Blog ENI : Toute la veille numérique !
💥 Un livre PAPIER acheté
= La version EN LIGNE offerte pendant 1 an !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici

La gestion de la sécurité

Introduction

Le thème de la sécurité dans une infrastructure Active Directory est un sujet extrêmement vaste demandant un ouvrage entièrement dédié. Il se trouve que les notions englobées par le thème de la sécurité sont très nombreuses, voire très pointues pour certaines d’entre elles. Active Directory est en effet une entité de sécurité à part entière regroupant d’autres entités de sécurité que sont notamment les comptes d’utilisateurs ou d’ordinateurs, les stratégies de groupe ou les unités d’organisations, etc.

Ce qu’il faut mettre en évidence est que la question de la sécurité en lien avec un écosystème Active Directory doit être pensée en amont, et non pas en aval, c’est-à-dire finalement au moment de la mise en place de l’architecture de l’Active Directory. Si les phases d’architecture et d’organisation de la sécurité d’un point de vue global sont pensées de manière tout à fait parallèle, alors il y a de fortes chances pour qu’une organisation Active Directory dans son ensemble fonctionne correctement. Mais si, au contraire, ces deux phases ne sont pas structurées en parallèle, alors il y aura sûrement...

Activer un compte d’utilisateur

Pour des raisons diverses et variées, un compte d’utilisateur Active Directory peut être désactivé : ces raisons vont de l’absence d’une personne pendant un laps de temps déterminé à de simples doutes sur la diffusion d’informations au sujet d’un compte d’utilisateur. Tout cela pourrait amener, par simples mesures préventives, à la désactivation d’un compte d’utilisateur Active Directory ou à sa réinitialisation, si nécessaire. Donc, qu’il s’agisse d’une désactivation planifiée ou urgente d’un compte d’utilisateur, celle-ci entraînera souvent un processus de réactivation ultérieur.

1. La cmdlet Enable-ADAccount

Le module Active Directory PowerShell propose une commande très efficace dans le cas d’opérations consistant à activer un compte d’utilisateur Active Directory : Enable-ADAccount. Le principe de la commande Enable-ADAccount est très simple parce qu’il vise à activer les types de comptes Active Directory suivants :

  • Les comptes d’utilisateurs ;

  • Les comptes d’ordinateurs ;

  • Les comptes de services.

Enable-ADAccount est par conséquent l’outil dont nous aurons besoin dans le cadre de l’activation de comptes d’utilisateur Active Directory...

Rechercher les comptes d’utilisateur désactivés au sein d’un domaine

Dans le but de réaliser des rapports incluant des données issues d’une infrastructure Active Directory, il est souvent demandé de recenser, à l’échelle d’un domaine ou d’une forêt, les comptes d’utilisateurs « désactivés ». Ce type d’information est important pour les administrateurs d’une organisation Active Directory dans la mesure où ils auront ainsi une meilleure connaissance de l’état des comptes d’utilisateurs dans leur environnement.

1. Utiliser la cmdlet Get-ADUser pour trouver des comptes d’utilisateurs désactivés

Il est évident que, dans un domaine donné, et surtout si celui-ci contient des millions d’objets, la recherche d’informations ayant trait à des caractéristiques spécifiques d’objets particuliers peut devenir difficile lorsqu’elle est effectuée manuellement. C’est là une chose que tous les administrateurs Active Directory savent bien. Un travail de recherche dans une infrastructure Active Directory peut vite requérir beaucoup de temps si les outils utilisés pour cela passent par des interfaces graphiques de type console MMC avec la souris. Et même si nous pouvions rappeler l’existence des requêtes LDAP via une console MMC pour réaliser des recherches, il n’en resterait pas moins vrai qu’il s’agirait là de recherches isolées utilisant une interface graphique....

Lister les groupes auxquels appartient un compte d’utilisateur

Un compte d’utilisateur Active Directory est, nous le savons bien, un type d’objet ayant de multiples connexions avec d’autres objets Active Directory. Parmi ceux-ci se trouvent des objets représentant des groupes Active Directory, objets que nous avons étudiés dans un précédent chapitre. Du point de vue de la gestion de la sécurité d’une organisation Active Directory, faire une corrélation entre un compte d’utilisateur et les groupes auxquels ce dernier appartient est une démarche incontournable pour comprendre la portée effective que celui-ci peut avoir au sein de l’Active Directory.

1. La cmdlet Get-ADPrincipalGroupMembership

La commande Get-ADPrincipalGroupMembership est la commande clé pour lister à l’aide de Windows PowerShell les groupes ayant pour membre un compte d’utilisateur donné. En effet, elle nous évitera de mener une investigation plus longue, et ce en interrogeant directement un catalogue global contenant les informations d’appartenance d’un compte d’utilisateur à un ou plusieurs groupes Active Directory. Ses principaux paramètres sont peu nombreux :

Le paramètre -Credential

Ce paramètre spécifie un compte d’utilisateur alternatif pour effectuer une recherche de groupes Active Directory.

Le paramètre -Identity

Ce paramètre spécifie un nom d’objet correspondant, notamment, à un compte d’utilisateur Active Directory.

Le paramètre -Partition

Ce paramètre spécifie un nom unique...

Obtenir l’ACL d’une unité d’organisation

Dans l’écosystème fourni par Active Directory, une majorité d’objets, et nous l’avons déjà mentionné à plusieurs reprises, est liée à la dimension d’entité de sécurité, c’est-à-dire qu’un modèle de sécurité ou de permissions va être associé à des objets Active Directory dans la perspective d’assigner des autorisations ou des restrictions. En effet, si nous prenons l’exemple d’un objet Active Directory représentant une unité d’organisation, nous pouvons constater le fait que des listes de contrôle d’accès (ou Access Control Lists) lui sont affectées.

Une liste de contrôle d’accès n’est rien d’autre qu’un ensemble d’entrées de contrôle d’accès (ou Access Control Entries) définissant notamment des autorisations ou des restrictions en lien avec des utilisateurs et des groupes Active Directory, mais aussi des entrées pour le système d’audit des objets en question. En réalité, il s’agit là d’une définition très résumée de cette dimension qui demanderait un chapitre à elle seule, mais, dans le cadre de cette section, savoir qu’il existe un modèle de permissions relié à une majorité d’objets Active Directory nous suffira pour la suite.

1. La cmdlet Get-Acl

Get-Acl est une commande extrêmement intéressante parce qu’elle rend possible l’obtention d’objets représentant des descripteurs de sécurité (Security Descriptor). Un descripteur de sécurité est un objet contenant les listes de contrôle d’accès correspondant à un objet Active Directory donné. Aussi, si un administrateur Active Directory peut modifier le modèle de permissions associé à un objet Active Directory, c’est grâce au descripteur de sécurité assigné à cet objet. Sans ce descripteur de sécurité, il est tout simplement impossible de modifier le modèle de permissions associé à un objet Active Directory.

Le paramètre...

Déléguer l’administration d’une unité d’organisation à un compte d’utilisateur

Décentraliser l’administration des objets d’une infrastructure Active Directory doit faire suite à l’établissement d’une stratégie bien définie. Du point de vue de la gestion de la sécurité, la décentralisation de l’administration, au sens de sa délégation, est une approche qui tend à limiter les failles de sécurité. La délégation de l’administration d’un objet Active Directory est un moyen de répartir l’administration d’une organisation Active Directory en tant que processus global. C’est, autrement dit, un choix stratégique sur lequel les administrateurs Active Directory doivent se pencher dès le début du cycle de vie d’une infrastructure Active Directory.

1. La cmdlet Set-ADOrganizationalUnit

Une unité d’organisation Active Directory est un objet dont la structure reflète évidemment la sémantique qui lui est assignée. Et à ce titre, les propriétés qui sont propres à une unité d’organisation sont aussi les moyens de changer son comportement dans l’écosystème où elle se situe. Donc, par extension, la modification d’état de ces propriétés...