Avant de se lancer dans le déploiement d’un environnement Active Directory, il est nécessaire de le planifier / préparer afin de pas avoir de problème par la suite.
Comme nous l’avons vu dans les leçons précédentes, l’Active Directory s’appuie sur un nom de domaine qui peut être public ou privé.
Pour illustrer cette leçon, nous allons partir d’une entreprise qui a déjà un système d’information et qui utilise des comptes locaux pour les utilisateurs, suite à un projet d’extension de la société, l’administrateur (système/réseau) est charge de mettre en place un environnement centralisé pour la gestion des utilisateurs.
Topologie de l’environnement informatique l’entreprise
Le premier point à étudier est l’environnement informatique de l’entreprise.
Dans le cas d’une entreprise mono site, la réflexion est plutôt « simple », les contrôleurs de domaine seront installé dans le ou les datacenters (salle informatique).
Dans le cas où l’entreprise est répartie sur plusieurs sites distants, il est nécessaire de pousser la réflexion afin de savoir s’il faut déployer des contrôleurs de domaine sur les autres sites. Pour cela plusieurs questions doivent être analysées :
- Nombre d’utilisateurs par sites.
- Type et vitesse de connexion entre les sites.
- Services utilisés par les utilisateurs (partage de fichiers, messagerie, bureau à distance …)
- Environnement sécurisé pour l’installation des serveurs, qui va déterminer le type de contrôleur de contrôleurs (RODC).
Dans le cas où plusieurs sites sont disponibles, je vous conseille de mettre sur au moins un des sites distants, un contrôleur de domaine (catalogue global). Comme cela en cas « catastrophe » sur le site principal, un contrôleur de domaine reste disponible pour faire repartir l’environnement Active Directory.
Choisir le nom de domaine
Le choix du nom de domaine est une partie importante de l’environnement Active Directory, car celui-ci sera utilisé par l’ensemble des ordinateurs, utilisateurs et services que vous pourrez mettre en place.
Il n’y a aucune obligation de choisir un nom de domaine que vous possédez, il est possible de choisir une extension qui n’est pas enregistrer.
Pour rappel, un nom de domaine est composé d’un nom (rdr-it) et d’un Top Level Domain (.fr).
Exemple de domaines valides :
- rdr-it.com
- rdr-it.lan
- ma-societe.intra
- societe.priv
Du nom de domaine, en découlera le nom NETBIOS qui est toujours utilisé pour des raisons de compatibilité. Le nom NETBIOS est généré par l’assistant de création du domaine Active Directory en utilisant le nom de domaine dans le TLD.
Si l’on choisi le nom de domaine rdr-it.lan pour l’environnement Active Directory voici comme cela va se traduire :
Nom de domaine | rdr-it.lan |
Nom NETBIOS | RDR-IT |
Identifiant utilisateur | [email protected] |
Identifiant NETBIOS utilisateur | RDR-IT\identifiant |
Nom DNS des ordinateurs | ORDINATEUR.rdr-it.lan |
À titre personnel, je préfère utiliser un domaine privé pour l’environnement Active Directory afin d’éviter toutes confusions avec un domaine public existant.
Pour information : si vous souhaitez faire en sorte que vos utilisateurs utilisent leur adresse e-mail pour s’authentifier, il est possible d’ajouter des suffixes (SPN) (@xxxxxx.yy) dans la configuration Active Directory et de configurer les comptes utilisateurs afin que l’identifiant soit l’adresse e-mail.
En cas d’utilisation d’un nom de domaine public existant et que des services (sites web) sont publiés, il est nécessaire d’ajouter les enregistrements publics en interne.
Configuration matérielle et logiciel (Windows)
Configuration matériel
Le rôle AD DS est peu consommateur en ressource, pour un contrôleur de domaine, il faut prévoir :
- 2 CPU pour une machine virtuelle, pour un ordinateur physique un processeur est suffisant.
- 4 à 8 GO de RAM.
- 100 à 200 GO d’espace disque en fonction des éléments qui seront distribués par les stratégies de groupe.
- Une connexion réseau 1 Gbit minimum
Configuration de Windows
Il est recommandé de dédier l’ordinateur au rôle de contrôleur de domaine.
Le seul impératif est configuré une adresse IP fixe.
Il est recommandé d’avoir un antivirus et le pare-feu d’activé.
Préparer les utilisateurs : informations et formations
La migration d’un environnement en gestion locale vers un environnement Active Directory à un impact pour les utilisateurs.
En fonction des services et des différentes configurations que vous allez mettre en place, il convient d’en informer et de former les utilisateurs afin de ne pas les prendre au dépourvue.
Lors de la jonction de leur ordinateur dans le domaine et de leur première connexion avec leur compte utilisateur au domaine, un nouveau profil va être créé, il faut donc prévoir la migration des profils pour récupérer les documents, paramètres logiciels, favoris internet …
Si vous prévoyez des profils itinérants ou des redirections de dossiers comme le bureau, documents, il faut expliquer au utilisateur qu’ils peuvent ouvrir leur session sur un autre ordinateur de la société et récupérer totalement ou partiellement leur environnement. Pour s’assurer qu’ils puissent le faire sans faire appel au support informatique, les utilisateurs doivent connaitre leur identifiant et comment changer d’utilisateur.
La formation et l’information aux utilisateurs sont la clé de la réussite d’une migration réussie dans un environnement Active Directory.
Quelque bonnes pratiques à prendre en compte
Voici une liste de quelques bonnes pratiques concernant la mise en place d’un environnement Active Directory :
- Afin de garantir la disponibilité des services Active Directory, il faut installer 2 contrôleurs de domaine par domaine minimum.
- Dédié le serveur au seul rôle Active Directory (AD DS) et DNS (il est installé en même que le rôle AD DS).
- Réfléchir à une politique de nommage des différents objets (Ordinateurs, Utilisateurs, Groupes …).
- Réfléchir à une organisation des objets dans l’annuaire (Sites, Services …).
- Effectuer des sauvegardes régulières (quotidienne) des contrôleurs de domaines.
- Sécuriser l’accès physique aux serveurs contrôleurs de domaine.
- Vérifier régulièrement l’état de santé des contrôleurs de domaine.
- Effectuer les mises à jour du système d’exploitation.
- Limiter l’utilisation du compte administrateur, préférer créer des comptes nominatifs par administrateurs.
- Limiter le nombre de personnes pouvant intervenir sur les contrôleurs de domaine.
- Utiliser des comptes différents pour l’administration et pour l’utilisation courante.