Mise en place d'un contrôleur de domaine Active Directory

Un contrôleur de domaine permet de :

  • Centraliser la gestion des utilisateurs, des groupes, des ordinateurs, et des permissions sur le réseau.
  • Unifier l'authentification des utilisateurs aux différents services de l'organisation (postes, messagerie, etc…).
  • Homogénéiser la configuration des postes et des serveurs d'un réseau (stratégies de groupe).

Active Directory utilise un annuaire LDAP pour stocker les objets.

Dans ce tutoriel, nous allons voir comment mettre en place un contrôleur de domaine, gérer l'annuaire, et joindre un poste à un domaine Active Directory.

Topologie du lab

Voici l'architecture que nous allons mettre en place dans ce tutoriel :

Pré-requis

Instructions

Installation du rôle Active Directory Domain Services

Sous Windows Server, le rôle correspondant au contrôleur de domaine s'appelle Active Directory Domain Services (AD DS). Afin de l'installer, commencer par ouvrir la console Gestionnaire de serveur, et faire Gérer > Ajouter des rôles et fonctionnalités :

Ajouter des rôles et fonctionnalités

Cliquer sur Suivant :

Ajouter des rôles et fonctionnalités

Choisir Installation basée sur un rôle ou une fonctionnalité :

Ajouter des rôles et fonctionnalités

Sélectionner le serveur qui jouera le rôle de contrôleur de domaine :

Sélection du serveur où installer le rôle

Cocher la case Services AD DS [1], cliquer sur Ajouter des fonctionnalités [2], et valider avec Suivant [3] :

Choix des rôles à installer

Cliquer sur Suivant 2 fois de suite :

Choix de fonctionnalités à installer

Ajouter des rôles et fonctionnalités

Activer le redémarrage automatique du serveur en cochant la case Redémarrer automatique le serveur de destination, si nécessaire [1], cliquer sur Oui [2], et confirmer avec Installer [3] :

Activer le redémarrage automatique

Le rôle Services AD DS va alors s'installer. Le serveur peut redémarrer tout seul pendant l'opération.

Une fois l'opération terminée, fermer la fenêtre avec Fermer :

Installation du rôle AD DS

Configuration d'Active Directory

Maintenant, il faut créer une nouvelle forêt et configurer Active Directory. Une fôret est un domaine parent pouvant contenir des sous-domaines.

:!: Avant toute chose, commencer par renommer le serveur avec un nom cohérent, et par lui fixer une adresse IP statique sur le réseau.

Ensuite, toujours depuis le Gestionnaire de serveur, ouvrir le menu Notifications [1] en haut à droite (avec le petit drapeau blanc) et cliquer sur Promouvoir ce serveur en contrôleur de domaine [2] :

Promouvoir ce serveur en contrôleur de domaine

Sélectionner Ajout une nouvelle forêt [1], et entrer un nom de domaine DNS [2], puis faire Suivant [3] :

Créer une nouvelle fôret

Renseigner un mot de passe pour restaurer l'annuaire en cas de problème :

Créer un mot de passe de restauration

Ignorer l'erreur ci-dessous avec Suivant :

Création d'une délégation DNS

Vérifier le nom NetBIOS qui sera utilisé pour le domaine [1] et valider avec Suivant [2] :

Configuration NetBIOS

Continuer avec Suivant :

Configuration de l'emplacement des composants Active Directory

Vérifier les informations qui s'affichent et cliquer sur Suivant :

Récapitulatif des paramètres

Enfin, lancer l'installation d'Active Directory avec Installer. Cela peut prendre un moment. Une fois finie, le système redémarre.

Création d'objets sur le domaine (Utilisateurs, groupes...)

Il existe 5 grands types d'objets LDAP sous Active Directory :

  • Les unités d'organisation (UO) : ce sont des conteneurs qui servent à organiser et hiérarchiser les objets dans l'annuaire (comme des dossiers). On s'en servira aussi pour appliquer des stratégies de groupe à des objets particuliers.
  • Les utilisateurs.
  • Les groupes d'utilisateurs : permettent de configurer des permissions communes à des utilisateurs sur des répertoires partagés, fichiers, programmes, GPO…
  • Les ordinateurs : correspondent à des ordinateurs joints au domaine, s'ajoutent automatiquement à l'annuaire.
  • Les imprimantes : permettent le partage d'imprimantes sur le réseau.

Pour gérer l'annuaire Active Directory, on peut utiliser la console Utilisateurs et ordinateurs Active Directory (composant dsa.msc), disponible depuis le menu démarrer du serveur, dans Outils d'administration. Il est aussi possible de passer par le centre d'administration Active Directory qui est présent depuis Windows Server 2012.

Voici la console Utilisateurs et ordinateurs Active Directory , avec sur la gauche la hiérarchie de l'annuaire, au milieu la liste des objets dans l'UO courante, et en haut le menu d'administration :

Console Utilisateurs et ordinateurs Active Directory

  • Le bouton [1] permet de créer un utilisateur à l'emplacement actuel.
  • Le bouton [2] permet de créer un groupe d'utilisateurs à l'emplacement actuel.
  • Le bouton [3] permet de créer une unité d'organisation à l'emplacement actuel.

Créer une unité d'organisation (UO)

Pour ajouter une nouvelle unité d'organisation, cliquer sur Créer un nouvelle unité d'organisation dans le conteneur actuel (bouton [3] de l'image ci-dessus).

Puis renseigner le nom de l'UO :

Création d'une unité d'organisation

:!: La case Protéger le conteneur contre une suppression accidentelle permet d'éviter toute suppression accidentelle de l'UO. Pour pouvoir la supprimer, il faudra alors activer l'affichage des Fonctionnalités avancées depuis le menu Affichage, et décocher cette case de ses propriétés.

Créer un utilisateur

Pour ajouter un nouvel utilisateur, cliquer sur Créer un nouvel utilisateur dans le conteneur actuel (bouton [1] ci-dessus).

Dans un premier temps, spécifier son nom de famille, son prénom, ainsi que son nom d'ouverture de session [1] et faire Suivant [2] :

Création d'un utilisateur

Dans un second temps, définir un mot de passe pour cet utilisateur [1] et confirmer [2]. Grâce aux options proposées, il est possible d'imposer un changement de mot de passe dès la première connexion, voire d'interdire sa modification :

Création d'un utilisateur

:!: Le mot de passe d'un utilisateur Active Directory doit respecter un certain nombre d'exigences de sécurité, c'est à dire comporter au minimum 8 caractères, dont au moins 1 majscule, 1 chiffre, et 1 caractère spécial. Il est possible de modifier ces critères en modifiant la stratégie de groupe par défaut du domaine.

Finir avec Terminer :

Création d'un utilisateur

On peut maintenant indiquer d'autres paramètres en ouvrant la fenêtre des propriétés de l'utilisateur (double clic dessus).

Créer un groupe et y ajouter des utilisateurs

Les groupes d'utilisateurs permettent de grouper des utilisateurs pour leur appliquer des réglages ou des permissions communes.

Il existe deux types de groupes :

  • Les groupes de sécurité (par défaut) : utilisés pour appliquer des permissions et des paramètres de sécurité.
  • Les groupes de distribution : utilisés par certains serveurs de messagerie (ex: Exchange) pour créer des adresses partagées.

Pour créer un groupe d'utilisateurs, cliquer sur Créer un nouveau groupe dans le conteneur actuel (bouton [2] plus haut).

Ensuite taper un nom pour le groupe :

Créer un groupe

Enfin, on peut ajouter des utilisateurs à un groupe en sélectionnant les utilisateurs et en faisant un clic droit dessus, puis aller sur Toutes les tâches > Ajouter à un groupe. On peut aussi passer par les propriétés du groupe concerné en double-cliquant dessus. Il est aussi possible d'ajouter des groupes à l’intérieur d'un autre groupe.

Créer un groupe

Taper le nom du groupe [1], cliquer sur Vérifier les noms [2], choisir le groupe si une liste s'affiche, et terminer avec OK [3] :

Créer un groupe

Une fois l'opération terminée, un message apparaît :

Ajout au groupe terminé

L'utilisateur est ajouté au groupe !

Joindre un poste Windows au domaine

Afin d'associer un ordinateur au domaine, celui-ci doit tout d'abord être sur le même réseau que le contrôleur de domaine, et être capable de résoudre les noms DNS locaux. Pour cela, il faut lui indiquer manuellement le contrôleur de domaine comme serveur DNS, depuis les paramètres de sa carte réseau :

Paramétrage DNS du client

Ensuite, le poste devrait être en mesure de résoudre le nom du domaine. On peut vérifier cela en faisant la commande suivante : 

nslookup nocterie.lan

Le serveur DNS (qui est aussi l'AD) doit répondre avec son adresse comme ceci :

Vérification de la configuration DNS

Désormais on peut joindre le poste au domaine.

Aller dans les paramètres système (Windows + Pause) et cliquer sur Renommer ce PC (avancé) :

Paramètres du système

Une petite fenêtre s'ouvre alors, cliquer sur Modifier :

Paramètres avancés du système

En premier lieu, s'assurer que le nom de la machine est correct. En second lieu, cocher le bouton radio Domaine, entrer le nom du domaine à joindre juste en-dessous [1] et valider avec OK [2] :

Jointure du poste au domaine

Renseigner les identifiants admin du domaine [1] puis confirmer [2] :

Authentification au domaine

Si les étapes précédentes ont été suivies correctement, un message de succès devrait s'afficher :

Succès de la jointure

Redémarrer le poste pour prendre en compte les réglages.

Il est maintenant possible d'ouvrir une session avec un compte du domaine :

Connexion à un compte AD sous Windows

Si l'option a été activé lors de la création du compte, un changement de mot de passe sera demandé à l'utilisateur à sa première connexion :

Changement de mot de passe à la première connexion

Et voilà !

Réglages supplémentaires

Voici quelques réglages utiles qui peuvent être implémentés pour ajouter des fonctionnalités ou sécuriser un peu mieux le système :

Exécuter un script au lancement d'une session Windows

Stocker les profils utilisateur sur un serveur de fichiers

Interdire l'utilisation de périphériques amovibles sur les poste d'un domaine

configuration_active_directory.txt · Dernière modification : de superadmin
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International


  • Afficher le texte source
  • Anciennes révisions
  • Liens de retour
  • Derniers changements
  • Gestionnaire Multimédia
  • Plan du site