Posted inActive Directory

Comprendre Active Directory (AD), RWDC et RODC : Définition, Rôles et Différences

No CommentsPosted inActive Directory
RODC et RWDC
RODC et RWDC

Introduction

Active Directory (AD) est un service d’annuaire développé par Microsoft pour gérer les ressources et les utilisateurs au sein d’un réseau d’entreprise. Il facilite l’authentification, l’autorisation et la gestion des objets (utilisateurs, ordinateurs, imprimantes, etc.) dans un environnement Windows.

Dans AD, il existe différents types de contrôleurs de domaine (DC – Domain Controllers), notamment le RWDC (Read-Write Domain Controller) et le RODC (Read-Only Domain Controller). Chacun a des rôles spécifiques et est utilisé dans des scénarios distincts.

1. Active Directory (AD) – Définition et Rôle

Active Directory est un annuaire centralisé qui stocke et organise des informations sur les ressources réseau. Il permet :
✅ L’authentification et l’autorisation des utilisateurs et ordinateurs.
✅ La gestion des stratégies de groupe (GPO).
✅ La réplication des données entre plusieurs contrôleurs de domaine.

AD repose sur une structure hiérarchique contenant des domaines, des forêts et des unités organisationnelles (OU). Il fonctionne sur LDAP (Lightweight Directory Access Protocol) et utilise le protocole Kerberos pour l’authentification.

2. RWDC (Read-Write Domain Controller) – Contrôleur de Domaine en Lecture-Écriture

Un RWDC est un contrôleur de domaine classique qui :
🔹 Stocke une copie complète de la base de données AD.
🔹 Autorise les modifications des objets AD (ajout/suppression d’utilisateurs, changements de GPO, etc.).
🔹 Réplique les modifications vers les autres DC de l’environnement.

Cas d’utilisation du RWDC

✔ Dans un site principal où les administrateurs doivent gérer activement les utilisateurs et ressources.
✔ Pour les services nécessitant des modifications fréquentes de l’annuaire.

Par abus de langage on appelera un RWDC un « controleur de domain » ou plus silmplement « l’ad ».

3. RODC (Read-Only Domain Controller) – Contrôleur de Domaine en Lecture Seule

Le RODC est une version en lecture seule d’un DC, conçu principalement pour les sites distants avec peu ou pas d’administrateurs locaux.

🔹 Il stocke une copie en lecture seule de la base AD.
🔹 Il ne permet pas de modifications directes de l’annuaire.
🔹 Il peut être configuré pour ne pas stocker certains mots de passe, réduisant ainsi les risques en cas de compromission.
🔹 Il limite l’impact d’une attaque sur un site distant.

Cas d’utilisation du RODC

✔ Dans des sites distants avec une connectivité intermittente au site principal.
✔ Dans des zones à risque élevé (ex. : agences externes, environnements avec peu de sécurité physique).
✔ Lorsque l’on veut restreindre les droits administratifs sur site tout en permettant l’authentification locale.

4. Connexion à un AD : RWDC vs RODC

🔹 Se connecter à un RWDC (Méthode Classique)

Un utilisateur ou un administrateur se connecte normalement à un RWDC comme suit :

  1. Depuis un poste Windows Serveur, utiliser CTRL + ALT + SUPPR puis entrer ses identifiants AD.
  2. Si connecté au domaine, l’authentification est gérée via Kerberos.
  3. Si l’authentification réussit, une session est ouverte avec les droits associés à l’utilisateur.

Admin : Un administrateur peut se connecter en RDP (Remote Desktop Protocol) avec un compte ayant les droits nécessaires.

🔹 Se connecter à un RODC (Compte Spécial)

Puisqu’un RODC est en lecture seule, il ne stocke pas tous les mots de passe localement.

➡ Un compte spécial « Admin du RODC » doit être créé avec des permissions restreintes.
➡ Si l’utilisateur ne fait pas partie des comptes avec cache local, l’authentification se fera via un RWDC distant.
➡ En cas d’échec de connexion au RWDC, l’accès peut être refusé.

🔹 Forcer une connexion à un DC spécifique

On peut forcer l’authentification vers un contrôleur de domaine spécifique en utilisant la commande :

nltest /dsgetdc:NomDeDomaine /force /avoidrodc

💡 Cette commande permet d’éviter un RODC si on a besoin de droits en écriture.

Conclusion

RWDC et RODC jouent des rôles complémentaires dans un environnement Active Directory :
RWDC gère l’ensemble des opérations avec lecture et écriture.
RODC protège les sites distants avec un accès en lecture seule et un stockage limité des identifiants.

L’utilisation d’un RODC est une bonne pratique de sécurité pour limiter l’impact d’une compromission dans un site distant. Cependant, les administrateurs doivent bien comprendre ses limitations pour éviter des erreurs de configuration.

Questions à approfondir :

1️⃣ Quels sont les risques d’une mauvaise configuration des RODC dans un environnement Active Directory ?
2️⃣ Comment configurer la réplication entre un RWDC et un RODC ?
3️⃣ Quels types de comptes utilisateurs peuvent être stockés en cache sur un RODC et comment les gérer efficacement ?

Si tu veux creuser un de ces sujets, dis-moi lequel t’intéresse le plus en commentaire ! 😊

Lien

Externe :

Contrôleurs de domaine en lecture seule et schéma Active Directory
Installer un contrôleur de domaine en lecture seule Active Directory Windows Server 2012 (niveau 200)

Interne :

Catégorie AD

Definitions AD

Tags:

Comments

No comments yet. Why don’t you start the discussion?

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *