Active Directory on Aperture Zone

DRP sur Hyper-V avec Veeam : du chaos au failover propre

Fri, 03 Apr 2026 00:00:00 +0000

J’ai une infrastructure virtualisée sous Hyper-V avec un serveur de backup/DRP séparé. La stack complète tourne sur 19 VMs : deux domaines Active Directory avec approbation, des DNS forwarders Linux (BIND9), du RADIUS, du monitoring, des services applicatifs… bref, pas un truc qu’on peut se permettre de remettre en route n’importe comment.

L’objectif du projet était simple à énoncer, complexe à réaliser :

Basculer toute l’infra sur le serveur DRP en un minimum d’actions, avec continuité de service garantie (en tout cas ne pas couper l’aces a internet) puis revenir en prod proprement.

Sauvegarder ses GPO avec Ansible et WinRM

Thu, 02 Apr 2026 00:00:00 +0000

Les Group Policy Objects sont au cœur de toute infrastructure Active Directory sérieuse. Elles définissent les paramètres de sécurité, les droits, les configurations des postes, les restrictions logicielles. En cas de sinistre, de mauvaise manipulation, ou simplement d’un besoin de revenir en arrière après un changement, ne pas avoir de sauvegarde de ses GPO c’est s’exposer à des heures de reconstruction laborieuse.

L’interface graphique de la console de gestion des stratégies de groupe propose bien une fonction de sauvegarde, mais elle est manuelle, oubliable, et surtout non versionnée. L’objectif de cet article est de l’automatiser proprement avec Ansible via WinRM, sur une infrastructure comportant deux domaines Active Directory distincts, avec archivage long terme sur un NAS et rapport par mail.

Active Directory : krbtgt, de la théorie à la pratique

Wed, 01 Apr 2026 00:00:00 +0000

Dans la première partie de cet article, on a posé les bases : ce qu’est le compte krbtgt, pourquoi le Golden Ticket est une menace sérieuse, et une architecture Ansible théorique pour automatiser les rotations. Si vous n’avez pas lu cette partie, je vous encourage à commencer par là.

Ici on passe aux choses sérieuses. Le playbook de la partie 1 était volontairement simplifié pour illustrer le concept. En environnement de production réel, les choses se compliquent — le script interactif qui refuse d’être piloté, le fichier XML qui n’est pas trouvé, le double-hop Kerberos qui bloque tout, la forêt racine qui n’est pas celle qu’on croit. Autant d’obstacles que j’ai rencontrés et résolus, que je vous documente ici.

Migration Server 2022 : forêt multi-domaines

Fri, 27 Mar 2026 00:00:00 +0000

Dans un article précédent, j’avais décrit la montée en niveau fonctionnel 2016 et l’audit des approbations entre mes deux domaines. Je terminais sur cette note : “Il va aussi falloir penser à upgrader l’OS de mes autres contrôleurs.”

Voilà. C’est fait.

Le contexte

L’infrastructure repose sur une forêt Active Directory à deux domaines :

Un domaine racine de forêt, dédié aux serveurs et aux hyperviseurs — deux contrôleurs de domaine assurent sa disponibilité. Le premier porte les rôles domaine (PDC Emulator, RID Master, Infrastructure Master), le second les rôles forêt (Schema Master, Domain Naming Master).
Un domaine enfant, dédié aux stations de travail et aux utilisateurs — deux contrôleurs de domaine également. Le premier concentre les rôles FSMO du domaine ainsi que le service DNS et le DHCP principal. Le second assure la continuité : Global Catalog, DNS secondaire, DHCP en failover et Autorité de Certification. Sans ces rôles, un second DC ne serait qu’un réplica passif — autant lui donner une vraie raison d’exister.

Tous tournaient sous Windows Server 2016, dont le support mainstream est terminé depuis 2022 et le support étendu se termine en janvier 2027. Le moment de migrer vers Windows Server 2022 était venu.

Active Directory : krbtgt le compte qui fait peur

Wed, 25 Mar 2026 00:00:00 +0000

Il y a des éléments dans Active Directory qu’on oublie totalement parce qu’ils n’apparaissent jamais dans les opérations courantes. Le compte krbtgt en fait partie. Invisible dans le quotidien, il est pourtant au cœur de toute l’authentification Kerberos de votre domaine — et sa compromission est l’un des scénarios les plus catastrophiques qu’un attaquant puisse déclencher.

Dans cet article, on va explorer ce qu’est vraiment ce compte, pourquoi il faut changer son mot de passe régulièrement, et comment automatiser cette opération proprement avec Ansible.

Active Directory : montée en niveau fonctionnel 2016 et audit des approbations

Mon, 02 Mar 2026 00:00:00 +0000

Il y a des chantiers qu’on reporte depuis des années. Pas parce qu’ils sont impossibles, mais parce qu’il y a toujours un truc qui bloque. Dans mon cas, c’était Exchange 2013 — ce bon vieux serveur mail qui se fichait en travers de toute tentative de modernisation de l’AD. Depuis sa migration vers une solution plus légère, la voie était libre. Voilà donc le récit d’une nuit de boulot bien remplie.

Hardening AD avec PingCastle

Thu, 26 Feb 2026 00:00:00 +0000

PingCastle & Hardening Active Directory

Active Directory est le pilier de la gestion des identités et des accès dans la majorité des environnements Windows. Sa criticité en fait aussi une cible privilégiée des attaquants. Un AD mal configuré peut permettre une élévation de privilèges, un mouvement latéral, voir une compromission totale du domaine.

PingCastle est aujourd’hui l’un des outils de référence pour évaluer la posture de sécurité d’un Active Directory. Il a été développé par Vincent Le Toux, expert français reconnu dans les cercles de la sécurité offensive et dont la maîtrise des internals Windows et Active Directory est de notoriété publique. On lui prête notamment des liens étroits avec l’ANSSI — une légende urbaine tenace dans la communauté, alimentée par la profondeur et la qualité des règles de détection de l’outil, qui reflètent une connaissance des vecteurs d’attaque rarement atteinte en dehors des sphères étatiques. Vincent Le Toux est par ailleurs co-auteur de mimikatz, l’outil de référence mondial pour l’extraction de credentials Windows.