Le seul point noir à noter pour profiter de cette nouvelle fonctionnalité de gestion des mots de passe, est que le domaine devra utiliser le niveau fonctionnel Windows Server 2008. Ce point est particulièrement important à souligner car cela signifie que tous les contrôleurs de domaine du dit domaine devront
Niveau fonctionnel du domaine, objets PSO et stratégies de mots de passe
au préalable avoir été mis à niveau vers Windows Server 2008.
DNS… Vous avez dit DNS ?
Eh oui ! C’est toujours la faute au DNS, même avec Windows Server 2008 !
• Dns server role
– Background Zone Loading
– IPv6 support – Read-only DC support
– GobalNames zone
• Dns client
– LLMNR (Logical Link Multicast Name Resolution)
– Contrôle periodic du meilleur DC par le client
– Système de recherche du DC le plus proche (non activé par defaut)
Nouvelle fonctionnalité AD DS : Contrôleurs de domaine en mode Lecture Seule, un rôle parfois indispensable pour sécuriser les contrôleurs d’agencesIl s’agit d’un nouveau type de contrôleur de domaine permettant aux entreprises de déployer des contrôleurs dans des emplacements moins sécurisés. Le principe d’un contrôleur de domaine en mode lecture seule (RODC pour Read Only Domain Controller) consiste à marquer les partitions Actives Directory (NC, Naming contexts) en mode lecture seule. Nous allons voir plus loin que cette modification entraîne de nombreux changements.
Pour rappel, les partitions de type Global Catalog fonctionnent déjà sur ce principe. En effet, un contrôleur de domaine de type catalogue global dans un domaine donné possède une copie en lecture seule de toutes les partitions de domaines membres de la même forêt. Ce type de partition est appelé « Read Only Partial Replica Set ». Il est donc par principe impossible d’en modifier directement le contenu.
Le fonctionnement d’un contrôleur de type RODC, est quelque peu différent. En effet, lorsqu’une opération d’écriture LDAP sera reçue par le contrôleur, alors l’application recevra une référence vers un contrôleur disponible en écriture. L’opération d’écriture dirigée ver le RODC est donc tout simplement déroutée. Une fois l’opération d’écriture réalisée sur le contrôleur distant disponible en écriture, une réplication unidirectionnelle vers le contrôleur RODC aura lieue. Cette approche garantit qu’aucune corruption Active Directory ne peut se produire sur le site où le contrôleur RODC réside. L’infrastructure toute entière est donc protégée. Finalement, c’est un peu comme avec la réplication des BDC Windows NT !
Il est vraiment recommandé d’utiliser les serveurs RODC pour assurer des services d’infrastructure sur des sites distants difficiles à sécuriser (lieus publics, campus, etc.). Cela pourra aussi être le cas lorsque des applications tierces sont installées localement sur le contrôleur de domaine et que ces applications sont administrées à l’aide d’une session terminal. L’utilisation du mode RODC, sécurise les données Active Directory du contrôleur local et minimise les risques de sécurité sur l’ensemble de la forêt. Ce principe garantit que ni la base de données Active Directory, ni les objets y étant stockés, ne peuvent être localement directement modifiés.
Téléchargez cette ressource
Livre blanc Sécurité et Stockage des documents
Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.
Les articles les plus consultés
- Activer la mise en veille prolongée dans Windows 10
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- IBM i célèbre ses 25 ans
- Cybersécurité Active Directory et les attaques de nouvelle génération
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
Les plus consultés sur iTPro.fr
- Azul permet aux entreprises de simplifier leurs environnements Java
- AI Speech double toutes vos vidéos !
- Finance : l’IA générative plébiscitée pour les décisions stratégiques
- Cybersécurité : les comportements à risque des collaborateurs
- Prédictions 2025 : voici comment l’intelligence artificielle va redéfinir la sécurité de 3 façons