Déployer et configurer un contrôleur de domaine – Meilleures pratiques – Blog Netwrix – Bien choisir son serveur d impression

Les administrateurs informatiques travaillent avec et autour d'Active Directory depuis l'introduction de la technologie dans Windows 2000 Server. Windows 2000 Server est sorti le 17 février 2000, mais de nombreux administrateurs ont commencé à utiliser Active Directory à la fin de 1999, date à laquelle il a été publié en fabrication (RTM) le 15 décembre 1999. Il y a quelques bonnes pratiques à respecter lors du déploiement de contrôleurs de domaine. Beaucoup de ces pratiques sont documentées. Mais peu d'organisations mettent en œuvre ces pratiques. Comment déployer et configurer le contrôleur de domaine Nous allons ignorer les bonnes pratiques connues, telles que la maintenance de la base de données Active Directory sur un ensemble de piles de disques, les fichiers journaux sur des piles de disques distinctes et le système d'exploitation sur son propre ensemble de piles de disques. Certaines des bonnes pratiques moins implémentées pour les contrôleurs de domaine sont les suivantes:

Exécuter l'installation Server Core du système d'exploitation.

De nombreux administrateurs évitent les changements, en particulier pour les systèmes tels que AD DS qui sont incroyablement stables. Ainsi, lorsqu'un nouvel administrateur propose de passer à l'installation de Server Core, il est souvent confronté à des étoiles glacées. Mais la réalité est que la plupart des administrateurs administrent AD DS à distance en lançant ADUC ou PowerShell sur leur client ou leur ordinateur administratif. Tous les outils de gestion principaux, y compris le centre d'administration Active Directory (ADAC) et Windows PowerShell, fonctionnent de manière presque identique lorsqu'ils sont utilisés localement sur un contrôleur de domaine ou à distance à partir d'un ordinateur client ou d'un ordinateur administratif. Ainsi, en passant à l’installation de Server Core, l’expérience administrative n’est pas dégradée. Et vous bénéficiez d'améliorations de la sécurité et de quelques améliorations de performances.

N'exécutez aucun autre logiciel ou service sur un DC.

Il y a 10 ans, la plupart des entreprises utilisaient des serveurs physiques car la virtualisation en était à ses balbutiements. Ainsi, lorsqu'il était temps de provisionner un nouveau serveur de fichiers, un nouveau serveur DHCP ou un nouveau serveur d'impression, les administrateurs se contentaient souvent d'appuyer sur un serveur existant. Un DC a souvent été utilisé aussi. Avance rapide jusqu’en 2015, lorsque la virtualisation est la norme de facto et que le provisioning automatisé permet de livrer une nouvelle machine virtuelle en quelques minutes et que l’ancienne façon de faire les choses n’est pas aussi convaincante. Désormais, lorsque vous avez besoin d'un emplacement pour un serveur de fichiers, un serveur DHCP, un serveur d'impression ou un autre serveur d'applications, vous pouvez provisionner une nouvelle machine virtuelle. Ou, mieux encore, vous pouvez provisionner une nouvelle machine virtuelle en tant que serveur d’utilité. Un serveur utilitaire est un serveur qui héberge toutes les applications et tous les services trop petits pour garantir un serveur dédié. Cela permet à vos centres de distribution de s'en tenir à un service dédié qui apporte plus de stabilité.

Ajustez l'ordre de démarrage et définissez un mot de passe BIOS.

Tous vos contrôleurs de domaine en lecture-écriture doivent se trouver dans un centre de données sécurisé, mais de nombreux informaticiens et non-informaticiens ont accès au centre de données. Par exemple, les électriciens sous contrat qui travaillent sur le système de refroidissement ont accès au centre de données. En outre, il existe probablement des spécialistes du réseau, du câblage et de la gestion informatique avec accès au centre de données. Toute personne ayant un accès physique à un contrôleur de domaine peut accéder à un contrôleur de domaine physique en seulement quelques minutes sur une console du centre de données. Il existe des images de démarrage gratuites disponibles que vous pouvez utiliser pour démarrer et réinitialiser les mots de passe, installer des logiciels malveillants ou accéder aux données du disque, en supposant que le disque ne soit pas crypté. Pour éviter cela, effectuez les configurations suivantes:

Assurez-vous que tous les supports amovibles ne font pas partie de la séquence d'amorçage du BIOS.. À la place, seul le disque dur sur lequel le système d’exploitation est installé doit faire partie de la séquence d’amorçage. Cela vaut également pour vos serveurs hôtes de virtualisation, si vous avez des contrôleurs de domaine virtuels.

Définir un mot de passe BIOS fort. Si vous ne définissez pas de mot de passe BIOS, quelqu'un peut mettre à jour la commande de démarrage, démarrer sur le support d'installation de Windows Server ou dans de nombreux toolkits gratuits, effectuer une réparation pour accéder à une invite de commande. Une fois à l'invite de commande, ils peuvent causer des dégâts et réinitialiser rapidement les mots de passe des comptes de domaine.

Gardez les contrôleurs de domaine dans une armoire verrouillée. Bien qu'un mot de passe BIOS constitue une couche de sécurité, si l'attaquant est semi-capable, il saura probablement comment réinitialiser le BIOS pour que la configuration soit réinitialisée et que le mot de passe soit supprimé. Cela nécessite souvent d’avoir accès à la carte mère. Vous pouvez réduire le risque d'une telle attaque en gardant les contrôleurs de domaine dans un classeur verrouillé. Certains serveurs permettent également des verrous de châssis. Dans les environnements de haute sécurité, vous devriez opter pour les deux.

Normaliser la configuration de tous les contrôleurs de domaine.

Vous devriez essayer de faire correspondre les paramètres de configuration pour chaque contrôleur de domaine. Vous pouvez accomplir certaines de ces tâches en utilisant l'automatisation de la génération via des outils de déploiement tels que System Center Configuration Manager. Les éléments d’intérêt pour les contrôleurs de domaine sont les paramètres de taille du journal des événements qui garantissent que vous disposez de grandes tailles pour capturer des informations relatives à l’audit et à la sécurité, ainsi que des paramètres de démarrage tels que le délai d’attente pour la sélection du système d’exploitation sur les serveurs physiques, les versions et paramètres du microprogramme et du BIOS, ainsi que la configuration matérielle. . Bien entendu, il existe de nombreux autres éléments de configuration à normaliser à l'aide de la stratégie de groupe. L'objectif principal est de configurer les contrôleurs de domaine de manière identique. Vous trouverez plus d'informations sur Active Directory basisc dans notre tutoriel AD pour les débutants.

Click to rate this post! [Total: 0 Average: 0]