Dans encore beaucoup d’audit de sécurité Active Directory, il est entre autre remonté que le spooler d’impression est toujours activé sur les contrôler de domaine.
Pour tant, la désactivation de ce service est vivement recommandé.
Créer un filtre WMI pour les GPO à l’aide de PowerShell, cette fonctionnalité n’a pas de commande native en PowerShell ce qui est bien triste. Après plusieurs heures de recherches sur ce sujet, j’ai enfin fini par avoir une version stable en PowerShell d’une fonction permettant de créer des filtres WMI pour nos petites GPO.
J’ai ressèment du modifier les OU par défaut d’un Active Directory. Il s’agit d’une opération simple que j’ai déjà réalisée bon nombre de fois.
Mais qui semble encore méconnue de bon nombre de personnes et qui portant apporte quelques avantages comme résoudre des problématiques de délégation ou de bloquer les comptes utilisateurs /ordinateurs qui n’auraient pas été préalablement positionnés dans une OU définitive (OU honeypot).
Je rencontre souvent des Active Diretory donc le niveau fonctionnel est encore 2008r2 alors que l’ensemble des contrôleurs de domaine sont sous Windows 2012r2 ou 2016.
La question qui revient souvent n’est pas comment fait-on pour augmenter le niveau fonctionnel, mais est-ce que je peux le faire et quel sont les impacts.
Avec la sortie du nouvel OS client de Microsoft, Windows 11 et Windows Server 2022.
Microsoft a mise à jour les baseline de sécurité pour ces nouveaux OS.
Les “security baselines” sont distribuées via un outil Microsoft “Microsoft Security Compliance Toolkit 1.0”.
Avec la sortie du nouvel OS client de Microsoft, Windows 11.
Les modèles d’administrations ont eux aussi été mis à jour.
Bien que vieillissante et en perte de vitesse, Active Directory est toujours utilisée dans beaucoup d’entreprises.
Dans ce post, nous allons voir comment ajouter un attribut personnalisé dans le schéma d’active directory.
Le déploiement d’application de type “MSI” par GPO est disponible depuis les début d’Active Directory.
Bien que très peu utilisé et plus forcément recommendé, cette option est toujours disponible. Cependant lorsqu’une application a été déployée, celle-ci ne se réinstalle pas de manière automatique si celle-ci a été manuellement désinstallée.
Bien que ce ne soit pas tout récent, il arrive de temps en temps de devoir configurer un SSO d’une application basé sur le protocole Kerberos. JE rencontre souvent ce besoin pour des applications web hébergées sur des JVM. Bien que SAML soit la voie royal pour le SSO des applications web, SPNEGO est toujours présent et est souvent source d’erreur.
Petit mémo de commandes pour trouver /valider à quel site AD une machine est ratachée.
