Lorsqu’un employé souhaite se connecter à son ordinateur dans un réseau utilisant Active Directory (AD), …
plusieurs étapes suivent un Modèle Conceptuel de Traitement (MCT) bien défini, souvent basé sur le processus d’authentification centralisée via un serveur AD.
L’utilisateur, l’ordinateur, et le serveur AD.
Une connexion réseau entre l’ordinateur et le contrôleur de domaine (DC) du serveur AD.
L’utilisateur entre ses identifiants (nom d’utilisateur et mot de passe).
Ces informations sont envoyées au Local Security Authority Subsystem Service (LSASS) de Windows.
L’ordinateur communique avec le serveur AD pour valider les identifiants.
L’ordinateur envoie une demande de Ticket Granting Ticket (TGT) au Key Distribution Center (KDC) sur le serveur AD.
La demande inclut l’identifiant utilisateur et un hachage basé sur son mot de passe.
Le serveur AD compare les informations reçues avec celles stockées dans la base de données AD.
Si le mot de passe est correct, un TGT est renvoyé à l’ordinateur.
L’ordinateur utilise le TGT pour obtenir un Service Ticket, permettant l’accès aux ressources du réseau (fichiers, imprimantes, etc.).
L’ordinateur accorde l’accès à l’utilisateur.
Le profil utilisateur (GPO, stratégies, scripts d’ouverture de session, etc.) est appliqué.
L’utilisateur peut maintenant accéder à ses ressources en respectant les politiques du réseau.
Les logs de connexion sont enregistrés dans l’AD pour :
Auditer l’accès.
Détecter d’éventuelles anomalies.
Active Directory est le pilier de l’authentification dans les environnements Windows. Sa compromission = compromission totale de l’organisation. |
Voir aussi : Kerberos · RBAC · Moindre privilège · 802.1X |