L’Active Directory aura le droit à des nouveautés dans Windows Server 2025 !
Il y a quelques jours, Microsoft a révélé de nouvelles fonctionnalités pour.... l'Active Directory ! Et non, l'Active Directory n'est pas mort ! Voici ce que l'on sait !
Depuis plusieurs années, et même plusieurs générations de Windows Server, l'Active Directory n'évoluait plus. Pendant ce temps, Microsoft a mis sur le devant de la scène Azure Active Directory, son service d'annuaire dans le Cloud Azure, intimement lié à Microsoft 365. D'ailleurs, ce n'est pas un Active Directory dans le Cloud : c'est surement l'une des raisons pour lesquelles Microsoft l'a renommé en Microsoft Entra ID il y a peu.
Dans une page de sa documentation publiée le 04 octobre 2023, Microsoft a dévoilé des nouveautés pour l'Active Directory ! Ces nouveautés sont accessibles via le programme Windows Server Insiders et seront surement intégrées dans la prochaine version de Windows Server : Windows Server 2025.
Microsoft a introduit des nouveautés pour améliorer les performances et rendre l'Active Directory plus scalable, mais également pour améliorer la sécurité.
- Prise en charge du matériel NUMA pour les infrastructures importantes et gourmandes en ressources. Microsoft précise : "AD DS tire désormais parti du matériel NUMA en utilisant les CPU de tous les groupes de processeurs. Auparavant, AD n'utilisait que les CPU du groupe 0. Active Directory peut s'étendre à plus de 64 cœurs." - Microsoft indique que cette nouveauté est aussi accessible via Windows Server 2022 (avec une mise à jour cumulative à passer)
- Une base de données avec un page size qui passe de 8K à 32K, ce qui va permettre de stocker des objets avec plus de données et des attributs multi-valeurs qui pourront avoir jusqu'à 3200 valeurs. Cette limite de 8K était présente depuis Windows Server 2000.
- Amélioration de l'algorithme DC-Locator pour qu'il soit plus efficace, notamment pour le mapping entre les noms NetBIOS et les noms DNS.
- Protection des attributs : "les contrôleurs de domaine et les instances AD LDS n'autorisent les opérations d'ajout, de recherche et de modification LDAP impliquant des attributs confidentiels que lorsque la connexion est chiffrée."
- Le protocole Kerberos va prendre en charge l'AES SHA-256 et SHA-384 (RFC 8009)
- Le protocole LDAP va prendre en charge la dernière implémentation SCHANNEL ainsi que TLS 1.3 pour les connexions LDAP over TLS.
- Modifications du comportement par défaut des anciennes méthodes de changement de mot de passe via SAM RPC, avec un renforcement pour les comptes présents dans le groupe Protected Users de l'Active Directory.
Un nouveau niveau fonctionnel de domaine et de forêt sera disponible (et nécessaire) pour supporter ces nouvelles fonctionnalités. Intitulé "Windows Server vNext" sur une image publiée par Microsoft, il devrait prendre le nom "Windows Server 2025" lorsque le nouvel OS sortira. Il sera disponible pour ADDS et ADLDS. Ce niveau fonctionnel viendra s'ajouter à la liste existante et prendre la suite du niveau actuel le plus récent : Windows Server 2016.
La liste de tous les changements est disponible dans la documentation Microsoft.
Que pensez-vous de ces nouveautés ?
Je pense qu’ils auraient pu avoir l’obligeance d’incorporer le MFA, ne serait-ce que le TOTP déjà…
Cela éviterait de chercher une solution tierce à cet effet.
On verra bien, peut-être que MS l’annoncera plus tard
Hello, je trouve dommage qu’avec les avancées technologiques qu’on a fait, Microsoft n’arrive pas a nous faire un gestionnaire pour l’AD qui tienne la route. Des outils intégrés pour migrer des users et des groupes d’un domaine a un autre sans passer par des solutions tierces. Bref on pourrait avoir mieux !!
Hello Martin,
Je suis tout à fait d’accord avec vous ! Cela aurait pu être intégré dans les services AD, cela rendrait service à bon nombre d’entre nous, car nous sommes souvent amenés à fusionner des AD lors de regroupements de sites ou de rachats de sociétés, par exemple… Ca fait 23 ans qu’Active Directory existe…
il existe toujours ADMT qui fonctionne encore mais qui n’est plus officiellement supporté notamment sur des Windows Server récents, et son installation est un peu lourde et doit se faire idéalement sur une machine dédiée à cet effet.
Des outils intégrés pour :
Blinder la securité de l’AD en intégrant une solution pour le tiering,
Fusionner la gestion des utilisateurs et les GPO
Beaucoup de choses manquent