FR EN
Connexion S'inscrire
Retour au blog
Guide Technique · Infrastructure Réseau

Active Directory :
le cerveau du réseau
d'entreprise

Tout ce que l'administrateur système de Nkilitech doit savoir — de l'annuaire à la sécurité, de zéro à opérationnel.

Nkilitech IT Docs Niveau débutant → intermédiaire Bilingue FR · EN Windows Server 2019 / 2022

Nkilitech grandit. Cinquante postes hier, cent demain. Sans architecture centralisée, chaque machine devient une île, chaque incident une urgence manuelle, chaque départ d'employé un oubli de sécurité. Active Directory est la réponse à ce chaos.

Ce guide parcourt toutes les notions fondamentales d'AD DS — en français et en anglais — illustrées par des scénarios concrets tirés du quotidien de Nkilitech. Il ne présuppose aucune connaissance préalable, mais n'élude aucune complexité.

01
Fondation

Pourquoi Active Directory existe

Avant l'avènement de l'annuaire centralisé, les réseaux d'entreprise fonctionnaient en mode groupe de travail (Workgroup). Chaque poste Windows gérait sa propre base de comptes locaux. Un même employé possédait autant de comptes qu'il y avait de machines auxquelles il devait accéder.

Amara, responsable commerciale, oublie son mot de passe un lundi matin. L'administrateur doit se déplacer physiquement sur son poste, ouvrir lusrmgr.msc, et réinitialiser le compte local. Elle change de PC pour une démonstration client — son compte n'existe pas sur cette machine. Elle appelle à nouveau. Deux heures perdues avant 10h.

Active Directory Domain Services (AD DS) est la solution que Microsoft a introduite avec Windows 2000 Server. Il s'agit d'un annuaire centralisé — une base de données distribuée qui référence l'ensemble des ressources d'un réseau : utilisateurs, ordinateurs, groupes, imprimantes, stratégies.

Le poste de travail ne stocke plus les comptes. Il délègue l'authentification à un contrôleur de domaine (Domain Controller, DC). Ce DC connaît tous les comptes, toutes les règles, toutes les ressources autorisées pour chaque utilisateur.

Le protocole Kerberos — ce qui se passe en 2 secondes

Quand Kofi, développeur chez Nkilitech, tape NKILI\kofi.mensah et son mot de passe, il ne l'envoie pas sur le réseau. Le protocole Kerberos — nommé d'après le chien à trois têtes gardant les Enfers dans la mythologie grecque — orchestre un échange cryptographique en quatre étapes.

Kerberos — 4 échanges # Étape 1 : demande de ticket d'authentification Kofi (PC) → AS-REQ → DC (KDC) "Je suis kofi.mensah — voici une preuve chiffrée que je connais mon mot de passe." # Le mot de passe ne circule JAMAIS en clair sur le réseau. # Étape 2 : remise du passeport DC (KDC) → AS-REP → Kofi (PC) "Voici ton TGT (Ticket Granting Ticket) — valable 8 heures." # Étape 3 : demande d'accès à une ressource Kofi (PC) → TGS-REQ → DC (KDC) "J'ai mon TGT. Je veux accéder au serveur de fichiers." # Étape 4 : remise du ticket de service DC (KDC) → TGS-REP → Kofi (PC) "Voici ton Service Ticket pour \\fileserver.nkilitech.local" Kofi présente ce ticket au serveur → accès accordé (selon ses droits NTFS).
Pourquoi c'est important Si un attaquant intercepte le trafic réseau entre Kofi et le DC, il ne capture que des données chiffrées sans valeur. Le mot de passe réel ne transite jamais. C'est ce qui rend Kerberos supérieur à une simple transmission de mot de passe.

Une contrainte absolue de Kerberos : les horloges du poste et du DC doivent être synchronisées à moins de 5 minutes près. Si elles divergent, Kerberos rejette les tickets. Toute l'entreprise se retrouve bloquée. C'est pour cette raison que l'un des rôles FSMO — le PDC Emulator — sert de serveur de temps (NTP master) pour tout le domaine.

DNS — le GPS indispensable d'AD

Active Directory est totalement dépendant du DNS. Avant même de contacter le DC pour s'authentifier, le poste de Kofi doit trouver se trouve ce DC sur le réseau. Il envoie une requête DNS pour un enregistrement spécial appelé SRV record.

# Le poste cherche le DC via DNS Kofi (PC) → DNS Query: "_ldap._tcp.nkilitech.local ?" DNS Server → "DC1.nkilitech.local" à l'IP 192.168.1.10 Kofi (PC) → contacte 192.168.1.10 → authentification Kerberos # Si le DNS pointe vers Google (8.8.8.8) : le DC est introuvable. # Règle absolue : les postes du domaine doivent avoir le DC comme DNS primaire.
02
Sécurité

AAA — Authentification, Autorisation, Accounting

Le modèle AAA est le cadre conceptuel qui sous-tend tout contrôle d'accès réseau. Active Directory en est l'implémentation concrète chez Nkilitech.

A
Authentification (Authentication)

« Prouve-moi que tu es bien qui tu prétends être. » Kofi tape ses identifiants. Kerberos vérifie. Un token d'accès contenant son SID et ses groupes est créé pour sa session.

A
Autorisation (Authorization)

« Maintenant que je sais qui tu es, voilà ce que tu peux faire. » Les ACL NTFS comparent le token d'accès de Kofi avec les permissions du dossier \\fileserver\dev. Résultat : lecture et écriture autorisées. Accès à \\fileserver\rh : refusé.

A
Accounting (Traçabilité)

« Je garde une trace de tout ce que tu fais. » Chaque connexion, chaque accès à un fichier, chaque tentative échouée est enregistrée dans le journal de sécurité Windows (Security Event Log). Sans cela, quand un fichier disparaît chez Nkilitech, personne ne sait qui.

Event IDÉvénementUsage chez Nkilitech
4624Connexion réussieQui s'est connecté, depuis quel poste, à quelle heure
4625Échec de connexionTentatives de brute-force, mauvais mot de passe
4740Compte verrouilléTrop de tentatives — qui est bloqué
4663Accès à un objetQui a supprimé/modifié un fichier RH
4726Compte suppriméDétection de suppressions accidentelles ou malveillantes
4732Ajout à un groupeSuivi des élévations de privilèges
03
Analyse de risque

DICP / CIA — les quatre piliers de la sécurité

Avant de configurer quoi que ce soit, un administrateur responsable effectue une analyse DICP — ou CIA en anglais. Elle permet de cartographier les risques et de justifier les choix techniques.

FRENQuestion poséeViolation chez NkilitechSolution AD
DisponibilitéAvailabilityLe service est-il accessible quand on en a besoin ?Lenteurs réseau mensuelles — réplication AD non contrôlée sature le lien WANSites AD + RODC
IntégritéIntegrityLes données sont-elles fiables et non altérées ?Fichiers perdus sans trace — aucun audit NTFS activéAudit 4663 + Corbeille AD + Sauvegarde
ConfidentialitéConfidentialitySeules les personnes autorisées voient les données ?Partage réseau accessible à tous — films et musiques stockés librementACL NTFS + FSRM + GPO USB
PreuveNon-repudiationPeut-on prouver qui a fait quoi, quand ?Aucun journal d'audit — impossible d'identifier l'auteur d'une suppressionActivation des stratégies d'audit + SIEM
« Un incident USB mal maîtrisé viole simultanément les quatre piliers. C'est pourquoi la GPO de blocage est la première mesure à déployer. »
04
Architecture

Forêts, domaines et unités d'organisation

AD DS s'organise selon une hiérarchie à trois niveaux. Chaque niveau correspond à un périmètre d'administration et de confiance différent.

La Forêt (Forest)

La forêt est le conteneur de plus haut niveau dans Active Directory. C'est la frontière de sécurité absolue. Deux objets dans deux forêts différentes ne peuvent pas interagir sans une relation d'approbation (trust) explicite.

Tous les domaines d'une même forêt partagent le même schéma AD — la définition des types d'objets et de leurs attributs — et le même catalogue global (Global Catalog), un index de recherche accéléré de tous les objets de la forêt.

Nkilitech dispose d'une seule forêt : nkilitech.local. Si demain elle acquiert une filiale, cette dernière pourrait avoir sa propre forêt. Les deux entreprises auraient besoin d'un forest trust pour partager leurs ressources — sans jamais fusionner leurs annuaires.

Le Domaine (Domain)

Le domaine est l'unité d'administration principale. Il contient ses propres utilisateurs, ordinateurs, groupes et stratégies de groupe. Il a ses propres contrôleurs de domaine. Son nom suit la convention DNS : nkilitech.local.

Piège courant — nommage du domaine Le suffixe .local est une convention courante pour les domaines privés, mais elle peut créer des conflits avec mDNS (Bonjour, Avahi). Les bonnes pratiques actuelles recommandent d'utiliser un sous-domaine d'un nom public enregistré — par exemple ad.nkilitech.com — pour éviter toute collision avec l'Internet public.

L'Unité d'Organisation (Organizational Unit, OU)

Une OU est un conteneur à l'intérieur d'un domaine, équivalent d'un dossier. Elle sert à deux fins précises : organiser les objets de façon logique, et appliquer des stratégies de groupe (GPO) à un sous-ensemble d'objets.

# Structure OU recommandée pour Nkilitech nkilitech.local ├── OU=Siege-Paris │ ├── OU=Utilisateurs │ │ ├── OU=Direction │ │ ├── OU=Developpement # Kofi, Sara, etc. │ │ ├── OU=Commercial # Amara, etc. │ │ └── OU=Stagiaires # Droits restreints via GPO │ ├── OU=Ordinateurs │ │ ├── OU=Postes-Travail # Les 100 postes │ │ └── OU=Serveurs │ └── OU=Groupes └── OU=Site-Distant # Si second site # Créer une OU en PowerShell New-ADOrganizationalUnit ` -Name "Developpement" ` -Path "OU=Utilisateurs,OU=Siege-Paris,DC=nkilitech,DC=local"
Bonne pratique Une OU = une règle. Si le service développement nécessite des droits supplémentaires (accès Docker, ports ouverts) et que le service commercial doit être plus restreint, créer des OU séparées permet d'appliquer des GPO distinctes sans affecter les autres.
05
Infrastructure

Les 5 rôles FSMO

AD DS est une base de données multi-maître : n'importe quel contrôleur de domaine peut écrire des modifications. Mais certaines opérations sont incompatibles avec cette approche — elles nécessitent qu'un seul DC soit responsable à la fois. Microsoft a créé les FSMO (Flexible Single Master Operations, que les administrateurs prononcent « FIZMO ») pour répondre à ce besoin.

Forêt
Schema Master

Seul DC autorisé à modifier la structure de l'annuaire. Intervient lors de l'installation d'Exchange, SharePoint, ou d'une montée de niveau fonctionnel.

↓ Impact si tombe : faible — visible uniquement lors d'opérations de schéma.
Forêt
Domain Naming Master

Valide l'unicité et la cohérence lors de l'ajout ou de la suppression d'un domaine dans la forêt.

↓ Impact si tombe : faible — visible uniquement lors de création de domaines.
Domaine
PDC Emulator

Synchronise les horloges (NTP master), centralise les verrouillages de comptes, propage les mots de passe en priorité, éditeur GPO par défaut.

↑ Impact si tombe : CRITIQUE — Kerberos échoue si l'horloge dérive > 5 min.
Domaine
RID Master

Distribue des blocs de 500 Relative Identifiers aux DC. Chaque objet créé consomme un RID pour former son SID unique.

↓ Impact si tombe : modéré — visible quand le stock de RIDs est épuisé.
Domaine
Infrastructure Master

Met à jour les références entre objets de domaines différents (ex. : utilisateur d'un domaine membre d'un groupe d'un autre domaine).

↓ Impact si tombe : faible en forêt à domaine unique comme Nkilitech.
Attention — état actuel Nkilitech Si tous les rôles FSMO sont sur un seul DC (configuration par défaut jamais revue), la perte de ce serveur entraîne la perte simultanée des 5 rôles. Le PDC Emulator étant le plus critique, cette situation doit être corrigée en priorité : transférer au minimum l'Infrastructure Master sur un second DC.

Transférer et saisir les rôles FSMO

# Voir la répartition actuelle des rôles netdom query fsmo # Transférer le PDC Emulator vers DC2 (DC1 est encore vivant) Move-ADDirectoryServerOperationMasterRole ` -Identity "DC2.nkilitech.local" ` -OperationMasterRole PDCEmulator # Si DC1 est mort et irrécupérable — saisie forcée (seize) # ATTENTION : DC1 ne doit JAMAIS être remis en ligne après une saisie. ntdsutil roles connections → connect to server DC2.nkilitech.local → quit seize pdc seize rid master seize schema master quit quit
06
Infrastructure

Niveaux fonctionnels (Functional Levels)

Le niveau fonctionnel est la version minimale de Windows Server que tous les contrôleurs de domaine du domaine ou de la forêt doivent respecter. Il fonctionne comme un plus petit dénominateur commun : si un ancien DC tourne sous Server 2012 dans un parc Server 2022, les fonctionnalités sont bridées au niveau 2012.

Chaque élévation de niveau déverrouille des fonctionnalités supplémentaires :

NiveauFonctionnalités notables débloquées
Server 2008 R2Corbeille AD (AD Recycle Bin) — récupérer un objet supprimé sans restaurer depuis backup. Fine-Grained Password Policies (PSO) — mots de passe différents selon les groupes.
Server 2012 R2Kerberos armoring (FAST) — protection des échanges d'authentification. Stratégies de groupe dynamiques.
Server 2016Privileged Access Management (PAM) — comptes administrateur à durée de vie limitée.
Server 2022Chiffrement AES-256 renforcé pour Kerberos. Amélioration des contrôles d'accès dynamiques.
# 1. Vérifier que tous les DC sont bien sur le bon OS Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem # 2. Élever le niveau fonctionnel du domaine Set-ADDomainMode ` -Identity "nkilitech.local" ` -DomainMode Windows2016Domain # 3. Puis élever le niveau de la forêt Set-ADForestMode ` -Identity "nkilitech.local" ` -ForestMode Windows2016Forest # 4. Activer la corbeille AD (irréversible — faire un backup avant) Enable-ADOptionalFeature ` -Identity "Recycle Bin Feature" ` -Scope ForestOrConfigurationSet ` -Target "nkilitech.local"
Opération irréversible Élever le niveau fonctionnel ne peut pas être annulé. Effectuer un snapshot ou un System State backup complet de chaque DC avant de procéder. Tester au préalable sur une VM clone.
07
Infrastructure

Sites AD et réplication

Un Site AD représente un réseau physique disposant d'une bonne connectivité interne — typiquement un LAN. Un lien de site (Site Link) représente la connexion WAN entre deux sites.

Sans configuration de sites, AD considère que tous les DC sont sur le même LAN rapide et réplique en permanence, sans égard pour la bande passante disponible. Sur une liaison WAN lente, ce comportement sature le lien et provoque des lenteurs pour tous les utilisateurs distants.

Nkilitech ouvre un bureau à Abidjan avec une connexion ADSL de 6 Mbit. Un DC y est déployé pour authentifier les utilisateurs locaux. Sans configuration de sites, chaque modification d'AD à Paris (création d'utilisateur, changement de GPO, mise à jour de schéma) est immédiatement répliquée vers Abidjan — saturant parfois le lien pendant de longues minutes. Les utilisateurs locaux ne peuvent plus rien faire.

# Créer deux sites dans dssite.msc ou PowerShell New-ADReplicationSite -Name "Site-Paris" New-ADReplicationSite -Name "Site-Abidjan" # Associer les sous-réseaux aux sites New-ADReplicationSubnet -Name "192.168.1.0/24" -Site "Site-Paris" New-ADReplicationSubnet -Name "10.10.0.0/24" -Site "Site-Abidjan" # Créer un lien de site avec réplication limitée (toutes les 3h) New-ADReplicationSiteLink ` -Name "SiteLink-Paris-Abidjan" ` -SitesIncluded "Site-Paris","Site-Abidjan" ` -Cost 100 ` -ReplicationFrequencyInMinutes 180 # Forcer une réplication manuelle si besoin urgent repadmin /syncall /AdeP
Contrepartie Avec une réplication toutes les 3h, un compte créé à Paris n'existe à Abidjan qu'à la prochaine fenêtre. Pour les comptes urgents, déclencher une réplication manuelle ou utiliser un RODC avec mise en cache locale.
08
Infrastructure

RODC — le contrôleur de domaine en lecture seule

Un RODC (Read-Only Domain Controller) est un contrôleur de domaine qui ne peut recevoir que des données — il ne peut jamais en envoyer vers les autres DC. C'est une copie en lecture seule de l'annuaire.

Il a été conçu pour les sites distants à faible bande passante ou à sécurité physique insuffisante — comme le bureau d'Abidjan de Nkilitech, où la salle serveur n'est pas à accès restreint.

Avantages du RODC pour le site distant

  • Sécurité physique : si le serveur est volé, l'attaquant ne dispose que d'une copie en lecture seule. Il ne peut pas modifier l'annuaire du siège depuis cette machine compromise.
  • Bande passante : la réplication est unidirectionnelle (Paris → Abidjan uniquement). Le RODC peut mettre en cache les mots de passe des utilisateurs locaux, éliminant ainsi le trafic d'authentification à travers le WAN.
  • Administration locale déléguée : un utilisateur local peut être désigné administrateur du RODC sans avoir de droits Domain Admin sur le domaine complet.
# Déployer un RODC sur le serveur d'Abidjan Install-ADDSDomainController ` -DomainName "nkilitech.local" ` -SiteName "Site-Abidjan" ` -ReadOnlyReplica: $true ` -InstallDns: $true # Autoriser la mise en cache des mots de passe pour les utilisateurs locaux Add-ADDomainControllerPasswordReplicationPolicy ` -Identity "RODC-Abidjan" ` -AllowedList "GRP-Utilisateurs-Abidjan"
09
Architecture

Relations d'approbation (Trust Relationships)

Une relation d'approbation (trust) permet aux utilisateurs d'un domaine (ou d'une forêt) d'accéder aux ressources d'un autre domaine (ou d'une autre forêt), sans créer de comptes dupliqués.

TypeDirectionTransitivitéUsage
Intra-forêtBidirectionnelleOui (automatique)Tous les domaines d'une même forêt se font confiance par défaut
Externe (External)Uni ou bidirectionnelleNonConfiance avec un domaine d'une autre forêt, domaine spécifique uniquement
Forêt (Forest Trust)Uni ou bidirectionnelleOuiConfiance entre deux forêts entières — tous leurs domaines
Raccourci (Shortcut)Uni ou bidirectionnelleOuiOptimisation de l'authentification entre domaines d'une même forêt distants dans l'arbre

Nkilitech rachète TechBuild, qui dispose de son propre domaine techbuild.local dans une forêt séparée. Pour permettre aux équipes de collaborer sur les partages réseau sans fusionner les annuaires, l'administrateur crée un Forest Trust bidirectionnel entre nkilitech.local et techbuild.local. Les utilisateurs TechBuild peuvent accéder aux ressources Nkilitech avec leurs identifiants existants — et vice versa.

# Créer un trust bidirectionnel avec techbuild.local (via PowerShell) # À exécuter depuis un DC de nkilitech.local $cred = Get-Credential # Identifiants admin de techbuild.local New-ADTrust ` -Name "techbuild.local" ` -TrustType External ` -Direction Bidirectional ` -TrustingDomainName "techbuild.local" ` -RemoteCredential $cred
10
Sécurité

SID — le principal de sécurité

Le SID (Security Identifier) est l'identifiant unique et permanent de chaque objet Active Directory. C'est lui que Windows utilise réellement pour les contrôles d'accès — pas le nom affiché. Renommer un utilisateur ne change pas son SID, et donc ne modifie pas ses droits d'accès aux ressources.

# Format d'un SID S-1-5-21-3623811015-3361044348-30300820-1042 S → Identificateur SID 1 → Révision du format (toujours 1) 5 → Autorité (5 = NT Authority) 21 → Identificateur de sous-autorité (domaine) 3623811015-3361044348-30300820 → Identifiant unique de la forêt/domaine (généré à la création) 1042 → RID — portion variable, attribuée par le RID Master # Obtenir le SID d'un utilisateur Get-ADUser "kofi.mensah" -Properties SID | Select-Object SID

SID History — la mémoire des migrations

Lors d'une migration de comptes entre domaines, chaque utilisateur reçoit un nouveau SID dans le domaine cible. Or tous les droits NTFS sur les serveurs de fichiers référencent l'ancien SID. Sans correction, les utilisateurs migrés n'ont plus accès à rien.

La solution : SID History. L'outil de migration conserve l'ancien SID dans l'attribut sIDHistory du compte migré. Windows accepte les deux SID lors des contrôles d'accès, rendant la transition transparente pour les utilisateurs.

# Vérifier le SID History d'un compte migré Get-ADUser "amara.diallo" ` -Properties SIDHistory | Select-Object SIDHistory
SID History et sécurité Conserver indéfiniment un SID History après migration prolonge la surface d'attaque. Nettoyer les SID History une fois que tous les droits NTFS ont été mis à jour pour utiliser les nouveaux SID.
11
Administration

Utilisateurs, groupes et délégation

Les groupes AD — types et portées

AD distingue deux types de groupes (Sécurité et Distribution) et trois portées (Domaine local, Global, Universel).

PortéeContientPeut être utilisé surUsage typique
GlobalUtilisateurs et groupes globaux du même domaineN'importe quelle ressource de la forêtRegrouper les utilisateurs par rôle fonctionnel (GRP-Développeurs)
Domaine localComptes et groupes de n'importe quel domaineRessources du domaine local uniquementContrôler l'accès à une ressource (DL-Accès-Serveur-Dev)
UniverselN'importe quoi dans la forêtN'importe quelle ressource de la forêtGroupes cross-domaines en forêt multi-domaine

Le modèle AGDLP

AGDLP (Account → Global → Domain Local → Permission) est la règle d'or de la gestion des accès dans AD. Elle découple les identités des ressources, rendant l'administration évolutive.

# Exemple AGDLP pour l'accès au dépôt de code chez Nkilitech # A — Account : l'utilisateur kofi.mensah (membre de l'OU Développement) # G — Global Group : groupe fonctionnel GRP-Developpeurs ← kofi.mensah est membre de ce groupe # DL — Domain Local Group : groupe de ressource DL-Acces-Depot-Code ← GRP-Developpeurs est membre de ce groupe # P — Permission (NTFS sur la ressource) \\fileserver\dev → DL-Acces-Depot-Code : Lecture + Écriture # Résultat : Kofi accède à \\fileserver\dev # Demain, un nouveau développeur rejoint Nkilitech : # → Ajouter au groupe GRP-Developpeurs # → Il accède automatiquement à toutes les ressources du groupe # → Aucune modification des ACL NTFS nécessaire

La délégation de contrôle (Delegation of Control)

La délégation permet d'attribuer des droits d'administration précis et limités sur une OU, sans accorder les droits Domain Admins. C'est l'approche correcte pour permettre à un technicien ou à un stagiaire de gérer les tâches courantes.

Erreur fréquente et grave Ajouter un utilisateur au groupe Domain Admins « juste pour qu'il puisse réinitialiser les mots de passe » lui donne en réalité un accès total à l'annuaire, aux FSMO, au schéma, et à toutes les GPO. La délégation granulaire est toujours la bonne approche.
# Déléguer la réinitialisation des mots de passe à un technicien # Via l'interface : dsa.msc → clic droit sur OU → "Déléguer le contrôle" # Via PowerShell : $ouDN = "OU=Utilisateurs,OU=Siege-Paris,DC=nkilitech,DC=local" $userSID = (Get-ADUser "technicien.support").SID $acl = Get-ACL "AD:$ouDN" # GUID de l'opération "Reset Password" dans le schéma AD $resetPwdGUID = [GUID]"00299570-246d-11d0-a768-00aa006e0529" $userClassGUID = [GUID]"bf967aba-0de6-11d0-a285-00aa003049e2" $ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule( $userSID, "ExtendedRight", "Allow", $resetPwdGUID, "Descendents", $userClassGUID ) $acl.AddAccessRule($ace) Set-ACL "AD:$ouDN" $acl
12
Administration

GPO — Stratégies de groupe (Group Policy Objects)

Une GPO est un objet AD contenant un ensemble de paramètres de configuration applicables aux utilisateurs ou aux ordinateurs. C'est l'outil le plus puissant d'un administrateur : modifier une seule GPO peut impacter des centaines de postes simultanément.

L'ordre d'application LSDOU

Les GPO s'appliquent dans un ordre précis, de la moins prioritaire à la plus prioritaire. La dernière appliquée l'emporte.

  1. L — Local : stratégie locale du poste (gpedit.msc)
  2. S — Site : GPO liée au Site AD
  3. D — Domaine : GPO liée au domaine nkilitech.local
  4. OU — Organizational Unit : GPO liée à l'OU, de la plus haute à la plus profonde

Une GPO au niveau domaine impose un fond d'écran Nkilitech sur tous les postes. Une GPO liée à l'OU Direction définit un fond d'écran différent pour la direction. Sur les postes de la direction, c'est la GPO d'OU qui gagne. Sur tous les autres postes, le fond d'écran Nkilitech s'applique — sans aucune intervention manuelle.

GPO wallpaper — déploiement sur 100 postes

# 1. Copier l'image dans SYSVOL (répliqué automatiquement sur tous les DC) Copy-Item ".\logo-nkilitech.jpg" ` "\\DC1\SYSVOL\nkilitech.local\scripts\wallpaper-nkilitech.jpg" # 2. Créer la GPO New-GPO -Name "GPO-Wallpaper-Nkilitech" -Domain "nkilitech.local" # 3. Configurer le paramètre (chemin dans l'éditeur) : # Config. utilisateur → Stratégies → Modèles d'administration # → Bureau → Bureau → "Papier peint du Bureau" # → Activé → Chemin : \\DC1\SYSVOL\nkilitech.local\scripts\wallpaper-nkilitech.jpg # → Style : Remplir # 4. Lier la GPO à l'OU Postes-Travail New-GPLink ` -Name "GPO-Wallpaper-Nkilitech" ` -Target "OU=Postes-Travail,OU=Ordinateurs,OU=Siege-Paris,DC=nkilitech,DC=local" # 5. Forcer l'application immédiate gpupdate /force Invoke-GPUpdate -Computer "POSTE-AMARA" -Force # 6. Vérifier l'application (générer un rapport) gpresult /h C:\rapport-gpo.html && start C:\rapport-gpo.html

GPO blocage USB — suite à un incident de sécurité

# Chemin dans l'éditeur GPO # Config. ordinateur → Stratégies → Modèles d'administration # → Système → Accès au stockage amovible # → "Disques amovibles : refuser l'accès en lecture" → Activé # → "Disques amovibles : refuser l'accès en écriture" → Activé # Ou via registre (pour tous les types de stockage amovible) # "Toutes les classes de stockage amovible : refuser tout accès" → Activé

Politique de mots de passe affinée (PSO)

# PSO pour les administrateurs (plus stricte) New-ADFineGrainedPasswordPolicy ` -Name "PSO-Administrateurs" ` -Precedence 10 ` -MinPasswordLength 15 ` -PasswordHistoryCount 24 ` -MaxPasswordAge (New-TimeSpan -Days 30) ` -ComplexityEnabled $true ` -LockoutThreshold 3 ` -LockoutDuration (New-TimeSpan -Minutes 30) # Appliquer au groupe des admins Add-ADFineGrainedPasswordPolicySubject ` -Identity "PSO-Administrateurs" ` -Subjects "GRP-Admins-Nkilitech"
13
Accès aux ressources

Droits NTFS et serveur de fichiers

L'accès à un partage réseau est gouverné par deux couches de permissions indépendantes. Le résultat effectif est toujours la permission la plus restrictive des deux.

CoucheOù elle s'appliqueNiveaux disponiblesRecommandation
Droits de partage (Share Permissions)Connexion réseau au partageLecture / Modification / Contrôle totalMettre « Contrôle total » pour tous, gérer uniquement via NTFS
Droits NTFSChaque fichier et dossier individuellementLecture, Écriture, Exécution, Suppression, Modifier les permissions, Contrôle total (+ permissions spéciales)Définir ici la granularité réelle des accès

FSRM — bloquer les films et imposer des quotas

Le File Server Resource Manager est un rôle Windows Server qui permet de filtrer les types de fichiers et d'imposer des quotas d'espace par utilisateur ou par dossier.

# Installer FSRM Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools # Créer un groupe de fichiers médias à bloquer New-FsrmFileGroup ` -Name "Medias-Non-Autorises" ` -IncludePattern @("*.mp4","*.mkv","*.avi","*.mp3","*.flac","*.iso") # Appliquer un filtre sur le partage commun New-FsrmFileScreen ` -Path "D:\Partages\Commun" ` -IncludeGroup "Medias-Non-Autorises" ` -Active # Quota de 10 Go par dossier personnel New-FsrmQuota ` -Path "D:\Partages\Perso" ` -Template "10 GB Limit"
Audit des suppressions de fichiers Activer l'audit NTFS sur l'événement « Suppression » (Event ID 4663) sur les dossiers sensibles (RH, Comptabilité, Contrats). En cas de perte de fichier, filtrer le journal de sécurité sur cet ID pour identifier l'auteur, l'heure exacte et le poste source.
14
Sécurité des données

Chiffrement : BitLocker & EFS

Le chiffrement protège les données au repos — si un disque dur ou un ordinateur portable est physiquement volé, son contenu reste illisible sans la clé de déchiffrement.

BitLocker — chiffrement de volume complet

BitLocker chiffre l'intégralité d'un volume (disque système ou disque de données). Il est idéal pour les postes de travail fixes et les laptops chez Nkilitech.

Amara oublie son ordinateur portable dans le TGV Paris-Lyon. BitLocker est activé et la clé de récupération est sauvegardée dans AD. Le voleur allume le laptop : « Entrez la clé de récupération BitLocker (48 chiffres). » Impossible d'accéder aux données. L'administrateur récupère la clé depuis AD et la fournit à Amara pour déchiffrer ses données depuis un autre poste. Aucune fuite d'information.

# Déployer BitLocker via GPO (pour tous les postes) # Config. ordi → Stratégies → Modèles d'administration # → Composants Windows → Chiffrement de lecteur BitLocker # → "Choisir comment les lecteurs peuvent être récupérés" # → Exiger la sauvegarde dans AD DS avant d'activer BitLocker # Activer BitLocker sur un poste (PowerShell) Enable-BitLocker ` -MountPoint "C:" ` -EncryptionMethod Aes256 ` -RecoveryPasswordProtector # Sauvegarder la clé dans AD Backup-BitLockerKeyProtector ` -MountPoint "C:" ` -KeyProtectorId (Get-BitLockerVolume -MountPoint "C:").KeyProtector[0].KeyProtectorId # Récupérer la clé d'un poste depuis AD Get-ADObject ` -Filter {objectClass -eq "msFVE-RecoveryInformation"} ` -Properties msFVE-RecoveryPassword | Select-Object Name, msFVE-RecoveryPassword

EFS — chiffrement de fichiers individuels

L'Encrypting File System chiffre des fichiers ou dossiers individuels, lié au compte utilisateur. Son usage en entreprise est déconseillé sans infrastructure PKI robuste : si le compte est supprimé sans export préalable du certificat, les fichiers deviennent définitivement inaccessibles.

EFS chez Nkilitech Préférer BitLocker à EFS pour les postes de travail. Réserver EFS aux cas très spécifiques où un utilisateur unique doit chiffrer des fichiers qu'il est le seul à consulter, avec une procédure de sauvegarde du certificat de récupération documentée.
15
Résilience

Sauvegarde et restauration d'Active Directory

Active Directory est l'infrastructure critique de Nkilitech. Sans lui, plus d'authentification, plus d'accès aux ressources, plus de GPO. Un ransomware, une fausse manipulation ou une panne matérielle peut le corrompre en quelques secondes. La sauvegarde n'est pas optionnelle.

Quoi sauvegarderMéthodeFréquence recommandée
Base AD (ntds.dit) + SYSVOLSystem State Backup via wbadminQuotidienne — conservation 30 jours
GPOBackup-GPO -All via GPMC PowerShellAvant chaque modification, plus sauvegarde hebdomadaire
Données serveur de fichiersWindows Server Backup ou solution tierce (Veeam, Acronis)Quotidienne — conservation selon politique RTO/RPO
# Installer Windows Server Backup Install-WindowsFeature Windows-Server-Backup # Sauvegarde System State vers un partage réseau wbadmin start systemstatebackup ` -backupTarget:\\BackupServer\DC1-Backup ` -quiet # Planifier la sauvegarde quotidienne à 3h du matin schtasks /Create ` /TN "Backup-AD-SystemState" ` /TR "wbadmin start systemstatebackup -backupTarget:\\BackupServer\DC1 -quiet" ` /SC DAILY /ST 03:00 /RU SYSTEM # Sauvegarder toutes les GPO Backup-GPO -All ` -Path "\\BackupServer\GPO-Backups\$(Get-Date -Format 'yyyy-MM-dd')"

Deux types de restauration

Restauration non autoritaire (Non-authoritative) : le DC restauré se resynchronise ensuite avec les autres DC. À utiliser pour récupérer d'une corruption locale d'un seul DC alors que les autres sont sains.

Restauration autoritaire (Authoritative) : on indique à AD que cette version restaurée est la vraie, et qu'elle doit écraser les autres DC lors de la réplication. À utiliser quand une OU ou un grand nombre d'objets ont été supprimés par erreur sur tous les DC.

# Restauration autoritaire d'une OU supprimée # 1. Redémarrer le DC en DSRM (F8 au démarrage) # 2. Restaurer le System State wbadmin start systemstaterecovery ` -version:MM/JJ/AAAA-HH:MM ` -authsysvol # 3. Marquer la restauration comme autoritaire ntdsutil ` "activate instance ntds" ` "authoritative restore" ` "restore subtree OU=Developpement,OU=Utilisateurs,DC=nkilitech,DC=local" ` quit quit # 4. Redémarrer normalement — la réplication propage la restauration

La Corbeille AD — le filet de sécurité immédiat

Une fois la Corbeille AD activée (voir Section 6), un objet supprimé peut être restauré en quelques secondes depuis le Centre d'administration AD, avec tous ses attributs et appartenances aux groupes intacts.

# Restaurer un utilisateur supprimé par erreur Get-ADObject ` -Filter {displayName -eq "Kofi Mensah"} ` -IncludeDeletedObjects ` | Restore-ADObject # → Compte restauré en 5 secondes avec tous ses groupes et attributs.
Règle de base Tester la restauration une fois par trimestre sur un environnement de test. Une sauvegarde qui n'a jamais été testée n'est pas une sauvegarde — c'est un espoir. Documenter la procédure, chronométrer la durée, valider que tous les objets sont bien présents après restauration.
· · ·
Pour aller plus loin Ce guide couvre l'ensemble des fondements d'Active Directory Domain Services. Les sujets avancés — Microsoft Entra ID (Azure AD), synchronisation hybride avec Azure AD Connect, gestion des certificats (PKI/ADCS), protocoles LDAP et SAML — constituent les prochaines étapes naturelles pour l'infrastructure de Nkilitech.
Nkilitech — Documentation Technique Interne
Active Directory Domain Services · Guide de référence · Windows Server 2019/2022
Rédigé pour les équipes IT de Nkilitech · Usage interne

Notes et partages

0.0
0 avis approuve

Les notes et commentaires ne deviennent publics qu'apres validation admin.

Partager cet article

Facebook LinkedIn X WhatsApp Telegram

Laisser une note et un commentaire

Les commentaires avec liens, URLs ou adresses web sont refuses. Votre message apparaitra ici uniquement apres approbation admin.

Votre note
Aucun lien, aucune adresse web.

Commentaires approuves

Aucun commentaire approuve pour le moment.