Introduction
Dans ce tutoriel, nous allons voir comment mettre un domaine enfant dans un arbre Active Directory.
Un domaine enfant est un sous-domaine de l’un des domaines composants votre forêt Active Directory.
La segmentation en sous-domaine permet un découpage logique de l’Active Directory et aussi d’appliquer des délégations de droits sur les enfants.
Ce tutoriel fait suite à : Mise en place d’un environnement Active Directory.
Contexte
Pour illustrer cet article, nous allons faire un parallèle avec une mise en situation (fictive).
Une entreprise implantée en France utilise dans son environnement informatique un domaine Active Directory (lab.intra).
Elle souhaite ouvrir des bureaux à New York et délègue l’administration de l’informatique à une équipe locale qui pourra agir sur le domaine ny.lab.intra.
Prérequis
- Avoir un domaine Active Directory (Serveur + ordinateur)
- Un serveur Windows compatible avec le domaine parent et les rôles AD DS et DNS d’installés et non configurés.
- Un client (Windows 7 ou +) pour le joindre dans le domaine enfant.
Objectif
Configuration du site (facultatif)
1. Sur le contrôleur de domaine existant, ouvrir la console Sites et services Active Directory.
2. Faire un clic droit sur Sites 1 / Nouveau site … 2.
3. Entrer le nom du site 1 et cliquer sur OK 2.
4. Fermer le message de confirmation en cliquant sur OK 1.
5. Faire un clic droit sur Subnets 1 / Nouveau sous-réseau… 2.
6. Entrer le préfixe (adresse réseau/masque de sous réseau) 1, sélectionner le site 2 et cliquer sur OK 3.
7. Faire un clic droit sur le site 1 (New-York-1) / Propriétés. Vérifier que le sous-réseau est bien attribué au site 2.
Création du domaine enfant
Dans les paramètres IP, il faut indiquer un contrôleur du domaine parent en DNS.
1. Aller sur le nouveau serveur, depuis le gestionnaire de serveur cliquer sur Promouvoir ce serveur contrôleur de domaine 1.
2. Choisir l’option Ajouter un nouveau à une forêt existante 1, sélectionner Domaine enfant 2 et cliquer sur le bouton Sélectionner 3.
3. Entrer les informations d’identification d’un compte administrateur du domaine parent 1 et cliquer sur OK 2.
4. Sélectionner le domaine parent 1 et cliquer sur OK 2.
5. Entrer le préfixe du nouveau nom de domaine 1 puis cliquer sur Suivant 2.
6. Saisir le mot de passe du mode restauration 1 et cliquer sur Suivant 2.
7. Cliquer sur Suivant 1 pour valider les options DNS.
8. Valider le nom NETBIOS en cliquant sur Suivant 1.
9. Cliquer sur Suivant 1 pour passer la configuration des chemins d’accès.
10. Valider les options en cliquant sur Suivant 1.
11. Une fois les tests validés, cliquer sur Installer 1.
12. Patienter pendant l’installation, le serveur devrait redémarrer…
Au redémarrage, le serveur sera contrôleur de domaine, à l’aide du gestionnaire de serveur, on voit le domaine auquel appartient le serveur 1.
Maintenant que nous avons notre domaine enfant et son contrôleur de domaine, il faut finir la configuration et valider le bon fonctionnement.
Configuration et validation
DNS
Il faut s’assurer que les domaines puissent résoudre les différents enregistrements DNS, pour cela il faut ajouter des redirecteurs conditionnels.
Domaine parent
1. Ouvrir la console DNS et vérifier qu’un dossier portant le nom du domaine enfant 1 est bien présent.
2. Faire un clic droit sur Redirecteurs conditionnels 1 puis cliquer sur Nouveau redirecteur conditionnel… 2.
3. Entrer le nom DNS 1, ajouter l’adresse IP du contrôleur de domaine enfant 2 et cliquer sur OK 3.
4. Le redirecteur est ajouté pour faire la liaison avec le domaine enfant 1.
Domaine enfant
Faire la même chose sur le contrôleur enfant avec le domaine parent.
Sites et services Active Directory
Sur le domaine parent, ouvrir la console et vérifier que dans le site créé 1, dans le dossier Server 2 se trouve bien le contrôle de domaine 3 et le lien de réplication 4.
Stratégie de groupe
Il est possible dans la console, d’afficher les stratégies de groupes des autres domaines de la forêt et de les lier à un autre.
1. Depuis la console, faire un clic droit sur Domaine 1 et cliquer sur Afficher les domaines 2.
2. Choisir les domaines à afficher 1> et cliquer sur OK 2.
3. Les deux domaines sont administrables dans la console 1.
Domaines et approbations Active Directory
1. Sur le contrôleur parent ouvrir la console et vérifier qu’un lien existe entre les deux domaines (présence dans la console) 1.
2. (facultatif) Ouvrir les propriétés de chaque domaine et valider le lien de type Parent / Enfant.
Rôles FSMO
1.Sur le contrôle de domaine enfant (NY), ouvrir une fenêtre de commande et entrer la commande suivante : netdom query fsmo
2. On peut voir que 3 rôles sont portés le DC du domaine enfant et que les deux autres sur le DC du domaine parent, ce qui est normal, car deux rôles FSMO sont uniques dans la forêt AD.
Utilisation du domaine enfant
Comme dans le tutoriel Mise en place d’un environnement Active Directory, nous allons créer 3 OU (IT, IT/Utilisateurs, IT/Ordinateurs), un utilisateur et joindre un poste au domaine NY.LAB.INTRA.
Depuis ce poste, nous ouvrirons une session avec l’utilisateur du domaine NY et avec un utilisateur du domaine parent.
Les manipulations suivantes sont faites avec la console Centre d’administration Active Directory (ADAC).
e pars du principe que vous êtes déjà familiarisé avec les consoles AD, je ne rentrerai pas dans le détail de la création des OU, utilisateur et jonction au domaine.
Unité d’organisation
1. Depuis la console, faire cliquer sur Nouveau 1 / Unité d’organisation 2.
2. Entrer le nom 1 puis cliquer sur OK 2.
3. Se positionner dans la nouvelle OU (IT) et recommencer les points 1 et 2 pour les OU Ordinateurs et Utilisateurs comment la capture ci-dessous.
Utilisateurs
1. Se positionner dans l’OU où l’utilisateur doit être créé ou bien faire un clic droit sur l’OU, utiliser le menu Nouveau 1 / Utilisateur 2.
2. Entrer les informations de l’utilisateur * et valider en cliquant sur OK 1.
3. Utilisateur créé.
Jonction du poste au domaine
1. Dans les propriétés système de Windows entrer le domaine enfant 1.
2. Déplacer le poste dans la bonne OU dans la console ADAC.
Connexion au poste
Utilisateur domaine (enfant)
1. Entrer le compte utilisateur 1 sous la forme (DOMAINEidentifiant) / Mot de passe 2 et appuyer sur Entrer.
2. Utilisateur connecté.
Utilisateur domaine parent
Utilisation de l’utilisateur jbon créé lors de la mise en place du domaine parent.
1. Entrer le compte utilisateur 1 sous la forme (DOMAINE_PARENTidentifiant) / Mot de passe 2 et appuyer sur Entrer.
2. Utilisateur du domaine parent connecté sur un poste du domaine enfant.
Les utilisateurs peuvent changer de site en utilisant le matériel local.