Services de domaine Active Directory (AD DS) : présentation et fonctions

AD DS

Les AD DS (Active Directory Domain Services) constituent les fonctions essentielles d’Active Directory pour gérer les utilisateurs et les ordinateurs et pour permettre aux administrateurs système d’organiser les données en hiérarchies logiques.

AD DS fournit des certificats de sécurité, l’authentification unique (SSO), LDAP, et la gestion des droits.

La compréhension d’AD DS est une priorité absolue pour les professionnels de la réponse aux incidents et de la cybersécurité. En effet, toutes les cyberattaques affecteront AD et, lorsqu’elles se produisent, vous devez savoir ce qu’il faut rechercher et comment y répondre.

Les avantages des services de domaine Active Directory

Pour l’administration de base de vos utilisateurs et ordinateurs réseau, l’utilisation d’AD DS présente plusieurs avantages.

  • Vous pouvez personnaliser la façon dont vos données sont organisées de façon à répondre aux besoins de votre entreprise
  • Si cela s’avère nécessaire, vous pouvez gérer AD DS à partir de n’importe quel ordinateur du réseau
  • AD DS fournit une fonction intégrée de réplication et de redondance : si un contrôleur de domaine tombe en panne, un autre contrôleur de domaine prend la charge à son compte
  • Tout accès aux ressources réseau passe par AD DS, ce qui assure une gestion centralisée des droits d’accès au réseau

active directory domain services benefits

Services de domaine Active Directory (AD DS) : les termes à connaître

Pour comprendre AD DS, il faut définir quelques termes clés.

  • Schéma : l’ensemble de règles utilisateur configurées qui régissent les objets et attributs dans AD DS.
  • Catalogue global : le conteneur de tous les objets AD DS. Si vous avez besoin de trouver le nom d’un utilisateur, ce nom est stocké dans le catalogue global.
  • Mécanisme de requête et d’index : ce système permet aux utilisateurs de se trouver les uns les autres dans AD. Par exemple, lorsque vous commencez à saisir un nom dans votre client de messagerie, ce dernier vous propose les correspondances possibles.
  • Service de réplication : le service de réplication garantit que tous les contrôleurs de domaine du réseau partagent le même catalogue global et le même schéma
  • Sites : les sites sont des représentations de la topologie réseau ; AD DS sait ainsi quels sont les objets qui vont ensemble, ce qui lui permet d’optimiser la réplication et l’indexation.
  • Lightweight Directory Access Protocol : LDAP est un protocole qui permet à AD de communiquer avec d’autres services d’annuaire sur d’autres plates-formes.

Quels sont les services fournis par AD DS ?

Voici les services fournis par AD DS, qui constituent les fonctionnalités de base d’un système de gestion centralisée des utilisateurs.

  • Services de domaines : stocke les données et gère les communications entre les utilisateurs et le contrôleur de domaine. Il s’agit de la principale fonctionnalité d’AD DS.
  • Services de certificat : permet à votre contrôleur de domaine de servir des certificats et des signatures numériques, ainsi qu’un chiffrement à clé publique.
  • Lightweight Directory Services : prend en charge LDAP pour des services de domaine multiplateformes, par exemple l’ensemble des ordinateurs Linux présents sur votre réseau.
  • Services de fédération d’annuaire : dans la même session, fournit une authentification SSO pour plusieurs applications. Ainsi, les utilisateurs ne sont pas obligés de ressaisir les mêmes identifiants.
  • Gestion des droits : contrôle les politiques en matière de droits à l’information et d’accès aux données. Par exemple, la gestion des droits détermine si vous pouvez accéder à un dossier ou envoyer un e-mail.

Rôle des contrôleurs de domaine avec AD DS

Les contrôleurs de domaine (CD) sont les serveurs de votre réseau qui hébergent AD DS. Les CD répondent aux demandes d’authentification et stockent les données AD DS. Les CD hébergent également d’autres services qui sont complémentaires à AD DS. Ces services sont les suivants :

  • KDC (Kerberos Key Distribution Center) : le kdc vérifie et chiffre les tickets kerberos utilisés par AD DS pour l’authentification
  • NetLogon : Netlogon est le service de communication des informations d’authentification.
  • Windows Time (W32time) : Kerberos impose que les horloges de tous les ordinateurs soient synchronisées.
  • IsmServ (Intersite Messaging) : Intersite messaging permet aux CD de communiquer les uns avec les autres pour la réplication et le routage inter-sites.

complimentary active directory domain services hosted by domain controllers

AD doit avoir au moins un contrôleur de domaine. Les CD sont les conteneurs des domaines. Chaque domaine fait partie d’une forêt AD, qui peut comporter un ou plusieurs domaines organisés en unités organisationnelles. AD DS gère les relations de confiance entre plusieurs domaines, ce qui vous permet d’accorder les droits d’accès des utilisateurs d’un domaine à d’autres domaines de votre forêt.

Le concept le plus important à comprendre est qu’AD DS est un cadre de gestion du domaine, et que l’ordinateur employé par les utilisateurs pour accéder à AD est le contrôleur de domaine

La cybersécurité moderne repose sur une connaissance approfondie d’Active Directory. Active Directory est au cœur des capacités des pirates à réaliser des infiltrations, des déplacements latéraux et des exfiltrations de données.  Mais, aussi discrets et astucieux soient-ils, ces pirates laissent des traces dans les logs d’AD lorsqu’ils se déplacent sur votre réseau.

Varonis surveille ces traces dans AD, ainsi que l’activité sur les fichiers, les appels DNS, l’activité des VPN, et plus encore. Varonis met en corrélation ces données pour fournir une vision complète de chaque utilisateur et ordinateur dans AD, compare l’activité actuelle à une base de référence normalisée et à un catalogue de modèles de menace sur la sécurité des données, et identifie de façon proactive les menaces potentielles pesant sur vos données.

Vous voulez en apprendre plus sur la sécurité d’Active Directory ? Ne manquez pas notre webinaire à la demande « 4 conseils pour protéger Active Directory. »