Qu’est-ce qu’une forêt Active Directory ?

forêt Active Directory

Une forêt Active Directory (forêt AD) représente le plus haut niveau de conteneur logique dans une configuration Active Directory contenant des domaines, utilisateurs, ordinateurs et règles de groupe.

« Mais attendez ! », dites-vous. « Je pensais qu’Active Directory était limité à un seul domaine ? »

Une même configuration Active Directory peut contenir plus d’un domaine, et nous appelons forêt AD la couche située au-dessus des domaines. Sous chaque domaine, vous pouvez avoir plusieurs arbres et il peut être difficile pour ces arbres de voir la forêt.

Cette couche supplémentaire de haut niveau pose des problèmes de sécurité et un risque supplémentaire d’exploitation, mais elle peut également signifier un meilleur isolement et une plus grande autonomie si nécessaire : le truc consiste à bien comprendre les forêts AD et les différentes stratégies permettant de les protéger.

active directory forest diagram - forêt active directory

Comment concevoir une forêt ?

Supposons que vous vouliez créer une forêt ou (plus probablement) que vous ayez hérité d’une forêt dans laquelle vous devez faire de l’ordre. Du fait de précédentes tentatives de consolidation ou d’acquisition, il est courant d’avoir plusieurs domaines et GPO différents qui essaient de coexister dans une ou plusieurs forêts.

Il faut tout d’abord déterminer si les exigences organisationnelles imposent un ensemble de règles de sécurité complètement séparées. Encadrez la conversation en mettant l’accent sur la sécurité des données :

  • Y a-t-il des règles fondamentales que vous pouvez définir au niveau de la forêt AD ?
  • Avez-vous besoin de domaines supplémentaires avec différentes règles de sécurité ou d’une connectivité réseau séparée ?
  • Existe-t-il des exigences applicatives ou légales imposant des domaines séparés dans la forêt ?

Après avoir documenté les exigences « d’autonomie et d’isolement », l’équipe de conception peut bâtir la forêt, les domaines et les GPO, en fonction des besoins de chaque équipe ou organisation.

Combien faut-il de forêts ?

Dans certains cas, en fonction des exigences d’autonomie ou d’isolement, il peut être nécessaire de créer des forêts AD séparées. Le fait d’ajouter des forêts accroît la complexité de la gestion du schéma AD. Si vous décidez d’ajouter une nouvelle forêt à votre schéma AD, vous devez prendre en compte les points suivants :

  • Pouvez-vous atteindre un isolement suffisant sans créer une seconde forêt ?
  • Toutes les parties prenantes comprennent-elles les ramifications des forêts séparées ?
    • La gestion de 2 forêts séparées implique deux fois plus de serveurs d’applications et de frais informatiques.
  • Avez-vous les ressources nécessaires pour gérer une autre forêt ?
    • Les deux forêts AD ne devraient pas être gérées par la même équipe informatique. Les professionnels en sécurité recommandent une (1) équipe par forêt pour assurer le cloisonnement des tâches.
    • La meilleure pratique consiste à faire migrer des domaines nouveaux ou acquis dans une forêt AD unique.

Conception de forêt AD unique vs forêts AD multiples

Sur le long terme, une forêt AD unique constitue une solution plus simple et on considère en général qu’il s’agit d’une meilleure pratique. Il est possible de créer un environnement sécurisé avec plusieurs domaines, sans la charge supplémentaire que représente une deuxième forêt AD, en exploitant les GPO, les propriétaires de données établis, ainsi qu’un modèle de moindre privilège.

L’utilisation de plusieurs forêts établit une couche de sécurité supplémentaire entre les deux domaines, mais au prix d’une augmentation importante des coûts informatiques. L’utilisation de plusieurs forêts n’améliore pas automatiquement votre sécurité. Pour chaque forêt AD, vous devez toujours configurer les GPO et les permissions de façon appropriée.

Modèles de conception de forêt

types of active directory forest design models - forêt active directory

Il existe trois principales façons de concevoir une forêt AD, que vous pouvez combiner pour répondre aux besoins de sécurité de votre organisation. Chaque Active Directory dispose d’au moins une forêt AD et dans certains cas, plusieurs forêts AD sont nécessaires pour répondre aux objectifs opérationnels et de sécurité. Nous allons évoquer quelques modèles de forêt. Chacun de ces modèles présente ses propres avantages et inconvénients, et correspond à des utilisations particulières.

Modèle de forêt organisationnelle

Dans une forêt organisationnelle, les comptes utilisateur et les ressources sont stockés et gérés ensemble. Il s’agit de la configuration standard.

Caractéristiques d’un modèle de forêt organisationnelle :

  • Assure l’autonomie des utilisateurs et des ressources de la forêt
  • Isole les services et les données de toute personne située en dehors de la forêt
  • Des relations d’accréditation entre forêts autorisent un accès à certaines ressources situées à l’extérieur de la forêt

Modèle de forêt de ressources

Une forêt de ressources place les comptes utilisateur et les ressources dans des forêts séparées. Vous devez utiliser cette configuration pour séparer un système de fabrication ou un système critique de la forêt principale. Si un problème survient sur une forêt, l’autre peut ainsi continuer à fonctionner.

Caractéristiques d’un modèle de forêt de ressources :

  • Les utilisateurs se trouvent dans la forêt organisationnelle
  • Les ressources se trouvent dans une ou plusieurs forêts supplémentaires
  • Les forêts de ressources ne contiennent que des comptes d’administration alternatifs
  • Des accréditations permettent aux utilisateurs de partager les ressources
  • Ce modèle assure un isolement du service : lorsqu’une forêt n’est plus opérationnelle, les autres continueront à fonctionner normalement.

Modèle de forêt à accès limité

Une forêt à accès limité isole totalement des autres forêts les utilisateurs et les ressources qu’elle contient. Vous devez utiliser cette configuration pour sécuriser complètement les données et limiter l’accès des utilisateurs à des ensembles de données spécifiques.

Caractéristiques d’un modèle de forêt à accès limité :

  • Il n’y a pas d’accréditation pour d’autres forêts
  • Les utilisateurs des autres forêts ne peuvent pas accéder aux ressources se trouvant dans la forêt à accès limité
  • Les utilisateurs ont besoin d’un deuxième ordinateur pour accéder à la forêt à accès limité
  • Si nécessaire, elle peut être hébergée sur un réseau complètement séparé

Meilleures pratiques pour les forêts Active Directory

Les forêts AD existent depuis 2000, et il existe de nombreuses théories sur le meilleur moyen de configurer Active Directory et les forêts. Parmi les meilleures pratiques actuelles, on peut mentionner :

  • Lorsque cela est possible, effectuez une consolidation en une forêt unique
  • Sécurisez les ressources et données par le biais des GPO et appliquez un modèle de moindre privilège
  • Utilisez des GPO pour limiter encore plus la capacité des utilisateurs à créer de nouveaux dossiers sans suivre une procédure établie. Le modèle de droits de moindre privilège.
  • Fournissez à vos administrateurs de domaine un deuxième compte admin qu’ils n’utiliseront que lorsque cela sera nécessaire, en fonction de la procédure de gestion des modifications.
  • Si vous avez plusieurs forêts AD avec des relations d’accréditation, envisagez une consolidation.
  • Si vous avez besoin d’une forêt à accès limité, assurez-vous que son accès est réellement restreint. Quel que soit le niveau de sécurisation recherché pour notre forêt principale, une forêt à accès limité doit ressembler au Château Noir de Game of Thrones. Entourez-la d’un rempart de deux kilomètres et contenez-la à l’intérieur.

active directory forest best practices - forêt active directory

Si Active Directory contient les clefs du royaume, la forêt AD est un porte-clefs qui réunit certaines d’entre elles : il n’est pas seulement important de sécuriser Active Directory, il faut aussi comprendre comment configurer et gérer la forêt AD afin d’empêcher les fuites de données et de réduire les vulnérabilités.

Vous voulez en savoir plus sur la façon de protéger Active Directory, quel que soit le nombre de forêts AD dont vous disposez ?  Découvrez les 5 rôles FSMO dans Active Directory, ainsi que la différence entre AD for Windows et Azure Active Directory.  Vous préférez une expérience audio/visuelle ?  Nous nous occupons de tout : assistez à un webinaire à la demande qui vous donnera 4 conseils pour protéger Active Directory.