Active Directory : annuaire Microsoft, securite 2026

Active Directory (souvent abrege AD) est l'annuaire LDAP developpe par Microsoft et integre nativement a Windows Server depuis sa premiere version commerciale, Windows 2000 Server, sortie le 17 fevrier 2000. Pierre angulaire de la gestion d'identite en entreprise depuis pres de 26 ans, Active Directory centralise l'authentification, l'autorisation, l'inventaire des objets (users, computers, groups, service accounts, printers, GPO) et la diffusion des politiques de securite a l'echelle d'une foret pouvant compter plusieurs millions d'objets et des centaines de domaines. La famille AD se compose de cinq services distincts mais souvent confondus : AD DS (Domain Services, le service principal), AD CS (Certificate Services, l'autorite de certification interne et PKI Microsoft), AD FS (Federation Services, federation SAML/OIDC), AD LDS (Lightweight Directory Services, annuaire LDAP applicatif) et AD RMS (Rights Management Services, IRM documentaire). Cible historique des cybercriminels — Kerberoasting, DCSync, Golden Ticket, NTLM Relay, ADCS ESC1-15 figurent au catalogue 2026 — Active Directory reste la porte d'entree des compromissions majeures (LockBit, BlackCat, Conti). Cette page entity couvre l'architecture forest/domain/OU, les composants (DC, Global Catalog, Schema, Replication, DNS), Kerberos et NTLM, les bonnes pratiques de hardening 2026 (Tiering, LAPSv2, MFA, JIT, Privileged Access Workstation), les outils d'audit/pentest (BloodHound, PingCastle, Mimikatz, Rubeus, Impacket) et la migration vers Microsoft Entra ID (ex Azure AD).

Definition : qu'est-ce qu'Active Directory ?

Active Directory est un service d'annuaire LDAP (Lightweight Directory Access Protocol, RFC 4511) edite par Microsoft et integre a chaque edition serveur de Windows depuis Windows 2000 Server. Sa fonction premiere est de fournir une identite unifiee aux utilisateurs et aux machines d'une organisation : un seul couple identifiant/mot de passe (ou plus precisement un Security Principal identifie par son SID) permet l'acces a l'ensemble des ressources joint au domaine — partages SMB, applications metier, Exchange, SharePoint, SQL Server, postes Windows.

Au-dela de l'authentification, Active Directory remplit cinq missions structurantes : l'annuaire (catalogue d'objets users/computers/groups), l'authentification (Kerberos et NTLM), l'autorisation (ACL sur les objets et les ressources), la politique (GPO appliquees aux postes et utilisateurs) et la resolution (DNS dynamique, integration Active Directory-integrated zones). Chaque controleur de domaine (Domain Controller, DC) heberge une copie repliquee de la base NTDS.dit (le fichier ESE, Extensible Storage Engine, qui materialise l'annuaire sur disque) et expose les protocoles LDAP, Kerberos, RPC, SMB, DNS et ADWS.

Pour une analyse approfondie de la surface d'attaque inherente a AD, consultez notre dossier Active Directory : surface d'attaque invisible du SI et notre etat des lieux Active Directory : hausse de 42 % des attaques en 2026.

Histoire : de Windows 2000 Server a Windows Server 2025

Active Directory est devoile par Microsoft en 1999 dans le cadre du projet Cairo et lance commercialement avec Windows 2000 Server le 17 fevrier 2000. Il succede a la Windows NT Domain de NT 4.0, dont il herite du concept de domaine mais introduit la hierarchie multi-domaines, le DNS dynamique, les GPO et Kerberos v5.

• Windows 2000 Server (2000) : naissance d'AD DS, mode mixte/natif, Kerberos v5, GPO, replication multi-master.
• Windows Server 2003 (2003) : forest functional level, trusts inter-forets, RODC en preview, tombstone lifetime.
• Windows Server 2008/2008 R2 (2008-2009) : RODC (Read-Only Domain Controller), Fine-Grained Password Policies, AD Recycle Bin, PowerShell module.
• Windows Server 2012/2012 R2 (2012-2013) : virtualisation safe (VM-GenerationID), DAC (Dynamic Access Control), gMSA (group Managed Service Accounts), Workplace Join.
• Windows Server 2016 (2016) : PAM (Privileged Access Management), Time-based group membership, Credential Guard, AD FS modern auth.
• Windows Server 2019 (2018) : ameliorations AD FS, AD CS REST, integration Entra hybride.
• Windows Server 2022 (2021) : Secured-core, hardening LDAP signing/channel binding par defaut.
• Windows Server 2025 (2024) : 32k page size NTDS.dit, support nouvelles cryptos, deprecation NTLMv1, ameliorations LDAPS, integration Entra ID renforcee.

Cote cloud, Microsoft lance Azure Active Directory en 2010 puis le renomme Microsoft Entra ID le 11 juillet 2023. Entra ID n'est pas un AD DS dans le cloud : c'est un IDP cloud-native (OAuth2/OIDC/SAML) sans Kerberos ni GPO natifs. La majorite des entreprises operent en hybride via Entra Connect (anciennement Azure AD Connect).

Architecture : Forest, Domains, Trees, OUs, Sites

L'architecture d'Active Directory s'articule autour de cinq concepts hierarchiques, chacun ayant un role precis dans la conception d'un SI Microsoft.

Forest (foret)

La foret est l'unite de securite supreme d'AD : elle partage un schema commun, un configuration container commun et un Global Catalog. La foret est creee lors de la promotion du premier DC du premier domaine (le forest root domain) via dcpromo (legacy) ou Install-ADDSForest (PowerShell). Tous les domaines d'une foret partagent automatiquement une relation de confiance transitive bidirectionnelle.

Domain (domaine)

Le domaine est l'unite de replication et d'administration. Chaque domaine possede sa base NTDS.dit, ses controleurs et ses propres comptes Domain Admins. Une foret peut contenir un seul domaine (cas le plus frequent en 2026, recommande par Microsoft) ou plusieurs domaines dans une ou plusieurs trees (arbres DNS).

Organizational Unit (OU)

L'OU est un container logique de delegation et d'application des GPO. Contrairement aux groupes de securite, les OU ne servent pas a accorder des permissions sur les ressources : elles structurent l'annuaire et permettent une delegation administrative granulaire (Allow X to reset passwords on OU=Sales).

Sites et replication

Les Sites representent la topologie reseau (typiquement un datacenter, une agence). Active Directory utilise les sites pour optimiser la replication (intra-site frequente, inter-site planifiee via site links) et orienter les clients vers le DC le plus proche via le DC Locator.

FSMO Roles

Cinq roles FSMO (Flexible Single Master Operation) ne peuvent pas etre repliques et sont detenus par un seul DC a la fois :

• Schema Master (forest-wide) : modifications du schema.
• Domain Naming Master (forest-wide) : ajout/suppression de domaines.
• RID Master (per-domain) : allocation des pools de RID aux DC.
• PDC Emulator (per-domain) : reference de temps, master pour les changements de mot de passe, point de compatibilite NT4.
• Infrastructure Master (per-domain) : maintien des references inter-domaines.

Composants principaux : DC, Global Catalog, Schema, DNS

Au-dela de la hierarchie logique, AD repose sur cinq composants techniques :

• Domain Controllers (DC) : serveurs Windows hebergeant le service NTDS, repondant aux requetes LDAP/Kerberos, repliques en multi-master. Un domaine de production en compte au minimum deux pour la haute disponibilite.
• Global Catalog (GC) : sous-ensemble repliquee de tous les objets de la foret, accessible via les ports 3268/3269. Permet les recherches inter-domaines et les requetes UPN.
• Schema : definition des classes d'objets (user, computer, group, etc.) et de leurs attributs. Stocke dans le Schema Master, modifiable uniquement par les Schema Admins.
• Replication : multi-master via le protocole Directory Replication Service (DRS-RPC) avec resolution des conflits par USN/GUID. Inter-site via DRS over RPC ou SMTP (legacy).
• DNS : Active Directory exige un DNS supportant les SRV records (RFC 2782). En pratique, le DNS Microsoft integre AD (zones Active Directory-integrated) est la norme.

AD DS, AD CS, AD FS, AD LDS, AD RMS : 5 services associes

AD DS — Active Directory Domain Services

Le coeur d'Active Directory : annuaire, authentification, GPO. C'est ce que la majorite des administrateurs designe par "AD".

AD CS — Active Directory Certificate Services

AD CS est la PKI Microsoft integree a AD. Elle emet des certificats X.509 pour les utilisateurs (smart card logon), les machines (RDP, IPsec), les serveurs web (TLS interne) et les controleurs de domaine (LDAPS). AD CS est devenu un vecteur d'attaque majeur depuis la publication par SpecterOps en 2021 du papier Certified Pre-Owned documentant les escalades ESC1 a ESC8, etendues depuis a ESC15. Pour un bilan complet, consultez ADCS 2026 : ESC1 a ESC15, bilan complet.

AD FS — Active Directory Federation Services

AD FS fournit la federation SAML 2.0, WS-Federation et OAuth2/OIDC. Permet le SSO web entre AD et des applications cloud (Salesforce, ServiceNow). Largement remplace par Entra ID en 2026, mais encore present pour les exigences on-prem only ou les architectures hybrides historiques.

AD LDS — Active Directory Lightweight Directory Services

Annuaire LDAP applicatif sans Kerberos ni replication multi-master, pour les besoins specifiques (annuaire client, applications LDAP-aware non integrees au domaine principal).

AD RMS — Active Directory Rights Management Services

Service IRM (Information Rights Management) pour la protection documentaire (chiffrement et droits persistants sur fichiers Office, PDF). Largement remplace par Microsoft Purview Information Protection (ex AIP) dans le cloud.

Authentification : Kerberos v5 et NTLM

Active Directory supporte deux protocoles d'authentification, dans l'ordre de preference : Kerberos v5 et NTLM (NT LAN Manager).

Kerberos v5

Kerberos est le protocole par defaut pour l'authentification au sein d'un domaine joint. Il s'appuie sur trois acteurs : le client, le service et le KDC (Key Distribution Center, role tenu par chaque DC). Le flux normal :

1. AS-REQ/AS-REP : le client demande au KDC un Ticket Granting Ticket (TGT) chiffre avec la cle du compte krbtgt.
2. TGS-REQ/TGS-REP : le client presente son TGT au KDC pour obtenir un Service Ticket (TGS) chiffre avec le hash du compte de service cible.
3. AP-REQ : le client presente le TGS au service, qui valide localement (sans appeler le KDC).

Le ticket Kerberos contient un PAC (Privilege Attribute Certificate) listant les SIDs et groupes du porteur. La compromission de la cle krbtgt permet de forger des Golden Tickets avec n'importe quel PAC, signature au choix.

NTLM

NTLM est l'authentification challenge-response heritee de Windows NT. Toujours active pour la retro-compatibilite (ressources non-Kerberos, IP literal, workgroup), elle reste le vecteur des attaques NTLM Relay et Pass-the-Hash. Microsoft a annonce en 2024 la deprecation progressive de NTLM au profit de Kerberos avec IAKerb et local KDC dans Windows 11 24H2 et Windows Server 2025. Pour les techniques offensives modernes, consultez notre guide NTLM Relay moderne : SMB et HTTP, guide complet.

Group Policy Objects (GPO) : deploiement, hierarchie et filtrage

Les GPO sont le mecanisme de gouvernance de configuration d'Active Directory. Une GPO est un objet stocke partiellement dans AD (GPC, Group Policy Container) et partiellement dans SYSVOL (GPT, Group Policy Template). Elle peut etre liee a un site, un domaine ou une OU.

Trois ordres d'application a connaitre :

1. LSDOU : Local > Site > Domain > OU. Les GPO les plus profondes (OU) ecrasent les superieures, sauf Enforced (ex No-Override).
2. Filtrage : par security group (Apply Group Policy ACE), par WMI filter, par Item-level targeting (Group Policy Preferences).
3. Loopback processing : permet d'appliquer les GPO utilisateur en fonction de la machine (mode Replace ou Merge), utile pour les serveurs Terminal/RDS.

Les GPO etendent les Administrative Templates (.admx/.adml), permettent le logon script, deploient des logiciels MSI, configurent le firewall Windows, IPsec, AppLocker, BitLocker et bien plus. Cote securite, attention aux Group Policy Preferences (cpassword) qui exposent des mots de passe AES-256 reversibles documentes par Microsoft.

Privilege model : Domain Admins, Enterprise Admins, Schema Admins, Tier Model

Active Directory expose plusieurs groupes a privileges, dont la membership doit etre rigoureusement controlee :

• Domain Admins (DA) : controle total sur un domaine. Ajoute par defaut aux local Administrators de toutes les machines membres.
• Enterprise Admins (EA) : controle total sur la foret. N'existe que dans le forest root domain.
• Schema Admins (SA) : modification du schema. Doit etre vide en regime nominal, peuple uniquement le temps d'une operation de schema.
• Account Operators / Backup Operators / Server Operators : groupes legacy a privileges eleves, souvent oublies — vecteurs d'escalade.
• Protected Users : groupe defensif (Server 2012 R2+) bloquant NTLM, DES, RC4, Kerberos delegation pour ses membres.

Microsoft prescrit depuis 2015 le Tier Model (clarifie dans le Securing Privileged Access paper, devenu Enterprise Access Model) :

• Tier 0 : assets controlant l'identite (DC, AD CS, AD FS, comptes DA/EA/SA, Entra Connect, ADFS, Azure AD Connect Health).
• Tier 1 : serveurs et applications metier (Exchange, SQL, fileservers, hyperviseurs).
• Tier 2 : postes utilisateur et leurs comptes.

La regle absolue : les credentials Tier 0 ne doivent jamais s'authentifier sur du Tier 1 ou Tier 2. La violation de cette regle expose le hash du compte au vol par Mimikatz/lsass dump et permet le pivot vers DA. Pour cartographier ces violations, BloodHound est l'outil de reference — voir BloodHound : attack paths Active Directory.

AD CS — PKI Microsoft et escalades ESC1-15

AD CS deploye une autorite de certification interne, generalement composee d'une Root CA offline et d'une ou plusieurs Issuing CAs en ligne. Les services associes (CES, CEP, NDES, Web Enrollment) exposent des protocoles HTTP/HTTPS pour la demande de certificats.

Depuis la publication du papier Certified Pre-Owned par Will Schroeder et Lee Christensen (SpecterOps, 2021), AD CS est reconnu comme une surface d'attaque critique. Les escalades documentees vont d'ESC1 (template avec Subject Alt Name controle par le requester) a ESC15 (vulnerabilite EKU confusion via CVE-2024-49019). L'attaque ESC8 (NTLM Relay vers Web Enrollment) est particulierement devastatrice : elle permet a un attaquant non authentifie depuis le reseau de capturer un certificat machine d'un DC et d'obtenir son hash via le tool Certifry. Pour le detail des 15 vecteurs, consultez ADCS 2026 : ESC1 a ESC15, bilan complet.

Securisation Active Directory : bonnes pratiques 2026

La defense d'un AD moderne repose sur sept piliers complementaires :

1. Tier Model strict

Application sans exception du modele Tier 0/1/2. Authentication policy silos et Authentication policies (Server 2012 R2+) pour empecher le logon Tier 0 ailleurs que sur Tier 0.

2. LAPSv2 (Local Administrator Password Solution)

Mots de passe locaux administrateur randomises et stockes chiffres dans AD (ou Entra ID en mode cloud). LAPSv2 (2023) remplace LAPS legacy et chiffre les mots de passe DPAPI-NG.

3. MFA sur tous les comptes a privileges

Smart card logon (PIV/PKI) ou Windows Hello for Business avec attestation TPM. MFA Entra ID pour les acces hybrides via SSPR et Conditional Access.

4. JIT / PIM (Privileged Identity Management)

Activation a la demande des roles a privileges, avec workflow d'approbation, fenetre temporelle, audit trail. Disponible nativement dans Entra ID PIM ou via PAM Microsoft Identity Manager (MIM) on-prem.

5. Privileged Access Workstation (PAW)

Postes dedies a l'administration Tier 0, durcis (Credential Guard, Device Guard, Application Whitelisting), interdits de navigation web et messagerie. Modele Red Forest / ESAE bien que officiellement deprecie en 2020 par Microsoft.

6. Hardening Kerberos et NTLM

AES-256 obligatoire, deactivation RC4 et DES, signing LDAP et channel binding actives, NTLM v1 banni, audit NTLM, restriction des delegations Kerberos non-contraintes.

7. Backup et resilience

Sauvegarde authentique de la foret avec test de restauration regulier (PowerShell module ADRecoveryTools). Plan de Disaster Recovery AD documente, krbtgt rotation (deux rotations a 24h d'intervalle) tous les 6 a 12 mois.

Attaques courantes sur Active Directory

Les techniques offensives sur AD sont matures et documentees dans MITRE ATT&CK. Tour d'horizon des attaques majeures de 2026 :

Kerberoasting (T1558.003)

Demande de TGS pour des comptes de service (SPN), puis crackage offline du hash du compte. Tres efficace contre les SPN sur des comptes utilisateurs avec mot de passe faible. Voir Kerberoasting : attaque et defense.

AS-REP Roasting (T1558.004)

Si un compte a Do not require Kerberos pre-authentication, un attaquant peut demander un AS-REP non chiffre au DC et cracker offline.

DCSync (T1003.006)

Abus du droit Replicating Directory Changes pour declencher une replication DRS-RPC et exfiltrer le hash NTLM de tout compte (y compris krbtgt). Implemente dans Mimikatz (lsadump::dcsync) et Impacket (secretsdump.py). Pour la protection NTDS, voir NTDS.dit : extraction et protection des secrets AD.

Golden Ticket (T1558.001)

Forge d'un TGT arbitraire en utilisant le hash NTLM ou la cle AES-256 du compte krbtgt. Permet l'acces a n'importe quel service du domaine pendant la duree de vie du TGT (max 10 ans). Detection : monitoring du PAC, anomalies de durees de ticket, EventID 4769 anormal.

Silver Ticket (T1558.002)

Forge d'un TGS arbitraire avec le hash du compte de service cible. Plus discret que le Golden Ticket car ne sollicite pas le KDC.

Pass-the-Hash et Pass-the-Ticket

Reutilisation du hash NTLM (PtH) ou du ticket Kerberos (PtT) preleve dans LSASS pour s'authentifier sans connaitre le mot de passe en clair. Mitige par Credential Guard, Protected Users et l'isolation Tier.

NTLM Relay et ADCS ESC8

Capture de challenge NTLM (via SMB, HTTP, MSSQL) et relai vers une autre cible. ESC8 = NTLM Relay vers AD CS Web Enrollment pour obtenir un certificat machine d'un DC.

Outils audit et pentest Active Directory

BloodHound

Cartographie des chemins d'attaque via theorie des graphes (Neo4j). Indispensable pour identifier les chemins vers Domain Admins. Versions CE (open source) et Enterprise (SpecterOps). Detail dans notre guide BloodHound.

PingCastle

Audit de securite AD freemium edite par Vincent Le Toux. Score de risque sur 100, rapport HTML detaille, gratuit pour les organisations de moins de 500 utilisateurs ou audit ponctuel.

ADRecon / PowerView / ADExplorer

Outils d'enumeration et de discovery pour pentesters et auditeurs. PowerView (offensif), ADRecon (recap defensif), ADExplorer (Sysinternals, lecture seule).

Mimikatz

Le couteau suisse offensif AD edite par Benjamin Delpy. Dump LSASS, DCSync, Golden/Silver Ticket, Pass-the-Hash, Pass-the-Ticket, Kerberoast offline. Detection EDR systematique en 2026. Voir Mimikatz : extraction de credentials Active Directory.

Rubeus

Tool offensif Kerberos en .NET (Will Schroeder). Kerberoast, AS-REP Roast, ticket forging, S4U abuse, unconstrained delegation exploitation.

Impacket

Suite Python (SecureAuth Labs / Fortra) implementant SMB, MSRPC, Kerberos, LDAP, NTLM. Inclut secretsdump.py, GetNPUsers.py, GetUserSPNs.py, ntlmrelayx.py, psexec.py — la trousse standard du pentester AD.

Certipy / Certify

Outils dedies a l'enumeration et l'exploitation d'AD CS. Certipy (Python, Oliver Lyak) couvre les ESC1-15. Certify (.NET, SpecterOps) integre dans GhostPack.

Detection : Defender for Identity, Splunk, Wazuh, Sentinel

La detection des attaques AD repose sur l'analyse comportementale (UEBA) et le SIEM :

• Microsoft Defender for Identity (MDI) (ex Azure ATP) : capteur sur les DC, detecte Kerberoasting, DCSync, Pass-the-Ticket, Golden Ticket, reconnaissance LDAP via behavioral analytics.
• Microsoft Sentinel : SIEM cloud Azure avec analytics packs Active Directory (UEBA, Fusion incidents, MITRE mapping).
• Splunk Enterprise Security : connecteurs Windows Event Forwarding, Splunk UBA, application Splunk for Windows Active Directory.
• Wazuh (open source) : modules AD, ruleset Windows Event Channel, integrations MITRE.
• CrowdStrike Falcon Identity Protection (issu de l'acquisition Preempt) et SentinelOne Singularity Identity : alternatives EDR-native aux solutions Microsoft.

La telemetrie minimale requise : Sysmon (Microsoft, config SwiftOnSecurity ou Olaf Hartong), Windows Event Logs (4624, 4625, 4768, 4769, 4776, 4662, 5136, 5145, 4732, 4756) collectes via WEF ou agent SIEM, et Endpoint Detection sur les DC.

Migration vers Microsoft Entra ID : hybride ou full cloud

La transition d'AD on-prem vers Microsoft Entra ID est l'enjeu d'identite n.1 des DSI en 2026. Trois trajectoires coexistent :

Hybride avec Entra Connect

Le scenario le plus repandu (>80 % des entreprises Fortune 1000). Entra Connect (anciennement Azure AD Connect, et avant DirSync) synchronise les comptes AD on-prem vers Entra ID. Trois modes d'authentification :

• Password Hash Sync (PHS) : hash du hash NTLM synchronise vers Entra ID. Le plus simple, recommande.
• Pass-Through Authentication (PTA) : agent on-prem qui valide les credentials contre AD a chaque logon Entra.
• Federation (AD FS) : ferme AD FS pour la federation SAML. Complexe, deconseille en 2026.

Cloud-only

Les comptes sont crees directement dans Entra ID, sans AD on-prem. Adapte aux startups, organisations cloud-native et entreprises ayant decommissionne leur AD. Les fonctionnalites manquantes (GPO, Kerberos legacy) sont remplacees par Intune (configuration), Entra Domain Services (Kerberos managed) et Conditional Access.

Decommissionnement progressif

Migration des charges legacy vers SaaS, virtualisation desktop AVD/Cloud PC sur Entra ID, suppression progressive des serveurs joints au domaine. Accompagner par un audit AD prealable (PingCastle + BloodHound) pour reduire la dette technique avant migration.

Articulation avec Microsoft 365 et Entra ID

Active Directory reste pour beaucoup d'organisations le source of truth qui alimente l'ensemble des services Microsoft 365 (Exchange Online, SharePoint Online, Teams, OneDrive). Le flux typique :

1. Creation d'un user dans AD on-prem.
2. Synchronisation par Entra Connect vers Entra ID.
3. Provisionnement automatique de la licence M365 par group-based licensing.
4. Activation automatique du mailbox Exchange Online, OneDrive, Teams.

Les acces sensibles (admin Exchange, admin Teams) sont desormais governees par Entra ID PIM et Conditional Access, avec exigences MFA, device compliance Intune, et risk-based access (Entra ID Protection).

Conformite : ISO 27001, NIS2, ANSSI

Les exigences reglementaires 2026 imposent un AD durci :

• ISO/IEC 27001:2022 annexe A.5.16 (Identity Management), A.8.5 (Secure Authentication) : MFA, gestion privilege, audit.
• NIS2 (transposee en France via la loi du 30 mars 2025) : obligation de mesures techniques et organisationnelles, incluant la gestion des identites et des acces a privilege pour les essential entities.
• ANSSI : guide Recommandations relatives a l'administration securisee des systemes d'information bases sur Microsoft Active Directory (2017, mise a jour 2024) — reference francaise pour le hardening AD.
• NIST SP 800-53 rev 5 et CIS Benchmarks for Microsoft Windows Server : referentiels techniques applicables.

L'audit AD prealable a une certification ou a un controle est un livrable systematique de notre offre Audit d'infrastructure.

Use cases entreprise : de la PME au multi-forets

Active Directory s'adapte a une grande diversite de tailles et de typologies d'entreprises :

• PME 50 utilisateurs : un domaine, deux DC, AD CS optionnel pour Wi-Fi 802.1X, Entra Connect en PHS vers Microsoft 365 Business.
• ETI 500-2000 utilisateurs : un domaine ou deux domaines (production / DMZ), AD CS Tier 1 et Issuing CA, AD FS sortant deprecate vers Entra ID, PingCastle audit annuel.
• Grand compte multi-pays : foret unique avec OU geographiques, sites multiples, GPO segmentees, gMSA pour les services, BloodHound mensuel, MDI sur tous les DC.
• Multi-forets (M&A, separation legale) : forest trusts selectifs, SID filtering, name filtering, etat tres securitaire (Red Forest historique). Souvent rationalise par migration ADMT vers une foret unique.

Pour evaluer votre exposition, notre offre Pentest Active Directory simule un scenario assume breach et delivre un rapport actionnable.

FAQ Active Directory

Qu'est-ce qu'un Domain Controller (DC) ?

Un Domain Controller est un serveur Windows hebergeant le service AD DS (NTDS) et repondant aux requetes LDAP, Kerberos et RPC pour un domaine. Il stocke une copie repliquee de la base NTDS.dit. Un domaine de production en compte au minimum deux pour la haute disponibilite.

Quelle est la difference entre Active Directory et Entra ID ?

Active Directory (AD DS) est un annuaire LDAP/Kerberos on-prem fournissant Kerberos, NTLM et GPO. Microsoft Entra ID (ex Azure AD) est un IDP cloud-native bases sur OAuth2/OIDC/SAML, sans Kerberos ni GPO mais avec Conditional Access, MFA et Identity Protection. Les deux coexistent typiquement en mode hybride via Entra Connect.

Qu'est-ce que le Tier 0 ?

Le Tier 0 regroupe tous les assets ayant un controle direct ou indirect sur l'identite : Domain Controllers, AD CS, AD FS, comptes Domain Admins / Enterprise Admins / Schema Admins, serveurs Entra Connect, hyperviseurs hebergeant des DC, solutions de backup AD. La regle absolue : un credential Tier 0 ne doit jamais s'authentifier sur un asset Tier 1 ou Tier 2.

Comment auditer la securite de mon Active Directory ?

Trois approches complementaires : 1) PingCastle pour un score automatise et un rapport HTML, 2) BloodHound (CE ou Enterprise) pour cartographier les attack paths, 3) un pentest assume breach simulant un poste utilisateur compromis. Notre offre Pentest Active Directory combine les trois.

Active Directory est-il en fin de support ?

Non. Microsoft maintient AD DS dans Windows Server 2025 (sortie 1er novembre 2024) avec un support etendu jusqu'au 10 octobre 2034. Aucune fin de vie d'AD DS n'est annoncee, malgre la pression vers Entra ID. En revanche, Windows Server 2012/2012 R2 sont en Extended Security Updates payantes depuis octobre 2023, et 2016 entre en ESU en janvier 2027.

Quelle frequence de rotation pour le compte krbtgt ?

Microsoft recommande une rotation tous les 180 jours minimum, voire trimestrielle pour les environnements sensibles. La rotation se fait en deux passes espacees de 24 heures (delai de replication + cycle TGT max 10h) via le script New-KrbtgtKeys.ps1. En cas de suspicion de Golden Ticket, deux rotations consecutives invalidant tous les TGT existants.

Liens approfondis

• Active Directory : hausse de 42 % des attaques en 2026
• Active Directory : surface d'attaque invisible du SI
• Kerberoasting : attaque et defense
• NTLM Relay moderne : SMB et HTTP, guide complet
• NTDS.dit : extraction et protection des secrets AD
• ADCS 2026 : ESC1 a ESC15, bilan complet
• BloodHound : attack paths Active Directory
• Mimikatz : extraction de credentials Active Directory
• Glossaire : Active Directory
• Pentest Active Directory
• Audit d'infrastructure
• learn.microsoft.com/windows-server/identity
• MITRE ATT&CK
• ADSecurity.org (Sean Metcalf)
• CISA Cybersecurity Advisories