Active Directory est un composant essentiel pour une organisation. Toutes les applications métier utilisent le sous-système d’authentification Active Directory avant de pouvoir autoriser l’accès aux données d’application. Active Directory est un composant de base qui doit fonctionner efficacement afin d’éviter les temps d’arrêt pour les applications métier critiques. Par exemple, si une application conçue en interne traite 100 demandes d’authentification et si le contrôleur de domaine ne répond pas en temps opportun aux demandes d’authentification provenant d’applications, cela peut entraîner une perte d’activité. De même, vous vous attendez à ce que les modifications créées dans un site Active Directory soient répliquées sur tous les autres sites Active Directory dès que possible. La grande question est de savoir comment effectuez-vous ces vérifications? En tant que MVP Microsoft dans les services d’annuaire, j’ai effectué de nombreux engagements avec des clients locaux et mondiaux sur l’évaluation de l’état d’Active Directory. Dans le passé, je concevais des scripts PowerShell individuels pour vérifier un composant spécifique de l’Active Directory. Cependant, j’ai travaillé avec de nombreux autres outils automatisés que je peux partager avec vous afin que vous puissiez choisir le meilleur en fonction de vos besoins.
Pourquoi effectuer une évaluation des risques d’Active Directory ?
Il y a plusieurs raisons pour lesquelles une évaluation des risques et de la santé d’Active Directory doit être effectuée comme indiqué ci-dessous:
- Objectifs d’audit et de conformité: Pour les grandes organisations, il devient certainement nécessaire que les organisations soient conformes aux normes SOX, PCI, HIPPA et GDPR. De nombreux produits d’évaluation des risques d’Active Directory suivent les directives fournies par les normes de conformité.
- Avant de passer au cloud : Si votre organisation a décidé de passer au cloud, vous devez envisager une évaluation de la santé et des risques d’Active Directory. Avant de décider de passer au cloud, une vérification de l’état d’Active Directory doit être effectuée, qui comprend la vérification des comptes d’utilisateurs obsolètes, des comptes d’utilisateurs et d’ordinateurs désactivés et de tous les objets orphelins qui ne doivent pas être répliqués dans le pourrait. De même, si vous décidez d’implémenter des contrôleurs de domaine dans le cloud, vous devez vérifier la réplication pour vous assurer qu’elle fonctionne correctement.
- Avant de faire un grand changement dans l’environnement de production : Avant de faire de gros changements dans votre environnement de production, il est conseillé d’effectuer une vérification approfondie de tous les composants Active Directory. Les vérifications que vous effectuez vous assurent qu’Active Directory est en bonne santé avant d’effectuer un changement important, tel que la mise en œuvre d’une technologie fortement dépendante de l’infrastructure et des objets Active Directory.
- Fusion avec une autre entreprise : Vous devrez peut-être également effectuer une vérification de l’état d’Active Directory avant que votre forêt Active Directory de production ne soit fusionnée avec la forêt Active Directory d’une autre entreprise.
Méthodes disponibles pour la vérification de l’état d’Active Directory
Plusieurs méthodes sont disponibles en fonction de vos besoins, telles que l’utilisation de scripts Microsoft PowerShell, Microsoft ADRAP Engagement et Office 365 IT Health and Risk Scanner. Bien qu’il existe plusieurs outils disponibles sur le marché qui peuvent offrir quelques vérifications, tous les outils ne peuvent pas effectuer une évaluation complète de la santé et des risques des forêts Active Directory. Par exemple, certains outils peuvent ne pas inclure de contrôles de santé qui sont certainement nécessaires et certains produits peuvent réellement découvrir des problèmes cachés, ce qui, à son tour, aide à éviter les perturbations du service.
Utilisation de scripts PowerShell
Vous pouvez utiliser des scripts PowerShell pour vérifier chaque composant d’Active Directory, mais vous devez connaître tous les composants que vous souhaitez vérifier dans le cadre du bilan de santé. Par exemple, vous avez peut-être décidé de vérifier l’état de réplication de la forêt Active Directory, mais vous avez peut-être oublié de vérifier d’autres composants d’Active Directory tels que la stratégie de groupe, les sites Active Directory, etc. Bien que Microsoft fournisse les applets de commande PowerShell nécessaires pour vérifier un composant Active Directory spécifique, la conception d’un script PowerShell contenant des vérifications à effectuer sur des aspects importants d’Active Directory peut prendre des mois. Par exemple, à l’aide de la commande PowerShell ci-dessous, vous pouvez vérifier l’état de réplication dans un site Active Directory:
Get-ADReplicationFailure -scope SITE -target Seattle | FT Server, FirstFailureTime, FailureClount, LastError, Partner -AUTO
Engagement ADRAP de Microsoft
Microsoft propose un programme d’évaluation des risques Active Directory pour les clients de premier plan. Le programme ADRAP couvre toutes les vérifications à effectuer dans un environnement Active Directory et génère également un rapport sur les problèmes découverts par l’outil. Le programme ADRAP est exécuté par un ingénieur de terrain Microsoft Premier qualifié dans le processus d’évaluation. Bien que le programme ADRAP puisse découvrir tous les problèmes d’Active Directory à l’aide de l’outil d’instantané d’Active Directory, il est assez coûteux et ne peut être utilisé que pour une seule forêt Active Directory. En plus de la limitation de la forêt unique, l’outil ADRAP n’est pas disponible pour les clients qui n’ont pas de contrat premier. Si vous avez plusieurs forêts Active Directory, vous devrez payer pour chaque forêt Active Directory. Il convient également de mentionner que l’outil ADRAP ne peut être utilisé que pendant un an.
Scanner de Santé et de risques Informatiques O365
Il existe un excellent produit disponible sur le marché appelé Scanner de santé et de risques informatiques O365. Le scanner informatique O365 est conçu pour effectuer un bilan de santé complet de votre écosystème Microsoft qui comprend Active Directory, Hyper-V, Microsoft Exchange, SQL servers, Microsoft Azure, Office 365, etc. Le produit peut effectuer des vérifications complètes de la santé et des risques d’Active Directory et fournir des problèmes et des recommandations pour résoudre les problèmes. Une bonne chose à propos du scanner de santé et de risque informatique O365 est que le produit est dynamique. Il vous permet de créer vos propres bilans de santé liés à n’importe quelle technologie. Le scanner de santé et de risque informatique O365 devient le premier choix des administrateurs informatiques, des architectes informatiques et des fournisseurs de services gérés. Comme vous pouvez le voir dans la capture d’écran ci-dessous, vous pouvez ajouter des bilans de santé de votre choix en cliquant sur les étiquettes technologiques, puis créer un profil d’évaluation:
J’ai utilisé le scanner informatique O365 pour beaucoup de nos clients et je le trouve très utile. Certaines des caractéristiques notables du scanner de santé et de risques informatiques O365 aident à trouver les problèmes et les risques de santé critiques et élevés dans l’environnement Active Directory, la capacité de déléguer des tâches d’évaluation de la santé et des risques en utilisant le module complémentaire de délégation, la capacité de planifier des packs dynamiques et de générer rapidement un rapport d’évaluation des risques et de la santé et de pouvoir personnaliser le rapport en fonction de vos besoins.
Évaluation de la santé et des risques d’Active Directory: Un must
Nous avons donné un aperçu des raisons pour lesquelles il est nécessaire d’effectuer une évaluation de la santé et des risques d’Active Directory pour votre forêt Active Directory de production. Nous avons fourni des méthodes disponibles que nous pouvons utiliser pour effectuer une évaluation de la santé et des risques des forêts Active Directory. Alors que l’outil ADRAP de Microsoft peut effectuer une évaluation Active Directory, O365 IT Health and Risk Scanner peut effectuer une évaluation de la santé et des risques de l’écosystème Microsoft complet.
Image en vedette: