Salle serveur représentant un environnement Active Directory Windows Server
Projet 01 Active Directory Lab personnel Terminé

Active Directory & premières stratégies de sécurité

Déploiement d'un domaine Windows Server, gestion des identités et mise en place des premières GPO de sécurité — point de départ du lab.

00 — CONTEXTE

Dans le cadre d'un projet personnel, j'ai initié la mise en place d'un environnement Active Directory pour comprendre son rôle dans la gestion et la sécurisation des systèmes en entreprise. Ce premier lab m'a permis de poser les bases de l'administration Windows centralisée.

Déployer un domaine Active Directory fonctionnel
Gérer des utilisateurs et des accès centralisés
Mettre en place des GPO de sécurité
Gestion centralisée des ressources partagées

01 — ARCHITECTURE

Contrôleur de domaine

Windows Server — BANQUE.local

AD DSDNSGPOFichiers

Poste client 01

Windows 10 Pro

Poste client 02

Windows 11 Pro

Pas de segmentation réseau — focus sur les fondamentaux AD

02 — GALERIE

Cliquez sur une vignette pour ouvrir la galerie complète.

Schéma de topologie Active Directory

Structure AD

DC + 2 postes clients intégrés au domaine.

Voir en grand
Console de gestion des stratégies de groupe GPO

GPO de sécurité

Politiques de mot de passe et restrictions système.

Voir en grand
Configuration du serveur de fichiers avec permissions NTFS

Serveur de fichiers

Partage réseau, droits NTFS et lecteurs auto.

Voir en grand

03 — IMPLÉMENTATIONS

Active Directory

Déploiement & gestion des identités

Création du domaine BANQUE.local
Gestion des utilisateurs et groupes de sécurité
GPO de sécurité et de contrôle des postes

GPO de sécurité

Stratégies de groupe appliquées

Politique de mot de passe — 8 caractères minimum, complexité activée
Verrouillage de compte après 5 tentatives échouées
Restrictions : PowerShell, Panneau de configuration, registre, stockage amovible (USB)
Personnalisation et verrouillage de l'environnement utilisateur

Serveur de fichiers

Partage réseau centralisé

Mise en place d'un partage réseau sécurisé
Organisation des accès via Domain Local Groups (AGDLP)
Attribution des droits NTFS selon les rôles utilisateur
Déploiement automatique des lecteurs réseau via GPO

04 — LIMITES & ÉVOLUTION

Absence de segmentation réseau — tout sur le même VLAN
Aucun mécanisme de sécurité réseau (firewall, DMZ)
Aucune simulation d'attaque ni réponse à incident
Architecture peu réaliste — services centralisés sur le DC

Ces limites m'ont conduit à concevoir un lab plus avancé, intégrant :

Un pare-feu pfSense avec politique deny-by-default
Une segmentation réseau (LAN / DMZ / Admin / Serveurs)
Une DMZ avec machine vulnérable pour simulation d'attaques
Des scénarios attaque / défense documentés
Voir le projet suivant — pfSense & DMZ