Home / Microsoft / Les actions post-déploiement d’un Active Directory – Partie 1

Les actions post-déploiement d’un Active Directory – Partie 1

By on 14 décembre 2020

Il n’y a pas longtemps je suis tombé sur une vidéo retweetée par Adrien D sur l’installation d’un Active Directory.

Malheureusement, et comme souvent dans le monde Microsoft, l’administrateur laisse la configuration par défaut de l’installation.

Voici donc une petite liste des modifications à faire directement après l’installation d’un Active Directory.

Désactiver l’ajout d’ordinateur sans compte administrateur

Pour une raison inconnue, Microsoft permet par défaut l’ajout de 10 clients au domaine AD sans compte administrateur.

Pour pallier à ça, on modifie la Default Domain Policy comme ceci :

Modifier la GPO: Add Workstations to domain

Ajouter soit un groupe soit les utilisateurs autorisés à ajouter des clients au domaine.

Dans mon cas, je pars sur un groupe dédié.

Ajouter votre AD au sous réseau sur « sites Active Directory »

Par défaut, lors de l’installation de l’Active Directory, aucune entrée sous-réseau n’est créée pour l’AD.

Ajouter ici votre sous réseau AD.

Compte Administrateur

Le compte Administrateur créer lors de l’installation à par défaut un mot de passe qui n’expire jamais.

Par principe, décocher cette ligne.

Ajouter « ce compte est sensible et ne peux être déléger ».

Le compte est sensible et ne peut être délégué – Garantit que les applications de confiance ne peuvent pas transmettre les informations d’identification du compte aux autres services ou ordinateurs sur le réseau.

Enfin, ajouter ce compte au groupe « Protected users ».

Ce groupe est disponible depuis Windows Server 2012 et nécessite une foret de ce même niveau fonctionelle.

C’est le groupe « Quick Win » par excellence : https://docs.microsoft.com/fr-fr/windows-server/security/credentials-protection-and-management/protected-users-security-group

Le supprimer du groupe « Administrateurs schéma » :

Il est recommandé que ce groupe soit vide, les droits fournit étant trop important.

De manière générale, il faut faire ceci pour tous les comptes Administrateurs qui seront créés sur votre AD.

Corbeille Active Directory

La corbeille vous permet de récupérer des informations lors de la suppression d’une entrée de votre Active Directory.

Lancer le console d’administration de votre AD :

Faite un clic droit sur votre domaine puis activer la corbeille :

Une fois activée la corbeille ne peut être désactivée.

Vous verrez maintenant un nouveau « dossier » nommé « Objets supprimés » dans lequel irons vos comptes, groupes, ordinateurs supprimés pour une durée de 30 jours.

C’est tout pour cette partie 1, la partie arrive bientôt.
Soyez patient.

Related Items