Gestion des Identités et Accès
Gestion des Identités et Accès (IAM)
Cette section couvre les fondamentaux de la gestion des identités dans un environnement Active Directory (AD DS). Elle aborde la gestion du cycle de vie des objets utilisateurs et groupes.
Tip
Autres documentation - Microsoft Entra ID (Azure AD) Documentation - Active Directory Domain Services Overview
Concepts Généraux
- Objets Utilisateurs : Représentent les individus nécessitant un accès au réseau.
- Groupes de Sécurité : Utilisés pour attribuer des permissions (ACLs) aux ressources.
- Unités d'Organisation (OU) : Conteneurs logiques pour organiser les objets et appliquer des GPO.
Commandes de Base (PowerShell)
L'administration moderne se fait principalement via le module Active Directory pour PowerShell.
Gestion des Utilisateurs
rechercher un utilisateur :
Créer un nouvel utilisateur :
New-ADUser -Name "Jean Dupont" -SamAccountName "jdupont" -UserPrincipalName "jdupont@domaine.local" -AccountPassword (Read-Host -AsSecureString "Mot de passe") -Enabled $true
Réinitialiser un mot de passe :
Set-ADAccountPassword -Identity "jdupont" -Reset -NewPassword (Read-Host -AsSecureString "NouveauMDP")
Déverrouiller un compte :
Gestion des Groupes
Créer un groupe de sécurité :
Ajouter un membre à un groupe :
Lister les membres d'un groupe :
Sujets Spécifiques
RBAC (Role-Based Access Control)
Privilégiez l'approche AGDLP (Account, Global, Domain Local, Permission) pour la gestion des droits : 1. Comptes utilisateurs dans des Groupes Globaux (ex: Rôle Métier). 2. Groupes Globaux dans des Groupes Domaine Local (ex: Accès Ressource). 3. Permissions assignées aux Groupes Domaine Local.
Délégation de Contrôle
Ne donnez pas les droits "Admin du Domaine" pour des tâches routinières. Utilisez l'assistant de délégation pour permettre à des équipes support de : * Réinitialiser les mots de passe sur une OU spécifique. * Joindre des machines au domaine.
Audit des Accès
Pour vérifier qui a accès à quoi, utilisez les attributs MemberOf et les ACLs des objets.