Comment administrer Active Directory en 2026

Active Directory (AD) reste en 2026 le pilier des environnements Windows on-premises et hybrides, gérant l'identité, l'authentification et l'autorisation pour des millions d'utilisateurs et ressources. Malgré l'essor d'Entra ID (ex-Azure AD), AD on-prem domine les secteurs critiques comme la finance, la santé et l'industrie où la souveraineté des données prime. Ce tutoriel avancé explore la théorie profonde : de l'architecture multi-forestière à la sécurisation zero-trust, en passant par la résilience et la gouvernance. Pourquoi c'est crucial ? Une mauvaise administration expose à des breaches comme SolarWinds (2020) ou des outages massifs. Vous apprendrez à concevoir des topologies scalables, à implémenter des contrôles fins et à anticiper les évolutions Microsoft (comme les FSMO roles cloud-synced). Idéal pour les admins seniors gérant 10k+ objets, ce guide est bookmark-worthy pour sa profondeur conceptuelle et ses frameworks pratiques. (128 mots)

• Expérience avancée en Windows Server (2022+).
• Connaissances en réseaux (DNS, LDAP, Kerberos).
• Familiarité avec PowerShell pour audits (théorie seulement ici).
• Compréhension des concepts IAM (RBAC, ABAC).
• Accès à un lab AD pour tests (VM Hyper-V ou Azure Lab Services).

Comprendre la hiérarchie logique.

Une forêt AD est le conteneur de sécurité racine, regroupant des domaines enfants ou arbres. Analogie : une forêt comme un empire fédéral, domaines comme États autonomes mais liés par un schéma global.

• Topologies scalables : Pour 50k+ users, optez pour 1 forêt / 5-10 domaines (ratio 1:5k users/domaine). Évitez les domaines plats ; utilisez des OUs imbriquées pour délégation.
• Réplication multi-sites : Sites AD pour latence WAN, avec KCC (Knowledge Consistency Checker) auto-générant les liens. Exemple concret : Datacenter Paris (hub) + Marseille/Lyon (spokes) avec ponts de sites pour coûts.

Rôles FSMO : Les singletons critiques.

Cinq rôles FSMO (Schema Master, Domain Naming, PDC Emulator, RID Master, Infrastructure) assurent unicité et cohérence. En 2026, priorisez la redondance avec Azure AD Connect pour hybridité.

• Placement stratégique : Schema/Domain Naming au Forest Root (virtuel, haute dispo). RID/PDC par domaine sur DCs dédiés.
• Transfert vs Saisie : Transfert planifié (ntdsutil) vs saisie d'urgence (post-crash). Exemple : Perte RID Master → nouveau RID pool via RPC.

1. 2+ DCs par site (RODC pour branches).
2. Monitoring USNrollback.
3. Backup système d'État (non NTDS.dit seul).

Zero-trust en AD : Au-delà des passwords.

En 2026, AD intègre MFA via PTA (Pass-Thru Auth) et Conditional Access hybride.

• Délégation fine : Utilisez AGDLP (Accounts → Groups → Domain Local → Permissions) pour least privilege. Exemple : Helpdesk groupe 'DL-Support-ReadOnly' sur OU Users.
• Sécurisation objets : SACL/ACL sur GPO, Protected Users group (no NTLM/Kerberos pre-auth).
• Attaques courantes : Golden Ticket (mimikatz) → mitigez par short LSA lifetime et DC shadowing.

• DACL sur Domain Admins : Authenticated Users → deny.
• LAPS pour local admin.
• Event 4768/4771 pour anomalies Kerberos.

Gouvernance proactive.

Implémentez PIM (Privileged Identity Management) hybride.

• Attestation périodique : Just-In-Time admin via groupes Scoped.
• Monitoring : SCOM ou Azure Sentinel pour AD logs (Event ID 5136 schema changes).
• Cleanup : Autorité de révocation via dsquery + scripts théoriques pour stale objects (>90d inactive).

• Redondance absolue : Jamais un seul DC ; visez N+1 avec geo-redundance.
• Schémas figés : Testez extensions (ex. Azure Schema) en lab avant prod.
• Délégation granulaire : Évitez Domain Admins daily ; utilisez Secured MSDS.
• Hybride first : Sync sélectif avec Entra ID pour workloads legacy.
• Audits trimestriels : Repadmin /bestpid + DCDiag full.

• Démotions sans metadata cleanup : Cause lingering objects → repl loops.
• Oubli RODC pour sites distants : Exposition credentials en branches.
• GPO overload : >1000 GPO/domain → slow logon ; consolidez avec loops.
• Ignore USN reset : Post-restore, non détecté → divergent partitions.

Approfondissez avec les docs Microsoft Active Directory Advanced. Pratiquez en lab Azure. Découvrez nos formations Learni sur la sécurité AD pour certifications MS-500 et labs hands-on. Livre recommandé : 'Active Directory Cookbook' 4e éd. (2025).