ADUC (Active Directory Users and Computers) est un module de console d’administration Microsoft (snap-in) qui est utilisée pour administrer Active Directory (AD). Vous pouvez gérer des objets (utilisateurs, ordinateurs), des unités organisationnelles (UO) et les attributs de toutes ces entités.
ADUC est l’un des nombreux outils que vous pouvez utiliser pour administrer AD, mais comme il existe depuis Windows 2000, il s’agit de l’un des plus utilisés. Cet article va vous expliquer comment lancer et utiliser ADUC pour administrer votre Active Directory.
Téléchargez un Livre-Blanc sur la sécurité d'AD
Comment ajouter la console ADUC ?
Il se peut que certains d’entre vous se soient empressés de chercher la console ADUC sur leur ordinateur pour réaliser qu’elle ne s’y trouve pas. Elle ne fait pas partie de l’installation par défaut, et la façon de l’installer dépend de votre version de Windows.
Dans les versions actuelles de Windows, ADUC fait partie d’une suite d’outils d’administration appelée RSAT (Remote Server Administration Tools).
Outils d’administration de serveur distant (RSAT)
Dans une mise à jour datée d’octobre 2018, Microsoft a déplacé tous les outils d’administration Active Directory dans des « options à la demande » appelées RSAT. Les hackers font tout ce qu’ils peuvent pour réaliser des élévations de privilège et des exfiltrations. Ils n’ont pas besoin de RSAT pour causer des dégâts majeurs à votre réseau, mais il est certain que ces outils leur facilitent la tâche ! Si un attaquant parvient à s’emparer d’un ordinateur ou ADUC est installée, il peut alors changer les mots de passe et disposer des droits d’accès qu’il veut. Un scénario vraiment catastrophique.
Dans tous les cas, si vous voulez accéder à ADUC sur votre ordinateur, il vous faut installer RSAT. ADUC ne fait partie de l’installation par défaut d’aucune version de Windows. Pour l’installer, suivez les instructions ci-dessous :
Installez ADUC sous Windows 10 Version 1809 et supérieure
- À partir du menu Démarrer, sélectionnez Paramètres > Applications.
- Cliquez sur l’hyperlien situé sur la partie droite et intitulé “Manage Optional Features” (Gérer les fonctionnalités facultatives) puis cliquez sur le bouton “Add feature” pour Ajouter une fonctionnalité.
- Sélectionnez “RSAT outils Active Directory Domain Services Directory et services LDS (Lightweight Directory Services)”.
- Cliquez sur Installer
- Au terme de l’installation, une entrée supplémentaire apparaît dans le menu Outils d’administration Windows accessible depuis le menu Démarrer.
Installer ADUC sous Windows 8 et Windows 10 Version 1803 et inférieure
- Téléchargez et installez les Outils d’administration de serveur distant (RSAT) correspondant à votre version de Windows. Le lien fourni correspond à Windows 10 mais d’autres versions sont disponibles dans le Centre de téléchargement de Microsoft.
- Cliquez sur le bouton Démarrer et sélectionnez Panneau de configuration > Programmes > Activer ou désactiver des fonctionnalités Windows.
- Faites défiler la liste vers le bas et ouvrez Outils d’administration de serveur distant.
- Ouvrez Outils d’administration de rôles.
- Ouvrez Outils AD DS et AD LDS.
- Cochez Outils AD DS puis sélectionnez « OK ».
- Au terme de l’installation, vous aurez dans le menu Démarrer un dossier Outils d’administration. ADUC devrait se trouver dans cette liste.
Résolution des problèmes liés à l’installation de RSAT
Si un problème se produit et que vous ne parvenez pas à installer RSAT, cela peut être dû à deux problèmes d’installation fréquents. Tout d’abord, vérifiez que vous avez activé le pare-feu Windows. RSAT utilise l’infrastructure Windows Update et a donc besoin que le pare-feu Windows soit activé.
Après l’installation, il arrive parfois qu’il manque des onglets et des éléments similaires. Désinstallez et réinstallez. Vous aviez peut-être une version plus ancienne et la mise à jour n’a pas fonctionné à 100 %. Dans le menu Démarrer, vous pouvez également faire un clic droit sur ADUC et vérifier que le raccourci pointe bien vers %SystemRoot%\system32\dsa.msc. Si ce n’est pas le cas, vous devrez certainement désinstaller et réinstaller.
À quoi sert l’ADUC ?
ADUC peut couvrir la plupart de vos responsabilités d’administrateur AD. La tâche manquante la plus importante est probablement la gestion des objets de stratégie de groupe (GPO), mais à part ça vous pouvez quasiment tout faire avec ADUC.
Avec ADUC, vous pouvez gérer les rôles serveur FSMO, réinitialiser les mots de passe, déverrouiller les utilisateurs, changer l’appartenance aux groupes, et cette liste est loin d’être exhaustive. RSAT vous propose également d’autres outils que vous pouvez utiliser pour administrer AD.
- Centre d’administration Active Directory : permet d’administrer la corbeille AD (suppressions accidentelles), les politiques des mots de passe et d’afficher l’historique PowerShell.
- Domaines et approbations Active Directory : vous permet d’administrer plusieurs domaines pour gérer le niveau fonctionnel, le niveau fonctionnel des forêts, les UPN (User Principle Names), ainsi que les approbations entre domaines et forêts.
- Module Active Directory pour Windows PowerShell : permet d’administrer AD à partir de cmdlets PowerShell.
- Sites et services Active Directory : vous permet de voir et administrer les sites et services. Vous pouvez définir la topologie d’AD et planifier la réplication.
- ADSI Edit : ADSI Edit est un outil sommaire permettant de gérer les objets AD. Les experts AD déconseillent l’utilisation d’ADSI Edit et recommandent plutôt d’utiliser ADUC.
Examinons maintenant quelques cas d’utilisation d’ADUC.
ADUC pour la délégation de contrôle
Scénario : vous cherchez à limiter la responsabilité de l’équipe sysadmin à la gestion de domaines spécifiques sur votre réseau. Vous voudriez affecter deux sysadmins par domaine, un principal et un remplaçant. Voici comment vous pourriez procéder :
- Ouvrez ADUC en tant qu’Admin.
- Faites un clic droit sur le domaine et sélectionnez Delegate Control.
- Suivez l’assistant jusqu’à ce que vous obteniez cet écran. Ajoutez l’utilisateur ou les utilisateurs à qui vous voulez déléguer des responsabilités d’administration.
- Sélectionnez l’utilisateur et cliquez sur Next.
- Sélectionnez les tâches que vous déléguez à cet utilisateur.
- L’écran suivant vous affiche un récapitulatif ; cliquez sur Finish si tout vous semble correct.
ADUC pour ajouter de nouveaux utilisateurs à un domaine
Nous allons maintenant voir comment ajouter un nouvel utilisateur au domaine.
- Développez l’arborescence du domaine pour lequel vous voulez ajouter le nouvel utilisateur, faites un clic droit sur le dossier User et sélectionnez New -> User.
- Renseignez les champs vides et cliquez sur Next.
- Définissez un mot de passe, cochez les cases appropriées et cliquez sur Next.
- Vérifiez que l’utilisateur est correctement paramétré et cliquez sur Finish.
ADUC pour ajouter un nouveau groupe
Et pour créer un nouveau groupe, procédez comme suit :
- Comme précédemment, développez l’arborescence du domaine pour lequel vous voulez ajouter un nouveau groupe, puis sélectionnez New -> Group.
- Renseignez les champs dans l’assistant, en vous assurant de sélectionner le bouton approprié pour « Security » ou « Distribution ».
- Cliquez sur OK, repérez ensuite votre nouveau groupe et ouvrez-le, sélectionnez l’onglet Members et ajoutez à ce groupe les utilisateurs appropriés.
Plus vous en saurez sur les subtilités d’AD, mieux vous serez préparé pour le défendre.
Varonis surveille et automatise les tâches que les utilisateurs réalisent avec ADUC. Varonis fournit un journal d’audit complet de tous les événements AD (ajouts d’utilisateurs, connexions, modifications de groupe, modifications de GPO, etc.) et compare au fil du temps l’activité actuelle avec un comportement normal de référence. Toute nouvelle activité qui ressemble à une cyberattaque (force brute, collecte de tickets, élévation de privilèges, et plus encore) déclenche des alertes qui vous aident à protéger votre réseau contre l’exposition et la fuite de données.
Varonis permet d’autre part à vos propriétaires de données de contrôler qui a accès à leurs données. Varonis automatise le processus pour demander, approuver et vérifier l’accès aux données. Il s’agit d’une solution simple mais élégante à un problème de plus en plus important.
Vous voulez découvrir tous les moyens par lesquels Varonis peut vous aider à gérer et sécuriser AD ? Ne manquez pas ce webinaire à la demande : Les 25 principaux indicateurs de risques qui vous aideront à protéger Active Directory.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.