V.V Questionnaire sur l'Active Directory
Questionnaire sur l'Active Directory
Section 1: Concepts de base
Qu'est-ce que l'Active Directory (AD) et quel est son rôle dans un environnement informatique d'entreprise?
Active Directory (AD) est un annuaire numérique : il répertorie l’ensemble des éléments informatiques d’une entreprise comme par exemple des ordinateurs, des imprimantes, des serveurs mais aussi des utilisateurs. En enregistrant tous ces éléments, l’équipe informatique d’une entreprise est en capacité de mettre en place une partie de sa PSSI et sécurise son environnement grâce à l’instauration de règles (restriction ou privilèges en fonction du statut de salarié).
Quels sont les avantages de l'utilisation de l'Active Directory dans la gestion des ressources informatiques d'une organisation?
Grâce aux différents journaux d’événements, le service informatique peut surveiller ce qui se passe dans son parc informatique.
De plus, avoir un parc totalement enregistré dans un AD permet aux supports de dépanner plus rapidement les utilisateurs.
En résumé, l’utilisation et l’accès des ressources informatiques est simplifiée pour les utilisateurs et l’administration est simplifiée pour l’équipe informatique.
Quelle est la différence entre un domaine et une forêt dans l'Active Directory?
Expliquez le concept de contrôleur de domaine (DC) et son rôle dans l'infrastructure Active Directory.
Lorsqu’un domaine est créé, le serveur est promu contrôleur de domaine : il devient une pierre angulaire du système informatique sur une portée définie par le SI. Un domaine permet par exemple à un utilisateur d’avoir un compte où il peut se connecter sur plusieurs ordinateurs du même service et retrouver ses fichiers personnels. Le contrôleur de domaine va recevoir l’ensemble des requêtes de connexion, stockera et copiera l’annuaire AD et instaurera les GPO.
Dans une entreprise avec plusieurs succursales réparties dans la région Hauts-de-France par exemple, ce contrôleur de domaine a soit une portée dans sa succursale ou, s’il est contrôleur principal, avoir des accès et des droits sur les autres contrôleurs de domaine (généralement appelés des sous-domaines). L’ensemble de ces domaines est la représentation d’un arbre ! Appelons-le l’arbre HDF.
Imaginons que l’entreprise est présente en région Ile-de-France … dans plusieurs villes … on peut affirmer qu’elle possède un “arbre IDF”. La liaison de ces arbres est la représentation d’une forêt. Ces arbres partagent un schéma d’annuaire commun et un catalogue global. Bien que les arbres sont autonomes, la présence de la forêt facilite la communication de toute son architecture, c’est-à-dire des domaines.
Section 2: Structure de l'Active Directory
Qu'est-ce qu'une unité d'organisation (OU) dans l'Active Directory et à quoi sert-elle?
Une unité d’organisation (UO) est un objet de type « conteneur » permettant d’améliorer la structure hiérarchisée d’Active Directory. Ces conteneurs peuvent accueillir des utilisateurs, des groupes d’utilisateurs, des ordinateurs et des Group Policy Object (GPO). Les OU servent à définir les droits de chaque groupe.
Comment les groupes dans l'Active Directory facilitent-ils la gestion des autorisations et des stratégies?
Les groupes permettent une attribution plus simple des droits des différents services. Le groupe “service informatique” aura évidemment des privilèges par rapport à d’autres groupes. Le gain de temps d’établissement des GPO pour des salariés d’un même service est conséquent.
Section 3: Administration et Gestion
Quels outils d'administration pouvez-vous utiliser pour gérer l'Active Directory?
Il en existe plusieurs : l’utilisateurs et ordinateurs Active Directory (l’annuaire), Stratégie de sécurité locale, Sauvegarde Windows Server, Observateur d’événements …
Expliquez le processus de réplication dans l'Active Directory. Pourquoi est-ce important?
La réplication permet de répondre rapidement à une faille critique (une panne par exemple) d’un serveur via ce qu’on appelle la haute disponibilité. La haute disponibilité implique très souvent en informatique une redondance ou une réplication des données sensibles sur un ou plusieurs autres serveurs afin d’assurer une tolérance aux pannes. Mettre en place un contrôleur de domaine secondaire avec réplication de données de l’un sur l’autre semble donc être une solution appropriée pour toute entreprise! Le processus de réalisation s’effectue lors de la promotion d’un contrôleur de domaine secondaire. Lors de son installation, l’assistant d’installation Windows nous permettra de spécifier que le contrôleur de domaine principal sera la source de réplication.
Section 4: Sécurité
Qu'est-ce qu'un objet de sécurité dans l'Active Directory et comment est-il utilisé pour protéger les ressources?
Un objet de sécurité est une GPO : Group Policy Object, elle permet de gérer des stratégies de groupe. C’est utile pour restreindre les accès à certaines fonctionnalités dans un but de sécuriser un maximum le parc informatique/numérique de l’entreprise.
Comment pouvez-vous limiter l'accès à une ressource spécifique à un groupe d'utilisateurs dans l'Active Directory?
Pour limiter l’accès à une ressource spécifique à un groupe, on pourrait indiquer une GPO spécifique lui empêchant l’accès à cette ressource. Si cette ressource est un dossier, on pourrait également ne pas lui donner les droits d’accès (accessible dans les propriétés de partage et de sécurité de ce même dossier)
Quelles sont les meilleures pratiques pour sécuriser un environnement Active Directory contre les menaces externes?
Mettre à jour régulièrement les serveurs et l’ensemble du parc informatique Interdire sauf si nécessaire l’accès à internet aux contrôleurs de domaine Retirer tout support dispensable (lecteur disque par exemple) Ne pas accorder des privilèges excessifs aux collaborateurs de l’entreprise
Il serait judicieux de créer des labs pour tester la défense de l’environnement.
Aussi, mettre en place des politiques de sensibilisation de sécurité informatique aux collaborateurs permet aussi de sécuriser l’environnement AD.
Section 5: Problèmes courants et Dépannage
Quelles sont les étapes que vous suivriez pour résoudre un problème de connexion d'un utilisateur au domaine?
S’assurer dans un premier temps de la bonne identité de l’utilisateur (pas de soucis si l’intervention est physique évidemment.) Lorsqu’il se connecte, a-t-il un visuel sur le domaine ? On vérifie ici qu’il se connecte bien au domaine. Ensuite, vérifier que l’utilisateur renseigne bien son identifiant de connexion conformément à la nomenclature de son entreprise. Puis, s’il ne se connecte pas, lui donner un mot de passe temporaire, le faire déco/reco immédiatement et être disponible s’il a besoin d’aide pour renseigner son nouveau mot de passe.
Comment pouvez-vous restaurer un objet supprimé accidentellement dans l'Active Directory?
Il faut activer la corbeille depuis l’outil Centre d’administration Active Directory. Il est ensuite possible de restaurer les objets supprimés accidentellement via l’interface graphique, en ligne de commande. Il existe aussi le programme de gestion d’annuaire LDAP avec initiant un ldap.exe.