Active Directory – Le blog de Cédric GEORGEOT

Intégration SSO de Panorama avec Azure AD & AAD Application Proxy

Nous allons voir comment procéder à une intégration du SSO via SAML 2.0 de Panorama avec Azure AD en s’appuyant sur Azure Application Proxy. Je trouve que c’est mal documenté aussi bien chez Microsoft que chez Palo-Alto. De plus, une request feature a été faite pour la résolution de CLAIM rapport aux groupes. De plus les documentations font références à des utilisateurs et non des groupes Azure AD.

Cédric GEORGEOT [MVP] 12 mars 2021

Active Directory Azure Cloud

Passwordless avec Azure AD

Le Passwordless c’est la promesse de Microsoft de se passer de mot de passe. Initialement, Microsoft permet cela grâce à son application mobile Authenticator de valider son authentification auprès de ses services Online. Voyons maintenant comment utiliser les clés FIDO avec Azure AD.

Cédric GEORGEOT [MVP] 11 septembre 2019

Active Directory Sécurité

Bonnes pratiques d’une PKI ADCS

Voici quelques bonnes pratiques pour déployer une infrastructure de clés publiques, autrement appelé Active Directory Certificates Services. Tour d’horizon…

Cédric GEORGEOT [MVP] 6 mai 2017

Active Directory Exchange Sécurité

Déployer AD RMS pour DAC

Nous avons vu dans un précédent article comment déployer DAC, je vous propose ici de renforcer la sécurisation de vos données en couplant DAC avec les services Rights Management Services.

Le rôle Active Directory Right Management Services est une fonctionnalité qui propose une sécurité supplémentaire pour les documents d’une entreprise. Elle permet de sécuriser les documents en proposant un chiffrage mais aussi d’attacher des DRM à ces derniers.

Cédric GEORGEOT [MVP] 11 mai 2016

Active Directory Sécurité Stockage

Mise en oeuvre de Dynamic Access Control

Dans Windows Server 2012, vous pouvez appliquer la gouvernance des données sur vos serveurs de fichiers pour contrôler les personnes autorisées à accéder à vos informations et soumettre à un audit celles qui ont eu accès à des informations. Le contrôle d’accès dynamique vous permet d’effectuer les tâches suivantes :

Identifier des données grâce à une classification automatique et manuelle des fichiers. Par exemple, vous pouvez baliser des données sur des serveurs de fichiers dans toute l’organisation.
Contrôler l’accès aux fichiers en appliquant des stratégies sécurisées qui utilisent des stratégies d’accès centralisées. Vous pouvez notamment définir qui a accès aux informations d’intégrité au sein de l’organisation.
Contrôler par audit l’accès aux fichiers à l’aide de stratégies d’audit centralisées pour établir des rapports de conformité et mener des analyses d’investigation. Vous pouvez par exemple identifier les personnes qui ont accès à des informations hautement confidentielles.
Appliquez la technologie de protection RMS (Rights Management Services) avec un chiffrement RMS automatique des documents Microsoft Office confidentiels. Par exemple, vous pouvez configurer RMS afin de chiffrer tous les documents qui contiennent des informations issues d’organismes de la santé et de l’assurance maladie.

Bref, DAC c’est la nouvelle gourvernance à déployer pour protéger vos données. Voyons comment cela fonctionne de plus près…

Cédric GEORGEOT [MVP] 11 mai 2016

Active Directory Système d'exploitation

Désactiver l’Autoconfiguration IPv4

Il se peut que votre OS active l’autoconfiguration IPv4, ce qu’il m’est arrivé, et du coup plus d’accès au réseau. Assez étrange je vous l’accorde.

Cédric GEORGEOT [MVP] 5 octobre 2015

Active Directory Azure Cloud

DirSync et l’erreur 1603

Lors d’un déploiement de l’outil DirSync en mode /fullSQL, c’est à dire en utilisant une base de données autre que celle qui s’installer par défaut par l’outil (mode OnlineCoexistence), vous pourrez certainement rencontrer l’erreur 1603: Install-OnlineCoexistenceTool : The Synchronization Engine installation returne error code 1603. Please try the installation again, and if this error persists, contact Technical Support.

Continue Reading

Cédric GEORGEOT [MVP] 5 novembre 2014

Active Directory

Migration Active Directory : retour d’expérience

Voici un billet concernant mon retour d’expérience à propos de migration Active Directory et surtout l’utilisation de l’outil de Microsoft ADMT. Je vais me concentrer sur les principaux points d’attention, les pièges, etc…

Vous y trouverez également des recommandations pour migrer vos serveurs de fichiers, d’impressions, etc… Certains scripts seront utiles car ils concernant les migrations inter forêt et non intra domaine ou intra forêt, scénario plus simple.

Cédric GEORGEOT [MVP] 2 avril 2013

Active Directory Scripting

Diagnostiquer Active Directory rapidement

Le diagnostic d’Active Directory requiert certains outils de diagnostics comme DCDIAG, par exemple. Je vous propose ici un script lance pour vous les principales commandes pour diagnostiquer votre AD.

Cédric GEORGEOT [MVP] 2 mars 2012

Active Directory

Trouvez facilement votre GPO !

Plus les versions de Windows avancent dans le temps, plus le nombre de GPO augmente. Aujourd’hui, il existe plus de 3000 paramètres différents dont plus de 300 nouveaux introduits avec Windows Server 2008 R2. La plupart sont dédiées à Windows 7, comme la gestion de BitLocker. A titre d’exemple, certains fonctionnalités disposent d’une centaine de paramètres différents.

Mais alors, comment s’y retrouver ?

Cédric GEORGEOT [MVP] 1 juin 2011

Active Directory

[UPDATE] La corbeille Active Directory

Dans les versions précédentes de Windows Server 2008, il était possible de restaurer des objets Active Directory supprimés accidentellement. Seulement, la procédure était « assez lourde » car il fallait redémarrer le ou les DC concernés en mode de restauration des services d’annuaire et utiliser l’utilitaire ntdsutil en utilisant une sauvegarde précédemment réalisée. Egalement avec la réanimation des désactivations (tombstone), les objets étaient ainsi stockés dans la base dans un certain laps de temps (généralement la valeur tombstoneLifetime est de 180 jours et 60 jours pour Windows 2003 R2 et antérieur), et il n’y avait pas besoin de mettre hors ligne les DC.

Avec Windows Server 2008 R2, il est possible d’activer une corbeille Active Directory ! Tour d’horizon…

Cédric GEORGEOT [MVP] 1 juin 2011

Active Directory Sécurité

Gestion des snapshots sous Active Directory

Les snapshots avec Active Directory doivent être réalisés de manière particulière. Ce billet va aborder la façon de gérer les snapshots mais également de restaurer des objets de façon simple et sans arrêt de production.

Cédric GEORGEOT [MVP] 24 mai 2011

Active Directory

Les préférences de GPO

Introduit avec Windows Server 2008, les préférences de gpo vous permettent de gérer à partir de la console GPMC les lecteurs réseaux, les clés de registre, utilisatreurs locaux, services, fichiers, … Il est ainsi possible de déployer des paramétrages spécifiques sur des machines spécifiques en respectant des conditions qui devront être remplies (ou non).

Cédric GEORGEOT [MVP] 23 mai 2011

Active Directory

Joindre un domaine hors connexion

Il existe une fonctionnalité que je trouve assez pratique, disponible sur Windows 7 et Server 2008 R2, qui permet de joindre un domaine sans y être connecté. L’utilitaire DJOIN vous permettra de provisionner les métadonnées du compte ordinateur.

Cédric GEORGEOT [MVP] 23 mai 2011

Active Directory

Management avancé des comptes utilisateurs

Microsoft avait sorti il y a très longtemps (2003) des utilitaires regroupés sous le nom de Account Lockout Management Tools qui permettaient de débugger très profondément les connexions utilisateurs, etc….

Cédric GEORGEOT [MVP] 17 mai 2011