Les sept principaux problèmes d'Active Directory

Microsoft Active Directory (AD) est une solution fiable et évolutive pour gérer les utilisateurs, les ressources et l'authentification dans un environnement Windows. Cependant, comme tout outil logiciel, il présente des limitations qui peuvent être difficiles à surmonter. Voici les sept principaux défis liés à Active Directory et quelques options pour les aborder :

Défi #1. Active Directory dépend de Windows Server.

Bien que Active Directory soit conforme au protocole Lightweight Directory Access Protocol (LDAP), il existe de nombreuses améliorations, extensions et interprétations de la spécification LDAP. Les éditeurs de logiciels choisissent parfois de mettre en œuvre des aspects optionnels de LDAP qui ne sont pas pris en charge par Active Directory, rendant ainsi difficile leur utilisation dans un environnement AD. Par exemple, il est techniquement possible d'implémenter Kerberos sur Unix puis d'établir des relations de confiance avec Active Directory, mais le processus est compliqué et les erreurs sont fréquentes. En conséquence, de nombreuses organisations se sentent obligées de se limiter aux systèmes basés sur Windows.

Défi n°2. Coût élevé de licence et de maintenance.

Microsoft utilise des licences d'accès client (CAL) pour le système d'exploitation Windows Server qui sous-tend Active Directory. Depuis Windows Server 2016, Microsoft est passé à une licence par cœur : les prix commencent maintenant à 6 156 $ pour des serveurs avec deux processeurs de huit cœurs chacun ; le coût double si vous utilisez des processeurs de 16 cœurs. Cela peut être difficile à accepter, surtout étant donné qu'Open LDAP et ApacheDS sont tous deux gratuits.

Défi #3. Journalisation et audit incommodes.

De nombreuses choses dans Active Directory nécessitent une journalisation, une surveillance et une analyse appropriées. Par exemple, vous devez être capable de rester à l'affût des erreurs critiques et des modifications apportées aux objets AD et Group Policy, car ils peuvent affecter à la fois les performances et la sécurité. Mais les journaux AD sont de nature très technique, et trouver les données nécessaires exige une recherche et un filtrage manuels fastidieux ou des compétences avancées en script PowerShell. De même, les alertes et les rapports ne sont possibles qu'à travers une combinaison de scripts PowerShell compliqués et du Planificateur de tâches. Chaque journal d'événements est limité à 4 Go, ce qui peut entraîner une réécriture rapide du journal et la perte d'événements importants. Enfin, le moteur de recherche PowerShell est obsolète, donc ses performances sont médiocres ; par exemple, chaque fois que vous lisez des enregistrements filtrés par le temps, il lit l'intégralité du journal d'événements séquentiellement, enregistrement par enregistrement, jusqu'à ce qu'il trouve l'enregistrement demandé. Cela oblige les entreprises à intégrer SIEM et Active Directory auditing solutions afin de faciliter les processus de stockage et d'analyse des journaux, dépensant de l'argent pour des choses qui auraient pu être incluses dans AD par conception.

Défi n°4. Les pannes d'AD entraînent une indisponibilité du réseau.

Lorsque votre AD est hors ligne, vous rencontrerez les problèmes suivants :

• Les utilisateurs seront déconnectés des partages de fichiers dès que leur session d'authentification expirera, généralement dans quelques heures.
• Les logiciels ou matériels qui dépendent de l'authentification Active Directory (tels que les sites IIS et les serveurs VPN) ne permettront pas aux utilisateurs de se connecter. Selon la configuration, cela va soit expulser immédiatement les utilisateurs actuels, soit maintenir les sessions existantes jusqu'à la déconnexion.
• Les utilisateurs pourront se connecter aux ordinateurs qu'ils ont utilisés récemment, car ils auront un mot de passe mis en cache ou un ticket d'authentification. Cependant, toute personne n'ayant jamais utilisé un PC donné auparavant, ou l'ayant utilisé il y a longtemps, ne pourra pas se connecter tant que la connexion au DC n'est pas rétablie. Finalement, personne ne pourra se connecter avec un compte de domaine, car les authentifications mises en cache expireront au bout de quelques heures.
• Les serveurs Active Directory jouent souvent le rôle de serveurs DNS et DHCP. Dans ce cas, lorsque AD est hors ligne, les ordinateurs auront des difficultés à accéder à Internet et même au réseau local lui-même.

Pour éviter ces problèmes, il est recommandé selon les meilleures pratiques d'avoir au moins deux contrôleurs de domaine Active Directory avec un basculement configuré. Ainsi, si l'un d'eux tombe en panne, vous pouvez simplement réinstaller Windows Server, le configurer comme un nouveau contrôleur de domaine dans un domaine existant et tout répliquer à nouveau, sans aucun temps d'arrêt. Cependant, cela entraîne des dépenses supplémentaires tant pour le matériel que pour les licences AD.

Défi #5. AD est sujet aux risques de piratage.

Étant donné que Active Directory est le service d'annuaire le plus populaire, il existe de nombreuses techniques et stratégies pour le pirater. Puisqu'il ne peut pas être situé dans une DMZ, le serveur AD a généralement une connexion internet, ce qui donne aux attaquants l'opportunité d'accéder à distance aux clés de votre royaume. Une faiblesse particulière est que Active Directory utilise le protocole d'authentification Kerberos avec une architecture de cryptographie symétrique ; Microsoft a déjà corrigé de nombreuses vulnérabilités, mais de nouvelles continuent d'être découvertes et exploitées.

Défi n°6. AD manque de capacités de gestion GUI.

Microsoft regroupe plusieurs utilitaires avec AD, tels que Active Directory Users and Computers (ADUC) et Group Policy Management Console (GPMC), pour aider les organisations à gérer les données et les politiques au sein de l'annuaire, mais ces outils sont assez limités. Par exemple, l'insertion de paramètres d'objet en masse nécessite des scripts PowerShell ; il n'y a pas d'alertes ; et les rapports se limitent à être exportés dans un fichier .txt. Les capacités de AD delegation sont également limitées, donc les organisations ont souvent recours à la division des domaines pour créer des limites d'accès administratif, ce qui crée une infrastructure d'annuaire difficile à gérer. Pour contourner ces problèmes, les organisations utilisent souvent des solutions tierces qui leur permettent de gérer AD en masse et de contrôler qui peut administrer quoi de manière plus granulaire que les outils natifs AD tools. Cela leur donne un meilleur contrôle sur la gestion de l'accès aux identités et objets et la gestion des comptes. Les outils de gestion AD de Third- party AD management tools peuvent automatiser les opérations autour de la création, la suppression, la modification de comptes, de groupes et de Group Policy, ainsi que aider dans les enquêtes de verrouillage de compte.

Défi n°7. AD ne fournit pas de portail d'auto-service pour les utilisateurs finaux.

Il est souvent judicieux de permettre aux utilisateurs d'effectuer certaines actions eux-mêmes, telles que l'édition de leurs propres profils et la réinitialisation de leurs mots de passe s'ils les oublient. Cependant, Active Directory nécessite un accès administratif pour ces opérations, donc les employés sont forcés d'appeler le service d'assistance informatique pour résoudre leurs petits problèmes, ce qui retarde les flux de travail commerciaux et augmente les coûts du service d'assistance. Tous ces problèmes peuvent être résolus via des outils supplémentaires de gestion en libre-service, mais c'est un autre poste dans le budget, en plus de ce que vous avez déjà payé pour AD.

Active Directory est un excellent outil, et il continue d'évoluer, bien que lentement. Si vous souhaitez intégrer Active Directory dans votre environnement, sachez que vous dépenserez une grande partie de votre budget pour cela, et encore plus si vous voulez une meilleure fonctionnalité de gestion et de rapport AD. De toute évidence, les administrateurs système peuvent écrire des scripts ou des programmes personnalisés pour pallier les lacunes des outils natifs, et automatiser et améliorer la gestion AD en utilisant des interfaces de script et des cadres fournis par Microsoft ou d'autres parties. Cependant, cela nécessite des compétences avancées et un temps considérable pour écrire, maintenir et exécuter les scripts, et pour travailler sur leur sortie afin d'obtenir des renseignements exploitables, ce qui peut entraîner une réponse retardée à des problèmes de sécurité graves. Et bien sûr, vous êtes toujours soumis aux limitations basiques de AD comme la réécriture des fichiers journaux et le manque de délégation. Turnover.

En conséquence, de nombreuses organisations se tournent vers des solutions tierces qui améliorent et automatisent l'audit, la gestion et le reporting AD. Recherchez une solution offrant une visibilité sur l'ensemble de votre infrastructure, y compris non seulement AD mais aussi Exchange, les serveurs de fichiers et SharePoint, et qui s'intègre également aux SIEMs et aux systèmes Unix et Linux. Assurez-vous qu'elle vous permette de contrôler qui peut administrer quoi de manière plus granulaire que les outils AD natifs, et qu'elle automatise les opérations autour de la création, la suppression, la modification des comptes, des groupes et des stratégies de groupe. Ajoutez des points bonus si la solution offre des capacités d'auto-service. Et bien sûr, assurez-vous qu'elle puisse capturer et stocker une piste d'audit complète pendant des années pour soutenir les enquêtes de sécurité et se conformer aux exigences réglementaires.