Mise en place d’un contrôleur de domaine en lecture seule – RODC

Introduction

Dans cet article, nous allons avoir comment mettre en place un contrôleur de domaine en lecture seule (RODC).

Ce type de contrôleur comme son nom l’indique est lecture seule et ne peut donc pas modifier les attributs utilisateurs ou même ajouter des objets.

Il existe plusieurs scénarios d’implémentation de ce type de contrôleur de domaine, en voici deux que j’ai déjà utilisé :

  • Sur des sites distants afin d’optimiser le processus tout en gardant une part de sécurité.
  • En DMZ pour les services nécessitant une authentification.

En plus de l’annuaire Active Directory, les services DNS sont installés en lecture seul.

Un autre avantage du contrôleur RODC est qu’il conserve sa base locale (SAM) d’utilisateur ce qui permet de mettre un utilisateur d’un site distant Administrateur sur le serveur dans le cas où il serait nécessaire d’intervenir sur la machine.

Prérequis

  • Etre dans un domaine Active Directory avec un niveau fonctionnel de domaine et foret en 2003 ou plus.
  • Configurer le site Active Directory si nécessaire.
  • Configurer un IP fixe au serveur et lui indiquer en DNS un contrôleur de domaine existant
  • Configurer les ports des firewalls logiciels et matériels pour assurer la communication entre le contrôleur RODC et les autres DCs.

Installation du rôle

L’installation du rôle est identique à un contrôleur de domaine standard, l’option de lecture seule est faite au moment de sa configuration.

Sur les serveurs où va être installé le rôle, ouvrir le gestionnaire de serveur et cliquer sur Ajouter des rôles et des fonctionnalités 1.
RODC - Server manager

Au lancement de l’assistant, cliquer sur Suivant 1.
RODC - wizard welcome

Sélectionner Installation basée sur un rôle ou une fonctionnalité 1 et cliquer sur Suivant 2.
RODC - installation type
Choisir le serveur où le rôle AD DS va être installé 1 et cliquer sur Suivant 2.
RODC - select server

Dans la liste des rôles, cocher la case Service AD DS 1.
RODC - List of role

Cliquer sur Ajouter des fonctionnalités 1.
RODC - validate the features

Maintenant que le service AD DS est sélectionné, cliquer sur Suivant 1.
RODC - selected role

Passer la liste des fonctionnalités en cliquant sur Suivant 1.
RODC - pass the features

Un résumé du rôle AD DS s’affiche, cliquer sur Suivant 1.
RODC - resume AD DS

Confirmer l’installation en cliquant sur Installer 1.
RODC - confirm install

Patienter pendant l’installation du rôle AD DS …

L’installation terminée, quitter l’assistant en cliquant sur Fermer 1.
Installation completed

Configuration du contrôleur de domaine en lecture seul (RODC)

Maintenant le rôle contrôleur de domaine est installé sur le serveur, il faut le promouvoir contrôleur du domaine, c’est dans cette partie que nous allons indiquer qu’il est RODC.

Depuis le gestionnaire de serveur, cliquer sur l’icône de notification 1 et cliquer sur Promouvoir ce serveur en contrôleur de domaine 2.
promote dc

Sélectionner l’option Ajouter un contrôleur de domaine à un domaine existant 1, entrer le nom du domaine 2, indiquer un compte membre du groupe Admins du domaine 3 et cliquer sur Suivant 4.
domain configuration

Cocher la case Contrôleur de domaine en lecture seule (RODC) 1, indiquer le site où est installé le serveur 2, entrer un mot de passe de récupération 3 et cliquer sur Suivant 4.
select rodc controler

A ce moment de la configuration, il faut indiquer les éléments dont les mots de passe sont répliqués sur ce contrôleur, par défaut un groupe nommer « Groupe de réplication dont le mot de passe RODC est autorisé » est créé dans lequel on va mettre les utilisateurs que l’on souhaite répliquer le mot de passe. Dans ce lab, j’ai laissé ce groupe. En production si vous avez plusieurs sites distants et donc plusieurs contrôleurs RODC, il faudra créer un groupe par site. Il est inutile de répliquer les mots de passe des utilisateurs du site B sur le site C par exemple. Il est aussi possible d’indiquer des objets (utilisateurs ou groupes) dont on ne souhaite pas répliquer le mot de passe comme par exemple les comptes administrateurs, ceci renforce la sécurité en cas où le contrôleur RODC serait compromis. Cliquer sur Suivant 1 pour valider les options.
options rodc

Passer les options supplémentaires en cliquant sur Suivant 1.
additional options

Si vous le souhaitez changer l’emplacement des dossiers, sinon cliquer sur Suivant 1.
folder dc
Valider les options en cliquant sur Suivant 1.
valid options

Les tests validés, cliquer sur Installer 1.
confirm promote

Patienter pendant l’installation, durant cette phase le serveur va rédemarrer. Après il sera membre du domaine ainsi que contrôleur.

Après le redémarrage, le serveur est contrôleur de domaine.
Server manager

Administration du contrôleur du domaine (RODC)

Dans cette partie, nous allons voir comment administrateur le contrôleur RODC.

Sur un contrôleur « normal », ouvrir la console Utilisateur et ordinateur Active Directory, aller sur OU Domain Controllers et ouvrir les propriétés du contrôleur RODC.

Dans les propriétés aller sur l’onglet Stratégie de réplication de mot de passe 1. Depuis cette partie, on peut voir les groupes Autorisés et Refusés. Cliquer sur le bouton Avancé 2.

Sur cette fenêtre, il est possible de voir les objets dont le mot de passe est répliqué et aussi les utilisateurs ayant une session ouverte sur le contrôleur en changeant le sélecteur.

Maintenant nous allons voir comment ajouter un utilisateur au groupe autorisé à répliquer les mots de passe et le préremplir. Ajouter un utilisateur au groupe « Groupe de réplication dont le mot de passe RODC est autorisé ».

Retourner sur les propriétés avancés du controleur RODC et cliquer sur Préremplir les mots de passe 1.

Sélectionner l’utilisateur qui vient d’être ajouté au groupe et cliquer sur OK 1.
select user

Confirmer l’action en cliquant sur Oui 1.

Fermer le message de confirmation en cliquant sur OK 1.

L’utilisateur 1 est ajouté aux comptes qui ont le mot de passe répliqué.

 

 

 


How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

We are sorry that this post was not useful for you!

Let us improve this post!



Related Posts


Joindre un ordinateur à un domaine Active Directory
Pour joindre un ordinateur à un domaine vous avez plusieurs possibilités : Par interface graphique En ligne de commande (CMD, PowerShell) Prérequis être administrateur sur le poste local. avoir un compte sur le domaine (de préférence administrateur).

Azure AD Connect : Installation et configuration de la synchronisation
Présentation d'Azure AD Connect Dans cet article, je vais vous expliquer comment installer et configurer Azure AD Connect. Cette solution permet de synchroniser son annuaire local (AD) vers la plateforme Azure et d'utiliser les mêmes comptes utilisat

Supprimer un contrôleur de domaine Active Directory
Dans cet article, nous allons voir comment supprimer un contrôleur de domaine dans un environnement Active Directory. La suppression se fait en deux étapes : Rétrograder le contrôleur de domaine : retire la configuration du contrôleur. Suppression de

Laisser un commentaire