5.2 Active Directory Domain Services (AD DS)

l’installation des paramètres comme le site Active Directory, la fonctionnalité de catalogue global ou bien encore le niveau fonctionnel de domaine ou de forêt souhaité.
A ce propos, Windows Server 2008 étrenne un niveau fonctionnel de domaine (et de forêt) supplémentaire.

Si le niveau fonctionnel de forêt n’apporte aucune nouveauté, le niveau fonctionnel de domaine s’avère hautement intéressant :

• Utilisation du protocole DFS-R (seule la différence de contenu des fichiers est répliquée) pour répliquer SYSVOL (en lieu et place du vieillissant service FRS)
• Support du chiffrement AES 128 et AES 256 au niveau de la méthode d’authentification Kerberos
• Création de multiples stratégies de mots de passe et de verrouillage de compte

Bien entendu, il sera nécessaire de migrer tous les contrôleurs de domaine vers Windows Server 2008 pour bénéficier de ces nouvelles options ! Pour effectuer cette migration, il sera aussi nécessaire de mettre à jour le schéma de l’annuaire : Voir Figure 2.
De nombreuses autres nouveautés ont pour but de faciliter les tâches administratives quotidiennes. On peut par exemple citer l’implémentation d’AD DS sous la forme d’un service Windows. Grace à cela, certaines opérations de maintenance comme la restauration d’objet, la défragmentation ou bien encore le déplacement de la base de données, sont réalisables sans qu’il soit nécessaire de redémarrer le serveur en mode restauration des services d’annuaire !

Dans le même esprit, un éditeur d’attribut est désormais intégré dans la console « Utilisateurs et ordinateurs Active Directory ». Cet éditeur se présente sous la forme d’un nouvel onglet et permet de modifier tous les attributs d’un objet sans pour autant devoir lancer des outils abscons comme « Adsiedit » ou bien encore « Ldp.exe ».

Une autre option permet de protéger un objet contre une suppression malencontreuse. Fini les heures passées à restaurer l’OU principale de votre entreprise suite à une mauvaise manipulation! Enfin, certains détails sont notables comme la possibilité de filtrer les paramètres de GPO (cette fonctionnalité était demandée depuis des années !!!) ou bien l’intégration en standard de GPMC. Du point de vue de la sécurité plusieurs améliorations sont cruciales :
• La possibilité d’installer le rôle AD DS sur une version Core de Windows Server 2008 (réduction de la surface d’attaque et patch management simplifié)
• La possibilité de mettre en oeuvre des contrôleurs de domaine en lecture seule ou RoDC (pour « Read only Domain Controller »). Ce nouveau rôle est particulièrement intéressant dans les environnements où la sécurité physique du serveur ne peut pas être garantie (succursale, local technique non sûr). Un RoDC possède une base de données verrouillée en lecture et reçoit les mises à jour de l’annuaire via un mécanisme de réplication unidirectionnel. Enfin, les mots de passe ne sont pas répliqués sur ce type de contrôleurs (cette règle est modifiable de manière granulaire).
• La possibilité de créer plusieurs stratégies de mots de passe / verrouillage de compte au sein du même domaine

La figure 3 illustre cette troisième assertion. On remarque que trois stratégies de mots de passe sont présentes dans le conteneur « Password Settings Container ». Comme vous pouvez le voir ci-après, chaque stratégie de mot de passe est associée à un ou plusieurs groupes de sécurité. Lorsqu’un utilisateur appartient à plusieurs groupes liés à des stratégies de mots de passe différentes, la stratégie la plus prioritaire est appliquée.