Je voulais vous partager un outillage communautaire proposé par Harden AD permettant d’améliorer la sécurité de l’annuaire Active Directory en quelques minutes. Le script s’adresse principalement à des administrateurs ou des organisations qui n’auraient pas les compétences. Il doit bien entendu être exécuté avec précautions. Il permet notamment :
- Mettre à niveau le niveau fonctionnel de domaine DomainFunctionalLevel
- Mettre à jour le niveau fonctionnel de forêt ForestFunctionalLevel
- Définir msDSMachineAccountQuota à 0 pour limiter la jonction des domaines
- Activer la fonction optionnelle de la corbeille AD (Recycle Bin)
- Définir l'option "notify sur tous les liens de site
- Définir un GPO Central Store et mettre à jour les fichiers adm et admx
- Définir l'unité d'organisation Administration
- Définir l'unité d'organisation Tier 0
- Définir les unités d'organisation Tier 1 et Tier 2
- Définir l'unité d'organisation Tier Legacy
- Définir l'unité d'organisation Provisioning
- Définir l'emplacement par défaut des objets utilisateur
- Définir l'emplacement par défaut des objets ordinateurs
- Créer les comptes d'administration utilisés par le modèle à niveaux
- Créer les groupes d'administration utilisés par le modèle à niveaux
- Créer des groupes d'administration utilisés par le modèle de niveau Enforce Delegation ACEs utilisé par le modèle de niveau
- Importer un filtre WMI dans le domaine Importer un filtre WMI dans le domaine
- Importer ou mettre à jour des objets de stratégie de groupe dans le domaine et les lier
- Mettre à jour le schéma AD pour LAPS et ajouter le module complémentaire PShell
- Configurer les autorisations LAPS sur le domaine cible
- Mettre à jour les scripts LAPS pour qu'ils correspondent au nom de domaine
Vous devez télécharger l’ensemble des éléments du GitHub pour pouvoir exécuter le script correctement.
Accéder à GitHub - LoicVeirman/SecureAD: Hardening Active Directory version 2
