Site icon RDR-IT

Mise en place d’un contrôleur de domaine en lecture seule – RODC

Introduction

Dans cet article, nous allons avoir comment mettre en place un contrôleur de domaine en lecture seule (RODC).

Ce type de contrôleur comme son nom l’indique est lecture seule et ne peut donc pas modifier les attributs utilisateurs ou même ajouter des objets.

Il existe plusieurs scénarios d’implémentation de ce type de contrôleur de domaine, en voici deux que j’ai déjà utilisé :

En plus de l’annuaire Active Directory, les services DNS sont installés en lecture seul.

Un autre avantage du contrôleur RODC est qu’il conserve sa base locale (SAM) d’utilisateur ce qui permet de mettre un utilisateur d’un site distant Administrateur sur le serveur dans le cas où il serait nécessaire d’intervenir sur la machine.

Prérequis

Installation du rôle

L’installation du rôle est identique à un contrôleur de domaine standard, l’option de lecture seule est faite au moment de sa configuration.

Sur les serveurs où va être installé le rôle, ouvrir le gestionnaire de serveur et cliquer sur Ajouter des rôles et des fonctionnalités 1.

Au lancement de l’assistant, cliquer sur Suivant 1.

Sélectionner Installation basée sur un rôle ou une fonctionnalité 1 et cliquer sur Suivant 2.

Choisir le serveur où le rôle AD DS va être installé 1 et cliquer sur Suivant 2.

Dans la liste des rôles, cocher la case Service AD DS 1.

Cliquer sur Ajouter des fonctionnalités 1.

Maintenant que le service AD DS est sélectionné, cliquer sur Suivant 1.

Passer la liste des fonctionnalités en cliquant sur Suivant 1.

Le résumé du rôle AD DS s’affiche, cliquer sur Suivant 1.

Confirmer l’installation en cliquant sur Installer 1.

Patienter pendant l’installation du rôle AD DS …

L’installation terminée, quitter l’assistant en cliquant sur Fermer 1.

Configuration du contrôleur de domaine en lecture seul (RODC)

Maintenant le rôle contrôleur de domaine est installé sur le serveur, il faut le promouvoir contrôleur du domaine, c’est dans cette partie que nous allons indiquer qu’il est RODC.

Depuis le gestionnaire de serveur, cliquer sur l’icône de notification 1 et cliquer sur Promouvoir ce serveur en contrôleur de domaine 2.

Sélectionner l’option Ajouter un contrôleur de domaine à un domaine existant 1, entrer le nom du domaine 2, indiquer un compte membre du groupe Admins du domaine 3 et cliquer sur Suivant 4.

Cocher la case Contrôleur de domaine en lecture seule (RODC) 1, indiquer le site où est installé le serveur 2, entrer un mot de passe de récupération 3 et cliquer sur Suivant 4.

À ce moment de la configuration, il faut indiquer les éléments (objet Active Directory) dont les mots de passe sont répliqués sur ce contrôleur, par défaut un groupe nommer « Groupe de réplication dont le mot de passe RODC est autorisé » est créé dans lequel on va mettre les utilisateurs que l’on souhaite répliquer le mot de passe. Dans ce lab, j’ai laissé ce groupe. En production si vous avez plusieurs sites distants et donc plusieurs contrôleurs RODC, il faut créer un groupe par site. Il est inutile de répliquer les mots de passe des utilisateurs du site B sur le site C par exemple. Il est aussi possible d’indiquer des objets (utilisateurs ou groupes) dont on ne souhaite pas répliquer le mot de passe comme les comptes administrateurs, ceci renforce la sécurité en cas où le contrôleur RODC serait compromis.

Cliquer sur Suivant 1 pour valider les options.

Passer les options supplémentaires en cliquant sur Suivant 1.

Si vous le souhaitez changer l’emplacement des dossiers, sinon cliquer sur Suivant 1.

Valider les options en cliquant sur Suivant 1.

Les tests validés, cliquer sur Installer 1.

Patienter pendant l’installation, durant cette phase le serveur va redémarrer. Après il sera membre du domaine ainsi que contrôleur.

Après le redémarrage, le serveur est contrôleur de domaine.

Administration du contrôleur du domaine (RODC)

Dans cette partie, nous allons voir comment administrateur le contrôleur RODC.

Sur un contrôleur « normal », ouvrir la console Utilisateur et ordinateur Active Directory, aller sur OU Domain Controllers et ouvrir les propriétés du contrôleur RODC.

Dans les propriétés aller sur l’onglet Stratégie de réplication de mot de passe 1. Depuis cette partie, on peut voir les groupes Autorisés et Refusés. Cliquer sur le bouton Avancé 2.

Sur cette fenêtre, il est possible de voir les objets dont le mot de passe est répliqué et aussi les utilisateurs ayant une session ouverte sur le contrôleur en changeant le sélecteur.

Maintenant nous allons voir comment ajouter un utilisateur au groupe autorisé à répliquer les mots de passe et le préremplir. Ajouter un utilisateur au groupe « Groupe de réplication dont le mot de passe RODC est autorisé ».

Retourner sur les propriétés avancées du contrôleur RODC et cliquer sur Préremplir les mots de passe 1.

Sélectionner l’utilisateur qui vient d’être ajouté au groupe et cliquer sur OK 1.

Confirmer l’action en cliquant sur Oui 1.

Fermer le message de confirmation en cliquant sur OK 1.

L’utilisateur 1 est ajouté aux comptes qui ont le mot de passe répliqué.

Quitter la version mobile