Active Directory : installer et configurer un contrôleur de domaine

Sommaire

Introduction

Dans ce tutoriel, nous allons voir comment mettre en place un domaine Active Directory en installant le premier contrôleur de domaine.

De façon résumée, un environnement Active Directory est un annuaire sous forme de base de données (LDAP) qui contient un ensemble d’objet (utilisateurs, ordinateurs …) et qui délivre plusieurs services :

Centralisation des objets sur le réseau dans une seule base
Authentification des utilisateurs
Gestion des droits
Application de stratégies (GPO)
…

L’architecture AD s’appuie sur :

Domaine : qui peut être enregistré ou non.
Arbre : constitué d’un domaine et de sous domaine (domaine enfant)
Forêt : constitué d’arbres liés avec une relation d’approbation.
Catalogue global : contrôleur de domaine qui contient les informations sur l’ensemble de la forêt.
Rôle FSMO qui sont au nombre de 5.
…

Dans ce tutoriel, nous allons créer une forêt avec un arbre constitué avec le domaine lab.lan.

Ce dont vous avez besoin pour réaliser ce tutoriel :

Un serveur Windows (2019, 2022, 2025) avec une adresse IP fixe et à jpir
Un poste client (Windows 11) avec une adresse IP, il doit avoir comment serveur DNS le serveur Windows qui va être contrôleur de domaine

D’après les bonnes pratiques Microsoft, il est recommandé d’avoir au minimum 2 contrôleurs de domaine (catalogue global) par domaine.

Cours : Les bases de l’Active Directory

Le cours Active Directory : les bases va vous permettre découvrir les services Active Directory de Microsoft et d’acquérir les bases pour
– Déployer un environnement Active Directory
– Administrer un contrôleur de domaine
– Mettre en place des stratégies de groupe.

Suivre le cours

Installation des rôles : AD DS / DNS

Le rôle AD DS (Active Directory Domain Services) va permettre de promouvoir le serveur Contrôleur de domaine et donc de créer notre environnement Active Directory. Le rôle DNS est installé sur tous les contrôleurs de domaine, celui-ci est nécessaire au bon fonctionnement d’un environnement Active Directory en permettant la résolution de nom, ce qui permet aux différents ordinateurs de localiser les contrôleurs de domaine.

1. Depuis le gestionnaire de serveur, cliquer sur Ajouter des rôles et des fonctionnalités 1.

2. Au lancement de l’assistant, cliquer sur Suivant 1.

3. Choisir Installation basée sur un rôle ou une fonctionnalité 1 puis cliquer sue Suivant 2.

4. Cocher le rôle Serveur DNS 1.

5. Cliquer sur Ajouter des fonctionnalités 1.

6. Cocher le rôle : Services AD DS 1.

7. Cliquer sur Ajouter des fonctionnalités 1 pour ajouter les consoles d’administration.

8. Cliquer sur Suivant 1.

9. Passer les fonctionnalités en cliquant sur Suivant 1.

10. Cliquer sur Suivant 1 pour passer le résume du rôle DNS.

11. Passer le résume du Service Active Directory en cliquant sur Suivant 1.

12. Cliquer sur le bouton Installer 1.

13. Patienter pendant l’installation des différents rôles…

14. Les rôles installés, quitter l’assistant en cliquant sur Fermer 1.

Maintenant que les rôles sont installés, il faut promouvoir le serveur en contrôleur de domaine.

Promouvoir le serveur contrôleur de domaine

1. Depuis le gestionnaire de serveur, cliquer sur l’icône de notification 1 puis sur le lien Promouvoir ce serveur en contrôleur 2 de domaine pour lancer l’assistant.

2. Sélectionner l’option Ajouter une nouvelle forêt 1, entrer le nom du domaine 2 puis cliquer sur Suivant 3.

3. Entrer le mode de passe du mode restauration 1 puis cliquer sur Suivant 2.

Noter bien le mot de passe, en cas de restauration AD, celui-ci est nécessaire pour effectuer des opérations de maintenance.

4. Cliquer sur Suivant 1 pour passer les options DNS.

5. Valider le nom NETBIOS 1 puis cliquer sur Suivant 2.

6. Valider les chemins et cliquer sur Suivant 1.

7. Valider la configuration en cliquant sur Suivant 1.

8. Une fois les tests validés, cliquer sur Installer 1.

9. Patienter pendant l’installation …

A la fin de celle-ci, le serveur redémarre automatiquement.

Une fois l’installation terminée et le serveur redémarré, connectez-vous avec le compte administrateur.

Depuis le gestionnaire de serveur, vérifier que le serveur est bien membre du domaine 1.

Maintenant que nous avons un contrôleur de domaine, nous allons faire un tour d’horizon des différentes consoles.

Les consoles d’administration Active Directory

L’ensemble des consoles d’administration sont accessible par le Gestionnaire de serveur en cliquant sur Outils 1.

Domaines et approbation Active Directory

Cette console sert principalement aux relations d’approbation entre les domaines et les forêts.

Si vous souhaitez ajouter un suffixe UPN à votre domaine cela se fait par cette console. Si votre domaine est votre-entrepise.local et que vous souhaitez permettre à vos utilisateurs de se connecter avec leur adresse email (votre-entreprise.com), il faut ajouter le suffixe à l’aide de cette console.

Gestion des stratégies de groupe

Cette console sert à administrer les GPO, c’est ici que vous pourrez configurer les lecteurs réseaux, paramètres Windows …

Modification ADSI

Cette console est à utiliser avec beaucoup de précaution, elle permet d’agir directement les enregistrements de la base LDAP et de modifier sa structure.

Sites et services Active Directory

Cette console est principalement utilisée dans l’environnement multi sites. Elle permet de déclarer les sites et les adresses IP, gérer la réplication entre les contrôleurs de domaines…

Utilisateurs et ordinateurs Active Directory

Cette console est certainement la plus connue et la plus utilisée, elle permet la gestion des utilisateurs, ordinateurs et groupes.

Centre d’administration Active Directory ADAC

C’est la dernière console développée par Microsoft qui est amenée à remplacement la console Utilisateurs et ordinateurs Active Directory.

Elle permet la gestion des utilisateurs, groupes et ordinateurs, à la corbeille Active Directory, aux contrôles d’accès dynamique …

Maintenant que nous avons fait le tour des outils d’administration, nous allons voir comment ajouter une OU, un utilisateur et un ordinateur.

Premier pas avec l’Active Directory

Dans cette partie, nous allons voir plusieurs choses :

Les Unités d’organisation (OU) qui sont semblable à des dossiers qui vont nous permettre d’organiser l’annuaire.
La création d’un utilisateur
La jonction d’un poste au domaine
Se connecter avec l’utilisateur précédemment créé à l’ordinateur.

On utilise le terme d’objet pour définir les différents éléments que l’on peut stocker dans l’Active Directory.

L’ensemble des manipulations seront effectuées sur la console Utilisateurs et ordinateurs Active Directory.

Ouvrir la console Utilisateurs et ordinateurs Active Directory.

Création des Unités d’Organisation OU

Dans cette partie, nous allons créer 3 OU. La première IT dans laquelle nous créerons deux autres OU (utilisateurs et ordinateurs), qui servira à ranger les objets du service Informatique.

On retrouve également les OU dans la console Gestion des stratégies de groupe qui permettent d’appliquer des GPO à une partie des objets AD.

1. Faire un clic droit sur le domaine 1, aller sur Nouveau 2 et cliquer sur Unités d’organisation 3.

2. Entrer le nom de l’OU 1 puis cliquer sur OK 2.

3. L’OU est créée 1.

4. Créer deux OU (Utilisateurs et Ordinateur) dans IT.

Création d’un utilisateur

1. Cliquer sur l’icône utilisateur 1, entrer le prénom et nom 2, l’identifiant 3 puis cliquer sur Suivant 4.

2. Entrer le mot de passe 1 puis cliquer sur Suivant 2.

Comme vous pouvez le voir sur la capture ci-dessous, j’ai laissé cocher L’utilisateur doit changer le mot de passe à la prochaine ouverture de session.

3. Cliquer sur Terminer 1 pour ajouter l’utilisateur.

4. L’utilisateur est ajouté à l’annuaire 1.

Joindre un ordinateur au domaine

Dans ce tutoriel, la jonction au domaine est faite depuis un ordinateur Windows 7, vous trouvez ici un exemple avec Windows 10.

Prérequis

Pour joindre un ordinateur au domaine, il faut s’assurer que celui-ci puisse le contacter, ouvrir une fenêtre de commande et lancer un ping sur le nom de domaine.

Si vous n’avez pas de réponse au ping, il faut configurer les paramètres IP de l’ordinateur avec comme serveur DNS le contrôleur de domaine.

Pour résoudre les noms de domaine externe, il faut mettre en place des redirecteurs DNS.

1. Ouvrir les propriétés système et cliquer sur Modifier 1.

2. Dans la section Membre d’un, sélectionner Domaine 1, entrer le nom de domaine 2 et cliquer sur OK 3.

3. Entrer les informations 1 d’un compte autorisé à joindre des postes au domaine et cliquer sur OK 2.

4. Fermer la fenêtre de confirmation en cliquant sur OK 1.

5. Redémarrer le poste pour l’application de l’entrée dans le domaine.

Il est possible que le pare-feu bloque la communication avec le contrôleur de domaine.

6. Retourner sur la console Utilisateurs et ordinateur Active Directory et aller dans le dossier Computers 1 où il devrait se trouver le compteur de l’ordinateur 2.

7. Sélectionner l’objet et faire un glisser / déposer dans l’OU IT/Ordinateurs.

Se connecter à l’ordinateur

1. Retourner sur l’ordinateur et faire un CRTL+ALT+SUPPR.

2. Windows propose de se connecter avec le dernier compte utilisé, cliquer sur Changer d’utilisateur 1.

3. Cliquer sur Autre utilisateur 1.

4. Entrer l’identifiant et le mode passe 1 du compte qui a été créé précédemment et valider e appuyant sur Entrer.

Sous le champ mot de passe, on voit que l’ouvre la session sur le domaine LAB.

5. Un message s’affiche indiquant que l’utilisateur doit changer son mot de passe, cliquer sur OK 1.

6. Entrer le nouveau mot de passe (x2) 1 et valider 2.

7. Cliquer sur OK 1 au message de confirmation.

8. Patienter pendant l’ouverture de le session …

9. La session est ouverte avec l’utilisateur créé dans l’Active Directory.

10. Ouvrir une fenêtre de commande et entrer set. La commande retourne les variables d’environnement du système, elle permet de voir sur quel contrôleur de domaine la session a été validé LOGONSERVER et le domaine avec USERDNSDOMAIN et USERDOMAIN.