====== Mise en place d'un contrôleur de domaine Active Directory ====== Un contrôleur de domaine permet de : * Centraliser la gestion des utilisateurs, des groupes, des ordinateurs, et des permissions sur le réseau. * Unifier l'authentification des utilisateurs aux différents services de l'organisation (postes, messagerie, etc...). * Homogénéiser la configuration des postes et des serveurs d'un réseau (stratégies de groupe). Active Directory utilise un annuaire LDAP pour stocker les objets. Dans ce tutoriel, nous allons voir comment mettre en place un contrôleur de domaine, gérer l'annuaire, et joindre un poste à un domaine Active Directory. ===== Topologie du lab ===== Voici l'architecture que nous allons mettre en place dans ce tutoriel : {{ ::schema_ad.png?350 |}} ===== Pré-requis ===== ===== Instructions ===== ==== Installation du rôle Active Directory Domain Services ==== Sous Windows Server, le rôle correspondant au contrôleur de domaine s'appelle Active Directory Domain Services (AD DS). Afin de l'installer, commencer par ouvrir la console **//Gestionnaire de serveur//**, et faire ''Gérer > Ajouter des rôles et fonctionnalités'' : {{ ::1.addroles.png?300 |Ajouter des rôles et fonctionnalités}} Cliquer sur ''Suivant'' : {{ ::2..png?600 |Ajouter des rôles et fonctionnalités}} Choisir ''Installation basée sur un rôle ou une fonctionnalité'' : {{ :3.addroles.png?600 |Ajouter des rôles et fonctionnalités}} Sélectionner le serveur qui jouera le rôle de contrôleur de domaine : {{ :4.addroles_select_server.png?600 |Sélection du serveur où installer le rôle}} Cocher la case ''Services AD DS'' [1], cliquer sur ''Ajouter des fonctionnalités'' [2], et valider avec ''Suivant'' [3] : {{ :5.addrole_adds.png?600 |Choix des rôles à installer}} Cliquer sur ''Suivant'' 2 fois de suite : {{ :6.addroles_fonctionnalites.png?600 |Choix de fonctionnalités à installer}} {{ :7..png?600 |Ajouter des rôles et fonctionnalités}} Activer le redémarrage automatique du serveur en cochant la case ''Redémarrer automatique le serveur de destination, si nécessaire'' [1], cliquer sur ''Oui'' [2], et confirmer avec ''Installer'' [3] : {{ :8.addroles_restart.png?600 |Activer le redémarrage automatique}} Le rôle **//Services AD DS//** va alors s'installer. Le serveur peut redémarrer tout seul pendant l'opération. Une fois l'opération terminée, fermer la fenêtre avec ''Fermer'' : {{ :9.addroles_fermer.png?600 |Installation du rôle AD DS}} ==== Configuration d'Active Directory ==== Maintenant, il faut créer une nouvelle forêt et configurer Active Directory. Une fôret est un domaine parent pouvant contenir des sous-domaines. :!: Avant toute chose, __commencer par renommer le serveur avec un nom cohérent, et par lui fixer une adresse IP statique sur le réseau__. Ensuite, toujours depuis le //**Gestionnaire de serveur**//, ouvrir le menu ''Notifications'' [1] en haut à droite (avec le petit drapeau blanc) et cliquer sur ''Promouvoir ce serveur en contrôleur de domaine'' [2] : {{ :10.configadds.png?300 |Promouvoir ce serveur en contrôleur de domaine}} Sélectionner ''Ajout une nouvelle forêt'' [1], et entrer un nom de domaine DNS [2], puis faire ''Suivant'' [3] : {{ ::11.confignewforet.png?600 |Créer une nouvelle fôret}} Renseigner un mot de passe pour restaurer l'annuaire en cas de problème : {{ ::12.addsconfigforet.png?600 |Créer un mot de passe de restauration}} Ignorer l'erreur ci-dessous avec ''Suivant'' : {{ :13.addsconfigforetdns.png?600 |Création d'une délégation DNS}} Vérifier le nom NetBIOS qui sera utilisé pour le domaine [1] et valider avec ''Suivant'' [2] : {{ ::14.configadds_netbios.png?600 |Configuration NetBIOS}} Continuer avec ''Suivant'' : {{ :15.configaddschemins.png?600 |Configuration de l'emplacement des composants Active Directory}} Vérifier les informations qui s'affichent et cliquer sur ''Suivant'' : {{ :16.configadds_recap.png?600 |Récapitulatif des paramètres}} Enfin, lancer l'installation d'Active Directory avec ''Installer''. Cela peut prendre un moment. Une fois finie, le système redémarre. {{ ::17.configadds_recap2.png?600 |}} ==== Création d'objets sur le domaine (Utilisateurs, groupes...) ==== Il existe 5 grands types d'objets LDAP sous Active Directory : * Les unités d'organisation (UO) : ce sont des conteneurs qui servent à organiser et hiérarchiser les objets dans l'annuaire (comme des dossiers). On s'en servira aussi pour appliquer des stratégies de groupe à des objets particuliers. * Les utilisateurs. * Les groupes d'utilisateurs : permettent de configurer des permissions communes à des utilisateurs sur des répertoires partagés, fichiers, programmes, GPO... * Les ordinateurs : correspondent à des ordinateurs joints au domaine, s'ajoutent automatiquement à l'annuaire. * Les imprimantes : permettent le partage d'imprimantes sur le réseau. Pour gérer l'annuaire Active Directory, on peut utiliser la console //**Utilisateurs et ordinateurs Active Directory **// (composant ''dsa.msc''), disponible depuis le menu démarrer du serveur, dans //**Outils d'administration**//. Il est aussi possible de passer par le centre d'administration Active Directory qui est présent depuis Windows Server 2012. Voici la console //**Utilisateurs et ordinateurs Active Directory **//, avec sur la gauche la hiérarchie de l'annuaire, au milieu la liste des objets dans l'UO courante, et en haut le menu d'administration : {{ ::19.dsa_console.png?600 |Console Utilisateurs et ordinateurs Active Directory}} * Le bouton [1] permet de créer un utilisateur à l'emplacement actuel. * Le bouton [2] permet de créer un groupe d'utilisateurs à l'emplacement actuel. * Le bouton [3] permet de créer une unité d'organisation à l'emplacement actuel. === Créer une unité d'organisation (UO) === Pour ajouter une nouvelle unité d'organisation, cliquer sur ''Créer un nouvelle unité d'organisation dans le conteneur actuel'' (bouton [3] de l'image ci-dessus). Puis renseigner le nom de l'UO : {{ ::20.createuo.png?400 |Création d'une unité d'organisation}} :!: La case ''Protéger le conteneur contre une suppression accidentelle'' permet d'éviter toute suppression accidentelle de l'UO. Pour pouvoir la supprimer, il faudra alors activer l'affichage des Fonctionnalités avancées depuis le menu ''Affichage'', et décocher cette case de ses propriétés. === Créer un utilisateur === Pour ajouter un nouvel utilisateur, cliquer sur ''Créer un nouvel utilisateur dans le conteneur actuel'' (bouton [1] ci-dessus). Dans un premier temps, spécifier son nom de famille, son prénom, ainsi que son nom d'ouverture de session [1] et faire ''Suivant'' [2] : {{ :21.createuser.png?400 |Création d'un utilisateur}} Dans un second temps, définir un mot de passe pour cet utilisateur [1] et confirmer [2]. Grâce aux options proposées, il est possible d'imposer un changement de mot de passe dès la première connexion, voire d'interdire sa modification : {{ ::22.createuser2.png?400 |Création d'un utilisateur}} :!: Le mot de passe d'un utilisateur Active Directory doit respecter un certain nombre d'exigences de sécurité, c'est à dire comporter au minimum 8 caractères, dont au moins 1 majscule, 1 chiffre, et 1 caractère spécial. Il est possible de modifier ces critères en modifiant la stratégie de groupe par défaut du domaine. Finir avec ''Terminer'' : {{ :23.createuser3.png?400 |Création d'un utilisateur}} On peut maintenant indiquer d'autres paramètres en ouvrant la fenêtre des propriétés de l'utilisateur (double clic dessus). === Créer un groupe et y ajouter des utilisateurs === Les groupes d'utilisateurs permettent de grouper des utilisateurs pour leur appliquer des réglages ou des permissions communes. Il existe deux types de groupes : * Les groupes de sécurité (par défaut) : utilisés pour appliquer des permissions et des paramètres de sécurité. * Les groupes de distribution : utilisés par certains serveurs de messagerie (ex: Exchange) pour créer des adresses partagées. Pour créer un groupe d'utilisateurs, cliquer sur ''Créer un nouveau groupe dans le conteneur actuel'' (bouton [2] plus haut). Ensuite taper un nom pour le groupe : {{ :24.creategroup.png?400 |Créer un groupe}} Enfin, on peut ajouter des utilisateurs à un groupe en sélectionnant les utilisateurs et en faisant un clic droit dessus, puis aller sur ''Toutes les tâches > Ajouter à un groupe''. On peut aussi passer par les propriétés du groupe concerné en double-cliquant dessus. Il est aussi possible d'ajouter des groupes à l’intérieur d'un autre groupe. {{ ::25.addusergroup.png?400 |Créer un groupe}} Taper le nom du groupe [1], cliquer sur ''Vérifier les noms'' [2], choisir le groupe si une liste s'affiche, et terminer avec ''OK'' [3] : {{ ::26.addusergroup2.png?400 |Créer un groupe}} Une fois l'opération terminée, un message apparaît : {{ :27.addusergroup3.png?400 |Ajout au groupe terminé}} L'utilisateur est ajouté au groupe ! ==== Joindre un poste Windows au domaine ==== Afin d'associer un ordinateur au domaine, celui-ci doit tout d'abord être sur le même réseau que le contrôleur de domaine, et être capable de résoudre les noms DNS locaux. Pour cela, il faut lui indiquer manuellement le contrôleur de domaine comme serveur DNS, depuis les paramètres de sa carte réseau : {{ :29.dnsad.png?400 |Paramétrage DNS du client}} Ensuite, le poste devrait être en mesure de résoudre le nom du domaine. On peut vérifier cela en faisant la commande suivante : nslookup nocterie.lan Le serveur DNS (qui est aussi l'AD) doit répondre avec son adresse comme ceci : {{ ::30.nslookupnocterielan.png?300 |Vérification de la configuration DNS}} Désormais on peut joindre le poste au domaine. Aller dans les paramètres système (Windows + Pause) et cliquer sur ''Renommer ce PC (avancé)'' : {{ ::31.renameclientad.png?800 |Paramètres du système}} Une petite fenêtre s'ouvre alors, cliquer sur ''Modifier'' : {{ ::32.joindomain1.png?400 |Paramètres avancés du système}} En premier lieu, s'assurer que le nom de la machine est correct. En second lieu, cocher le bouton radio ''Domaine'', entrer le nom du domaine à joindre juste en-dessous [1] et valider avec ''OK'' [2] : {{ ::33.joindomain2.png?400 |Jointure du poste au domaine}} Renseigner les identifiants admin du domaine [1] puis confirmer [2] : {{ ::34.joindomain3.png?400 |Authentification au domaine}} Si les étapes précédentes ont été suivies correctement, un message de succès devrait s'afficher : {{ :35.joindomain.4.png?300 |Succès de la jointure}} Redémarrer le poste pour prendre en compte les réglages. Il est maintenant possible d'ouvrir une session avec un compte du domaine : {{ ::36.connectdomaine.png?350 |Connexion à un compte AD sous Windows}} Si l'option a été activé lors de la création du compte, un changement de mot de passe sera demandé à l'utilisateur à sa première connexion : {{ ::37.premiereco.png?350 |Changement de mot de passe à la première connexion}} Et voilà ! ==== Réglages supplémentaires ==== Voici quelques réglages utiles qui peuvent être implémentés pour ajouter des fonctionnalités ou sécuriser un peu mieux le système : [[Exécuter un script au lancement d'une session Windows|Exécuter un script au lancement d'une session Windows]] [[Stocker les profils utilisateur sur un serveur de fichiers|Stocker les profils utilisateur sur un serveur de fichiers]] [[Interdire l'utilisation de périphériques amovibles sur les poste d'un domaine]]