L’Active Directory expliqué : rôle, usage et fonctionnement

avril 17, 2026
Léna Roussel
Ecris par Léna Roussel

Passionnée de maison et de voyage, j’adore partager des idées simples pour rendre le quotidien plus doux, ici comme ailleurs. Bienvenue chez moi — et sur les routes du monde !

L’Active Directory expliqué : rôle, usage et fonctionnement

Vous gérez un réseau informatique d’entreprise et l’on vous parle d’AD à tout moment de la journée — sans que personne n’ait jamais pris le temps de vous expliquer de quoi il retourne vraiment. L’Active Directory est le système nerveux central de la quasi-totalité des infrastructures Windows en milieu professionnel. Il gère les identités, les accès, les permissions et la politique de sécurité de milliers d’organisations à travers le monde. Comprendre son fonctionnement, c’est comprendre comment une entreprise contrôle qui entre, qui sort, et qui a le droit de toucher à quoi sur son réseau. Un sujet austère en apparence, mais d’une importance capitale dès lors que l’on s’intéresse sérieusement à l’administration système ou à la cybersécurité.

Points clés à retenir

  • L’Active Directory (AD) est un service d’annuaire développé par Microsoft, intégré à Windows Server depuis 1999.
  • Il centralise la gestion des utilisateurs, des ordinateurs et des ressources réseau au sein d’un domaine.
  • Le protocole LDAP et le mécanisme Kerberos constituent ses deux piliers techniques fondamentaux.
  • L’AD est la cible privilégiée des attaquants en entreprise — sa sécurisation est un enjeu critique.
  • Des alternatives cloud existent aujourd’hui, notamment Microsoft Entra ID (anciennement Azure AD).

Ce que l’Active Directory fait concrètement

L’Active Directory est un service d’annuaire — entendez par là une base de données structurée qui recense et organise toutes les ressources d’un réseau informatique d’entreprise. Utilisateurs, ordinateurs, imprimantes, groupes de sécurité, politiques de configuration : tout y figure, tout y est hiérarchisé.

Développé par Microsoft et introduit avec Windows Server 2000, l’AD repose sur un modèle arborescent. À la racine se trouve la forêt (forest), puis viennent les domaines (domains), et enfin les unités d’organisation (Organizational Units ou OU). Cette architecture permet de déléguer l’administration de manière fine, sans jamais perdre le contrôle global de l’ensemble.

Dans la pratique, lorsqu’un employé allume son ordinateur le matin et saisit ses identifiants, c’est l’AD qui vérifie ses droits, valide son mot de passe et lui accorde — ou refuse — l’accès aux ressources auxquelles il est autorisé. Sans que l’utilisateur le sache, une authentification silencieuse s’est déclenchée, un ticket a été émis, et la machine a rejoint le domaine.

Les mécanismes techniques qui le font fonctionner

LDAP : le protocole de communication

Le Lightweight Directory Access Protocol (LDAP) est le langage que les applications utilisent pour interroger l’Active Directory. Lorsqu’un logiciel demande "cet utilisateur existe-t-il ?", il envoie une requête LDAP au contrôleur de domaine (Domain Controller ou DC), qui répond en consultant sa base.

LDAP organise l’information en entrées hiérarchiques, chacune identifiée par un Distinguished Name (DN) unique. Une entrée typique ressemble à :

CN=Jean Dupont,OU=Marketing,DC=entreprise,DC=local

Cette notation dit tout : Jean Dupont, membre de l’unité Marketing, dans le domaine entreprise.local.

Kerberos : l’authentification par ticket

L’AD n’envoie jamais les mots de passe sur le réseau. Il utilise le protocole Kerberos, un mécanisme d’authentification basé sur des tickets temporaires émis par un Key Distribution Center (KDC), lui-même hébergé sur le contrôleur de domaine.

Le processus fonctionne ainsi :

  • L’utilisateur s’authentifie auprès du KDC et reçoit un Ticket Granting Ticket (TGT).
  • Ce TGT lui permet de demander des tickets d’accès spécifiques pour chaque service (messagerie, partage de fichiers, application métier…).
  • Chaque ticket a une durée de vie limitée — par défaut dix heures — ce qui réduit la fenêtre d’exploitation en cas de compromission.

Les Group Policy Objects

Les Group Policy Objects (GPO) sont l’un des outils les plus puissants de l’AD. Ils permettent d’appliquer automatiquement des configurations sur l’ensemble des machines et des utilisateurs d’un domaine ou d’une unité d’organisation.

Interdire l’installation de logiciels non autorisés, forcer le verrouillage automatique des écrans, déployer une configuration de pare-feu ou imposer une complexité minimale pour les mots de passe : tout cela se gère depuis la console de gestion des GPO, sans intervention manuelle poste par poste.

Pourquoi l’AD est-il au cœur de la cybersécurité en entreprise

La cible favorite des attaquants

La sécurisation de l’Active Directory est aujourd’hui l’une des priorités absolues des équipes de sécurité. La raison est simple : l’AD est le point d’entrée de tout. Qui contrôle l’AD contrôle le réseau. Les attaques comme le Pass-the-Hash, le Kerberoasting ou le Golden Ticket exploitent des faiblesses spécifiques de l’architecture Kerberos pour obtenir des droits d’administration sans connaître les mots de passe réels.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) en France publie régulièrement des guides de durcissement de l’AD, tant les vecteurs d’attaque sont nombreux et les conséquences d’une compromission désastreuses. Une fois qu’un attaquant dispose d’un compte à privilèges élevés dans l’AD, le chemin vers le Domain Admin — le Graal de toute intrusion — est souvent court.

Les bonnes pratiques de gestion

Administrer un Active Directory sans rigueur, c’est construire une maison avec des serrures en carton. Quelques pratiques fondamentales s’imposent :

  • Limiter le nombre de comptes membres du groupe Domain Admins au strict minimum.
  • Séparer les comptes d’administration des comptes de travail quotidiens, même pour les administrateurs système.
  • Activer et surveiller les journaux d’événements liés aux authentifications et aux modifications d’objets dans l’annuaire.
  • Mettre en place un processus de tiering (niveaux de confiance) pour cloisonner les accès entre les systèmes critiques et le reste du parc.

L’Active Directory à l’ère du cloud

Microsoft Entra ID, l’héritier hybride

Avec la généralisation du travail à distance et des applications SaaS, l’AD traditionnel — ancré dans le réseau local — montre ses limites. Microsoft a répondu à cette évolution avec Microsoft Entra ID, anciennement connu sous le nom d’Azure Active Directory (Azure AD).

Ce service cloud reprend les principes fondamentaux de l’AD on-premise, mais les adapte à un monde où les utilisateurs se connectent depuis n’importe où, sur n’importe quel appareil. Il supporte les protocoles modernes comme OAuth 2.0 et OpenID Connect, là où l’AD classique s’appuyait exclusivement sur LDAP et Kerberos.

Les architectures hybrides

La majorité des grandes organisations n’a pas basculé intégralement vers le cloud du jour au lendemain. Elles opèrent en mode hybride : un AD on-premise qui synchronise ses objets vers Microsoft Entra ID grâce à l’outil Azure AD Connect. Les utilisateurs disposent ainsi d’un identifiant unique valable aussi bien pour les ressources locales que pour les applications cloud comme Microsoft 365 ou Salesforce.

Cette cohabitation apporte une flexibilité bienvenue, mais elle complexifie aussi la surface d’attaque. Deux environnements à sécuriser, deux ensembles de politiques à maintenir, deux journaux d’événements à surveiller.

Ce que l’AD révèle sur l’organisation d’une entreprise

Un Active Directory bien configuré est le reflet fidèle de l’organigramme d’une entreprise. Les unités d’organisation épousent les départements, les groupes de sécurité traduisent les responsabilités métier, les GPO incarnent les décisions de la direction informatique. Lire un AD, c’est lire une entreprise.

C’est d’ailleurs pour cette raison que les outils de reconnaissance utilisés lors des tests d’intrusion — comme BloodHound — cartographient systématiquement l’Active Directory pour identifier les chemins d’attaque les plus courts vers les comptes à privilèges. L’information est là, structurée, lisible. Il suffit de savoir où regarder.

La robustesse d’un AD ne se mesure pas seulement au nombre de GPO déployées ou à la complexité de la politique de mots de passe. Elle tient à la cohérence globale de son architecture, à la discipline des équipes qui le maintiennent, et à la vigilance permanente face à des menaces qui, elles, ne dorment jamais.

FAQ

Quelle est la différence entre l’Active Directory et un simple annuaire LDAP ?
L’Active Directory utilise LDAP comme protocole de communication, mais il va bien au-delà d’un simple annuaire LDAP. Il intègre l’authentification Kerberos, la gestion des politiques via les GPO, la réplication entre contrôleurs de domaine et une interface d’administration graphique complète. Un annuaire LDAP générique ne propose pas ces fonctionnalités nativement.

Peut-on utiliser l’Active Directory sans Windows Server ?
L’AD est une technologie propriétaire Microsoft conçue pour fonctionner sur Windows Server. Il existe des alternatives open source comme Samba AD qui émulent partiellement ses fonctionnalités, mais pour un environnement de production complet, Windows Server reste la plateforme de référence.

Quelle est la différence entre Active Directory et Microsoft Entra ID ?
L’Active Directory (AD) est un service on-premise, installé sur des serveurs locaux de l’entreprise. Microsoft Entra ID (anciennement Azure AD) est sa contrepartie cloud, destinée à gérer les identités dans des environnements hybrides ou entièrement SaaS. Les deux peuvent coexister et se synchroniser via Azure AD Connect.

Qu’est-ce qu’un contrôleur de domaine ?
Le contrôleur de domaine (DC) est le serveur qui héberge et fait fonctionner l’Active Directory. Il répond aux requêtes d’authentification, applique les politiques de groupe et réplique les données vers les autres contrôleurs du même domaine. Chaque domaine doit disposer d’au moins un DC, mais en pratique on en déploie toujours plusieurs pour garantir la haute disponibilité.

Comment l’Active Directory est-il ciblé par les cyberattaques ?
Les attaquants cherchent à obtenir des droits d’administration sur l’AD via des techniques comme le Kerberoasting (extraction de tickets pour craquer des mots de passe), le Pass-the-Hash (réutilisation de condensats d’authentification) ou l’exploitation de délégations Kerberos mal configurées. Une fois le Domain Admin compromis, l’attaquant dispose d’un contrôle total sur l’ensemble du parc informatique.

Voici d'autres articles qui pourraient vous intéresser :

intraparis Procès plagiat Telekinesis : Travis Scott, SZA et Future devant le juge Samsung Galaxy Z Flip : brevet OMPI révèle un double écran externe Foulées de la Ligue 2026 Chamboeuf : courir pour la vie le 22 mars

Foulées de la Ligue 2026 Chamboeuf : courir pour la vie le 22 mars

Tilly Norwood, l’actrice IA qui bouscule Hollywood

Si vous souhaitez nous joindre, rendez-vous sur notre page contact

Nous contacter

© 2026 hultrasimple.com

Politique de confidentialité Mentions légales Gestion des cookies