policy "/terms/group-policy"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧒 Explique-moi comme si j'avais 5 ans
Active Directory, c'est comme le bureau principal d'une grande entreprise qui garde une trace des badges de tout le monde, de l'emplacement de leurs bureaux et des pièces auxquelles ils sont autorisés à entrer, en s'assurant que seules les bonnes personnes accèdent aux bons endroits.
🤓 Expert Deep Dive
Active Directory Domain Services (AD DS) implémente une base de données distribuée et hiérarchique qui stocke des informations sur les objets au sein d'un réseau, tels que les utilisateurs, les ordinateurs, les groupes et les politiques. Il s'appuie sur le protocole Kerberos (RFC 4120) pour l'authentification et LDAP (Lightweight Directory Access Protocol, RFC 4511) pour interroger et modifier les informations de l'annuaire. AD DS est organisé en domaines, arbres et forêts, formant une structure logique pour la gestion des ressources. Chaque domaine a sa propre frontière de sécurité et contient un ou plusieurs contrôleurs de domaine (DCs) qui répliquent les données de l'annuaire. La réplication peut être unidirectionnelle ou bidirectionnelle, utilisant généralement le modèle de réplication multimaster. Les composants architecturaux clés incluent le fichier NTDS.DIT (une base de données JET Blue), le partage SYSVOL pour les objets de stratégie de groupe (GPO) et les scripts de connexion, et le catalogue global (GC) qui fournit une réplique partielle de tous les objets de la forêt pour une recherche plus rapide entre les limites des domaines. L'authentification implique l'obtention d'un Ticket Granting Ticket (TGT) auprès du service d'authentification (AS) sur un DC, qui est ensuite utilisé pour demander un Service Ticket (ST) pour des ressources spécifiques. L'autorisation est gérée via des listes de contrôle d'accès (ACL) appliquées aux objets, référençant les identificateurs de sécurité (SID) des utilisateurs et des groupes.
ldap
# Exemple de requête LDAP pour trouver un utilisateur
(objectClass=user)(sAMAccountName=johndoe)