![\"JumpCloud\"](\"https:\/\/jumpcloud.com\/fr\/wp-content\/uploads\/sites\/2\/2022\/08\/Remote-work-ready-aspect-ratio-160x110-2.png\")
\n <\/div>\n \n D\u00e9barrassez-vous de votre contr\u00f4leur de domaine <\/p>\n
\n D\u00e9couvrez pourquoi et comment une approche de l'informatique sans domaine peut vous aider \u00e0 moderniser votre environnement. <\/p>\n <\/div>\n
Principes de base d’Active Directory<\/h2>\n\n\n\nQu’est-ce qu’Active Directory ?<\/h3>\n\n\n\n
Active Directory est un service d’annuaire \/ fournisseur d’identit\u00e9 qui permet aux administrateurs de connecter les utilisateurs aux ressources informatiques bas\u00e9es sur Windows. En outre, gr\u00e2ce \u00e0 AD, les services informatiques peuvent g\u00e9rer et s\u00e9curiser leurs syst\u00e8mes et applications bas\u00e9s sur Windows. Il stocke des informations sur les composantes du r\u00e9seau (par exemple, les utilisateurs, les groupes, les syst\u00e8mes, les r\u00e9seaux, les applications, les actifs num\u00e9riques, etc.) et sur leurs interrelations.<\/p>\n\n\n\n
Les administrateurs peuvent utiliser AD pour cr\u00e9er des utilisateurs et leur accorder l’acc\u00e8s aux ordinateurs portables, aux serveurs et aux applications Windows. Ils peuvent \u00e9galement utiliser AD pour contr\u00f4ler simultan\u00e9ment des groupes de syst\u00e8mes, en appliquant les param\u00e8tres de s\u00e9curit\u00e9 et les mises \u00e0 jour logicielles.<\/p>\n\n\n\n
L’acc\u00e8s et les contr\u00f4les sont effectu\u00e9s \u00e0 l’aide du concept de domaine. Le concept de domaine est essentiellement un concept d’inclusion et d’exclusion. Traditionnellement, cette approche \u00e9tait utilis\u00e9e pour les sites physiques. De nombreuses ressources informatiques \u00e9taient h\u00e9berg\u00e9es sur site et faisaient donc partie du domaine – c’est-\u00e0-dire du r\u00e9seau interne – et lorsqu’un utilisateur se trouvait sur le site physique, il avait acc\u00e8s \u00e0 toutes les ressources requises sur site. Si un utilisateur se trouvait hors site, il devait utiliser un VPN afin de simuler une connexion sur site. Cette approche fonctionnait bien lorsque les ressources informatiques et les personnes se trouvaient dans la m\u00eame proximit\u00e9 physique.<\/p>\n\n\n\n
AD fait partie du vaste espace de la gestion des identit\u00e9s et des acc\u00e8s (IAM) et est souvent compl\u00e9t\u00e9 par des solutions d’authentification unique (SSO) ou de MDM<\/a> (gestion des appareils mobiles), parmi tant d’autres. JumpCloud Directory Platform<\/a> est une de ses alternatives bas\u00e9es sur le cloud.<\/p>\n\n\n\n <\/p>\n\n\n\n Microsoft a pr\u00e9sent\u00e9 Active Directory au monde entier pour la premi\u00e8re fois en 1999 et l’a commercialis\u00e9 en m\u00eame temps que Windows\u00ae 2000 Server edition.<\/p>\n\n\n\n Active Directory tire profit des protocoles de r\u00e9seau pour DNS\/DHCP et le Lightweight Directory Access Protocol (LDAP), ainsi que de la version Microsoft de Kerberos pour l’authentification.<\/p>\n\n\n\n Nombreux sont ceux qui se demandent pourquoi AD ne prend-il pas en charge davantage de protocoles, tels que SAML et RADIUS<\/a>. Sans sp\u00e9culer sur leur raisonnement, nous sommes convaincus que l’avenir de l’IAM est constitu\u00e9 d’une approche multiprotocole. La prise en charge de protocoles tels que SAML et RADIUS peut \u00eatre r\u00e9alis\u00e9e par le biais de solutions compl\u00e9mentaires de Microsoft et de solutions tierces.<\/p>\n\n\n\n Nous pensons qu’AD est appel\u00e9 Active Directory parce qu’il met activement \u00e0 jour les informations stock\u00e9es dans l’annuaire. Par exemple, lorsqu’un administrateur ajoute ou retire un utilisateur de l’organisation, Active Directory transmet automatiquement cette modification \u00e0 tous les serveurs d’annuaire. Cela se produit \u00e0 intervalles r\u00e9guliers, de sorte que les informations restent toujours \u00e0 jour et synchronis\u00e9es.<\/p>\n\n\n\n Aujourd’hui, ce type de comportement \u00ab actif \u00bb est esp\u00e9rer de n’importe quel syst\u00e8me informatique. Mais, avant l’\u00e8re des services d’annuaire informatis\u00e9s, le concept d’un annuaire qui se maintient \u00e0 jour \u00e9tait plut\u00f4t novateur. N’oubliez pas qu’\u00e0 l’\u00e9poque o\u00f9 l’appellation “Active Directory” a \u00e9t\u00e9 invent\u00e9e, les encyclop\u00e9dies physiques \u00e9taient encore couramment utilis\u00e9es et le Wikipedia \u00ab actif \u00bb n’avait pas encore \u00e9t\u00e9 lanc\u00e9.<\/p>\n\n\n\n En g\u00e9n\u00e9ral, lorsqu’une organisation utilise Active Directory, chaque employ\u00e9 s’en sert tous les jours sans m\u00eame le savoir. Les gens utilisent Active Directory lorsqu’ils se connectent \u00e0 leurs machines de travail et lorsqu’ils acc\u00e8dent aux applications, aux imprimantes et aux partages de fichiers.<\/p>\n\n\n\n Mais les principaux utilisateurs d’Active Directory sont les administrateurs. Ces personnes exploitent, g\u00e8rent et configurent AD. Les administrateurs AD comprennent probablement toute l’\u00e9quipe informatique et peuvent \u00e9galement inclure des membres de l’\u00e9quipe de s\u00e9curit\u00e9, de DevOps ou d’ing\u00e9nierie.<\/p>\n\n\n\n Pratiquement toutes les organisations du monde utilisent une solution telle qu’Active Directory ou un autre fournisseur d’identit\u00e9. \u00c0 l’\u00e9poque moderne dans laquelle nous vivons, permettre et contr\u00f4ler l’acc\u00e8s aux ressources informatiques est l’un des aspects les plus importants du fonctionnement d’une organisation. Les solutions telles que les services d’annuaire permettent d’am\u00e9liorer leur productivit\u00e9.<\/p>\n\n\n\n Que les gens s’en rendent compte ou non, Active Directory fait tourner le monde des affaires depuis le d\u00e9but du si\u00e8cle. AD est en place dans presque toutes les grandes organisations et dans les petites \u00e9galement. C’est un outil si fondamental (qui ronronne toujours tranquillement en arri\u00e8re-plan) que de nombreuses personnes qui utilisent AD tous les jours ne r\u00e9alisent m\u00eame pas ce que c’est \u2013 encore moins qu’il est la cl\u00e9 de leur acc\u00e8s s\u00e9curis\u00e9 \u00e0 leur ordinateur portable, aux applications, au r\u00e9seau et m\u00eame aux fichiers. En bref, un service d’annuaire est ce qui relie les utilisateurs \u00e0 leurs ressources informatiques, et AD fait cela pour les utilisateurs \u00e0 leurs ressources Windows depuis pr\u00e8s de deux d\u00e9cennies.<\/p>\n\n\n\n Vous cherchez plus de r\u00e9ponses plus \u00e0 vos questions ? Nous avons un blog complet qui explique en profondeur pourquoi AD est si important<\/a>.<\/p>\n\n\n\n Un objet est le terme g\u00e9n\u00e9rique pour toute unit\u00e9 d’information stock\u00e9e dans la base de donn\u00e9es d’Active Directory. Les objets peuvent inclure des utilisateurs, des ordinateurs portables, des serveurs, et m\u00eame des groupes d’autres objets (expliqu\u00e9s ci-dessous).<\/p>\n\n\n\n AD permet aux administrateurs de g\u00e9rer des ensembles d’objets multiples ; ces ensembles sont connus sous le nom de groupes. Gr\u00e2ce aux GPO (objets de strat\u00e9gie de groupe)<\/a>, un administrateur peut apporter une modification \u00e0 un groupe et faire en sorte que cette modification s’applique \u00e0 tous les objets de ce groupe. Ils sont souvent utilis\u00e9s pour segmenter les utilisateurs ou les syst\u00e8mes par d\u00e9partement ou autorisation.<\/p>\n\n\n\n En r\u00e9sum\u00e9, la gestion par groupe rend l’administration informatique plus efficace.<\/p>\n\n\n\n Une for\u00eat est la partie la plus large de la structure logique d’Active Directory, qui comprend \u00e9galement des objets, des arbres, des domaines et des unit\u00e9s d’organisation (OU). Une for\u00eat d\u00e9crit un ensemble d’arbres, lesquels d\u00e9signent un ensemble de domaines. Alors, que sont les arbres et les domaines ?<\/p>\n\n\n\n Un domaine est un ensemble d’utilisateurs, d’ordinateurs et de p\u00e9riph\u00e9riques qui font partie de la m\u00eame base de donn\u00e9es Active Directory. Si une organisation poss\u00e8de plusieurs sites, elle peut avoir un domaine distinct pour chacun d’eux. Par exemple, une organisation internationale pourrait avoir un domaine pour son bureau de Londres, un autre pour son bureau de New York et un troisi\u00e8me pour son bureau de Tokyo.<\/p>\n\n\n\n Un arbre pourrait \u00eatre utilis\u00e9 pour regrouper ces trois domaines en tant que branches appartenant au m\u00eame arbre, pour ainsi dire. Une organisation qui poss\u00e8de plusieurs arbres pourrait alors les regrouper en une for\u00eat.<\/p>\n\n\n\n Il s’agit d’un concept fondamental d’Active Directory et il peut s’av\u00e9rer compliqu\u00e9. Si vous avez des questions, \u00e9crivez-nous et nous serons heureux de vous aider \u00e0 d\u00e9terminer le type de structure AD qui convient \u00e0 votre organisation.<\/p>\n\n\n\n Un contr\u00f4leur de domaine est tout serveur qui ex\u00e9cute les services de domaine Active Directory. Au moins un contr\u00f4leur de domaine est n\u00e9cessaire pour utiliser Active Directory, mais la plupart des organisations en ont au moins deux par site. Les grandes organisations multinationales peuvent avoir besoin de dizaines de contr\u00f4leurs de domaine sur chacun de leurs sites physiques afin d’assurer la haute disponibilit\u00e9 de leur instance AD. En g\u00e9n\u00e9ral, on pense que les contr\u00f4leurs de domaine sont li\u00e9s \u00e0 un bureau physique, ce qui, dans l’environnement actuel de t\u00e9l\u00e9travail, peut \u00eatre un d\u00e9fi.<\/p>\n\n\n\n Les utilisateurs individuels et leurs syst\u00e8mes sont connect\u00e9s au contr\u00f4leur de domaine par le r\u00e9seau. Lorsque les utilisateurs demandent l’acc\u00e8s \u00e0 des objets de la base de donn\u00e9es Active Directory, AD traite cette demande et autorise ou emp\u00eache l’acc\u00e8s \u00e0 l’objet en question.<\/p>\n\n\n\n Une fois dans le domaine, un utilisateur n’a pas besoin de saisir un autre nom d’utilisateur et un autre mot de passe pour acc\u00e9der aux ressources li\u00e9es au domaine auxquelles il a droit. L’authentification et l’acc\u00e8s se font de mani\u00e8re transparente. C’est la beaut\u00e9 du domaine. Mais ce concept commence \u00e0 s’effondrer lorsque des ressources non Windows sont introduites. Il pose \u00e9galement probl\u00e8me si les utilisateurs sont distants et ne sont pas physiquement rattach\u00e9s au domaine. Dans ce cas, l’utilisateur final doit se connecter au r\u00e9seau par VPN et \u00eatre authentifi\u00e9 par le contr\u00f4leur de domaine afin d’acc\u00e9der \u00e0 ses ressources Windows sur site.<\/p>\n\n\n\n Notez que Microsoft a \u00e9galement \u00e9tendu le concept de domaine \u00e0 Azure. Les organisations peuvent cr\u00e9er un domaine distinct sur Azure via Azure AD DS. Ce domaine est s\u00e9par\u00e9 et distinct des domaines sur site, bien que les deux puissent \u00eatre reli\u00e9s par une vari\u00e9t\u00e9 de technologies de connexion, notamment Azure AD Connect et Azure AD.<\/p>\n\n\n\n Il convient \u00e9galement de noter qu’il existe un nouveau concept appel\u00e9 Domainless Enterprise (entreprise sans domaine), qui consiste \u00e0 \u00e9liminer le concept de domaine, tout en conservant l’id\u00e9e d’un acc\u00e8s s\u00e9curis\u00e9 et sans friction aux ressources informatiques, o\u00f9 qu’elles se trouvent. Ce concept est particuli\u00e8rement utile pour les organisations qui exploitent des applications Web, une infrastructure en cloud et des plateformes non Windows (macOS, Linux).<\/p>\n\n\n\n AD DS configure essentiellement la base de donn\u00e9es d’objets qui sert de fondement \u00e0 la gestion d’AD. AD DS n’est pas le seul r\u00f4le de serveur associ\u00e9 \u00e0 Active Directory, mais on pourrait dire que c’est le r\u00f4le de serveur qui correspond le plus directement \u00e0 la fonctionnalit\u00e9 de base que les gens associent \u00e0 AD.<\/p>\n\n\n\n Lorsque les services de domaine Active Directory<\/a> sont install\u00e9s sur un serveur, celui-ci devient un contr\u00f4leur de domaine. Ce serveur stocke la base de donn\u00e9es Active Directory, qui contient une hi\u00e9rarchie d’objets et leur relation les uns avec les autres.<\/p>\n\n\n\n Active Directory est g\u00e9r\u00e9 par un administrateur au moyen d’une interface graphique client lourd qui ressemble au gestionnaire de fichiers de Windows (photo ci-dessus). Cette application fonctionne sur un serveur Windows et n’est pas une application moderne bas\u00e9e sur un navigateur. Les administrateurs peuvent pointer, cliquer et faire glisser des objets dans AD et ajuster leurs param\u00e8tres en cliquant sur le bouton droit de la souris et en acc\u00e9dant au menu d\u00e9roulant.<\/p>\n\n\n\n AD peut \u00e9galement \u00eatre contr\u00f4l\u00e9 par la ligne de commande et par des outils qui exploitent PowerShell, le langage de Microsoft pour l’automatisation et les t\u00e2ches API.<\/p>\n\n\n\n La plus grande id\u00e9e pr\u00e9con\u00e7ue concernant Azure AD<\/a> est qu’il s’agit d’une version autonome d’Active Directory dans le cloud. Mais la v\u00e9rit\u00e9 est qu’Azure AD n’a pas du tout \u00e9t\u00e9 con\u00e7u \u00e0 cet effet<\/a>. Au contraire, Azure AD a \u00e9t\u00e9 cr\u00e9\u00e9 dans le but d’\u00e9tendre l’instance Active Directory existante au cloud, pas de le remplacer.<\/p>\n\n\n\n Pour mieux comprendre la relation entre AD et AAD, le diagramme de l’architecture de r\u00e9f\u00e9rence de Microsoft peut s’av\u00e9rer utile.<\/p>\n\n\n Le concept peut repr\u00e9senter beaucoup de travail avec de nombreuses pi\u00e8ces mobiles : synchronisez votre AD sur site avec Azure AD Connect et vous pouvez connecter votre base de donn\u00e9es existante d’identit\u00e9s et de groupes d’utilisateurs aux ressources en cloud d’Azure. Bien entendu, vous avez besoin d’Azure AD et, si vous souhaitez cr\u00e9er un domaine dans Azure, vous aurez \u00e9galement besoin du produit Azure AD DS.<\/p>\n\n\n\n Azure AD peut r\u00e9aliser beaucoup de t\u00e2ches qu’Active Directory est incapable d’accomplir par lui-m\u00eame (par exemple, il dispose d’un composant int\u00e9gr\u00e9 d’authentification unique pour les applications Web) – et la plateforme Azure de Microsoft couvre une fonctionnalit\u00e9 si large que vous pouvez la consid\u00e9rer comme le concurrent Microsoft d’Amazon Web Services. Mais cela ne signifie pas qu’Azure AD peut faire tout ce qu’Active Directory sur site peut faire.<\/p>\n\n\n\n Azure AD Connect est un outil utilis\u00e9 pour f\u00e9d\u00e9rer les identit\u00e9s Active Directory sur site vers des ressources h\u00e9berg\u00e9es au sein de la plateforme Azure, tout ceci, par le biais d’Azure Active Directory. Ces ressources peuvent inclure des syst\u00e8mes, des serveurs et des applications Office 365\u2122 et Azure.<\/p>\n\n\n\n On pourrait dire d’Active Directory qu’il \u00e9tait le SSO avant m\u00eame que le SSO n’existe. Nous entendons par l\u00e0 qu’il peut offrir une exp\u00e9rience d’authentification unique aux utilisateurs en centralisant l’acc\u00e8s \u00e0 toutes les ressources Windows au sein de la base de donn\u00e9es. Ces ressources sont toutes pr\u00e9sentes sur site ou du moins connect\u00e9es au domaine.<\/p>\n\n\n\n Cela dit, ce que l’industrie consid\u00e8re conventionnellement comme le SSO (authentification unique pour applications Web) est tr\u00e8s diff\u00e9rent d’AD. En fait, le SSO conventionnel est n\u00e9 de l’incapacit\u00e9 d’AD \u00e0 authentifier les utilisateurs dans les applications Web au milieu des ann\u00e9es 2000. Aujourd’hui, de nombreuses organisations compl\u00e8tent encore leur Active Directory par un outil de SSO pour applications Web bas\u00e9 sur un navigateur.<\/p>\n\n\n\n Cependant, de nouvelles exigences commerciales ont amen\u00e9 le concept de SSO \u00e0 s’\u00e9tendre d\u00e9sormais aux appareils, aux r\u00e9seaux, aux serveurs de fichiers, et plus encore, de sorte que le concept moderne de SSO va au-del\u00e0 du simple acc\u00e8s aux ressources Windows ou m\u00eame aux applications Web. Le concept de True SSO est encore plus \u00e9tendu et tr\u00e8s pertinent pour les organisations modernes o\u00f9 les utilisateurs et leurs ressources informatiques peuvent se trouver partout dans le monde.<\/p>\n\n\n\n Oui, Active Directory est un logiciel d\u00e9velopp\u00e9 par Microsoft qui est install\u00e9, maintenu et mis \u00e0 jour sur du mat\u00e9riel serveur bas\u00e9 sur Windows. Le logiciel AD est conc\u00e9d\u00e9 sous licence par le biais d’un concept appel\u00e9 CAL (licences d’acc\u00e8s client), entre autres m\u00e9canismes. L’octroi de licences pour le logiciel AD peut \u00eatre assez complexe, il est donc pr\u00e9f\u00e9rable de discuter avec un revendeur Microsoft.<\/p>\n\n\n\n En outre, le logiciel et le mat\u00e9riel AD ne constituent pas une solution compl\u00e8te. Vous devrez vous procurer d’autres composants pour faire fonctionner AD, notamment des solutions de s\u00e9curit\u00e9, de haute disponibilit\u00e9, de sauvegarde, de VPN, etc.<\/p>\n\n\n\n Pas exactement. Cela dit, Active Directory a besoin d’un serveur Windows pour fonctionner. Un serveur ex\u00e9cutant le logiciel Active Directory Domain Services est appel\u00e9 contr\u00f4leur de domaine, qu’il s’agisse d’un mat\u00e9riel physique situ\u00e9 sur place ou d’un serveur virtuel.<\/p>\n\n\n\n Il serait plus exact de dire qu’Active Directory \u00ab contient \u00bb une base de donn\u00e9es. La base de donn\u00e9es Active Directory est le magasin de tous les utilisateurs, groupes, syst\u00e8mes, imprimantes et politiques du r\u00e9seau. Ces \u00e9l\u00e9ments sont connus sous le nom d’objets et peuvent \u00eatre manipul\u00e9s par les administrateurs qui utilisent Active Directory.<\/p>\n\n\n\n Non. Active Directory a \u00e9t\u00e9 d\u00e9velopp\u00e9 de mani\u00e8re priv\u00e9e par Microsoft et son code n’a pas \u00e9t\u00e9 mis \u00e0 la disposition du public comme un outil open source. La principale alternative open source \u00e0 Active Directory est OpenLDAP (les autres incluent FreeIPA, Samba, 389 Directory, et d’autres). Vous pouvez en savoir plus sur la diff\u00e9rence entre OpenLDAP et AD<\/a>.<\/p>\n\n\n\n Active Directory n’est pas LDAP, mais il utilise LDAP. AD est un service d’annuaire capable de communiquer via le protocole LDAP et de g\u00e9rer l’acc\u00e8s aux ressources bas\u00e9es sur LDAP. Le protocole principal d’AD est une version Microsoft de Kerberos.<\/p>\n\n\n\n En g\u00e9n\u00e9ral, pour faire fonctionner AD, vous avez besoin d’un serveur, d’une sauvegarde, d’un espace dans un centre de donn\u00e9es et de VPN. Il ne s’agit l\u00e0 que des \u00e9l\u00e9ments de base, mais pour la plupart des organisations, vous devez \u00e9galement prendre en compte la s\u00e9curit\u00e9, l’\u00e9quilibrage des charges \/ la haute disponibilit\u00e9, la sauvegarde des donn\u00e9es, etc. Vous aurez \u00e9galement besoin d’un administrateur informatique suffisamment comp\u00e9tent sur le plan technique pour installer, g\u00e9rer et maintenir AD.<\/p>\n\n\n\n Cela dit, les exigences mat\u00e9rielles et logicielles n\u00e9cessaires au fonctionnement d’Active Directory sont propres \u00e0 chaque organisation. Voici quelques aspects dont vous devez tenir compte pour d\u00e9terminer ce dont vous aurez besoin pour faire fonctionner AD :<\/p>\n\n\n\n Une \u00e9valuation pr\u00e9cise de votre environnement informatique est cruciale pour une utilisation efficace d’Active Directory, et prendre des raccourcis pourrait entra\u00eener des probl\u00e8mes de performance \u00e0 terme. Pour plus d’informations, vous pouvez consulter l’article de Microsoft sur la planification des capacit\u00e9s<\/a>. Vous voudrez \u00e9galement parler aux revendeurs Microsoft des licences, car elles peuvent \u00eatre complexes. Ces exigences en mati\u00e8re de licence peuvent inclure le logiciel du serveur, les licences d’acc\u00e8s client, etc.<\/p>\n\n\n\n Bien entendu, si vous disposez de syst\u00e8mes, d’applications, de serveurs de fichiers et d’une infrastructure r\u00e9seau non Windows, vous devrez \u00e9galement acheter des modules compl\u00e9mentaires tels que le SSO pour les applications Web, l’authentification multifactorielle, la gestion des acc\u00e8s privil\u00e9gi\u00e9s, la gouvernance et l’audit, etc.<\/p>\n\n\n\n Oui, il existe des limites avec Active Directory. Qu’il s’agisse du nombre maximum d’objets ou de GPO appliqu\u00e9es, Active Directory a ses restrictions. En voici quelques-unes :<\/p>\n\n\n\n Vous pouvez en savoir plus sur les limites d’Active Directory ici<\/a>. D’un point de vue pratique, il existe des limitations dues \u00e0 la capacit\u00e9 du mat\u00e9riel serveur, \u00e0 la bande passante, \u00e0 la latence des performances, etc. Les administrateurs informatiques devront comprendre l’ensemble de leur infrastructure pour comprendre comment leurs utilisateurs sont affect\u00e9s par ces types de limitations.<\/p>\n\n\n\n Prenez un moment pour r\u00e9fl\u00e9chir \u00e0 tous les efforts que vous avez d\u00e9ploy\u00e9s pour cr\u00e9er un environnement informatique s\u00fbr et transparent. Vous avez r\u00e9ussi \u00e0 fournir aux utilisateurs un acc\u00e8s optimal \u00e0 toutes les ressources informatiques dont ils ont besoin pour travailler. Vous avez mis en place tous les bons GPO. Votre structure logique est impeccable.<\/p>\n\n\n\n Sans sauvegarde, vous courez le risque de devoir tout recommencer.<\/p>\n\n\n\n Non seulement tout remettre en place est une corv\u00e9e, mais le reste de l’entreprise sera consid\u00e9rablement retard\u00e9 dans sa reprise de travail. Les employ\u00e9s ne pourront pas acc\u00e9der \u00e0 leurs ressources informatiques tant que vous n’aurez pas reconstruit votre configuration Active Directory. Par cons\u00e9quent, une strat\u00e9gie de sauvegarde de votre instance Active Directory peut vous faire gagner beaucoup de temps et d’\u00e9nergie en cas de panne ou de catastrophe. Pour obtenir des conseils sur les \u00e9l\u00e9ments \u00e0 prendre en compte dans votre plan de reprise apr\u00e8s sinistre, pensez \u00e0 lire ce post Reddit r\/sysadmin<\/a>.<\/p>\n\n\n\n Bien s\u00fbr, la sauvegarde d’AD n’est qu’un des sc\u00e9narios de catastrophe que vous devrez prendre en compte. Les connexions Internet peuvent \u00eatre coup\u00e9es, le mat\u00e9riel peut tomber en panne, des erreurs humaines peuvent survenir, etc. Tous ces \u00e9l\u00e9ments doivent \u00e9galement \u00eatre pris en compte. Comme le savent les administrateurs informatiques, les services d’authentification doivent fonctionner \u00e0 100%, 24h\/24.<\/p>\n\n\n\n D’ordre g\u00e9n\u00e9ral, la dur\u00e9e de vie estim\u00e9e d’un serveur est d’environ cinq ans. Apr\u00e8s cela, vous \u00eates en sursis. Si vous utilisez encore Windows Server 2003 ou Windows Server 2008, vous devez absolument penser \u00e0 acqu\u00e9rir un nouveau contr\u00f4leur de domaine. L’EOL de Windows Server 2003 a eu lieu en juillet 2015 et l’EOL de Windows Server 2008 a eu lieu le 14 janvier 2020.<\/p>\n\n\n\n Oui. Lors de la mise en place d’une infrastructure Active Directory, il existe certaines bonnes pratiques qui peuvent vous aider \u00e0 maintenir une s\u00e9curit\u00e9 forte et \u00e0 \u00e9viter les probl\u00e8mes de configuration. Voici quelques recommandations :<\/p>\n\n\n\n Bon nombre des meilleures pratiques \u00e9num\u00e9r\u00e9es ci-dessus vont dans ce sens : maintenez votre instance AD \u00e0 jour et corrig\u00e9e, et utilisez les principes du moindre privil\u00e8ge. N’utilisez pas votre contr\u00f4leur de domaine pour autre chose que les r\u00f4les requis pour les services de domaine.<\/p>\n\n\n\n En ce qui concerne la s\u00e9curit\u00e9 physique, vous pouvez envisager de verrouiller la salle des serveurs, d’installer des alarmes \u00e0 tous les points d’acc\u00e8s, de placer les locaux sous vid\u00e9osurveillance et de mettre en place des alarmes d’inondation et des syst\u00e8mes de pr\u00e9vention des incendies.<\/p>\n\n\n\n Vous devrez \u00e9galement former tous les utilisateurs qui ont acc\u00e8s \u00e0 AD sur les mani\u00e8res de l’utiliser en toute s\u00e9curit\u00e9. Lisez notre guide d\u00e9taill\u00e9 au sujet de la formation \u00e0 la s\u00e9curit\u00e9, Formation en s\u00e9curit\u00e9 101 : L’essentiel sur l’\u00e9ducation des employ\u00e9s<\/a>.<\/p>\n\n\n\n Bien entendu, pour de nombreuses organisations, le concept de s\u00e9curit\u00e9 physique peut \u00eatre confi\u00e9 \u00e0 un fournisseur de services en cloud, s’il en utilise un.<\/p>\n\n\n\n Il n’existe pas de formule universelle pour assurer la haute disponibilit\u00e9 (HA) de votre instance Active Directory. Chaque organisation a des besoins et des normes de disponibilit\u00e9 diff\u00e9rents. Mais la redondance est un incontournable pour tous, sauf pour les administrateurs les moins enclins \u00e0 prendre des risques. L’approche la plus courante dans les PME consiste \u00e0 disposer d’un contr\u00f4leur de domaine direct dans l’environnement de production, puis d’un deuxi\u00e8me pouvant servir de bascule. Cette strat\u00e9gie g\u00e9n\u00e9rale de redondance peut \u00eatre mise \u00e0 l’\u00e9chelle pour les grandes organisations et les entreprises.<\/p>\n\n\n\n Un certain nombre de composants mat\u00e9riels et d’infrastructure r\u00e9seau sont n\u00e9cessaires pour garantir la haute disponibilit\u00e9. De nombreuses organisations se tournent vers le cloud et font appel \u00e0 des fournisseurs de cloud pour les aider \u00e0 r\u00e9soudre les probl\u00e8mes de haute disponibilit\u00e9 et d’\u00e9quilibrage de charge.<\/p>\n\n\n\n Techniquement, oui, Active Directory fonctionne avec les appareils Mac<\/a>. Mais les capacit\u00e9s de gestion des utilisateurs et des syst\u00e8mes d’AD sont limit\u00e9es avec les Mac par rapport aux fonctionnalit\u00e9s des syst\u00e8mes Windows. Un contr\u00f4le approfondi et automatis\u00e9 des syst\u00e8mes Mac n’est possible qu’avec l’aide d’extensions d’annuaire tierces ou de MDM (gestionnaires de p\u00e9riph\u00e9riques mobiles). Le contr\u00f4le \u00e9troit des utilisateurs, y compris le provisionnement, le d\u00e9provisionnement et la modification des autorisations, est \u00e9galement difficile sur les Mac lorsqu’on utilise AD.<\/p>\n\n\n\n <\/p>\n\n\n\n Savoir comment utiliser AD est une comp\u00e9tence pr\u00e9cieuse, qui s’applique largement aux organisations du monde entier. L’apprentissage d’AD est particuli\u00e8rement utile si vous souhaitez travailler dans le secteur informatique et prendre en charge les p\u00e9riph\u00e9riques Windows, les services en Azure Cloud, Sharepoint et de nombreux autres logiciels et plateformes d’entreprise.<\/p>\n\n\n\n Cela dit, il est possible de faire carri\u00e8re dans l’informatique sans jamais apprendre AD. Les organisations modernes, tourn\u00e9es vers le cloud, \u00e9vitent compl\u00e8tement l’AD sur site et passent directement aux services d’annuaire cloud. Inscrivez-vous d\u00e8s aujourd’hui pour un essai gratuit de 30 jours<\/a>. L’Universit\u00e9 JumpCloud peut \u00e9galement vous aider \u00e0 apprendre les concepts relatifs \u00e0 une plateforme d’annuaire en cloudet \u00e0 l’entreprise sans domaine.<\/p>\n\n\n\n Il s’agit d’une id\u00e9e pr\u00e9con\u00e7ue tr\u00e8s r\u00e9pandue. Si AD est techniquement inclus dans Windows Server, les serveurs sur lesquels il fonctionne ne le sont certainement pas, et Microsoft gagne intelligemment de l’argent avec les clients AD par le biais de licences pour Windows Server. Le co\u00fbt des CAL (Client Access License) garantit que les organisations utilisant AD continueront \u00e0 payer Microsoft mois apr\u00e8s mois.<\/p>\n\n\n\n Mais les CAL ne sont qu’un co\u00fbt de surface. Nous avons cr\u00e9\u00e9 un guide de budg\u00e9tisation pour Active Directory qui inclut le co\u00fbt de l’infrastructure associ\u00e9e, du logiciel Windows Server, de la liaison Mac et Linux\u00ae, de la f\u00e9d\u00e9ration d’identit\u00e9, de la maintenance et de l’administration, et de la s\u00e9curit\u00e9. Le co\u00fbt d’AD varie largement d’une organisation \u00e0 l’autre, mais il n’est jamais totalement gratuit.<\/p>\n\n\n\n Nous disposons d’une \u00e9quation assez simple pour estimer le co\u00fbt d’AD :<\/p>\n\n\n\n Co\u00fbts d’Active Directory = serveurs + logiciels + h\u00e9bergement + sauvegarde + s\u00e9curit\u00e9 + surveillance + VPN + administration informatique + logiciel tiers + authentification multifactorielle + gouvernance<\/p>\n\n\n\n Cela dit, le co\u00fbt r\u00e9el de l’AD pour votre cas d’utilisation sp\u00e9cifique n’est pas aussi simple. Si vous souhaitez acc\u00e9der \u00e0 notre calculateur de retour sur investissement des services d’annuaire, vous pouvez en faire la demande ici<\/a>.<\/p>\n\n\n\n Plus une entreprise est grande, plus elle est susceptible d’utiliser Active Directory. Les entreprises, les universit\u00e9s et les organisations gouvernementales ont toutes besoin de services d’annuaire afin de g\u00e9rer efficacement et en toute s\u00e9curit\u00e9 l’acc\u00e8s \u00e0 leurs milliers de ressources informatiques.<\/p>\n\n\n\n Si les petites organisations peuvent se passer d’Active Directory (certaines utilisent Google Workspace ou des solutions de SSO comme r\u00e9pertoire d’utilisateurs), de nombreuses petites \u00e9quipes choisissent tout de m\u00eame de mettre en \u0153uvre AD afin d’am\u00e9liorer la s\u00e9curit\u00e9 et l’efficacit\u00e9 de leur syst\u00e8me. En g\u00e9n\u00e9ral, c’est lorsqu’une organisation atteint une vingtaine de membres que les personnes responsables de l’ensemble de l’infrastructure informatique commencent \u00e0 penser qu’il est temps de mettre en place des services d’annuaire.<\/p>\n\n\n\n Au fur et \u00e0 mesure que les organisations se d\u00e9veloppent, le co\u00fbt et la complexit\u00e9 de l’exploitation d’AD peuvent augmenter de fa\u00e7on spectaculaire. De nombreuses organisations informatiques ont cherch\u00e9 diff\u00e9rents moyens de r\u00e9soudre ce probl\u00e8me et ont finalement cherch\u00e9 des alternatives \u00e0 Active Directory.<\/p>\n\n\n\n Pour parler en termes d’avantages simples, Active Directory offre les avantages suivants :<\/p>\n\n\n\n Mais Active Directory est \u00e9galement important dans la mesure o\u00f9 il pr\u00e9sente des inconv\u00e9nients :<\/p>\n\n\n\n La plupart des fonctions d’Active Directory peuvent \u00eatre r\u00e9alis\u00e9es sur un syst\u00e8me individuel autre qu’Active Directory. Par exemple, la configuration d’un nouvel utilisateur pour un ordinateur portable ou l’\u00e9tablissement d’un certain param\u00e8tre de s\u00e9curit\u00e9 peuvent \u00eatre effectu\u00e9s manuellement \u00e0 partir du syst\u00e8me d’exploitation. Mais le mot cl\u00e9 est manuel. Active Directory est n\u00e9cessaire lorsqu’une organisation a atteint une taille telle que l’administration manuelle de ses syst\u00e8mes et de ses ressources informatiques n’est plus possible. La capacit\u00e9 d’AD \u00e0 effectuer des t\u00e2ches de gestion de groupes d’utilisateurs et de syst\u00e8mes Windows, \u00e0 grande \u00e9chelle, est ce qui en a fait un incontournable pour les grandes organisations.<\/p>\n\n\n\n Une autre raison pour laquelle Active Directory peut s’av\u00e9rer n\u00e9cessaire est si une organisation est soumise \u00e0 des exigences d’audit et de conformit\u00e9. Les exigences rigoureuses en mati\u00e8re de s\u00e9curit\u00e9 impos\u00e9es par des r\u00e9glementations telles que HIPAA, PCI et GDPR \u00ab forcent souvent la main \u00bb d’organisations qui, autrement, n’auraient peut-\u00eatre pas besoin d’Active Directory.<\/p>\n\n\n\n Alors que de plus en plus d’organisations se tournent vers le cloud, exploitent des applications Web, utilisent des plateformes modernes, etc., le besoin d’AD s’estompe, bien que la n\u00e9cessit\u00e9 d’une solution holistique de gestion des identit\u00e9s et des acc\u00e8s soit plus cruciale que jamais.<\/p>\n\n\n\n Cela d\u00e9pend vraiment de vos besoins en mati\u00e8re de conformit\u00e9 : \u00eates-vous confront\u00e9 \u00e0 un audit PCI, HIPAA, SOX, SSAE 16 ou ISO ? La r\u00e9ponse courte est que vous n’avez jamais besoin d’AD pour passer un audit. D’une mani\u00e8re g\u00e9n\u00e9rale, les services d’annuaire peuvent \u00eatre tr\u00e8s utiles pour assurer la conformit\u00e9 car ils peuvent (1) s\u00e9curiser les identit\u00e9s, (2) limiter l’acc\u00e8s aux ressources et aux donn\u00e9es critiques et (3) simplifier les processus d’audit, de journalisation et de reporting. Cela dit, Active Directory n’est qu’une des nombreuses solutions d’annuaire qui peuvent contribuer \u00e0 renforcer votre s\u00e9curit\u00e9.<\/p>\n\n\n\n D\u00e9couvrez comment JumpCloud contribue \u00e0 la s\u00e9curit\u00e9 et \u00e0 la conformit\u00e9<\/a>.<\/p>\n\n\n\n Active Directory est id\u00e9al pour les environnements informatiques sur site, enti\u00e8rement bas\u00e9s sur Windows. Si votre environnement informatique ne correspond pas \u00e0 ce mod\u00e8le, vous devriez envisager de chercher des alternatives \u00e0 Active Directory<\/a>. Par exemple, si vous utilisez des syst\u00e8mes Mac\u00ae et Linux\u00ae, des applications Web, des serveurs en cloud, des r\u00e9seaux sans fil ou des serveurs de fichiers non Windows, vous aurez besoin de solutions compl\u00e9mentaires afin d’int\u00e9grer ces ressources \u00e0 Active Directory. \u00c0 long terme, cela finira par augmenter les co\u00fbts et r\u00e9duire la productivit\u00e9.<\/p>\n\n\n\n Alors que de nombreuses organisations passent au cloud, la possibilit\u00e9 d’utiliser des plateformes d’annuaire clouds modernes augmente. Celles-ci peuvent apporter de l’agilit\u00e9 aux organisations et leur permettre de r\u00e9aliser d’importantes \u00e9conomies.<\/p>\n\n\n\n Oui, il existe quelques alternatives \u00e0 Microsoft Active Directory. Tout d\u00e9pend de ce que vous voulez. Certaines organisations consid\u00e8rent la gestion manuelle des utilisateurs et des syst\u00e8mes comme une alternative viable \u00e0 AD. La gestion manuelle est faisable jusqu’\u00e0 un certain point, mais elle n’est tout simplement pas \u00e9volutive.<\/p>\n\n\n\n Le concurrent conventionnel d’AD est OpenLDAP\u2122. Il peut \u00eatre consid\u00e9rer comme l’alternative open source \u00e0 AD. Mais OpenLDAP n’est pas une vraie alternative \u00e0 AD. Il s’agit d’un service d’annuaire, mais il ne rivalise pas avec AD, fonctionnalit\u00e9 par fonctionnalit\u00e9, et le niveau global d’expertise technique pour configurer et maintenir une instance OpenLDAP est exigeant. Plus pr\u00e9cis\u00e9ment, OpenLDAP n’aide pas \u00e0 g\u00e9rer les syst\u00e8mes (par exemple, comme les capacit\u00e9s GPO d’AD).<\/p>\n\n\n\n Plus r\u00e9cemment, il existe des outils Web IAM qui offrent un certain degr\u00e9 d’IAM. Ce sont les SSO du monde entier, ainsi que des acteurs majeurs comme Google et sa plateforme Google Workspace pour les entreprises et les organisations. Cela dit, les approches de l’IAM bas\u00e9es sur les navigateurs ont toujours \u00e9chou\u00e9 lorsqu’il s’agit de l’ensemble des fonctionnalit\u00e9s des v\u00e9ritables services d’annuaire (c’est-\u00e0-dire la gestion des utilisateurs et des syst\u00e8mes). Il serait exag\u00e9r\u00e9 d’appeler le SSO ou Google Workspace une alternative \u00e0 AD, mais si vous \u00eates d’accord avec un ensemble de fonctionnalit\u00e9s limit\u00e9, c’est possible.<\/p>\n\n\n\n Vous pouvez \u00e9galement envisager des solutions MDM. L\u00e0 encore, elles offrent des fonctionnalit\u00e9s similaires \u00e0 celles d’AD, mais ne constituent pas de v\u00e9ritables services d’annuaire. Elles peuvent g\u00e9rer les syst\u00e8mes, mais ont du mal \u00e0 g\u00e9rer les utilisateurs.<\/p>\n\n\n\n Enfin, il y a les services d’annuaire en cloud, illustr\u00e9s par notre propre plateforme d’annuaire cloud. Pensez \u00e0 JumpCloud comme \u00e0 Active Directory et LDAP r\u00e9imagin\u00e9s pour l’informatique moderne. Les fonctionnalit\u00e9s multiples de JumpCloud comprennent la gestion robuste des syst\u00e8mes bas\u00e9s sur les groupes pour laquelle les services d’annuaire sont reconnus en connectant en toute s\u00e9curit\u00e9 l’identit\u00e9 d’un utilisateur unique \u00e0 son poste de travail (qu’il s’agisse de Windows, Mac ou Linux), ses fichiers, ses r\u00e9seaux et ses applications – sans avoir besoin d’un contr\u00f4leur de domaine.<\/p>\n\n\n\n Nous souhaitons que ce guide fasse autorit\u00e9, alors si vous avez d’autres questions auxquelles nous n’avons pas r\u00e9pondu, n’h\u00e9sitez pas \u00e0 nous en faire part<\/a>. Nous serons heureux de r\u00e9pondre \u00e0 toutes autres questions sur les DA ou modifier une r\u00e9ponse si vous pouvez nous \u00e9clairer davantage sur l’une d’entre elles. Ainsi, nous pourrons vraiment faire de ce document une FAQ ultime.<\/p>\n\n\n\nQuand Active Directory a-t-il \u00e9t\u00e9 lanc\u00e9 ?<\/h3>\n\n\n\n
Quels sont les protocoles utilis\u00e9s par AD ?<\/h3>\n\n\n\n
Pourquoi l’Active Directory est-il appel\u00e9 \u00ab active \u00bb ?<\/h3>\n\n\n\n
Qui utilise Active Directory ?<\/h3>\n\n\n\n
Pourquoi Active Directory est-il important ?<\/h3>\n\n\n\n
D\u00e9finitions d’Active Directory<\/h2>\n\n\n\n
Que sont les objets d’Active Directory ?<\/h3>\n\n\n\n
Que sont les groupes Active Directory ?<\/h3>\n\n\n\n
Que sont les for\u00eats, les arbres et les domaines dans Active Directory ?<\/h3>\n\n\n\n
Qu’est-ce qu’un contr\u00f4leur de domaine ?<\/h3>\n\n\n\n
Qu’est-ce que les services de domaine Active Directory (AD DS) ?<\/h3>\n\n\n\n
Comment fonctionne Active Directory ?<\/h3>\n\n\n
![\"Active](\"https:\/\/jumpcloud.com\/\/wp-content\/uploads\/sites\/2\/2022\/08\/ad-screenshot.png\")
<\/figure><\/div>\n\n\nQu’est-ce qu’Azure\u00ae Active Directory ?<\/h3>\n\n\n\n
![\"Azure](\"https:\/\/jumpcloud.com\/\/wp-content\/uploads\/sites\/2\/2022\/08\/Azure-Architecture-Diagram-2.png\")
<\/figure><\/div>\n\n\nQu’est-ce qu’Azure AD Connect ?<\/h3>\n\n\n\n
AD : ce qu’il est et ce qu’il n’est pas<\/h2>\n\n\n\n
Active Directory est-il un syst\u00e8me d’authentification unique (SSO) ?<\/h3>\n\n\n\n
Active Directory est-il un logiciel ?<\/h3>\n\n\n\n
Active Directory est-il un serveur ?<\/h3>\n\n\n\n
Active Directory est-il une base de donn\u00e9es ?<\/h3>\n\n\n\n
Active Directory est-il open source ?<\/h3>\n\n\n\n
Active Directory est-il LDAP ?<\/h3>\n\n\n\n
Fonctionnalit\u00e9 d’Active Directory<\/h2>\n\n\n\n
De quoi avez-vous besoin pour faire fonctionner Active Directory ?<\/h3>\n\n\n\n
\n
Quelles sont les limites d’Active Directory ?<\/h3>\n\n\n\n
\n
Pourquoi sauvegarder Active Directory ?<\/h3>\n\n\n\n
Quand doit-on remplacer Windows Server ?<\/h3>\n\n\n\n
Existe-t-il de bonnes pratiques de s\u00e9curit\u00e9 pour Active Directory ?<\/h3>\n\n\n\n
\n
Comment s\u00e9curiser Active Directory ?<\/h3>\n\n\n\n
Comment assurer la haute disponibilit\u00e9 avec AD ?<\/h3>\n\n\n\n
Active Directory peut-il fonctionner avec des Mac ?<\/h3>\n\n\n\n
Pourquoi apprendre \u00e0 utiliser Active Directory ?<\/h3>\n\n\n\n
\u00c9valuer Active Directory<\/h2>\n\n\n\n
Active Directory est-il gratuit ?<\/h3>\n\n\n\n
Comment puis-je calculer le co\u00fbt r\u00e9el d’Active Directory ?<\/h3>\n\n\n\n
Quelle est la taille des organisations qui ont besoin d’AD ?<\/h3>\n\n\n\n
Quels sont les avantages et les inconv\u00e9nients d’Active Directory ?<\/h3>\n\n\n\n
\n
\n
Quand Active Directory est-il n\u00e9cessaire ?<\/h3>\n\n\n\n
Ai-je besoin d’AD pour r\u00e9ussir notre audit ?<\/h3>\n\n\n\n
Quand ne devriez-vous pas utiliser Active Directory ?<\/h3>\n\n\n\n
Existe-t-il des alternatives \u00e0 AD ?<\/h3>\n\n\n\n
\n\n\n\nVous cherchez toujours des r\u00e9ponses ? Qu’avons-nous oubli\u00e9 ?<\/h2>\n\n\n\n