Active Directory

Active Directory : qu’est-ce que c’est et comment ça fonctionne ?

Karelie R. 15 décembre 2025 6 minutes de lecture Dossiers

Peu importe leur taille, la plupart des entreprises utilisent Active Directory pour gérer les permissions et contrôler l’accès aux ressources critiques du réseau. Mais de quoi s’agit-il exactement, et comment peut-il aider les organisations ?

Active Directory™ fait partie des sujets de discussion courants au sein de la société. Parfois, les interlocuteurs y font référence en utilisant le terme « AD ». En fait, Active Directory représente le logiciel de Microsoft qui permet d’organiser et donne accès aux informations contenues dans l’annuaire d’un système d’exploitation. Découvrez un peu plus sur ce système.

Qu’est-ce que Active Directory ?

Active Directory (AD) est un service d’annuaire qui fonctionne sur Microsoft Windows Server. Sa fonction principale consiste à permettre aux administrateurs de gérer les permissions et de contrôler l’accès aux ressources du réseau.

Dans Active Directory, les données sont stockées sous forme d’objets. Ceux-ci comprennent les utilisateurs, les groupes, les applications et les périphériques. En outre, ils sont classés en fonction de leur nom et de leurs attributs.

Active Directory permet aux administrateurs de gérer et de contrôler de manière centralisée la configuration des ordinateurs et des utilisateurs. De fait, ces derniers doivent s’authentifier avant de pouvoir accéder de manière transparente à toutes les ressources du domaine pour lesquelles ils sont autorisés.

Il faut toutefois souligner que les systèmes active directory sont vulnérables à plusieurs types de menaces, étant donné qu’il joue un rôle central dans l’autorisation des utilisateurs.

YouTube video

Comment fonctionne-t-il ?

Active Directory Domain Services (AD DS) constitue un élément central d’Active Directory. Il fournit le principal mécanisme d’authentification des utilisateurs et détermine les ressources du réseau auxquelles ils peuvent accéder. Il offre également des fonctionnalités supplémentaires telles que l’authentification unique (SSO), les certificats de sécurité, LDAP et la gestion des droits d’accès.

AD DS organise les données dans une structure hiérarchique composée des domaines, des arbres et des forêts. En fait, un domaine représente un groupe d’objets tels que des utilisateurs, des groupes et des appareils, qui partagent la même base de données AD.

Un arbre constitue un ou plusieurs domaines regroupés dans une hiérarchie logique. Une forêt est le plus haut niveau d’organisation dans AD et contient un groupe d’arbres. 

Utilisation de l’Active Directory

Outre Active Directory Domain Services, il existe une poignée d’autres services essentiels fournis par AD. Certains de ces services et leurs utilisations sont énumérés ci-dessous :

  • Lightweight Directory Services  ou  AD LDS. Il s’agit d’un service d’annuaire LDAP (Lightweight Directory Access Protocol). Il ne fournit qu’un sous-ensemble des fonctionnalités d’AD DS, ce qui le rend plus polyvalent en termes de lieu d’exécution.
  • Services de certificats. Ce dernier permet de créer, gérer et partager des certificats de chiffrement, qui permettent aux utilisateurs d’échanger des informations en toute sécurité sur Internet.
  • Active Directory Federation Services ou  ADFS. Il s’agit d’une solution d’authentification unique (SSO) pour AD. Elle offre aux employés la possibilité d’accéder à plusieurs applications avec un seul ensemble d’informations d’identification, simplifiant ainsi l’expérience utilisateur.

Services de gestion des droits ou AD RMS. Cet ensemble d’outils aide à la gestion des technologies de sécurité qui aideront les organisations à sécuriser leurs données. Ces technologies comprennent le cryptage, les certificats et l’authentification. Elles couvrent une gamme d’applications et de types de contenu, tels que les e-mails et les documents Word.

Active Directory 2026 : Cap sur Microsoft Entra ID et Server 2025

L’écosystème Active Directory connaît sa plus grande mutation avec la généralisation de Windows Server 2025. Cette version introduit le niveau fonctionnel de forêt « Forest Level 10 », optimisant la réplication des données et la sécurité des bases NTDS.

Dorénavant, les organisations ne se contentent plus d’un annuaire local. Elles déploient des architectures hybrides unifiées avec Microsoft Entra ID (anciennement Azure AD).

Cette convergence technologique permet de répondre aux impératifs du modèle Zero Trust. Effectivement, en 2026, la gestion des identités repose aussi bien sur le mot de passe que sur des signaux contextuels en temps réel.

Grâce à l’intégration native d’Entra ID, les administrateurs peuvent appliquer des politiques d’accès conditionnel strictes. Ce qui protège les ressources critiques contre les attaques par « Pass-the-Hash ».

De surcroît, l’adoption de passkeys (FIDO2) au sein des domaines AD réduit amplement la surface d’attaque liée au phishing. Cette transition vers une identité cloud-first, tout en conservant la robustesse d’AD DS pour les ressources sur site, définit la nouvelle norme de gouvernance informatique pour les entreprises modernes.

YouTube video

Principaux défis quant à sa gestion

En 2024, la gestion d’Active Directory (AD) présente plusieurs défis pour les entreprises. Notamment en matière de cybersécurité, de mise à jour, et de gestion des identités. Avec la montée des cyberattaques ciblant les systèmes d’authentification, AD constitue une cible de choix pour les pirates cherchant à accéder aux données sensibles.

Il importe donc de renforcer les mesures de sécurité. En particulier la mise en place de l’authentification multifactorielle (MFA) et le contrôle d’accès basé sur les rôles (RBAC).

La gestion des mises à jour d’AD s’avère également complexe. En effet, les administrateurs doivent garantir la compatibilité entre les différentes versions d’AD et les applications tierces. Ils doivent également minimiser les interruptions de service.

Par ailleurs, avec l’essor des environnements de travail hybrides et l’adoption croissante de solutions cloud, les entreprises font face à une complexité accrue dans la gestion des identités et des accès.

Les administrateurs doivent jongler entre les comptes d’utilisateurs locaux et les ressources cloud, comme Azure AD, tout en assurant une expérience fluide et sécurisée pour les employés. Ainsi, les défis actuels de la gestion d’AD reposent principalement sur l’amélioration continue de la sécurité, la compatibilité, et la gestion unifiée des identités.

Active Directory et la mise à jour du PAC de Kerberos d’avril 2025

Microsoft déploie un changement significatif dans son « Patch Tuesday d’avril 2025 » qui affectera tous les environnements Active Directory. Cette mise à jour introduit la validation obligatoire du Privilege Attribute Certificate (PAC) pour renforcer la sécurité de l’authentification Kerberos.

Ce nouveau mécanisme de validation permet de prévenir les attaques par élévation de privilèges et vérifier l’intégrité des informations d’autorisation contenues dans les tickets Kerberos.

Cette fonctionnalité existait déjà mais n’était activée que pour certains cas spécifiques. À partir d’avril 2025, elle sera imposée pour toutes les transactions d’authentification Kerberos. Le changement touchera toutes les versions de Windows Server hébergeant Active Directory.

La validation du PAC entraîne une légère surcharge sur les contrôleurs de domaine lors du traitement des authentifications. Les administrateurs doivent impérativement anticiper cette mise à jour pour éviter des problèmes potentiels dans leurs environnements.

Microsoft recommande plusieurs actions préparatoires. Tout d’abord, vérifier que tous les contrôleurs de domaine utilisent des versions compatibles de Windows Server.

Il faut aussi s’assurer que les correctifs de sécurité mensuels sont régulièrement appliqués sur l’ensemble des contrôleurs de domaine. Pour les entreprises qui possèdent un grand nombre de contrôleurs de domaine, une stratégie de déploiement progressif est conseillée.

Une surveillance attentive des performances sera nécessaire après l’application des correctifs. Microsoft propose également un mode de surveillance préventif via un paramètre de registre qui permet d’observer les impacts potentiels sans activer complètement la validation.

YouTube video

FAQ

Quelle est la différence entre Active Directory et Microsoft Entra ID ?

Active Directory (AD DS) est un service d’annuaire sur site, tandis que Microsoft Entra ID est sa version cloud. En 2026, la majorité des entreprises utilisent un modèle hybride pour synchroniser leurs identités locales vers le cloud.

Qu’apporte Windows Server 2025 à Active Directory ?

Cette version introduit des améliorations de sécurité majeures, notamment le chiffrement par défaut des communications LDAP (AES-256) et de nouveaux niveaux fonctionnels de forêt pour une réplication plus rapide.

Pourquoi le PAC de Kerberos change-t-il en avril 2025 ?

Microsoft impose la validation obligatoire du certificat d’attribut de privilège (PAC) pour bloquer les tentatives d’usurpation d’identité et renforcer l’intégrité des tickets d’authentification au sein du domaine.

Active Directory est-il compatible avec le Zero Trust ?

Oui, à condition d’être couplé à Microsoft Entra ID. Cela permet d’ajouter l’accès conditionnel et l’authentification multifactorielle (MFA) aux ressources critiques du réseau local.

Restez à la pointe de l'information avec LEBIGDATA.FR !

▶ Abonnez-vous à notre chaîne YouTube et Ajoutez-nous à vos favoris sur Google Actualités

Cloud Microsoft

Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

  Copyright © 2026 Groupe Publithings. Tous droits réservés.

Newsletter

La newsletter IA du futur

Rejoins nos 100 000 passionnés et experts et reçois en avant-première les dernières tendances de l’intelligence artificielle🔥