L'Active Directory (AD) est le cœur battant de votre système d'information. Pourtant, une architecture AD, même bien pensée, peut devenir difficile à maintenir si les règles de l'art ne sont pas respectées. Voici un retour d'expérience sur les fondamentaux à verrouiller pour éviter les incidents en production.
1. Stratégies de groupe (GPO)
La gestion des GPO est souvent là où la complexité s'accumule. Une règle simple évite 80 % des erreurs !
Séparez toujours les configurations ordinateurs des configurations utilisateurs.
-
Pourquoi ? Si vous appliquez une GPO "Ordinateur" sur une Unité d'Organisation (OU) ne contenant que des utilisateurs, le paramètre ne sera jamais appliqué.
-
Loopback Processing : Ce mécanisme est votre allié pour forcer l'application des paramètres utilisateur en fonction de la machine (très utile en environnement TSE/VDI).
-
Priorité et Forçage : L'option Enforced sur une OU parente annule toute volonté de modification locale. Utilisez-la avec parcimonie pour ne pas verrouiller votre propre flexibilité.
Script PowerShell : Lister les GPO appliquées sur une machine
Pour auditer ce qui est réellement appliqué sur un poste, ne passez pas par l'interface graphique :
# Affiche le rapport des GPO appliquées pour l'utilisateur et l'ordinateur
Get-GPOReport -ReportType Html -Path "C:\Temp\GPOReport.html"
# Ouvre automatiquement le rapport
Invoke-Item "C:\Temp\GPOReport.html"2. Le DNS : Le pilier de la réplication
Un contrôleur de domaine (DC) qui ne résout pas correctement les noms est un DC qui ne réplique plus.
-
Configuration réseau : Le DNS primaire doit être
127.0.0.1(le serveur lui-même). Le DNS secondaire doit pointer vers l'adresse IP de votre autre contrôleur de domaine. -
Fichiers de zone : Les données sont stockées dans des fichiers avec l'extension
.dns. Veillez à ce que le service soit sain.
Script PowerShell : Vérifier la configuration DNS du serveur local
Get-DnsServer | Select-Object -Property Name, Forwarders, ListenAddressesPour approfondir, consultez la documentation officielle : Configuration du DNS pour Active Directory
3. La base NTDS : Maintenir l'intégrité de votre annuaire
Le fichier NTDS.dit est la base de données Active Directory. Tout est dedans : utilisateurs, mots de passe (hash), SID, relations de réplication et métadonnées.
-
Intégrité : Les journaux de transaction (logs) garantissent qu'en cas de coupure brutale, votre base reste cohérente. Ne les supprimez jamais manuellement.
-
Maintenance : Sauvegarder votre état système (System State) revient à sauvegarder ce fichier. Une restauration AD sans sauvegarde valide est un scénario catastrophe.
Script PowerShell : Vérifier l'emplacement de la base NTDS Pour savoir où se cache votre fichier ntds.dit actuel :
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Name "DSA Database file"Ressource Microsoft essentielle : AD DS Database Management
Conclusion
La maîtrise de l'Active Directory demande de la rigueur. En séparant vos GPO, en verrouillant votre DNS et en surveillant l'intégrité de votre fichier NTDS, vous minimisez les risques de défaillance majeure.
