Blog Sécurité des données

Services de domaine Active Directory (AD DS) : présentation et fonctions

Les AD DS (Active Directory Domain Services) constituent les fonctions essentielles d’Active Directory pour gérer les utilisateurs et les ordinateurs et pour permettre aux administrateurs système d’organiser les données en...
Michael Buckbee
3 minute de lecture
Dernière mise à jour 28 octobre 2021

Contents

    Les AD DS (Active Directory Domain Services) constituent les fonctions essentielles d’Active Directory pour gérer les utilisateurs et les ordinateurs et pour permettre aux administrateurs système d’organiser les données en hiérarchies logiques.

    AD DS fournit des certificats de sécurité, l’authentification unique (SSO), LDAP, et la gestion des droits.

    La compréhension d’AD DS est une priorité absolue pour les professionnels de la réponse aux incidents et de la cybersécurité. En effet, toutes les cyberattaques affecteront AD et, lorsqu’elles se produisent, vous devez savoir ce qu’il faut rechercher et comment y répondre.

    Téléchargez un Livre-Blanc sur la sécurité d'AD

    "Répondez enfin simplement aux questions 'Où sont mes données' ou 'Mes données sont-elles protégées ?' "

    Les avantages des services de domaine Active Directory

    Pour l’administration de base de vos utilisateurs et ordinateurs réseau, l’utilisation d’AD DS présente plusieurs avantages.

    • Vous pouvez personnaliser la façon dont vos données sont organisées de façon à répondre aux besoins de votre entreprise
    • Si cela s’avère nécessaire, vous pouvez gérer AD DS à partir de n’importe quel ordinateur du réseau
    • AD DS fournit une fonction intégrée de réplication et de redondance : si un contrôleur de domaine tombe en panne, un autre contrôleur de domaine prend la charge à son compte
    • Tout accès aux ressources réseau passe par AD DS, ce qui assure une gestion centralisée des droits d’accès au réseau

    active directory domain services benefits

    Services de domaine Active Directory (AD DS) : les termes à connaître

    Pour comprendre AD DS, il faut définir quelques termes clés.

    • Schéma : l’ensemble de règles utilisateur configurées qui régissent les objets et attributs dans AD DS.
    • Catalogue global : le conteneur de tous les objets AD DS. Si vous avez besoin de trouver le nom d’un utilisateur, ce nom est stocké dans le catalogue global.
    • Mécanisme de requête et d’index : ce système permet aux utilisateurs de se trouver les uns les autres dans AD. Par exemple, lorsque vous commencez à saisir un nom dans votre client de messagerie, ce dernier vous propose les correspondances possibles.
    • Service de réplication : le service de réplication garantit que tous les contrôleurs de domaine du réseau partagent le même catalogue global et le même schéma
    • Sites : les sites sont des représentations de la topologie réseau ; AD DS sait ainsi quels sont les objets qui vont ensemble, ce qui lui permet d’optimiser la réplication et l’indexation.
    • Lightweight Directory Access Protocol : LDAP est un protocole qui permet à AD de communiquer avec d’autres services d’annuaire sur d’autres plates-formes.

    Quels sont les services fournis par AD DS ?

    Voici les services fournis par AD DS, qui constituent les fonctionnalités de base d’un système de gestion centralisée des utilisateurs.

    • Services de domaines : stocke les données et gère les communications entre les utilisateurs et le contrôleur de domaine. Il s’agit de la principale fonctionnalité d’AD DS.
    • Services de certificat : permet à votre contrôleur de domaine de servir des certificats et des signatures numériques, ainsi qu’un chiffrement à clé publique.
    • Lightweight Directory Services : prend en charge LDAP pour des services de domaine multiplateformes, par exemple l’ensemble des ordinateurs Linux présents sur votre réseau.
    • Services de fédération d’annuaire : dans la même session, fournit une authentification SSO pour plusieurs applications. Ainsi, les utilisateurs ne sont pas obligés de ressaisir les mêmes identifiants.
    • Gestion des droits : contrôle les politiques en matière de droits à l’information et d’accès aux données. Par exemple, la gestion des droits détermine si vous pouvez accéder à un dossier ou envoyer un e-mail.

    Rôle des contrôleurs de domaine avec AD DS

    Les contrôleurs de domaine (CD) sont les serveurs de votre réseau qui hébergent AD DS. Les CD répondent aux demandes d’authentification et stockent les données AD DS. Les CD hébergent également d’autres services qui sont complémentaires à AD DS. Ces services sont les suivants :

    • KDC (Kerberos Key Distribution Center) : le kdc vérifie et chiffre les tickets kerberos utilisés par AD DS pour l’authentification
    • NetLogon : Netlogon est le service de communication des informations d’authentification.
    • Windows Time (W32time) : Kerberos impose que les horloges de tous les ordinateurs soient synchronisées.
    • IsmServ (Intersite Messaging) : Intersite messaging permet aux CD de communiquer les uns avec les autres pour la réplication et le routage inter-sites.

    complimentary active directory domain services hosted by domain controllers

    AD doit avoir au moins un contrôleur de domaine. Les CD sont les conteneurs des domaines. Chaque domaine fait partie d’une forêt AD, qui peut comporter un ou plusieurs domaines organisés en unités organisationnelles. AD DS gère les relations de confiance entre plusieurs domaines, ce qui vous permet d’accorder les droits d’accès des utilisateurs d’un domaine à d’autres domaines de votre forêt.

    Le concept le plus important à comprendre est qu’AD DS est un cadre de gestion du domaine, et que l’ordinateur employé par les utilisateurs pour accéder à AD est le contrôleur de domaine

    La cybersécurité moderne repose sur une connaissance approfondie d’Active Directory. Active Directory est au cœur des capacités des pirates à réaliser des infiltrations, des déplacements latéraux et des exfiltrations de données.  Mais, aussi discrets et astucieux soient-ils, ces pirates laissent des traces dans les logs d’AD lorsqu’ils se déplacent sur votre réseau.

    Varonis surveille ces traces dans AD, ainsi que l’activité sur les fichiers, les appels DNS, l’activité des VPN, et plus encore. Varonis met en corrélation ces données pour fournir une vision complète de chaque utilisateur et ordinateur dans AD, compare l’activité actuelle à une base de référence normalisée et à un catalogue de modèles de menace sur la sécurité des données, et identifie de façon proactive les menaces potentielles pesant sur vos données.

    Vous voulez en apprendre plus sur la sécurité d’Active Directory ? Ne manquez pas notre webinaire à la demande « 4 conseils pour protéger Active Directory. »

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    Michael Buckbee
    Michael Buckbee Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    comment-installer-et-importer-le-module-active-directory-pour-powershell
    Comment installer et importer le module Active Directory pour PowerShell
    comment-installer-et-importer-le-module-active-directory-pour-powershell
    Jeff Brown
    3 novembre 2021
    Le module Active Directory pour PowerShell est un outil puissant destiné à la gestion d’Active Directory. Découvrez comment installer et importer le module PowerShell dans ce tutoriel détaillé.
    qu’est-ce-qu’une-forêt-active-directory-?
    Qu’est-ce qu’une forêt Active Directory ?
    qu’est-ce-qu’une-forêt-active-directory-?
    Michael Buckbee
    15 février 2019
    Une forêt Active Directory (forêt AD) représente le plus haut niveau de conteneur logique dans une configuration Active Directory contenant des domaines, utilisateurs, ordinateurs et règles de groupe. « Mais attendez ! », dites-vous....
    les-10-meilleurs-tutoriels-web-sur-active-directory
    Les 10 meilleurs tutoriels Web sur Active Directory
    les-10-meilleurs-tutoriels-web-sur-active-directory
    Carl Groves
    1 décembre 2016
    Nous avons tous entendu parler des nombreux avantages d’Active Directory (AD) pour les responsables informatiques : cela leur facilite la vie car AD constitue un coffre-fort centralisé d’informations sur les utilisateurs,...
    utilisateurs-et-ordinateurs-de-l’active-directory-(aduc)-:-installation-et-utilisations
    Utilisateurs et ordinateurs de l’Active Directory (ADUC) : installation et utilisations
    utilisateurs-et-ordinateurs-de-l’active-directory-(aduc)-:-installation-et-utilisations
    Michael Buckbee
    12 août 2019
    ADUC (Active Directory Users and Computers) est un module de console d’administration Microsoft (snap-in) qui est utilisée pour administrer Active Directory (AD). Vous pouvez gérer des objets (utilisateurs, ordinateurs), des...