Active directory : mise en place d’un domaine enfant


Windows Server 2016 Windows Server 2019 Windows Server 2022

Introduction

Dans ce tutoriel, nous allons voir comment mettre un domaine enfant dans un arbre Active Directory.

Un domaine enfant est un sous-domaine de l’un des domaines composants votre forêt Active Directory.

La segmentation en sous-domaine permet un découpage logique de l’Active Directory et aussi d’appliquer des délégations de droits sur les enfants.

Ce tutoriel fait suite à : Mise en place d’un environnement Active Directory.

Contexte

Pour illustrer cet article, nous allons faire un parallèle avec une mise en situation (fictive).

Une entreprise implantée en France utilise dans son environnement informatique un domaine Active Directory (lab.intra).

Elle souhaite ouvrir des bureaux à New York et délègue l’administration de l’informatique à une équipe locale qui pourra agir sur le domaine ny.lab.intra.

Prérequis

  • Avoir un domaine Active Directory (Serveur + ordinateur)
  • Un serveur Windows compatible avec le domaine parent et les rôles AD DS et DNS d’installés et non configurés.
  • Un client (Windows 7 ou +) pour le joindre dans le domaine enfant.

Objectif

Domaine enfant objectif

Configuration du site (facultatif)

1. Sur le contrôleur de domaine existant, ouvrir la console Sites et services Active Directory.

2. Faire un clic droit sur Sites 1 / Nouveau site … 2.

Nouveau site

3. Entrer le nom du site 1 et cliquer sur OK 2.

Nom du site

4. Fermer le message de confirmation en cliquant sur OK 1.

Confirmation site ajouté

5. Faire un clic droit sur Subnets 1 / Nouveau sous-réseau… 2.

Création réseau

6. Entrer le préfixe (adresse réseau/masque de sous réseau) 1, sélectionner le site 2 et cliquer sur OK 3.

Configuration du réseau

7. Faire un clic droit sur le site 1 (New-York-1) / Propriétés. Vérifier que le sous-réseau est bien attribué au site 2.

Réseau ajouté

Création du domaine enfant

Dans les paramètres IP, il faut indiquer un contrôleur du domaine parent en DNS.

1. Aller sur le nouveau serveur, depuis le gestionnaire de serveur cliquer sur Promouvoir ce serveur contrôleur de domaine 1.

Lancer l'assistant

2. Choisir l’option Ajouter un nouveau à une forêt existante 1, sélectionner Domaine enfant 2 et cliquer sur le bouton Sélectionner 3.

Ajout d'un domaine dans une foret

3. Entrer les informations d’identification d’un compte administrateur du domaine parent 1 et cliquer sur OK 2.

Entrer les identifiants d'un administrateur du domaine

4. Sélectionner le domaine parent 1 et cliquer sur OK 2.

Choisir le domaine

5. Entrer le préfixe du nouveau nom de domaine 1 puis cliquer sur Suivant 2.

Saisir le sous-domaine

6. Saisir le mot de passe du mode restauration 1 et cliquer sur Suivant 2.

Mot du passe du mode restauration

7. Cliquer sur Suivant 1 pour valider les options DNS.

Option DNS

8. Valider le nom NETBIOS en cliquant sur Suivant 1.

Nom NETBIOS

9. Cliquer sur Suivant 1 pour passer la configuration des chemins d’accès.

Chemin d'accès des fichiers AD

10. Valider les options en cliquant sur Suivant 1.

Resume des options

11. Une fois les tests validés, cliquer sur Installer 1.

Lancer l'installation

12. Patienter pendant l’installation, le serveur devrait redémarrer…

Au redémarrage, le serveur sera contrôleur de domaine, à l’aide du gestionnaire de serveur, on voit le domaine auquel appartient le serveur 1.

Serveur dans son domaine

Maintenant que nous avons notre domaine enfant et son contrôleur de domaine, il faut finir la configuration et valider le bon fonctionnement.

Configuration et validation

DNS

Il faut s’assurer que les domaines puissent résoudre les différents enregistrements DNS, pour cela il faut ajouter des redirecteurs conditionnels.

Domaine parent

1. Ouvrir la console DNS et vérifier qu’un dossier portant le nom du domaine enfant 1 est bien présent.

Console DNS

2. Faire un clic droit sur Redirecteurs conditionnels 1 puis cliquer sur Nouveau redirecteur conditionnel… 2.

Nouveau redirecteur

3. Entrer le nom DNS 1, ajouter l’adresse IP du contrôleur de domaine enfant 2 et cliquer sur OK 3.

Configuration du redirecteur

4. Le redirecteur est ajouté pour faire la liaison avec le domaine enfant 1.

Redirecteur ajouté

Domaine enfant

Faire la même chose sur le contrôleur enfant avec le domaine parent.

Redirecteur domaine enfant

Sites et services Active Directory

Sur le domaine parent, ouvrir la console et vérifier que dans le site créé 1, dans le dossier Server 2 se trouve bien le contrôle de domaine 3 et le lien de réplication 4.

Vérification lien de réplication

Stratégie de groupe

Il est possible dans la console, d’afficher les stratégies de groupes des autres domaines de la forêt et de les lier à un autre.

1. Depuis la console, faire un clic droit sur Domaine 1 et cliquer sur Afficher les domaines 2.

GPO sélection domaine

2. Choisir les domaines à afficher 1> et cliquer sur OK 2.

Choisir les domaines

3. Les deux domaines sont administrables dans la console 1.

Domaine ajoute

Domaines et approbations Active Directory

1. Sur le contrôleur parent ouvrir la console et vérifier qu’un lien existe entre les deux domaines (présence dans la console) 1.
Vérification approbation

2. (facultatif) Ouvrir les propriétés de chaque domaine et valider le lien de type Parent / Enfant.

Rôles FSMO

1.Sur le contrôle de domaine enfant (NY), ouvrir une fenêtre de commande et entrer la commande suivante : netdom query fsmo

2. On peut voir que 3 rôles sont portés le DC du domaine enfant et que les deux autres sur le DC du domaine parent, ce qui est normal, car deux rôles FSMO sont uniques dans la forêt AD.

Vérification rôle FSMO

Utilisation du domaine enfant

Comme dans le tutoriel Mise en place d’un environnement Active Directory, nous allons créer 3 OU (IT, IT/Utilisateurs, IT/Ordinateurs), un utilisateur et joindre un poste au domaine NY.LAB.INTRA.

Depuis ce poste, nous ouvrirons une session avec l’utilisateur du domaine NY et avec un utilisateur du domaine parent.

Les manipulations suivantes sont faites avec la console Centre d’administration Active Directory (ADAC).

e pars du principe que vous êtes déjà familiarisé avec les consoles AD, je ne rentrerai pas dans le détail de la création des OU, utilisateur et jonction au domaine.

Unité d’organisation

1. Depuis la console, faire cliquer sur Nouveau 1 / Unité d’organisation 2.

Ajout OU

2. Entrer le nom 1 puis cliquer sur OK 2.

Configuration

3. Se positionner dans la nouvelle OU (IT) et recommencer les points 1 et 2 pour les OU Ordinateurs et Utilisateurs comment la capture ci-dessous.

Liste des OU

Utilisateurs

1. Se positionner dans l’OU où l’utilisateur doit être créé ou bien faire un clic droit sur l’OU, utiliser le menu Nouveau 1 / Utilisateur 2.

Ajouter un utilisateur

2. Entrer les informations de l’utilisateur * et valider en cliquant sur OK 1.

Configuration du compte

3. Utilisateur créé.

Utilisateur ajouté

Jonction du poste au domaine

1. Dans les propriétés système de Windows entrer le domaine enfant 1.

Poste a ajouté au domaine

2. Déplacer le poste dans la bonne OU dans la console ADAC.

Connexion au poste

Utilisateur domaine (enfant)

1. Entrer le compte utilisateur 1 sous la forme (DOMAINEidentifiant) / Mot de passe 2 et appuyer sur Entrer.

Connexion utilisateur domaine du poste

2. Utilisateur connecté.

Utilisateur connecté

Utilisateur domaine parent

Utilisation de l’utilisateur jbon créé lors de la mise en place du domaine parent.

1. Entrer le compte utilisateur 1 sous la forme (DOMAINE_PARENTidentifiant) / Mot de passe 2 et appuyer sur Entrer.

Connexion avec utilisateur domaine parent

2. Utilisateur du domaine parent connecté sur un poste du domaine enfant.

Utilisateur connecté

Les utilisateurs peuvent changer de site en utilisant le matériel local.




Laisser un commentaire