> Tech > Niveau fonctionnel du domaine, objets PSO et stratégies de mots de passe

Niveau fonctionnel du domaine, objets PSO et stratégies de mots de passe

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Le seul point noir à noter pour profiter de cette nouvelle fonctionnalité de gestion des mots de passe, est que le domaine devra utiliser le niveau fonctionnel Windows Server 2008. Ce point est particulièrement important à souligner car cela signifie que tous les contrôleurs de domaine du dit domaine devront

au préalable avoir été mis à niveau vers Windows Server 2008.

DNS… Vous avez dit DNS ?
Eh oui ! C’est toujours la faute au DNS, même avec Windows Server 2008 !
• Dns server role
– Background Zone Loading
– IPv6 support – Read-only DC support
– GobalNames zone

• Dns client
– LLMNR (Logical Link Multicast Name Resolution)
– Contrôle periodic du meilleur DC par le client
– Système de recherche du DC le plus proche (non activé par defaut)

Nouvelle fonctionnalité AD DS : Contrôleurs de domaine en mode Lecture Seule, un rôle parfois indispensable pour sécuriser les contrôleurs d’agencesIl s’agit d’un nouveau type de contrôleur de domaine permettant aux entreprises de déployer des contrôleurs dans des emplacements moins sécurisés. Le principe d’un contrôleur de domaine en mode lecture seule (RODC pour Read Only Domain Controller) consiste à marquer les partitions Actives Directory (NC, Naming contexts) en mode lecture seule. Nous allons voir plus loin que cette modification entraîne de nombreux changements.

Pour rappel, les partitions de type Global Catalog fonctionnent déjà sur ce principe. En effet, un contrôleur de domaine de type catalogue global dans un domaine donné possède une copie en lecture seule de toutes les partitions de domaines membres de la même forêt. Ce type de partition est appelé « Read Only Partial Replica Set ». Il est donc par principe impossible d’en modifier directement le contenu.

Le fonctionnement d’un contrôleur de type RODC, est quelque peu différent. En effet, lorsqu’une opération d’écriture LDAP sera reçue par le contrôleur, alors l’application recevra une référence vers un contrôleur disponible en écriture. L’opération d’écriture dirigée ver le RODC est donc tout simplement déroutée. Une fois l’opération d’écriture réalisée sur le contrôleur distant disponible en écriture, une réplication unidirectionnelle vers le contrôleur RODC aura lieue. Cette approche garantit qu’aucune corruption Active Directory ne peut se produire sur le site où le contrôleur RODC réside. L’infrastructure toute entière est donc protégée. Finalement, c’est un peu comme avec la réplication des BDC Windows NT !

Il est vraiment recommandé d’utiliser les serveurs RODC pour assurer des services d’infrastructure sur des sites distants difficiles à sécuriser (lieus publics, campus, etc.). Cela pourra aussi être le cas lorsque des applications tierces sont installées localement sur le contrôleur de domaine et que ces applications sont administrées à l’aide d’une session terminal. L’utilisation du mode RODC, sécurise les données Active Directory du contrôleur local et minimise les risques de sécurité sur l’ensemble de la forêt. Ce principe garantit que ni la base de données Active Directory, ni les objets y étant stockés, ne peuvent être localement directement modifiés.

Téléchargez cette ressource

Livre blanc Sécurité et Stockage des documents

Livre blanc Sécurité et Stockage des documents

Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT