Les sept défis les plus importants avec Active Directory

Microsoft Active Directory (AD) est une solution fiable et évolutive pour la gestion des utilisateurs, des ressources et des authentifications dans un environnement Windows. Cependant, comme n’importe quel outil logiciel, il a des limites qui peuvent être difficiles à surmonter. Voici les sept principaux défis avec Active Directory et quelques options pour y répondre :

Défi # 1. Active Directory est soumis à Windows Server

Bien que Active Directory soit compatible avec Lightweight Directory Access Protocol (LDAP), il existe de nombreux perfectionnements, extensions et interprétations de la norme LDAP. Les éditeurs de logiciels choisissent parfois de mettre en œuvre des aspects facultatifs du LDAP qui ne sont pas supportés par Active Directory, donc l’utilisation de leurs produits dans un environnement AD est difficile. Par exemple, il est techniquement possible de mettre en œuvre Kerberos sous Unix, puis d’établir des approbations avec Active Directory, mais le processus est difficile et les faux pas sont fréquents. C’est la raison pour laquelle de nombreuses organisations se sentent obligées de se limiter à des systèmes Windows.

Défi # 2. Coûts de licence et frais d’entretien très élevés 

Microsoft utilise des licences d’accès client (CAL) pour l’OS Windows Server qui est à la base d’Active Directory. Depuis Windows Server 2016, les licences Microsoft sont délivrées par noyau : Maintenant, le prix commence à $ 6 156 pour les serveurs à deux processeurs à huit noyaux chacun ; le coût double si vous utilisez des processeurs avec 16 noyaux. Ça peut être difficile à avaler, surtout étant donné que Open LDAP et ApacheDS sont tous deux gratuits.

Défi # 3. Enregistrement et audit peu pratiques

Beaucoup de choses dans Active Directory ont besoin d’être correctement enregistrées, suivies et analysées Par exemple, vous devez être en mesure de surmonter les erreurs critiques et les modifications apportées aux objets AD et de Groupe Policy, car ils peuvent affecter aussi bien les performances que la sécurité. Mais les journaux AD sont de nature très technique, et trouver les données dont vous avez besoin nécessite des recherches et des filtrages manuels fastidieux, ou des compétences supérieures en matière de script de PowerShell. De même, les alertes et les rapports sont possibles uniquement grâce à une combinaison complexe de scripts PowerShell et à la Planification des Tâches. Chaque journal d’événements est plafonné à 4 Go, ce qui peut conduire à écraser rapidement le journal et à la perte d’événements importants. Enfin, le moteur de recherche de PowerShell est obsolète, donc sa performance est médiocre ; par exemple, chaque fois que vous lisez les enregistrements filtrés selon le temps, il lit le journal des événements séquentiellement, dossier par dossier, jusqu’à ce qu’il trouve l’enregistrement que vous avez demandé. Cela oblige les entreprises à intégrer SIEM et les solutions d’audit Active Directory, afin de faciliter le processus de stockage et d’analyse du journal, et à dépenser de l’argent pour des choses qui auraient pu être implantées dès la conception d’AD.

Défi # 4. Les pannes d’AD conduisent l’indisponibilité du réseau

Lorsque votre AD est hors ligne, vous serez confronté aux problèmes suivants :

  • Les utilisateurs seront déconnectés du partage de fichiers, dès la fin de leur connexion authentifiée, habituellement en quelques heures.
  • Les logiciels ou équipements qui dépendent de l’authentification Active Directory (par exemple les sites IIS et les serveurs VPN) ne laisseront pas les gens se connecter. Selon le paramétrage, soit les utilisateurs en cours seront éjectés, soit les sessions existantes seront maintenues jusqu’à la déconnexion.
  • Les utilisateurs pourront se reconnecter à des ordinateurs récemment utilisés, parce que le mot de passe ou le ticket d’authentification aura été mis en cache. Cependant, toute personne qui n’a pas utilisé, auparavant ou depuis longtemps, un PC quelconque, ne pourra pas se connecter tant que la connexion au Contrôleur de Domaine n’est pas restaurée. Finalement, personne ne pourra se connecter avec un compte de domaine, car les authentifications en cache expirent en quelques heures.
  • Les serveurs Active Directory jouent souvent le rôle de serveurs DNS et DHCP. Dans ce cas, alors qu’AD est hors ligne, les ordinateurs auront des difficultés à accéder à l’internet et même au réseau local lui-même. Pour éviter ces problèmes, les meilleures pratiques recommandent d’avoir au moins deux DCs d’Active Directory avec le basculement automatique activé. De cette façon, si l’un disparaît, il suffit juste d’y réinstaller Windows Server, de le reconfigurer en tant que nouveau contrôleur de domaine dans un domaine existant, et tout remettre en place, sans aucune indisponibilité.

Toutefois, cela entraîne des dépenses supplémentaires tant pour le matériel que pour les licences AD.

Défi # 5. AD est exposé au piratage

Parce qu’Active Directory est le service de dossiers le plus populaire, il y a de nombreuses techniques et de stratégies pour le pirater. Étant donné qu’il ne peut pas être situé dans une Zone DéMilitarisée, le serveur AD a généralement une connexion internet, ce qui permet aux attaquants d’obtenir à distance les clés de votre Royaume. Une faiblesse particulière est qu’Active Directory utilise le protocole d’authentification Kerberos avec une architecture symétrique de la cryptographie ; Microsoft a déjà corrigé un bon nombre de ses vulnérabilités, mais de nouvelles continuent d’être découvertes et exploitées.

Défi # 6. Il manque à AD les capacités de gestion d’Interface Graphique

Microsoft regroupe plusieurs utilitaires avec AD, tels que Active Directory Users et Computers (ADUC) et Group Policy Management Console (GPMC), pour aider les organisations à gérer les données et les politiques dans le répertoire, mais ces outils sont assez limités.  Par exemple, l’insertion de paramètres d’objets en vrac nécessite un script PowerShell ; Il n’y a aucune alerte ; et le signalement se limite à l’exportation vers un fichier .txt. Les capacités de délégation d’AD sont également limitées, et les Entreprises ont souvent recours à fractionner les domaines pour créer des frontières pour les accès d’administration, ce qui crée une infrastructure de dossier lourde à gérer.  Pour contourner ces problèmes, les entreprises utilisent souvent des solutions tierces qui leur permettent de gérer AD en vrac et de contrôler qui peut administrer quoi d’une manière plus précise que les outils d’origine d’AD. Cela leur donne un meilleur contrôle de l’identité et de la gestion des accès aux objets et à la gestion des comptes. Les outils tiers de gestion d’AD peuvent automatiser les opérations concernant la création, la suppression, la modification des comptes, de groupes et de Group Policy, ainsi que de l’aide pour les enquêtes sur les verrouillages de comptes.

Défi # 7. AD ne fournit pas un portail en libre-service pour les utilisateurs finaux

Il est souvent logique de permettre aux utilisateurs d’effectuer certaines actions eux-mêmes, telles que la modification de leur propre profil et de réinitialiser leur mot de passe s’ils l’oublient.  Cependant, Active Directory requiert l’accès d’administrateur pour ces opérations ; les employés sont donc obligés d’appeler le dépannage informatique pour résoudre leurs problèmes mineurs, ce qui retarde les flux de travaux de l’entreprise, et entraîne des surcoûts de support technique. Tous ces problèmes peuvent être résolus via des outils de gestion supplémentaires en libre-service, mais il s’agit d’un autre poste du budget, en plus de ce que vous avez déjà payé pour AD.

Active Directory est un outil formidable, et il est encore en évolution, bien que lentement. Si vous souhaitez intégrer Active Directory dans votre environnement, sachez que vous allez passer une grande partie de votre budget pour ça, et même encore plus si vous voulez une meilleure gestion d’AD et des fonctionnalités de reporting. De toute évidence, les administrateurs système peuvent écrire des scripts personnalisés ou des programmes pour contourner les défauts des outils d’origine et automatiser et améliorer la gestion d’AD à l’aide de scripts interfaces et de cadres fournis par Microsoft ou d’autres parties. Cependant, il faut des compétences avancées et une bonne quantité de temps disponibles pour écrire, maintenir et exécuter les scripts, et analyser leur production pour obtenir des renseignements exploitables, ce qui peut conduire à une réponse tardive aux problèmes graves de sécurité. Et, bien sûr, vous êtes toujours soumis aux limites de base d’AD comme l’écrasement du fichier journal et l’absence de délégation. Évolution.

En conséquence, de nombreuses entreprises se tournent vers des solutions tierces qui améliorent et automatisent l’audit, la gestion et le reporting d’AD.  Cherchez une solution qui vous offre la visibilité dans l’ensemble de votre infrastructure, y compris non seulement AD mais Exchange, les serveurs de fichiers et SharePoint et qui intègre également SIEMs, Unix et les systèmes Linux. Assurez-vous que cette solution vous permet de contrôler qui peut administrer quoi d’une manière plus précise que les outils d’origine d’AD et qu’elle automatise les opérations de création, suppression, modification des comptes, des groupes et de Group Policy.  Ajoutez des points de bonus si la solution offre des capacités de libre-service.  Et bien sûr, assurez-vous qu’elle peut capturer et sauvegarder un audit complet pendant des années pour répondre aux enquêtes de sécurité et vous conformer aux exigences de la règlementation.

Gardez la maîtrise de ce qui se passe dans votre Active Directory