Appuyer sur "Entrée" pour passer au contenu

Mise en place d’un contrôleur de domaine en lecture seule – RODC

0

Introduction

Dans cet article, nous allons avoir comment mettre en place un contrôleur de domaine en lecture seule (RODC).

Ce type de contrôleur comme son nom l’indique est lecture seule et ne peut donc pas modifier les attributs utilisateurs ou même ajouter des objets.

Il existe plusieurs scénarios d’implémentation de ce type de contrôleur de domaine, en voici deux que j’ai déjà utilisé :

  • Sur des sites distants afin d’optimiser le processus tout en gardant une part de sécurité.
  • En DMZ pour les services nécessitant une authentification.

En plus de l’annuaire Active Directory, les services DNS sont installés en lecture seul.

Un autre avantage du contrôleur RODC est qu’il conserve sa base locale (SAM) d’utilisateur ce qui permet de mettre un utilisateur d’un site distant Administrateur sur le serveur dans le cas où il serait nécessaire d’intervenir sur la machine.

Prérequis

  • Etre dans un domaine Active Directory avec un niveau fonctionnel de domaine et foret en 2003 ou plus.
  • Configurer le site Active Directory si nécessaire.
  • Configurer un IP fixe au serveur et lui indiquer en DNS un contrôleur de domaine existant
  • Configurer les ports des firewalls logiciels et matériels pour assurer la communication entre le contrôleur RODC et les autres DCs.

Installation du rôle

L’installation du rôle est identique à un contrôleur de domaine standard, l’option de lecture seule est faite au moment de sa configuration.

Sur les serveurs où va être installé le rôle, ouvrir le gestionnaire de serveur et cliquer sur Ajouter des rôles et des fonctionnalités 1.
RODC - Server manager

Au lancement de l’assistant, cliquer sur Suivant 1.
RODC - wizard welcome

Sélectionner Installation basée sur un rôle ou une fonctionnalité 1 et cliquer sur Suivant 2.
RODC - installation type
Choisir le serveur où le rôle AD DS va être installé 1 et cliquer sur Suivant 2.
RODC - select server

Dans la liste des rôles, cocher la case Service AD DS 1.
RODC - List of role

Cliquer sur Ajouter des fonctionnalités 1.
RODC - validate the features

Maintenant que le service AD DS est sélectionné, cliquer sur Suivant 1.
RODC - selected role

Passer la liste des fonctionnalités en cliquant sur Suivant 1.
RODC - pass the features

Un résumé du rôle AD DS s’affiche, cliquer sur Suivant 1.
RODC - resume AD DS

Confirmer l’installation en cliquant sur Installer 1.
RODC - confirm install

Patienter pendant l’installation du rôle AD DS …

L’installation terminée, quitter l’assistant en cliquant sur Fermer 1.
Installation completed

Configuration du contrôleur de domaine en lecture seul (RODC)

Maintenant le rôle contrôleur de domaine est installé sur le serveur, il faut le promouvoir contrôleur du domaine, c’est dans cette partie que nous allons indiquer qu’il est RODC.

Depuis le gestionnaire de serveur, cliquer sur l’icône de notification 1 et cliquer sur Promouvoir ce serveur en contrôleur de domaine 2.
promote dc

Sélectionner l’option Ajouter un contrôleur de domaine à un domaine existant 1, entrer le nom du domaine 2, indiquer un compte membre du groupe Admins du domaine 3 et cliquer sur Suivant 4.
domain configuration

Cocher la case Contrôleur de domaine en lecture seule (RODC) 1, indiquer le site où est installé le serveur 2, entrer un mot de passe de récupération 3 et cliquer sur Suivant 4.
select rodc controler

A ce moment de la configuration, il faut indiquer les éléments dont les mots de passe sont répliqués sur ce contrôleur, par défaut un groupe nommer « Groupe de réplication dont le mot de passe RODC est autorisé » est créé dans lequel on va mettre les utilisateurs que l’on souhaite répliquer le mot de passe. Dans ce lab, j’ai laissé ce groupe. En production si vous avez plusieurs sites distants et donc plusieurs contrôleurs RODC, il faudra créer un groupe par site. Il est inutile de répliquer les mots de passe des utilisateurs du site B sur le site C par exemple. Il est aussi possible d’indiquer des objets (utilisateurs ou groupes) dont on ne souhaite pas répliquer le mot de passe comme par exemple les comptes administrateurs, ceci renforce la sécurité en cas où le contrôleur RODC serait compromis. Cliquer sur Suivant 1 pour valider les options.
options rodc

Passer les options supplémentaires en cliquant sur Suivant 1.
additional options

Si vous le souhaitez changer l’emplacement des dossiers, sinon cliquer sur Suivant 1.
folder dc
Valider les options en cliquant sur Suivant 1.
valid options

Les tests validés, cliquer sur Installer 1.
confirm promote

Patienter pendant l’installation, durant cette phase le serveur va rédemarrer. Après il sera membre du domaine ainsi que contrôleur.

Après le redémarrage, le serveur est contrôleur de domaine.
Server manager

Administration du contrôleur du domaine (RODC)

Dans cette partie, nous allons voir comment administrateur le contrôleur RODC.

Sur un contrôleur « normal », ouvrir la console Utilisateur et ordinateur Active Directory, aller sur OU Domain Controllers et ouvrir les propriétés du contrôleur RODC.

Dans les propriétés aller sur l’onglet Stratégie de réplication de mot de passe 1. Depuis cette partie, on peut voir les groupes Autorisés et Refusés. Cliquer sur le bouton Avancé 2.

Sur cette fenêtre, il est possible de voir les objets dont le mot de passe est répliqué et aussi les utilisateurs ayant une session ouverte sur le contrôleur en changeant le sélecteur.

Maintenant nous allons voir comment ajouter un utilisateur au groupe autorisé à répliquer les mots de passe et le préremplir. Ajouter un utilisateur au groupe « Groupe de réplication dont le mot de passe RODC est autorisé ».

Retourner sur les propriétés avancés du controleur RODC et cliquer sur Préremplir les mots de passe 1.

Sélectionner l’utilisateur qui vient d’être ajouté au groupe et cliquer sur OK 1.
select user

Confirmer l’action en cliquant sur Oui 1.

Fermer le message de confirmation en cliquant sur OK 1.

L’utilisateur 1 est ajouté aux comptes qui ont le mot de passe répliqué.

 

 

 



Related Posts


GPO : installation des définitions pour Office
Présentation A travers cet article, je vais vous montrer comment mettre en place les fichiers nécessaires pour paramétrer Office 2016 à l'aide des GPO. Il est possible d'ajouter des paramètres au système de stratégie de groupe en ajoutant des fichier

GPO pour Firefox
Pour les entreprises qui utilisent firefox comme navigateur, celui-ci était difficile à contrôler par manque de fichier admx et la mise en place de stratégies passait pas des scripts de copie de fichier de paramètres. Depuis mai 2018, firefox propose

Sophos XG : installation sur Hyper-V
Dans ce tutoriel, nous allons avoir comment installer un pare-feu Sophos XG sur une machine virtuelle avec Hyper-V. Pour cet article, j'ai utilisé la version Sophos XG home qui est disponible gratuitement. Prérequis Télécharger l'ISO du firewall sur

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

It looks like you're using an adblocker.
We use ads to keep our content free. Please support us by turning off your adblocker.