Mise en place d'un contrôleur de domaine Active Directory

Un contrôleur de domaine permet de :

• Centraliser la gestion des utilisateurs, des groupes, des ordinateurs, et des permissions sur le réseau.
• Unifier l'authentification des utilisateurs aux différents services de l'organisation (postes, messagerie, etc…).
• Homogénéiser la configuration des postes et des serveurs d'un réseau (stratégies de groupe).

Active Directory utilise un annuaire LDAP pour stocker les objets.

Dans ce tutoriel, nous allons voir comment mettre en place un contrôleur de domaine, gérer l'annuaire, et joindre un poste à un domaine Active Directory.

Voici l'architecture que nous allons mettre en place dans ce tutoriel :

Sous Windows Server, le rôle correspondant au contrôleur de domaine s'appelle Active Directory Domain Services (AD DS). Afin de l'installer, commencer par ouvrir la console Gestionnaire de serveur, et faire Gérer > Ajouter des rôles et fonctionnalités :

Cliquer sur Suivant :

Choisir Installation basée sur un rôle ou une fonctionnalité :

Sélectionner le serveur qui jouera le rôle de contrôleur de domaine :

Cocher la case Services AD DS [1], cliquer sur Ajouter des fonctionnalités [2], et valider avec Suivant [3] :

Cliquer sur Suivant 2 fois de suite :

Activer le redémarrage automatique du serveur en cochant la case Redémarrer automatique le serveur de destination, si nécessaire [1], cliquer sur Oui [2], et confirmer avec Installer [3] :

Le rôle Services AD DS va alors s'installer. Le serveur peut redémarrer tout seul pendant l'opération.

Une fois l'opération terminée, fermer la fenêtre avec Fermer :

Maintenant, il faut créer une nouvelle forêt et configurer Active Directory. Une fôret est un domaine parent pouvant contenir des sous-domaines.

Avant toute chose, commencer par renommer le serveur avec un nom cohérent, et par lui fixer une adresse IP statique sur le réseau.

Ensuite, toujours depuis le Gestionnaire de serveur, ouvrir le menu Notifications [1] en haut à droite (avec le petit drapeau blanc) et cliquer sur Promouvoir ce serveur en contrôleur de domaine [2] :

Sélectionner Ajout une nouvelle forêt [1], et entrer un nom de domaine DNS [2], puis faire Suivant [3] :

Renseigner un mot de passe pour restaurer l'annuaire en cas de problème :

Ignorer l'erreur ci-dessous avec Suivant :

Vérifier le nom NetBIOS qui sera utilisé pour le domaine [1] et valider avec Suivant [2] :

Continuer avec Suivant :

Vérifier les informations qui s'affichent et cliquer sur Suivant :

Enfin, lancer l'installation d'Active Directory avec Installer. Cela peut prendre un moment. Une fois finie, le système redémarre.

Il existe 5 grands types d'objets LDAP sous Active Directory :

• Les unités d'organisation (UO) : ce sont des conteneurs qui servent à organiser et hiérarchiser les objets dans l'annuaire (comme des dossiers). On s'en servira aussi pour appliquer des stratégies de groupe à des objets particuliers.
• Les utilisateurs.
• Les groupes d'utilisateurs : permettent de configurer des permissions communes à des utilisateurs sur des répertoires partagés, fichiers, programmes, GPO…
• Les ordinateurs : correspondent à des ordinateurs joints au domaine, s'ajoutent automatiquement à l'annuaire.
• Les imprimantes : permettent le partage d'imprimantes sur le réseau.

Pour gérer l'annuaire Active Directory, on peut utiliser la console Utilisateurs et ordinateurs Active Directory (composant dsa.msc), disponible depuis le menu démarrer du serveur, dans Outils d'administration. Il est aussi possible de passer par le centre d'administration Active Directory qui est présent depuis Windows Server 2012.

Voici la console Utilisateurs et ordinateurs Active Directory , avec sur la gauche la hiérarchie de l'annuaire, au milieu la liste des objets dans l'UO courante, et en haut le menu d'administration :

• Le bouton [1] permet de créer un utilisateur à l'emplacement actuel.
• Le bouton [2] permet de créer un groupe d'utilisateurs à l'emplacement actuel.
• Le bouton [3] permet de créer une unité d'organisation à l'emplacement actuel.

Pour ajouter une nouvelle unité d'organisation, cliquer sur Créer un nouvelle unité d'organisation dans le conteneur actuel (bouton [3] de l'image ci-dessus).

Puis renseigner le nom de l'UO :

La case Protéger le conteneur contre une suppression accidentelle permet d'éviter toute suppression accidentelle de l'UO. Pour pouvoir la supprimer, il faudra alors activer l'affichage des Fonctionnalités avancées depuis le menu Affichage, et décocher cette case de ses propriétés.

Pour ajouter un nouvel utilisateur, cliquer sur Créer un nouvel utilisateur dans le conteneur actuel (bouton [1] ci-dessus).

Dans un premier temps, spécifier son nom de famille, son prénom, ainsi que son nom d'ouverture de session [1] et faire Suivant [2] :

Dans un second temps, définir un mot de passe pour cet utilisateur [1] et confirmer [2]. Grâce aux options proposées, il est possible d'imposer un changement de mot de passe dès la première connexion, voire d'interdire sa modification :

Le mot de passe d'un utilisateur Active Directory doit respecter un certain nombre d'exigences de sécurité, c'est à dire comporter au minimum 8 caractères, dont au moins 1 majscule, 1 chiffre, et 1 caractère spécial. Il est possible de modifier ces critères en modifiant la stratégie de groupe par défaut du domaine.

Finir avec Terminer :

On peut maintenant indiquer d'autres paramètres en ouvrant la fenêtre des propriétés de l'utilisateur (double clic dessus).

Les groupes d'utilisateurs permettent de grouper des utilisateurs pour leur appliquer des réglages ou des permissions communes.

Il existe deux types de groupes :

• Les groupes de sécurité (par défaut) : utilisés pour appliquer des permissions et des paramètres de sécurité.
• Les groupes de distribution : utilisés par certains serveurs de messagerie (ex: Exchange) pour créer des adresses partagées.

Pour créer un groupe d'utilisateurs, cliquer sur Créer un nouveau groupe dans le conteneur actuel (bouton [2] plus haut).

Ensuite taper un nom pour le groupe :

Enfin, on peut ajouter des utilisateurs à un groupe en sélectionnant les utilisateurs et en faisant un clic droit dessus, puis aller sur Toutes les tâches > Ajouter à un groupe. On peut aussi passer par les propriétés du groupe concerné en double-cliquant dessus. Il est aussi possible d'ajouter des groupes à l’intérieur d'un autre groupe.

Taper le nom du groupe [1], cliquer sur Vérifier les noms [2], choisir le groupe si une liste s'affiche, et terminer avec OK [3] :

Une fois l'opération terminée, un message apparaît :

L'utilisateur est ajouté au groupe !

Afin d'associer un ordinateur au domaine, celui-ci doit tout d'abord être sur le même réseau que le contrôleur de domaine, et être capable de résoudre les noms DNS locaux. Pour cela, il faut lui indiquer manuellement le contrôleur de domaine comme serveur DNS, depuis les paramètres de sa carte réseau :

Ensuite, le poste devrait être en mesure de résoudre le nom du domaine. On peut vérifier cela en faisant la commande suivante :

nslookup nocterie.lan

Le serveur DNS (qui est aussi l'AD) doit répondre avec son adresse comme ceci :

Désormais on peut joindre le poste au domaine.

Aller dans les paramètres système (Windows + Pause) et cliquer sur Renommer ce PC (avancé) :

Une petite fenêtre s'ouvre alors, cliquer sur Modifier :

En premier lieu, s'assurer que le nom de la machine est correct. En second lieu, cocher le bouton radio Domaine, entrer le nom du domaine à joindre juste en-dessous [1] et valider avec OK [2] :

Renseigner les identifiants admin du domaine [1] puis confirmer [2] :

Si les étapes précédentes ont été suivies correctement, un message de succès devrait s'afficher :

Redémarrer le poste pour prendre en compte les réglages.

Il est maintenant possible d'ouvrir une session avec un compte du domaine :

Si l'option a été activé lors de la création du compte, un changement de mot de passe sera demandé à l'utilisateur à sa première connexion :

Et voilà !

Voici quelques réglages utiles qui peuvent être implémentés pour ajouter des fonctionnalités ou sécuriser un peu mieux le système :

Exécuter un script au lancement d'une session Windows

Stocker les profils utilisateur sur un serveur de fichiers

Interdire l'utilisation de périphériques amovibles sur les poste d'un domaine