Niveau fonctionnel du domaine, objets PSO et stratégies de mots de passe

au préalable avoir été mis à niveau vers Windows Server 2008.

DNS… Vous avez dit DNS ?
Eh oui ! C’est toujours la faute au DNS, même avec Windows Server 2008 !
• Dns server role
– Background Zone Loading
– IPv6 support – Read-only DC support
– GobalNames zone

• Dns client
– LLMNR (Logical Link Multicast Name Resolution)
– Contrôle periodic du meilleur DC par le client
– Système de recherche du DC le plus proche (non activé par defaut)

Nouvelle fonctionnalité AD DS : Contrôleurs de domaine en mode Lecture Seule, un rôle parfois indispensable pour sécuriser les contrôleurs d’agencesIl s’agit d’un nouveau type de contrôleur de domaine permettant aux entreprises de déployer des contrôleurs dans des emplacements moins sécurisés. Le principe d’un contrôleur de domaine en mode lecture seule (RODC pour Read Only Domain Controller) consiste à marquer les partitions Actives Directory (NC, Naming contexts) en mode lecture seule. Nous allons voir plus loin que cette modification entraîne de nombreux changements.

Pour rappel, les partitions de type Global Catalog fonctionnent déjà sur ce principe. En effet, un contrôleur de domaine de type catalogue global dans un domaine donné possède une copie en lecture seule de toutes les partitions de domaines membres de la même forêt. Ce type de partition est appelé « Read Only Partial Replica Set ». Il est donc par principe impossible d’en modifier directement le contenu.

Le fonctionnement d’un contrôleur de type RODC, est quelque peu différent. En effet, lorsqu’une opération d’écriture LDAP sera reçue par le contrôleur, alors l’application recevra une référence vers un contrôleur disponible en écriture. L’opération d’écriture dirigée ver le RODC est donc tout simplement déroutée. Une fois l’opération d’écriture réalisée sur le contrôleur distant disponible en écriture, une réplication unidirectionnelle vers le contrôleur RODC aura lieue. Cette approche garantit qu’aucune corruption Active Directory ne peut se produire sur le site où le contrôleur RODC réside. L’infrastructure toute entière est donc protégée. Finalement, c’est un peu comme avec la réplication des BDC Windows NT !

Il est vraiment recommandé d’utiliser les serveurs RODC pour assurer des services d’infrastructure sur des sites distants difficiles à sécuriser (lieus publics, campus, etc.). Cela pourra aussi être le cas lorsque des applications tierces sont installées localement sur le contrôleur de domaine et que ces applications sont administrées à l’aide d’une session terminal. L’utilisation du mode RODC, sécurise les données Active Directory du contrôleur local et minimise les risques de sécurité sur l’ensemble de la forêt. Ce principe garantit que ni la base de données Active Directory, ni les objets y étant stockés, ne peuvent être localement directement modifiés.