====== Microsoft Active Directory ====== ===== Introduction ===== Active Directory est un système d'annuaire LDAP développé par Microsoft. Il permet de centraliser les ressources d'un domaine (comptes d'utilisateurs, groupes d'utilisateurs, postes, partages de fichiers...), de les mettre à disposition des utilisateurs et de gérer l'authentification à différents services tels que des partages SMB, des postes de travail, ou des applications. ===== Fonctionnement de l'Active Directory ===== Active Directory régit sur une forêt. Une forêt est un ensemble de domaines. Un domaine est un espace de noms DNS associé à une organisation, ou à un ensemble de services. Une structure Active Directory (AD) est une organisation hiérarchisée d'objets. Il existe 3 types d'objets : * Les ressources (ordinateurs, imprimantes, partages de fichiers...) * Les services (messagerie éléctronique...) * Les utilisateurs (comptes et groupes d'utilisateurs) Des conteneurs nommés "Unités d'organisation" permettent le classement des objets d'un domaine de façon hiérarchique, à la manière des répertoires dans un système de fichiers. ==== Architecture ==== Dans un domaine Active Directory, certaines fonctions fondamentales sont assurées par des rôles spécifiques appelés FSMO. Ces rôles sont uniques à tout domaine et peuvent être dispatchés sur différents contrôleurs de domaine qui peuvent alors être Maîtres d'opération sur un ou plusieurs rôles. Ils sont au nombre de 5, d'après wikipédia : {{::2020-07-24_17_32_27-window.png?1037|}} Afin de tolérer la panne d'un contrôleur de domaine, l'annuaire LDAP peut être répliqué sur des serveurs secondaires en lecture/écriture ou bien en lecture seule (RODC). ===== Active Directory Domain Services ===== [[configuration_active_directory|Mise en place d'un contrôleur de domaine Active Directory]] ==== Gestion du domaine ==== [[fsmo|Promouvoir un contrôleur de domaine secondaire en principal / Modifier les rôles FSMO]] [[https://blog.netwrix.fr/2018/08/01/comment-creer-supprimer-renommer-desactiver-et-associer-des-ordinateurs-dans-ad-a-laide-de-powershell/|Renommer un ordinateur membre d'un domaine AD]] ==== Sécurisation d'Active Directory ==== [[https://github.com/LoicVeirman/Hello-My-Dir|Hello My Dir! : script de configuration de l'Active Directory avec les bonnes pratiques de sécurité]] [[https://rdr-it.com/active-directory-changer-mot-de-passe-krbtgt/|Changer le mot de passe du compte Kerberos (KrbTgt)]] [[https://rdr-it.com/laps-securisation-comptes-administrateur-local-installation-configuration/|Autogestion des comptes administrateur locaux des clients d'un domaine avec LAPS]] [[https://www.it-connect.fr/restreindre-lajout-de-machines-au-domaine/|Empêcher les utilisateurs non-administrateurs d’ajouter des machines à l’Active Directory]] [[https://www.it-connect.fr/comment-auditer-lactive-directory-avec-pingcastle/|Auditer la sécurité de son domaine Active Directory avec PingCastle]] ===== Active Directory Federation Services ===== Active Directory Federation Services permet de mettre en place un système d'authentification unique (SSO) basé sur les comptes de l'annuaire Active Directory, afin de pouvoir se connecter à plusieurs services à l'aide d'un seul compte LDAP. [[https://www.supinfo.com/articles/single/3274-mise-place-serveur-ad-fs|Configurer un serveur AD FS]] ===== Divers ===== [[https://www.numelion.com/windows-2003-creer-un-profil-itinerant-pour-un-utilisateur-dans-active-directory.html|Créer un profil itinérant pour un utilisateur ActiveDirectory (Windows server 2003)]] [[https://wiki.mdekoninck.fr/doku.php?id=scripting#active_directory|[Scripting] Automatisation de tâches via le module Active Directory de PowerShell]] [[Autologin_windows_ad|Activer l'ouverture de session automatique sous Windows]] [[https://github.com/mdekoninck28/ActiveDirectoBot|Script d'ajout automatique d'utilisateur à partir d'un fichier CSV (par moi-même)]]