Zeroday Cyber Academy

IAM & Identité

Concepts clés d'Active Directory pour débutants

Concepts AD pour débutants 2026 : forêt, domaine, OU, GPO, utilisateurs, groupes, Kerberos, NTLM, DC, schema. Vocabulaire et architecture en 25 minutes.

Naim Aouaichia
18 min de lecture
  • Active Directory
  • Débutant
  • Kerberos
  • LDAP
  • GPO
  • PowerShell
  • Microsoft
  • Identité

Active Directory (AD) est le service d'annuaire Microsoft introduit avec Windows 2000 Server (1999) qui gère les identités, les accès et les configurations dans un environnement Windows enterprise. Il reste le pivot d'identité on-prem dans plus de 90 % des entreprises Windows en 2026, malgré la migration progressive vers Microsoft Entra ID (anciennement Azure AD) cloud. Comprendre Active Directory exige de maîtriser un vocabulaire spécifique : forêt (frontière de sécurité ultime), domaine (unité administrative), OU (organizational unit, conteneur de délégation), Domain Controller (serveur AD authentifiant), schema (structure des données), GPO (Group Policy Object pour configurations centralisées), Kerberos (authentification moderne via tickets), NTLM (legacy authentication), trust relationship (lien entre forêts ou domaines), FSMO roles (rôles spéciaux pour opérations sensibles), Global Catalog (index forêt). Ces concepts sont préalables à tout audit, hardening, ou administration AD. Cet article présente les 12 concepts clés AD pour débutants en 25 minutes de lecture, avec analogies concrètes, exemples PowerShell, schémas d'architecture, et orientation vers approfondissement (hardening défensif, pentest offensif, certifications Microsoft AZ-800/AZ-801).

À quoi sert Active Directory

Avant les concepts techniques, comprendre la mission AD.

Quatre fonctions principales

FonctionDescription
AuthenticationVérifier qui est l'utilisateur (login domain)
AuthorizationDéterminer ce qu'il peut faire (groupes, permissions)
Configuration centraliséeImposer paramètres uniformes (GPO) à tous les postes
Référentiel d'inventaireListe autoritative de tous les utilisateurs, ordinateurs, ressources

Sans AD : chaque ordinateur Windows aurait sa propre base d'utilisateurs (workgroups), aucune SSO, configuration manuelle par poste, gestion impossible au-delà de 10-20 PC.

Avec AD : un seul login utilisateur fonctionne partout dans le domaine, configuration uniforme, gestion centralisée pour milliers de postes.

Cas d'usage typique

Une entreprise de 500 collaborateurs avec AD :

  • 500 comptes utilisateurs dans AD.
  • 600 ordinateurs joints au domaine.
  • 50 groupes de sécurité (par département, par projet).
  • 20 OUs organisées par hiérarchie.
  • 30 GPO appliquant configurations standards.
  • 4 Domain Controllers (2 sites géographiques, HA).

Le tout administré par 1-2 sysadmins via consoles Microsoft.

Hiérarchie : Forêt, Domaine, OU

Active Directory organise les objets selon une hiérarchie à trois niveaux principaux.

Forêt (Forest)

Le conteneur le plus haut niveau. Frontière de sécurité ultime de l'organisation.

Caractéristiques :

  • Une seule forêt = une seule organisation typiquement.
  • Schema partagé entre tous domaines de la forêt.
  • Global Catalog partagé (index recherche cross-domaine).
  • Trust automatique entre tous domaines de la même forêt.
  • Compromission Enterprise Admin = compromission de la forêt entière.

Exemple : acme.test est la forêt racine.

Domaine (Domain)

Sous-unité administrative dans la forêt.

Caractéristiques :

  • Politique de sécurité indépendante (password policy, lockout).
  • Compte utilisateurs et ordinateurs distincts.
  • GPO appliquées au domaine.
  • Domain Admins ne peuvent administrer que leur propre domaine (pas la forêt entière).
  • Trust automatique entre domaines de la même forêt.

Une organisation peut avoir :

  • Single domain : acme.test (recommandé pour moins de 10 000 utilisateurs).
  • Multi-domain : acme.test (parent) + eu.acme.test (enfant) + us.acme.test (enfant).

OU (Organizational Unit)

Sous-conteneur dans un domaine pour organiser les objets.

Caractéristiques :

  • Conteneur logique pour utilisateurs, groupes, ordinateurs, autres OUs.
  • Permet délégation administrative (par exemple : helpdesk peut reset mots de passe dans OU "Sales" uniquement).
  • Cible d'application GPO (linked GPO appliquée à objets dans l'OU).
  • Hiérarchie illimitée (sous-OUs).

Hiérarchie type pour entreprise moyenne :

acme.test (Forest, Domain root)
├── OU=Corp
│   ├── OU=Users
│   │   ├── OU=Sales (50 users)
│   │   ├── OU=Engineering (200 users)
│   │   ├── OU=Finance (30 users)
│   │   └── OU=HR (20 users)
│   ├── OU=Computers
│   │   ├── OU=Workstations
│   │   ├── OU=Laptops
│   │   └── OU=Servers
│   └── OU=Groups
│       ├── OU=Security Groups
│       └── OU=Distribution Groups
├── OU=ServiceAccounts
│   └── (comptes pour applications)
└── OU=Tier0  (Microsoft Tier Model recommandé)
    ├── OU=Domain Admins
    └── OU=Privileged Workstations (PAW)

Conventions de nommage

AD utilise une notation type X.500 pour identifier les objets (Distinguished Name, DN) :

DN d'un utilisateur dans OU=Sales :
CN=Alice Dupont,OU=Sales,OU=Users,OU=Corp,DC=acme,DC=test
 
Composants :
- CN (Common Name) = identifiant feuille
- OU (Organizational Unit) = conteneurs intermédiaires
- DC (Domain Component) = composants du nom de domaine

Lecture du DN : du plus spécifique (CN) vers le plus général (DC).

Domain Controllers (DC)

Les serveurs Windows qui hébergent l'Active Directory et répondent aux requêtes d'authentification et LDAP.

Caractéristiques

  • Windows Server (2019, 2022, 2025) avec rôle "Active Directory Domain Services" (AD DS) installé.
  • Stockage de la base AD dans ntds.dit (Extensible Storage Engine, dérivé de Jet).
  • Réplication multi-master entre tous DCs du domaine.
  • Service principal : LSASS (Local Security Authority Subsystem Service).

Pourquoi plusieurs DCs

Trois raisons.

1. Haute disponibilité : si un DC tombe, les autres continuent. Architecture sans SPOF.

2. Performance : distribution de la charge entre DCs. Une organisation 5000 utilisateurs peut avoir 4-6 DCs.

3. Multi-site : déploiement DC par site géographique (Paris, Lyon, New York) pour réduire latence d'authentification cross-WAN.

Architecture type 2026 :

Site 1 - Paris (HQ)
├── DC1 (RWDC - Read/Write)
└── DC2 (RWDC - Read/Write)
 
Site 2 - Lyon (Office)
└── DC3 (RWDC - Read/Write)
 
Site 3 - Branch Office
└── DC4 (RODC - Read-Only Domain Controller, site sécurisé limité)

Read-Only Domain Controllers (RODC)

Variante DC pour sites moins sécurisés (succursales, sites distants). Caractéristiques :

  • Pas d'écriture en local (réplication unidirectionnelle depuis RWDC).
  • Pas de stockage de tous les credentials (Password Replication Policy).
  • Si compromis, impact limité (les attaquants ne peuvent pas écrire dans AD).

Cas d'usage : succursale géographique avec sécurité physique limitée.

FSMO Roles

Pour les opérations qui exigent unicité (vs multi-master), AD désigne 5 rôles spéciaux nommés FSMO (Flexible Single Master Operations) répartis sur les DCs :

RôleNiveauUsage
Schema MasterForêtModifications du schema
Domain Naming MasterForêtAjout/suppression de domaines
RID MasterDomaineAllocation Relative Identifiers
PDC EmulatorDomaineSynchronisation horloge, password updates
Infrastructure MasterDomaineCross-domain references

En production : distribuer les FSMO sur 2-3 DCs distincts pour éviter SPOF. Vérification courante via netdom query fsmo.

Schema : la structure des données

Le schema définit quels types d'objets peuvent exister dans AD et quels attributs ils peuvent avoir.

Object Classes

ClassDescription
userUtilisateur (humain)
computerOrdinateur joint au domaine
groupGroupe (security ou distribution)
organizationalUnitOU (conteneur)
contactContact (sans login)
inetOrgPersonUser RFC 2798 LDAP standard

Attributes

Chaque object class a des attributs définis par le schema. Pour un user :

AttributDescription
sAMAccountNameNom de compte court (legacy NT)
userPrincipalNameUPN (alice@acme.test)
givenNamePrénom
snNom de famille (Surname)
mailEmail
memberOfGroupes auxquels l'utilisateur appartient
pwdLastSetTimestamp dernier changement password
userAccountControlFlags (account enabled, password never expires, etc.)

Schema extensions

Le schema peut être étendu pour ajouter des attributs ou classes custom. Exemple : Microsoft Exchange ajoute classes msExchMailboxGuid, msExchHomeServerName au schema lors de son déploiement.

Modification du schema : opération critique exigeant Schema Master (FSMO) et Schema Admins privilege. Irréversible (suppression d'attributs impossible).

Utilisateurs et groupes

Les comptes principaux dans AD.

Types de comptes utilisateurs

  • User accounts : pour humains.
  • Service accounts : pour applications/services. Catégorie sensible (souvent privilégiés).
  • gMSA (Group Managed Service Accounts) : Microsoft génère et tourne automatiquement les passwords (256 bits), résistance crack quasi-totale. Recommandé en 2026 pour services.
  • MSA (Managed Service Accounts) : précurseur gMSA, plus restrictif.

Types de groupes

TypeDescription
Security GroupPour permissions et accès
Distribution GroupPour email lists (pas pour permissions)

Scopes de groupes

ScopeVisibilitéUsage
Domain LocalVisible dans le domainePour permissions sur ressources du domaine
GlobalVisible dans la forêtRegroupe utilisateurs du même domaine
UniversalVisible toute la forêtRegroupe utilisateurs cross-domaine

Pattern AGDLP (recommandé Microsoft)

Pour gérer les permissions correctement :

  • A = Account (utilisateur)
  • G = Global group (regroupe utilisateurs)
  • DL = Domain Local group (assigné permission sur ressource)
  • P = Permission (sur la ressource elle-même)

Exemple :

Alice (A) → membre de "Sales-Users-Global" (G)
"Sales-Users-Global" (G) → membre de "Sales-FileShare-Read-DL" (DL)
"Sales-FileShare-Read-DL" (DL) → permission Read sur \\fileserver\Sales (P)

Avantage : ajout/retrait utilisateur du groupe Global suffit pour modifier ses accès. Pas de modification de permissions sur la ressource.

Group Policy Objects (GPO)

Mécanisme central de configuration pour AD.

Qu'est-ce qu'un GPO

Ensemble de paramètres appliqués automatiquement aux utilisateurs ou ordinateurs.

Catégories de paramètres :

  • Computer Configuration : appliquée au démarrage de la machine.
    • Software Settings (déploiement logiciel)
    • Windows Settings (Security, Scripts, Folder Redirection)
    • Administrative Templates (Registry policies)
  • User Configuration : appliquée à la connexion utilisateur.
    • Software Settings
    • Windows Settings (Folder Redirection, Internet Explorer)
    • Administrative Templates

Stockage GPO

GPO stockés en deux parties :

  1. GPC (Group Policy Container) dans AD lui-même (DN comme tout autre objet).
  2. GPT (Group Policy Template) dans \\<domain>\SYSVOL\<domain>\Policies\<GUID>\ (fichiers).

Réplication des deux via AD replication + DFSR (Distributed File System Replication).

Application des GPO

Au démarrage machine + login utilisateur, le client télécharge tous les GPO applicables selon ordre LSDOU :

  1. Local Group Policy (sur la machine).
  2. Site GPO.
  3. Domain GPO.
  4. OU GPO (du plus haut au plus bas dans hiérarchie OU).

Ordre = priorité (le dernier appliqué gagne en cas de conflit).

Force application via gpupdate /force côté client.

Cas d'usage GPO courants 2026

  • Password policy : longueur minimum, complexité, expiration, history.
  • Account lockout : N tentatives échouées = compte verrouillé.
  • AppLocker : whitelist d'applications autorisées.
  • Windows Firewall : règles centralisées.
  • Microsoft Defender : configuration centralisée.
  • Software deployment : MSI installation automatique.
  • Folder redirection : Documents redirected vers serveur central.
  • Logon scripts : scripts exécutés à login.
  • Windows Update : politique WSUS.

GPO vs Microsoft Intune

Microsoft pousse Intune (cloud-managed) comme successeur des GPO pour devices modernes :

  • GPO : devices joints au domaine on-prem.
  • Intune : devices Windows 10/11 Enterprise modernes, peut gérer aussi macOS, iOS, Android.

En 2026, hybride GPO + Intune fréquent. Migration complète vers Intune progressive sur 5-10 ans.

Kerberos vs NTLM : authentification

Deux protocoles d'authentification utilisés par AD.

Kerberos (par défaut moderne)

Protocole ouvert (RFC 4120, MIT). Utilisé par défaut depuis Windows 2000.

Principe : authentification par tickets émis par le KDC (Key Distribution Center) intégré au DC.

Flow simplifié :

1. User logs in : tape password sur son poste.
2. Client négocie avec KDC : authentification + récupération TGT (Ticket-Granting Ticket).
3. Client veut accéder à fileserver :
   - Présente TGT au KDC, demande TGS (Ticket-Granting Service) pour fileserver.
   - KDC émet TGS chiffré avec hash password fileserver.
4. Client présente TGS à fileserver, accès accordé.

Avantages Kerberos :

  • Mutual authentication (le serveur prouve aussi son identité).
  • SSO (Single Sign-On) : un login = accès à tous services configurés.
  • Pas de password transmis (chiffrement par tickets).
  • Protocole standard interop (Linux, macOS supportent Kerberos).

NTLM (legacy, encore présent)

Protocole hérité de Windows NT (NT LAN Manager). Trois versions : LM (très faible), NTLMv1 (faible), NTLMv2 (moins faible).

Principe : challenge-response basé sur hash du password.

Cas d'usage 2026 (encore) :

  • Connexion à machines non-domain joined.
  • Applications legacy ne supportant pas Kerberos.
  • Authentification par IP (Kerberos exige nom DNS).
  • Workgroups (sans domaine).

Faiblesses :

  • Vulnérable à Pass-the-Hash (réutilisation hash NTLM volé).
  • Vulnérable à NTLM Relay (attaque MITM forçant authentification ailleurs).
  • Pas de mutual authentication.

Désactivation NTLM

Recommandation Microsoft 2026 : désactiver NTLM partout où possible via Group Policy.

Group Policy : Computer Configuration → Policies → Windows Settings 
→ Security Settings → Local Policies → Security Options
→ Network Security: Restrict NTLM (multiple settings)
 
Mode recommandé :
- Démarrage : Audit (logs flux NTLM légitimes restants)
- Phase 2 : Block en commençant par servers non-essentiels
- Phase 3 : Block partout sauf exceptions documentées

Migration NTLM → Kerberos peut prendre 2-5 ans pour grande organisation legacy.

Trust Relationships

Permettent à des domaines ou forêts de faire confiance mutuellement.

Types de trusts

TypeDirectionCas d'usage
Parent-ChildBidirectionnel autoDomaines dans même forêt
Tree-RootBidirectionnel autoTrees dans même forêt
Forest TrustBidirectionnel ou unidirectionnelEntre forêts différentes
External TrustUnidirectionnel typiquementVers domaine non-Windows ou forêt externe
Realm TrustVariableVers Kerberos realm non-Windows
Shortcut TrustBidirectionnelOptimisation traversée multi-forêts

Cas d'usage Forest Trust

Deux organisations qui fusionnent (acquisition, merger). Forest Trust permet aux utilisateurs de la forêt A d'accéder à des ressources de la forêt B et vice versa, sans migration immédiate des comptes.

Caractéristique critique : trust = chemin d'attaque en cas de compromission. Sécuriser strictement avec Selective Authentication (limite quels utilisateurs peuvent traverser).

ADCS : Active Directory Certificate Services

Service de PKI intégré à AD pour émettre certificats X.509.

Cas d'usage ADCS

  • Certificats utilisateur pour authentification forte (smart card, mTLS).
  • Certificats machine pour authentification 802.1X, IPsec.
  • Code signing internes pour signer applications développées en interne.
  • Web servers pour HTTPS internes.

Architecture typique

Root CA (offline, stockée hors-ligne, démarrage rare)
└── Issuing CA (enterprise CA, online, intégrée AD)
    ├── User certificates
    ├── Computer certificates
    └── Service certificates

Risque sécurité ADCS (CRUCIAL)

ADCS est devenu vecteur d'attaque majeur depuis disclosure SpecterOps juin 2021. Vulnérabilités ESC1 à ESC14 (templates mal configurés). Détaillé dans mon article securite-active-directory.

Recommandation 2026 : audit annuel ADCS avec Locksmith (Jake Hildreth, gratuit) ou Certify (offensive). Toute configuration ADCS doit être validée.

Replication entre Domain Controllers

AD utilise multi-master replication : modifications acceptées sur n'importe quel DC, propagées aux autres.

Mécanisme

  • Topologie de réplication : générée automatiquement par KCC (Knowledge Consistency Checker).
  • Schedule : par défaut 15 minutes intra-site, configurable inter-sites.
  • DFSR (Distributed File System Replication) pour SYSVOL (GPO).
  • AD Replication pour la base AD elle-même.

Vérification

# Statut réplication
repadmin /showrepl
 
# Vérifier dernière réplication réussie
repadmin /replsummary
 
# Forcer réplication entre 2 DCs
repadmin /syncall

Conflict resolution

Si conflit (modification simultanée sur 2 DCs), AD utilise "last-writer-wins" basé sur timestamps + DCs USN (Update Sequence Number).

Outils d'administration

Stack standard pour administrer AD en 2026.

Outils GUI

OutilUsage
Active Directory Users and Computers (ADUC)Gestion utilisateurs, groupes, OUs (le plus utilisé)
Active Directory Administrative Center (ADAC)Interface moderne, fine-grained password policies
Active Directory Sites and ServicesGestion topologie sites et réplication
Active Directory Domains and TrustsGestion trusts, forest functional levels
Group Policy Management Console (GPMC)Gestion GPO
ADSI EditÉdition basse-niveau attributs LDAP
DNS ManagerGestion DNS AD-integrated
Certification Authority (certsrv)Gestion ADCS

PowerShell ActiveDirectory module

Standard moderne pour automation. Installé avec RSAT (Remote Server Administration Tools).

# Importer module (si non auto)
Import-Module ActiveDirectory
 
# Lister tous utilisateurs d'une OU
Get-ADUser -Filter * -SearchBase "OU=Sales,DC=acme,DC=test"
 
# Créer un nouvel utilisateur
New-ADUser -Name "Alice Dupont" `
  -SamAccountName "alice.dupont" `
  -UserPrincipalName "alice.dupont@acme.test" `
  -GivenName "Alice" `
  -Surname "Dupont" `
  -Path "OU=Sales,OU=Users,DC=acme,DC=test" `
  -AccountPassword (Read-Host -AsSecureString) `
  -Enabled $true
 
# Ajouter à un groupe
Add-ADGroupMember -Identity "Sales-Users-Global" -Members "alice.dupont"
 
# Reset password
Set-ADAccountPassword -Identity "alice.dupont" -Reset -NewPassword (Read-Host -AsSecureString)
 
# Désactiver compte
Disable-ADAccount -Identity "alice.dupont"
 
# Lister les Domain Admins
Get-ADGroupMember "Domain Admins" -Recursive | Select Name, SamAccountName
 
# Audit : utilisateurs avec password jamais expirant
Get-ADUser -Filter {PasswordNeverExpires -eq $true} -Properties PasswordNeverExpires | 
  Select Name, PasswordNeverExpires

LDAP queries (alternative cross-platform)

Pour scripts depuis Linux/macOS, utiliser ldapsearch :

# Recherche utilisateur dans AD via LDAP
ldapsearch -H ldap://dc01.acme.test \
  -D "alice.dupont@acme.test" -w "${PASSWORD}" \
  -b "DC=acme,DC=test" \
  "(&(objectClass=user)(sAMAccountName=bob.smith))"

Erreurs débutants à éviter

Cinq pièges récurrents pour qui démarre AD.

1. Modifier le schema sans nécessité

Schema modifications irréversibles. Ne pas étendre le schema sans plan rigoureux et test extensif en lab.

2. Donner Domain Admin trop largement

Tentation : ajouter helpdesk, devs, contractors aux Domain Admins pour "qu'ils puissent travailler". Erreur catastrophique sécurité. Utiliser délégation OU + groupes spécifiques pour permissions ciblées.

3. Ne pas appliquer le Tier Model

Sans Tier 0/1/2 séparation, un compte admin compromis sur un poste utilisateur peut voler credentials Domain Admin via Mimikatz. Tier Model = défense critique.

4. Oublier la documentation

AD complexe à maintenir sans documentation. Documenter : schéma OU, conventions nommage, GPO en place, FSMO holders, comptes service privilégiés, processus émergence.

5. Pas de backups testés

Backup AD = backup System State sur DC + backup SYSVOL. Tester restoration annuellement. Cas réels : organisations qui ont perdu AD sans backup testable, semaines de reconstruction.

Pour approfondir

Une fois les concepts de base maîtrisés, prochaines étapes par axe.

Approfondissement administration

  • Microsoft Learn : modules AD officiels gratuits.
  • Certifications : AZ-800 (Windows Server Hybrid Administrator Associate), AZ-801 (Windows Server Hybrid Advanced).
  • Livres : "Active Directory" de Brian Desmond et al. (référence O'Reilly).
  • Lab maison : Hyper-V ou Proxmox + Windows Server eval (gratuit 180 jours renouvelables).

Approfondissement sécurité défensive

  • Article dédié : Sécurité Active Directory : guide de hardening (mine).
  • ANSSI Guide AD (NoteTechnique-Sec_AD).
  • Microsoft Securing Privileged Access (PAW model).
  • PingCastle : audit gratuit Vincent Le Toux.
  • BloodHound Community Edition : visualisation chemins d'attaque.

Approfondissement sécurité offensive

  • Article dédié : Méthodologie de pentest Active Directory.
  • HackTheBox : modules AD (Forest, Active, Sauna, etc.).
  • TryHackMe : Throwback network, Wreath network.
  • Lab GOAD (Game of Active Directory, Mayfly) : lab AD complet pré-construit.

Points clés à retenir

  • Active Directory est le service d'annuaire Microsoft (1999) qui gère identités, accès et configurations dans un environnement Windows enterprise. Reste pivot dans 90 %+ des entreprises Windows en 2026.
  • Hiérarchie à 3 niveaux : Forêt (frontière sécurité), Domaine (unité administrative), OU (conteneur de délégation et application GPO).
  • Domain Controllers (DC) hébergent AD : multi-master replication, minimum 2 par domaine pour HA. 5 FSMO roles spéciaux pour opérations exigeant unicité.
  • Authentication : Kerberos (RFC 4120, par défaut moderne) préféré, NTLM (legacy) encore présent pour compatibilité. Désactivation NTLM progressive recommandée.
  • GPO (Group Policy Objects) appliquent configurations centralisées (password policy, AppLocker, Defender, etc.). Application LSDOU : Local → Site → Domain → OU. Microsoft Intune cloud-managed remplace progressivement.

Pour aller plus loin

Questions fréquentes

  • Active Directory et LDAP : quelle différence ?
    AD est une implémentation Microsoft d'un service d'annuaire qui utilise LDAP comme protocole d'accès. LDAP (Lightweight Directory Access Protocol, RFC 4510-4519) est un protocole standard pour interroger et modifier des annuaires, défini en 1993 et standardisé en 1997. AD étend LDAP avec des fonctionnalités Microsoft-spécifiques : authentification Kerberos intégrée, GPO (Group Policy Objects), réplication multi-master, schema extensible, intégration Windows. D'autres implémentations LDAP existent : OpenLDAP (open source), 389 Directory Server (Red Hat), Oracle Internet Directory. AD reste dominant dans Windows enterprise (90%+ entreprises Windows en 2026).
  • Pourquoi un domaine AD a-t-il besoin de plusieurs Domain Controllers ?
    Trois raisons. 1) Haute disponibilité : si un DC tombe, les autres continuent à servir authentification et requêtes LDAP. 2) Performance : DCs distribuent la charge réseau et CPU pour les milliers d'authentifications quotidiennes. 3) Multi-site : déploiement DC dans chaque site géographique réduit latence (auth locale plutôt que via WAN distant). Architecture standard 2026 : minimum 2 DCs par domaine pour HA, plus 1 DC par site géographique majeur. Tous DCs sont multi-master (peer) : modifications acceptées sur n'importe quel DC, répliquées à tous via Active Directory replication. Microsoft recommande 5 FSMO roles distribués pour éviter SPOF.
  • Forêt vs domaine vs OU : différence ?
    Trois niveaux hiérarchiques. **Forêt** (Forest) : conteneur le plus haut niveau, frontière de sécurité ultime. Schema partagé, Global Catalog partagé. Une organisation a typiquement une seule forêt. **Domaine** (Domain) : sous-unité administrative dans la forêt. Politique de sécurité, GPO, comptes utilisateurs. Une forêt peut avoir un ou plusieurs domaines (acme.test forêt avec eu.acme.test et us.acme.test sous-domaines). **OU** (Organizational Unit) : sous-conteneur dans un domaine pour organiser objets (utilisateurs, groupes, ordinateurs). Permet délégation administrative et application GPO ciblée. Hiérarchie typique : Forest > Domain > OU > sub-OU > Objects.
  • Kerberos vs NTLM : lequel utilise AD ?
    Les deux historiquement. **Kerberos** (RFC 4120) : protocole d'authentification moderne par défaut depuis Windows 2000. Basé sur tickets, supporte mutual authentication, SSO. Standard utilisé pour la majorité des authentifications AD modernes. **NTLM** (NT LAN Manager) : protocole legacy hérité de Windows NT. Maintenu pour compatibilité backward (anciennes applications, accès non-domain joined). Largement déprécié mais encore présent. AD préfère toujours Kerberos quand possible, fallback NTLM si Kerberos non applicable. Sécurité 2026 : désactiver NTLM via Group Policy 'Network Security: Restrict NTLM' partout où possible (mode Audit puis Deny progressivement).
  • Qu'est-ce qu'un GPO et comment fonctionne-t-il ?
    GPO (Group Policy Object) est un mécanisme Windows pour appliquer des configurations centralisées aux ordinateurs et utilisateurs d'un domaine AD. Format : ensemble de paramètres (registry keys, scripts, software install, security settings) stockés dans SYSVOL et liés à des sites, domaines ou OUs. Chaque GPO peut être lié à plusieurs OUs avec ordre de priorité. Application : à chaque démarrage machine + login utilisateur, le client télécharge les GPO applicables et applique. Cas d'usage : politique de mots de passe, restrictions logicielles (AppLocker), mappage lecteurs réseau, déploiement logiciel, configuration sécurité (Windows Firewall, Defender). Outil principal : GPMC (Group Policy Management Console). En 2026, Microsoft Intune (cloud-managed) remplace progressivement GPO pour devices modernes.
  • Combien de temps pour devenir compétent en AD ?
    Pour un profil avec background sysadmin Windows : 3-6 mois pour opérationnel sur tâches courantes (création comptes, GPO simples, troubleshooting auth), 12-18 mois pour confirmé (gestion forêts complexes, ADCS, replication, FSMO), 3-5 ans cumulés pour senior (architecture, migrations, sécurité avancée Tier Model, hardening). Pour reconversion sans background Windows : ajouter 6-12 mois pour socle initial. Ressources : labs maison (Hyper-V, Proxmox, Windows Server eval gratuit), Microsoft Learn (gratuit, modules AD officiels), formation Microsoft AZ-800/AZ-801 (Windows Server Hybrid Admin), livre 'Active Directory' de Brian Desmond (référence anglo-saxonne). Pratique en lab obligatoire, théorie seule insuffisante.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également