Photo by Thought Catalog / Unsplash
Permissions de lecture dans Active Directory

Permissions de lecture dans Active Directory

Published on 30 Apr 2025

Bastien Perez
Bastien Perez

Clap

💡
Cet article est extrait de mon cahier de vacances Active Directory 2023. Tu peux le télécharger gratuitement sur https://l.itpro.tips/ressources.

Qui peut lire les données de mon Active Directory ?

Par défaut, tout utilisateur authentifié peut lire la plupart des objets et attributs de ton Active Directory. Cela ne se limite pas seulement à la partition de domaine (là où tu stockes tes utilisateurs, ordinateurs, groupes, etc.), mais également aux autres partitions (Configuration, Schéma).

Il est donc inutile de donner des droits avancés à ton compte de service svc-readonly (à moins d'avoir une configuration spécifique dans les ACL de l'AD).

De plus, il est formellement interdit de stocker des informations de sécurité telles que des mots de passe dans les attributs (à l'exception des attributs pour LAPS) !
Il n'est pas en effet pas rare de voir l'attribut description avec mdp : XYZ - ne pas divulguer. Les attaquants vous remercient de leur donner tant d'informations

J'entends souvent ce genre de phrase :

🙋 "Oui mais moi mes utilisateurs n'ont pas de droits admin local, donc ils ne peuvent pas installer la console AD pour lire mon Active Directory. Je peux donc y mettre n'importe quoi, c'est sécurisé !"

🥊 Eh bien...non ! Les attaquants se fichent des droits attribués aux PC du parc, car ils utilisent d'autres méthodes pour effectuer des reconnaissances.

De plus, il existe des explorateurs LDAP (LDAP browsers) qui sont simplement des exécutables ne nécessitant pas d'installation, ou bien ils utilisent PowerShell, Python ou tout autre mécanisme

Enfin, Microsoft fournit même un outil de recherche Active Directory accessible dans tous les versions de Windows

C:\Windows\System32\rundll32.exe dsquery,OpenQueryWindow

En conclusion, on ne stocke jamais d'informations sensibles (mots de passe, code, etc.) dans l'Active Directory et on garde à l'esprit que, par défaut, un Active Directory est comme un livre ouvert pour tous les utilisateurs AD.

Comments

banner-Bastien Perez
Bastien Perez

Freelance Microsoft 365 - Active Directory - Modern Workplace

France