SlideShare una empresa de Scribd logo

Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration

Descargar como PPTX, PDF
Microsoft Technet France
Microsoft Technet France

Les recommandations ont changé depuis Windows 2000 avec l’apport de nouvelles fonctionnalités et la nécessité de répondre à de nouvelles contraintes : • Les choix d’architecture en fonction de la stratégie de l’entreprise et de son secteur d’activité • Placement, déploiement et consolidation des Contrôleurs de Domaine, apports du RODC et de Windows Server Core Edition • Virtualisation : les précautions à prendre • Réseau : DNS, IPV6, IPSEC • Monitoring, traçabilité, protection des données et des services sur lesquels l’annuaire s’appuie • Pourquoi et comment il faut vraiment sécuriser votre annuaire Active Directory • Délégation d’administration et sécurisation des comptes privilégiés, les nouvelles approches • Prestations d’audit du Support Microsoft : ADRAP, ADSA, … et plans de remédiation • Solutions d’interopérabilité : forest trusts, ADFS • Nouvelles solutions d’administration (PowerShell, nouvelle console, …) • Importance des process d’administration autour d’Active Directory • Sauvegarde et DRP Cette session sera l'occasion de faire un état des lieux et de passer en revue ces différentes evolutions et leurs impacts

Tecnología
1 de 43
palais des congrès Paris 7, 8 et 9 février 2012
Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration 7 février 2012 Renaud Depagne Microsoft Consulting Services
Introduction
Historique d’Active Directory
Active Directory : à quoi ça sert ? Rôle d’Active Directory Lieu central de stockage d’information d’identité et d’authentification Apporte l’authentification unique (SSO) aux utilisateurs dans le monde Microsoft Gère l’accès aux ressources (groupes de sécurité) Permet la gestion centralisée (GPO) des paramètres de configuration et de sécurité des utilisateurs et postes Supporte des applications basées sur l’annuaire (Exchange, …) Avantages A trouvé sa place comme annuaire technique (ne remplace pas un annuaire Ldap type annuaire du personnel) Pérenne : 99%+ des entreprises ont AD Robuste
(Re)structurer AD : le business Culture centralisée ou non du pays où se trouve la direction générale du groupe Aspect politique : exemple, participation d’un Etat dans le capital de telle entité appartenant au groupe Secteur d’activité : niveau de croissance externe passée et prévisible Stratégie business : différences de besoin de changement entre les différents métiers d’un grand groupe Stratégie financière : chaque branche a sa propre forêt pour s’en séparer plus facilement
(Re)structurer AD : la sécurité (1) La frontière de sécurité est la forêt La forêt est la véritable frontière de sécurité, donc il faut autant de forêts que d’ensembles de confiance : plusieurs équipes d’administration Contraintes légales ou réglementaires Les pratiques de sécurité doivent être au même niveau (le plus élevé) dans les différents domaines d’une même forêt Plus le périmètre couvert par une seule forêt est important, plus la sécurité devient cruciale : par exemple, le temps de remise en route de la forêt en cas d’accident est crucial Forêt dédiée pour les administrateurs pour les grandes entreprises particulièrement sensibles
(Re)structurer AD : la sécurité (2) Il peut exister des contraintes fortes de protection de données (volonté, lois, …) L’administrateur d’un domaine peut se rendre administrateur de l’entreprise et avoir accès aux données de serveurs membres d’autres domaines Solutions : Encrypter les données avec un mécanisme indépendant d’AD Isoler les serveurs sensibles et les postes par IPSec Utiliser RMS (Rights Management Services) pour l’accès aux documents (messages, …) Mettre les serveurs dans une forêt séparée
(Re)structurer AD : les coûts Forêt Le moins de forêts possibles (une à trois par exemple) Forêt de ressources (ex.: Exchange) / forêt de comptes Domaines Plus besoin de domaines pour avoir des stratégies de mot de passe différenciées depuis Windows Server 2008 Le domaine a un impact sur le DNS Déplacer des utilisateurs est nettement plus simple avec des OUs Consolidation des DCs Coûts (matériel, logiciel, opérations)
Nom de domaine Recommandation de prendre un sous-domaine du nom enregistré sur Internet (ex.: interne.contoso.com) : Garantit l’unicité de nom en cas de fusion avec une autre société pour la mise en place de relation d’approbation Nom FQDN unique sur Internet : facilite la mise en place de Direct Access Pour acquérir un certificat auprès d’un tiers, il faut être propriétaire du nom de domaine Ne pas utiliser de nom avec un seul label (ex.: contoso) Avec Windows Server 2008 : avertissement à la création Windows Server 2008 R2 refuse dcpromo avec un seul label Problèmes possibles avec des applications
AD et les mouvements d’entreprise Acquisition d’une société ou consolidation d’activité : Les actifs entrant dans le cœur de métier rejoignent la forêt principale Les actifs non-stratégiques peuvent rester dans leur propre forêt Vente d’une entité ou externalisation d’activité Si forêt dédiée, il suffit de couper les trusts Sinon, suivant le contrat, migration nécessaire ou bien export des données de l’AD Ne pas cloner les DCs (les SIDs doivent rester uniques)
Autres points à considérer Les limites d’Active Directory : Peu de limites à considérer car elle sont très élevées : http://technet.microsoft.com/en-us/library/active-directory-maximum-limits- scalability(WS.10).aspx Néanmoins : Le nom FQDN ne doit pas dépasser 64 caractères … Forêts hors-production Test, validation, pré-production Gestion de ces environnements Construction : Ne pas cloner Exporter : CreateXMLFromEnvironment.wsf et CreateEnvironmentFromXML.wsf http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=1453 6 Recréer
RODC pour les sites non-sécurisés : agences, … Pas de réplication depuis un RODC Seuls des mots de passe de comptes (machines et utilisateurs) identifiés/autorisés sont stockés sur RODC Ajout d’autres rôles possibles L’administrateur du RODC n’est pas Domain Admin Option : BitLocker pour encrypter les données (logique puisque le RODC est dans un endroit non sécurisé)
DC sur Windows Server Core Avantages : Réduit la surface d’attaque Demande moins d’espace disque lors de l’installation Surtout : moins de patches à appliquer (environ 50%) et moins de reboots Idéal pour pour DC + DNS Inconvénient : Plus complexe à l’installation (les administrateurs Windows ne sont pas habitués) mais : Bien documenté PowerShell http://coreconfig.codeplex.com Exemple de scénario : RODC + BitLocker + Core La réduction du nombre de reboots dûs à des correctifs face à la nécessité d’entrer le code BitLocker
Réduction du nombre des DCs Permise surtout par l’évolution des réseaux Reste des cas justifiant des DCs distants (certains pays) Pourquoi réduire le nombre de DCs : Réduction des coûts Agilité de l’entreprise Facilité à reconstruire la forêt en cas de nécessité
Virtualisation Les DCs peuvent être virtualisés, mais c’est souvent le rôle auquel on pense en dernier, sauf pour les DCs d’agences Documentation technique sur http://support.microsoft.com/kb/888794 Points de vigilance : Les snapshots sont absolument interdits : utiliser les pass-through disks Bien distinguer les rôles de l’administrateur des serveurs virtuels par rapport aux administrateurs AD Garder un DC physique
IP V6 (1) Ne concerne pas que les DCs Règle Common Engineering Criteria : IP V6 activé Les produits Microsoft ne sont pas testés avec IP V6 désactivé Désactiver IP V6 reste supporté mais déconseillé Recommandation : laisser IP V6, mais prioriser IP V4 Configuration (rebooter) : http://support.microsoft.com/kb/929852/en-us HKLMSystemCurrentControlSetServicesTcpip6Param eters
IP V6 (2) Quelques effets de la désactivation d’IPV6 sur AD : Erreur lors du DCPROMO (problème RPC, erreur de connexion, échec de réplication initialE d’une base NTDS.DIT de taille importante) Erreur sur des requêtes LDAP via UDP (ex utilisation de portquery http://support.microsoft.com/default.aspx?scid=kb;EN- US;816103 Problème de réplications dans une forêt contenant un mix de DC 2003 et 2008 Dans certain cas de figure, la désactivation de IPV6 fait que le DC n’écoute plus en IPV4 sur le port 389 (ldap)
Sécurité
Pourquoi il est vital de sécuriser AD 2010-2011: attaques ciblées sur les entreprises exerçant dans des domaines sensibles Attaques de type DHA (Determined Human Adversaries) encore appelées APT (Advanced Persistent Threats) Impact important pour les entreprises affectées Sécuriser Active Directory devient crucial pour les entreprises La sécurisation pour être efficace, doit intégrer les meilleures pratiques en administration
Délégation d’administration (1) Organiser la délégation d’administration selon les principes de moindre privilège Séparer les comptes d’administration du service AD et ceux du contenu d’AD L’importance des privilèges doit être inversement proportionnelle au périmètre d’intervention Réduire les comptes privilégiés au strict minimum Les groupes privilégiés sont tous critiques (pas seulement Enterprise Admins et Domain Admins) Les comptes privilégiés sont nominatifs et différents des comptes utilisés pour le travail standard (chaque compte devant être rigoureusement utilisé pour son rôle)
Délégation d’administration (2) « Best Practices for Delegating Active Directory Administration » est toujours la référence (date de 2003) http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=2167 8 Et appendices : http://www.microsoft.com/download/en/search.aspx?q=Best%20Practices%20 for%20Delegating%20Active%20Directory%20Administration%3A%20Append ices Demande un travail important Ne garantit pas la protection contre un attaquant
Recommandations (1) Les postes des DA sont dans une OU dédiée Les comptes Domain Admins ne doivent pas s’authentifier sur les serveurs et postes standards, mais seulement sur quelques machines dédiées Pas d’utilisation d’Internet sur ces machines GPO pour interdire le logon aux DA sur les machines autres que celles qui leur sont dédiées Mots de passe différents pour chaque compte administrateur local de serveur ou poste
Recommandations (2) Compartimentaliser par ensemble de criticité : Isoler les serveurs membres critiques (Exchange, …) dans une OU avec des comptes administrateurs dédié Les utilisateurs ne doivent pas être administrateurs de leur poste Avancer sur une démarche RBAC (Rôle Based Access Control) Gestion du cycle de vie des comptes, Provisioning/Deprovisioning : FIM (Forefront Identity Manager) Rendre faciles les bonnes pratiques et difficiles les mauvaises
Recommandations (3) Patcher les DCs et tous les serveurs et postes le plus tôt possible (se protéger contre les exploits zero-day) Patcher hors Microsoft (applications, autres systèmes, …) : Aberdeen: Microsoft-only vulnerability management initiatives cover only 10-20% of enterprise risk Gartner: Over 90% of attacks exploit known security vulnerabilities for which fixes are available Eliminer les systèmes anciens Compartimentaliser par niveau de criticité dans des OUs : Serveurs critiques (Exchange, …), moins critiques, … Mots de passe différents pour chaque compte administrateur local de serveur ou poste
Monitoring et traçabilité Difficile de repérer une attaque DHA, mais possible Les comptes privilégiés d’AD sont un moyen pour atteindre les données sensibles Les comptes VIP sont aussi visés car ils ont accès aux données vitales Il faut pouvoir déterminer qui a fait quoi sur quel objet à quel moment Surveillance particulière des comptes ou objets sensibles (qui s’authentifie) Il faut monitorer les DCs, mais aussi les serveurs et les postes (notamment l’authentification)
Administration des DCs Les administrateurs AD depuis leur station d’administration passent par un serveur de rebond :
Forêt d’administration (1) Pour les grandes entreprises les plus sensibles Créer une nouvelle forêt avec seulement les comptes d’administration Relation d’approbation de forêt unidirectionnelle avec authentification sélective Les administrateurs gèrent de manière autonome leur forêt (supervision, gestion des correctifs, …) Les comptes DA de la forêt de production ne sont plus utilisés
Forêt d’administration (2) Relation d’approbation Authentification sélective Forêt d’administration
Introduction à ADSA-R
Vue d’ensemble d’ADSA-R Active Directory Service Security Assessment and Remediation : Processus d’évaluation et de remédiation de la sécurité de votre référentiel d’identités Active Directory couvrant aussi bien son infrastructure technique que ses opérations de gestion PFE + Itops + MCS Itops + MCS + VOUS Principales activités 1. Découverte de votre environnement Active Directory et évaluation de sa sécurité sous un angle technique et opérationnel 2. Définition du plan de remédiation au regard des résultats de l’évaluation de la sécurité 3. Mise en œuvre du plan de remédiation en fonction de vos priorités
ADSA-R : Périmètre PFE + Itops + MCS Workshops de découverte de l’environnement en présence du responsable sécurité et des responsables informatiques. Compréhension et analyse des processus organisationnels liés à la gestion de vos Active Directory Analyse, identification des remédiations immédiates et futures Construction d’un plan de remédiation Workshop de restitution : vue technique Workshop de restitution vue « responsable informatique » Itops + MCS + VOUS Mise en œuvre du plan de remédiation (pour les projets retenus)
Managed Service Accounts Nouveau type de compte de domaine (msDS- ManagedServiceAccount) pour remplacer les comptes de service traditionnels : Mot de passe de 240 caractères généré automatiquement Changement de mot de passe automatique (30 jours par défaut) Gestion des SPN simplifiés (si niveau fonctionnel de domaine = Windows Server 2008 R2) Attaché à un serveur Nest pas soumis à la politique de mot de passe du domaine, ou granulaire (fine-grained password policy) Ne peut pas être bloqué, ni utilisé pour une authentification interactive Dans CN=Managed Service Accounts, DC=, DC= Gestion avec PowerShell
Récupération après sinistre (DRP) Nécessité de disposer de procédures de reconstruction de la forêt Active Directory : Partir du guide Microsoft (MAJ septembre 2011) sur http://www.microsoft.com/download/en/details.aspx?id= 16506 pour réaliser une procédure de reconstruction adaptée au contexte de l’entreprise Mettre à jour cette procédure si besoin La dérouler au moins une fois par an en pré-production Sites avec réplication différée : Peuvent rendre service pour restaurer des objets Mais effets de bord possibles Pas supporté comme procédure de récupération d’Active Directory A garder si vous les utilisez, sinon ne pas chercher à le faire
Prévention Tenir à jour un inventaire centralisé et accessible des dépendances des applications et serveurs vis- à-vis de l’infra AD : Extensions de schema Comptes utilisateurs Comptes de service Permissions, flux Chaque application doit avoir un responsable métier en plus du responsable informatique
AD-RAP : définition Prestation d’audit d’une forêt : 850 contrôles Réalisée par un PFE (Premier Field Engineer) Microsoft habilité (10 en France) Actuellement réservé aux clients ayant un contrat de support Microsoft Premier Nécessite de pouvoir accéder à tous les DCs Rapport d’audit Plan de remédiation à mettre en œuvre Outil laissé à libre usage durant 18 mois pour le lancement des tests et indéfiniment pour consultation
AD-RAP : Le top ten des anomalies
AD-RAP : autres anomalies Lingering objects Réplication AD ou/et SYSVOL Journal Wrap FRS Inconsistance des enregistrement DNS ou mauvaise adresse IP d’un DNS ou Forwarder Pas de Backup du System State …
Les points à retenir Design Faire simple, mais prendre en compte les recommandations pour définir la structure AD répondant le mieux aux besoins de l’entreprise avec son contexte et ses besoins Sécurité Devient la préoccupation majeure Technique + conduire des opérations Audit de sécurité AD : ADSA-R, … Administration Importance des procédures de DRP Audit technique AD : ADRAP
Merci rdepagne@microsoft.com http://blogs.technet.com/rdepagne http://www.mstechdays.fr

Recomendados

cours Lunix
cours Lunixcours Lunix
cours Lunixsalmenloukil
 
CLUSTERING ET HAUTE DISPONIBILITE
CLUSTERING ET HAUTE DISPONIBILITECLUSTERING ET HAUTE DISPONIBILITE
CLUSTERING ET HAUTE DISPONIBILITEAbasse KPEGOUNI
 
Administration Reseau
Administration ReseauAdministration Reseau
Administration Reseaudenischef1
 
Linux Performance Analysis and Tools
Linux Performance Analysis and ToolsLinux Performance Analysis and Tools
Linux Performance Analysis and ToolsBrendan Gregg
 
Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...
Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...
Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...Alphorm
 
La virtualisation
La virtualisationLa virtualisation
La virtualisationJuvénal CHOKOGOUE
 
Active directory
Active directoryActive directory
Active directorykamar MEDDAH
 
alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5Alphorm
 

Recomendados

cours Lunix
cours Lunixcours Lunix
cours Lunixsalmenloukil
 
CLUSTERING ET HAUTE DISPONIBILITE
CLUSTERING ET HAUTE DISPONIBILITECLUSTERING ET HAUTE DISPONIBILITE
CLUSTERING ET HAUTE DISPONIBILITEAbasse KPEGOUNI
 
Administration Reseau
Administration ReseauAdministration Reseau
Administration Reseaudenischef1
 
Linux Performance Analysis and Tools
Linux Performance Analysis and ToolsLinux Performance Analysis and Tools
Linux Performance Analysis and ToolsBrendan Gregg
 
Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...
Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...
Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...Alphorm
 
La virtualisation
La virtualisationLa virtualisation
La virtualisationJuvénal CHOKOGOUE
 
Active directory
Active directoryActive directory
Active directorykamar MEDDAH
 
alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5Alphorm
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Understanding the Windows Server Administration Fundamentals (Part-1)
Understanding the Windows Server Administration Fundamentals (Part-1)Understanding the Windows Server Administration Fundamentals (Part-1)
Understanding the Windows Server Administration Fundamentals (Part-1)Tuan Yang
 
Windows Server 2019.pptx
Windows Server 2019.pptxWindows Server 2019.pptx
Windows Server 2019.pptxmasbulosoke
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackBayeOusseynouFall
 
Qcm serveur 2003 souhaib el
Qcm serveur 2003 souhaib elQcm serveur 2003 souhaib el
Qcm serveur 2003 souhaib elSouhaib El
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
BigData_Chp2: Hadoop & Map-Reduce
BigData_Chp2: Hadoop & Map-ReduceBigData_Chp2: Hadoop & Map-Reduce
BigData_Chp2: Hadoop & Map-ReduceLilia Sfaxi
 
Windows server 2012 r2
Windows server 2012 r2Windows server 2012 r2
Windows server 2012 r2Ousmane BADJI
 
Serveur Zabbix
Serveur ZabbixServeur Zabbix
Serveur ZabbixDamien Morisseau
 
Architectures n-tiers
Architectures n-tiersArchitectures n-tiers
Architectures n-tiersHeithem Abbes
 
Rootless Kubernetes
Rootless KubernetesRootless Kubernetes
Rootless KubernetesAkihiro Suda
 
Support du cours : Systèmes d'exploitation 2 (linux)
Support du cours : Systèmes d'exploitation 2 (linux)Support du cours : Systèmes d'exploitation 2 (linux)
Support du cours : Systèmes d'exploitation 2 (linux)Faycel Chaoua
 
Atelier1 mise en place d’odoo
Atelier1 mise en place d’odooAtelier1 mise en place d’odoo
Atelier1 mise en place d’odooAbdelouahed Abdou
 
Projet de fin d etudes
Projet de fin d etudesProjet de fin d etudes
Projet de fin d etudes3azwa
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteDimitri LEMBOKOLO
 
Architectures de virtualisation
Architectures de virtualisationArchitectures de virtualisation
Architectures de virtualisationAntoine Benkemoun
 
BigData_TP1: Initiation à Hadoop et Map-Reduce
BigData_TP1: Initiation à Hadoop et Map-ReduceBigData_TP1: Initiation à Hadoop et Map-Reduce
BigData_TP1: Initiation à Hadoop et Map-ReduceLilia Sfaxi
 
Présentation Docker
Présentation DockerPrésentation Docker
Présentation DockerColin LEVERGER
 
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 trRapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 trCheikh Tidiane DIABANG
 
Active Directory et la Sécurité
Active Directory et la SécuritéActive Directory et la Sécurité
Active Directory et la SécuritéMicrosoft
 
Introduction to PowerShell
Introduction to PowerShellIntroduction to PowerShell
Introduction to PowerShellBoulos Dib
 

Más contenido relacionado

La actualidad más candente

mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Understanding the Windows Server Administration Fundamentals (Part-1)
Understanding the Windows Server Administration Fundamentals (Part-1)Understanding the Windows Server Administration Fundamentals (Part-1)
Understanding the Windows Server Administration Fundamentals (Part-1)Tuan Yang
 
Windows Server 2019.pptx
Windows Server 2019.pptxWindows Server 2019.pptx
Windows Server 2019.pptxmasbulosoke
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackBayeOusseynouFall
 
Qcm serveur 2003 souhaib el
Qcm serveur 2003 souhaib elQcm serveur 2003 souhaib el
Qcm serveur 2003 souhaib elSouhaib El
 
BigData_Chp2: Hadoop & Map-Reduce
BigData_Chp2: Hadoop & Map-ReduceBigData_Chp2: Hadoop & Map-Reduce
BigData_Chp2: Hadoop & Map-ReduceLilia Sfaxi
 
Windows server 2012 r2
Windows server 2012 r2Windows server 2012 r2
Windows server 2012 r2Ousmane BADJI
 
Architectures n-tiers
Architectures n-tiersArchitectures n-tiers
Architectures n-tiersHeithem Abbes
 
Rootless Kubernetes
Rootless KubernetesRootless Kubernetes
Rootless KubernetesAkihiro Suda
 
Support du cours : Systèmes d'exploitation 2 (linux)
Support du cours : Systèmes d'exploitation 2 (linux)Support du cours : Systèmes d'exploitation 2 (linux)
Support du cours : Systèmes d'exploitation 2 (linux)Faycel Chaoua
 
Atelier1 mise en place d’odoo
Atelier1 mise en place d’odooAtelier1 mise en place d’odoo
Atelier1 mise en place d’odooAbdelouahed Abdou
 
Projet de fin d etudes
Projet de fin d etudesProjet de fin d etudes
Projet de fin d etudes3azwa
 
Architectures de virtualisation
Architectures de virtualisationArchitectures de virtualisation
Architectures de virtualisationAntoine Benkemoun
 
BigData_TP1: Initiation à Hadoop et Map-Reduce
BigData_TP1: Initiation à Hadoop et Map-ReduceBigData_TP1: Initiation à Hadoop et Map-Reduce
BigData_TP1: Initiation à Hadoop et Map-ReduceLilia Sfaxi
 
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 trRapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 trCheikh Tidiane DIABANG
 

La actualidad más candente (20)

mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 
Understanding the Windows Server Administration Fundamentals (Part-1)
Understanding the Windows Server Administration Fundamentals (Part-1)Understanding the Windows Server Administration Fundamentals (Part-1)
Understanding the Windows Server Administration Fundamentals (Part-1)
 
Windows Server 2019.pptx
Windows Server 2019.pptxWindows Server 2019.pptx
Windows Server 2019.pptx
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec Openstack
 
Qcm serveur 2003 souhaib el
Qcm serveur 2003 souhaib elQcm serveur 2003 souhaib el
Qcm serveur 2003 souhaib el
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
BigData_Chp2: Hadoop & Map-Reduce
BigData_Chp2: Hadoop & Map-ReduceBigData_Chp2: Hadoop & Map-Reduce
BigData_Chp2: Hadoop & Map-Reduce
 
Windows server 2012 r2
Windows server 2012 r2Windows server 2012 r2
Windows server 2012 r2
 
Serveur Zabbix
Serveur ZabbixServeur Zabbix
Serveur Zabbix
 
Architectures n-tiers
Architectures n-tiersArchitectures n-tiers
Architectures n-tiers
 
Rootless Kubernetes
Rootless KubernetesRootless Kubernetes
Rootless Kubernetes
 
Support du cours : Systèmes d'exploitation 2 (linux)
Support du cours : Systèmes d'exploitation 2 (linux)Support du cours : Systèmes d'exploitation 2 (linux)
Support du cours : Systèmes d'exploitation 2 (linux)
 
Atelier1 mise en place d’odoo
Atelier1 mise en place d’odooAtelier1 mise en place d’odoo
Atelier1 mise en place d’odoo
 
Projet de fin d etudes
Projet de fin d etudesProjet de fin d etudes
Projet de fin d etudes
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
Architectures de virtualisation
Architectures de virtualisationArchitectures de virtualisation
Architectures de virtualisation
 
BigData_TP1: Initiation à Hadoop et Map-Reduce
BigData_TP1: Initiation à Hadoop et Map-ReduceBigData_TP1: Initiation à Hadoop et Map-Reduce
BigData_TP1: Initiation à Hadoop et Map-Reduce
 
Présentation Docker
Présentation DockerPrésentation Docker
Présentation Docker
 
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 trRapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
 

Destacado

Active Directory et la Sécurité
Active Directory et la SécuritéActive Directory et la Sécurité
Active Directory et la SécuritéMicrosoft
 
Introduction to PowerShell
Introduction to PowerShellIntroduction to PowerShell
Introduction to PowerShellBoulos Dib
 
Introduction To Windows Power Shell
Introduction To Windows Power ShellIntroduction To Windows Power Shell
Introduction To Windows Power ShellMicrosoft TechNet
 
Active directory
Active directory Active directory
Active directory deshvikas
 

Destacado (6)

Active Directory et la Sécurité
Active Directory et la SécuritéActive Directory et la Sécurité
Active Directory et la Sécurité
 
Introduction to PowerShell
Introduction to PowerShellIntroduction to PowerShell
Introduction to PowerShell
 
Windows PowerShell
Windows PowerShellWindows PowerShell
Windows PowerShell
 
Introduction To Windows Power Shell
Introduction To Windows Power ShellIntroduction To Windows Power Shell
Introduction To Windows Power Shell
 
Active directory
Active directory Active directory
Active directory
 
Active Directory
Active Directory Active Directory
Active Directory
 

Similar a Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration

WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS BelgeKilem
 
5 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 20125 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 2012NRC
 
Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008fabricemeillon
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.pptwebhostingguy
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Microsoft Technet France
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesOVHcloud
 
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...aOS Community
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Identity Days
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDenodo
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days
 
Alphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et ServicesAlphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et ServicesAlphorm
 
Presentation mididulibrev2.0
Presentation mididulibrev2.0Presentation mididulibrev2.0
Presentation mididulibrev2.0robertpluss
 
Introduction au Domain Driven Design
Introduction au Domain Driven DesignIntroduction au Domain Driven Design
Introduction au Domain Driven DesignDNG Consulting
 
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiquesAlphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiquesAlphorm
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDenodo
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...fabricemeillon
 
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...fabricemeillon
 
Dba oracle-v1
Dba oracle-v1Dba oracle-v1
Dba oracle-v1infcom
 
Azure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteAzure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteMicrosoft
 
Ipgarde - Mardinnov' du 8 octobre 2013
Ipgarde - Mardinnov' du 8 octobre 2013Ipgarde - Mardinnov' du 8 octobre 2013
Ipgarde - Mardinnov' du 8 octobre 2013Le Moulin Digital
 

Similar a Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration (20)

WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS
 
5 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 20125 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 2012
 
Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.ppt
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud Databases
 
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
 
Alphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et ServicesAlphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et Services
 
Presentation mididulibrev2.0
Presentation mididulibrev2.0Presentation mididulibrev2.0
Presentation mididulibrev2.0
 
Introduction au Domain Driven Design
Introduction au Domain Driven DesignIntroduction au Domain Driven Design
Introduction au Domain Driven Design
 
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiquesAlphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
 
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
 
Dba oracle-v1
Dba oracle-v1Dba oracle-v1
Dba oracle-v1
 
Azure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteAzure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides Keynote
 
Ipgarde - Mardinnov' du 8 octobre 2013
Ipgarde - Mardinnov' du 8 octobre 2013Ipgarde - Mardinnov' du 8 octobre 2013
Ipgarde - Mardinnov' du 8 octobre 2013
 

Más de Microsoft Technet France

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesMicrosoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityMicrosoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationMicrosoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceMicrosoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Microsoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudMicrosoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesMicrosoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 

Más de Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 

Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration

  • 1. palais des congrès Paris 7, 8 et 9 février 2012
  • 2. Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration 7 février 2012 Renaud Depagne Microsoft Consulting Services
  • 5. Active Directory : à quoi ça sert ? Rôle d’Active Directory Lieu central de stockage d’information d’identité et d’authentification Apporte l’authentification unique (SSO) aux utilisateurs dans le monde Microsoft Gère l’accès aux ressources (groupes de sécurité) Permet la gestion centralisée (GPO) des paramètres de configuration et de sécurité des utilisateurs et postes Supporte des applications basées sur l’annuaire (Exchange, …) Avantages A trouvé sa place comme annuaire technique (ne remplace pas un annuaire Ldap type annuaire du personnel) Pérenne : 99%+ des entreprises ont AD Robuste
  • 6.
  • 7. (Re)structurer AD : le business Culture centralisée ou non du pays où se trouve la direction générale du groupe Aspect politique : exemple, participation d’un Etat dans le capital de telle entité appartenant au groupe Secteur d’activité : niveau de croissance externe passée et prévisible Stratégie business : différences de besoin de changement entre les différents métiers d’un grand groupe Stratégie financière : chaque branche a sa propre forêt pour s’en séparer plus facilement
  • 8. (Re)structurer AD : la sécurité (1) La frontière de sécurité est la forêt La forêt est la véritable frontière de sécurité, donc il faut autant de forêts que d’ensembles de confiance : plusieurs équipes d’administration Contraintes légales ou réglementaires Les pratiques de sécurité doivent être au même niveau (le plus élevé) dans les différents domaines d’une même forêt Plus le périmètre couvert par une seule forêt est important, plus la sécurité devient cruciale : par exemple, le temps de remise en route de la forêt en cas d’accident est crucial Forêt dédiée pour les administrateurs pour les grandes entreprises particulièrement sensibles
  • 9. (Re)structurer AD : la sécurité (2) Il peut exister des contraintes fortes de protection de données (volonté, lois, …) L’administrateur d’un domaine peut se rendre administrateur de l’entreprise et avoir accès aux données de serveurs membres d’autres domaines Solutions : Encrypter les données avec un mécanisme indépendant d’AD Isoler les serveurs sensibles et les postes par IPSec Utiliser RMS (Rights Management Services) pour l’accès aux documents (messages, …) Mettre les serveurs dans une forêt séparée
  • 10. (Re)structurer AD : les coûts Forêt Le moins de forêts possibles (une à trois par exemple) Forêt de ressources (ex.: Exchange) / forêt de comptes Domaines Plus besoin de domaines pour avoir des stratégies de mot de passe différenciées depuis Windows Server 2008 Le domaine a un impact sur le DNS Déplacer des utilisateurs est nettement plus simple avec des OUs Consolidation des DCs Coûts (matériel, logiciel, opérations)
  • 11. Nom de domaine Recommandation de prendre un sous-domaine du nom enregistré sur Internet (ex.: interne.contoso.com) : Garantit l’unicité de nom en cas de fusion avec une autre société pour la mise en place de relation d’approbation Nom FQDN unique sur Internet : facilite la mise en place de Direct Access Pour acquérir un certificat auprès d’un tiers, il faut être propriétaire du nom de domaine Ne pas utiliser de nom avec un seul label (ex.: contoso) Avec Windows Server 2008 : avertissement à la création Windows Server 2008 R2 refuse dcpromo avec un seul label Problèmes possibles avec des applications
  • 12. AD et les mouvements d’entreprise Acquisition d’une société ou consolidation d’activité : Les actifs entrant dans le cœur de métier rejoignent la forêt principale Les actifs non-stratégiques peuvent rester dans leur propre forêt Vente d’une entité ou externalisation d’activité Si forêt dédiée, il suffit de couper les trusts Sinon, suivant le contrat, migration nécessaire ou bien export des données de l’AD Ne pas cloner les DCs (les SIDs doivent rester uniques)
  • 13. Autres points à considérer Les limites d’Active Directory : Peu de limites à considérer car elle sont très élevées : http://technet.microsoft.com/en-us/library/active-directory-maximum-limits- scalability(WS.10).aspx Néanmoins : Le nom FQDN ne doit pas dépasser 64 caractères … Forêts hors-production Test, validation, pré-production Gestion de ces environnements Construction : Ne pas cloner Exporter : CreateXMLFromEnvironment.wsf et CreateEnvironmentFromXML.wsf http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=1453 6 Recréer
  • 14. RODC pour les sites non-sécurisés : agences, … Pas de réplication depuis un RODC Seuls des mots de passe de comptes (machines et utilisateurs) identifiés/autorisés sont stockés sur RODC Ajout d’autres rôles possibles L’administrateur du RODC n’est pas Domain Admin Option : BitLocker pour encrypter les données (logique puisque le RODC est dans un endroit non sécurisé)
  • 15. DC sur Windows Server Core Avantages : Réduit la surface d’attaque Demande moins d’espace disque lors de l’installation Surtout : moins de patches à appliquer (environ 50%) et moins de reboots Idéal pour pour DC + DNS Inconvénient : Plus complexe à l’installation (les administrateurs Windows ne sont pas habitués) mais : Bien documenté PowerShell http://coreconfig.codeplex.com Exemple de scénario : RODC + BitLocker + Core La réduction du nombre de reboots dûs à des correctifs face à la nécessité d’entrer le code BitLocker
  • 16. Réduction du nombre des DCs Permise surtout par l’évolution des réseaux Reste des cas justifiant des DCs distants (certains pays) Pourquoi réduire le nombre de DCs : Réduction des coûts Agilité de l’entreprise Facilité à reconstruire la forêt en cas de nécessité
  • 17. Virtualisation Les DCs peuvent être virtualisés, mais c’est souvent le rôle auquel on pense en dernier, sauf pour les DCs d’agences Documentation technique sur http://support.microsoft.com/kb/888794 Points de vigilance : Les snapshots sont absolument interdits : utiliser les pass-through disks Bien distinguer les rôles de l’administrateur des serveurs virtuels par rapport aux administrateurs AD Garder un DC physique
  • 18. IP V6 (1) Ne concerne pas que les DCs Règle Common Engineering Criteria : IP V6 activé Les produits Microsoft ne sont pas testés avec IP V6 désactivé Désactiver IP V6 reste supporté mais déconseillé Recommandation : laisser IP V6, mais prioriser IP V4 Configuration (rebooter) : http://support.microsoft.com/kb/929852/en-us HKLMSystemCurrentControlSetServicesTcpip6Param eters
  • 19. IP V6 (2) Quelques effets de la désactivation d’IPV6 sur AD : Erreur lors du DCPROMO (problème RPC, erreur de connexion, échec de réplication initialE d’une base NTDS.DIT de taille importante) Erreur sur des requêtes LDAP via UDP (ex utilisation de portquery http://support.microsoft.com/default.aspx?scid=kb;EN- US;816103 Problème de réplications dans une forêt contenant un mix de DC 2003 et 2008 Dans certain cas de figure, la désactivation de IPV6 fait que le DC n’écoute plus en IPV4 sur le port 389 (ldap)
  • 21. Pourquoi il est vital de sécuriser AD 2010-2011: attaques ciblées sur les entreprises exerçant dans des domaines sensibles Attaques de type DHA (Determined Human Adversaries) encore appelées APT (Advanced Persistent Threats) Impact important pour les entreprises affectées Sécuriser Active Directory devient crucial pour les entreprises La sécurisation pour être efficace, doit intégrer les meilleures pratiques en administration
  • 22. Délégation d’administration (1) Organiser la délégation d’administration selon les principes de moindre privilège Séparer les comptes d’administration du service AD et ceux du contenu d’AD L’importance des privilèges doit être inversement proportionnelle au périmètre d’intervention Réduire les comptes privilégiés au strict minimum Les groupes privilégiés sont tous critiques (pas seulement Enterprise Admins et Domain Admins) Les comptes privilégiés sont nominatifs et différents des comptes utilisés pour le travail standard (chaque compte devant être rigoureusement utilisé pour son rôle)
  • 23. Délégation d’administration (2) « Best Practices for Delegating Active Directory Administration » est toujours la référence (date de 2003) http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=2167 8 Et appendices : http://www.microsoft.com/download/en/search.aspx?q=Best%20Practices%20 for%20Delegating%20Active%20Directory%20Administration%3A%20Append ices Demande un travail important Ne garantit pas la protection contre un attaquant
  • 24. Recommandations (1) Les postes des DA sont dans une OU dédiée Les comptes Domain Admins ne doivent pas s’authentifier sur les serveurs et postes standards, mais seulement sur quelques machines dédiées Pas d’utilisation d’Internet sur ces machines GPO pour interdire le logon aux DA sur les machines autres que celles qui leur sont dédiées Mots de passe différents pour chaque compte administrateur local de serveur ou poste
  • 25. Recommandations (2) Compartimentaliser par ensemble de criticité : Isoler les serveurs membres critiques (Exchange, …) dans une OU avec des comptes administrateurs dédié Les utilisateurs ne doivent pas être administrateurs de leur poste Avancer sur une démarche RBAC (Rôle Based Access Control) Gestion du cycle de vie des comptes, Provisioning/Deprovisioning : FIM (Forefront Identity Manager) Rendre faciles les bonnes pratiques et difficiles les mauvaises
  • 26. Recommandations (3) Patcher les DCs et tous les serveurs et postes le plus tôt possible (se protéger contre les exploits zero-day) Patcher hors Microsoft (applications, autres systèmes, …) : Aberdeen: Microsoft-only vulnerability management initiatives cover only 10-20% of enterprise risk Gartner: Over 90% of attacks exploit known security vulnerabilities for which fixes are available Eliminer les systèmes anciens Compartimentaliser par niveau de criticité dans des OUs : Serveurs critiques (Exchange, …), moins critiques, … Mots de passe différents pour chaque compte administrateur local de serveur ou poste
  • 27. Monitoring et traçabilité Difficile de repérer une attaque DHA, mais possible Les comptes privilégiés d’AD sont un moyen pour atteindre les données sensibles Les comptes VIP sont aussi visés car ils ont accès aux données vitales Il faut pouvoir déterminer qui a fait quoi sur quel objet à quel moment Surveillance particulière des comptes ou objets sensibles (qui s’authentifie) Il faut monitorer les DCs, mais aussi les serveurs et les postes (notamment l’authentification)
  • 28. Administration des DCs Les administrateurs AD depuis leur station d’administration passent par un serveur de rebond :
  • 29. Forêt d’administration (1) Pour les grandes entreprises les plus sensibles Créer une nouvelle forêt avec seulement les comptes d’administration Relation d’approbation de forêt unidirectionnelle avec authentification sélective Les administrateurs gèrent de manière autonome leur forêt (supervision, gestion des correctifs, …) Les comptes DA de la forêt de production ne sont plus utilisés
  • 30. Forêt d’administration (2) Relation d’approbation Authentification sélective Forêt d’administration
  • 32. Vue d’ensemble d’ADSA-R Active Directory Service Security Assessment and Remediation : Processus d’évaluation et de remédiation de la sécurité de votre référentiel d’identités Active Directory couvrant aussi bien son infrastructure technique que ses opérations de gestion PFE + Itops + MCS Itops + MCS + VOUS Principales activités 1. Découverte de votre environnement Active Directory et évaluation de sa sécurité sous un angle technique et opérationnel 2. Définition du plan de remédiation au regard des résultats de l’évaluation de la sécurité 3. Mise en œuvre du plan de remédiation en fonction de vos priorités
  • 33. ADSA-R : Périmètre PFE + Itops + MCS Workshops de découverte de l’environnement en présence du responsable sécurité et des responsables informatiques. Compréhension et analyse des processus organisationnels liés à la gestion de vos Active Directory Analyse, identification des remédiations immédiates et futures Construction d’un plan de remédiation Workshop de restitution : vue technique Workshop de restitution vue « responsable informatique » Itops + MCS + VOUS Mise en œuvre du plan de remédiation (pour les projets retenus)
  • 34.
  • 35. Managed Service Accounts Nouveau type de compte de domaine (msDS- ManagedServiceAccount) pour remplacer les comptes de service traditionnels : Mot de passe de 240 caractères généré automatiquement Changement de mot de passe automatique (30 jours par défaut) Gestion des SPN simplifiés (si niveau fonctionnel de domaine = Windows Server 2008 R2) Attaché à un serveur Nest pas soumis à la politique de mot de passe du domaine, ou granulaire (fine-grained password policy) Ne peut pas être bloqué, ni utilisé pour une authentification interactive Dans CN=Managed Service Accounts, DC=, DC= Gestion avec PowerShell
  • 36. Récupération après sinistre (DRP) Nécessité de disposer de procédures de reconstruction de la forêt Active Directory : Partir du guide Microsoft (MAJ septembre 2011) sur http://www.microsoft.com/download/en/details.aspx?id= 16506 pour réaliser une procédure de reconstruction adaptée au contexte de l’entreprise Mettre à jour cette procédure si besoin La dérouler au moins une fois par an en pré-production Sites avec réplication différée : Peuvent rendre service pour restaurer des objets Mais effets de bord possibles Pas supporté comme procédure de récupération d’Active Directory A garder si vous les utilisez, sinon ne pas chercher à le faire
  • 37. Prévention Tenir à jour un inventaire centralisé et accessible des dépendances des applications et serveurs vis- à-vis de l’infra AD : Extensions de schema Comptes utilisateurs Comptes de service Permissions, flux Chaque application doit avoir un responsable métier en plus du responsable informatique
  • 38. AD-RAP : définition Prestation d’audit d’une forêt : 850 contrôles Réalisée par un PFE (Premier Field Engineer) Microsoft habilité (10 en France) Actuellement réservé aux clients ayant un contrat de support Microsoft Premier Nécessite de pouvoir accéder à tous les DCs Rapport d’audit Plan de remédiation à mettre en œuvre Outil laissé à libre usage durant 18 mois pour le lancement des tests et indéfiniment pour consultation
  • 39. AD-RAP : Le top ten des anomalies
  • 40. AD-RAP : autres anomalies Lingering objects Réplication AD ou/et SYSVOL Journal Wrap FRS Inconsistance des enregistrement DNS ou mauvaise adresse IP d’un DNS ou Forwarder Pas de Backup du System State …
  • 41.
  • 42. Les points à retenir Design Faire simple, mais prendre en compte les recommandations pour définir la structure AD répondant le mieux aux besoins de l’entreprise avec son contexte et ses besoins Sécurité Devient la préoccupation majeure Technique + conduire des opérations Audit de sécurité AD : ADSA-R, … Administration Importance des procédures de DRP Audit technique AD : ADRAP