| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| configuration_active_directory [2021/06/30 11:30] – [Topologie du lab] superadmin | configuration_active_directory [2023/09/11 16:43] (Version actuelle) – superadmin |
|---|
| * Centraliser la gestion des utilisateurs, des groupes, des ordinateurs, et des permissions sur le réseau. | * Centraliser la gestion des utilisateurs, des groupes, des ordinateurs, et des permissions sur le réseau. |
| * Unifier l'authentification des utilisateurs aux différents services de l'organisation (postes, messagerie, etc...). | * Unifier l'authentification des utilisateurs aux différents services de l'organisation (postes, messagerie, etc...). |
| * Homogénéiser la configuration des postes et des serveurs d'un réseau. | * Homogénéiser la configuration des postes et des serveurs d'un réseau (stratégies de groupe). |
| |
| Active Directory utilise un annuaire LDAP pour stocker les objets. | Active Directory utilise un annuaire LDAP pour stocker les objets. |
| |
| Dans ce tutoriel, nous allons voir comment mettre en place un contrôleur de domaine et gérer l'annuaire. | Dans ce tutoriel, nous allons voir comment mettre en place un contrôleur de domaine, gérer l'annuaire, et joindre un poste à un domaine Active Directory. |
| |
| ===== Topologie du lab ===== | ===== Topologie du lab ===== |
| |
| {{ ::schema_ad.png?400 |}} | Voici l'architecture que nous allons mettre en place dans ce tutoriel : |
| ===== Installation du rôle Active Directory Domain Services ===== | |
| | {{ ::schema_ad.png?350 |}} |
| | |
| | ===== Pré-requis ===== |
| | |
| | ===== Instructions ===== |
| | |
| | ==== Installation du rôle Active Directory Domain Services ==== |
| |
| Sous Windows Server, le rôle correspondant au contrôleur de domaine s'appelle Active Directory Domain Services (AD DS). Afin de l'installer, commencer par ouvrir la console **//Gestionnaire de serveur//**, et faire ''Gérer > Ajouter des rôles et fonctionnalités'' : | Sous Windows Server, le rôle correspondant au contrôleur de domaine s'appelle Active Directory Domain Services (AD DS). Afin de l'installer, commencer par ouvrir la console **//Gestionnaire de serveur//**, et faire ''Gérer > Ajouter des rôles et fonctionnalités'' : |
| {{ :9.addroles_fermer.png?600 |Installation du rôle AD DS}} | {{ :9.addroles_fermer.png?600 |Installation du rôle AD DS}} |
| |
| ===== Configuration d'Active Directory ===== | ==== Configuration d'Active Directory ==== |
| |
| Maintenant, il faut créer une nouvelle forêt et configurer Active Directory. Une fôret est un domaine parent pouvant contenir des sous-domaines. | Maintenant, il faut créer une nouvelle forêt et configurer Active Directory. Une fôret est un domaine parent pouvant contenir des sous-domaines. |
| {{ ::17.configadds_recap2.png?600 |}} | {{ ::17.configadds_recap2.png?600 |}} |
| |
| ===== Création d'objets sur le domaine (Utilisateurs, groupes...) ===== | ==== Création d'objets sur le domaine (Utilisateurs, groupes...) ==== |
| |
| Il existe 5 grands types d'objets LDAP sous Active Directory : | Il existe 5 grands types d'objets LDAP sous Active Directory : |
| * Le bouton [3] permet de créer une unité d'organisation à l'emplacement actuel. | * Le bouton [3] permet de créer une unité d'organisation à l'emplacement actuel. |
| |
| ==== Créer une unité d'organisation (UO) ==== | === Créer une unité d'organisation (UO) === |
| |
| Pour ajouter une nouvelle unité d'organisation, cliquer sur ''Créer un nouvelle unité d'organisation dans le conteneur actuel'' (bouton [3] de l'image ci-dessus). | Pour ajouter une nouvelle unité d'organisation, cliquer sur ''Créer un nouvelle unité d'organisation dans le conteneur actuel'' (bouton [3] de l'image ci-dessus). |
| :!: La case ''Protéger le conteneur contre une suppression accidentelle'' permet d'éviter toute suppression accidentelle de l'UO. Pour pouvoir la supprimer, il faudra alors activer l'affichage des Fonctionnalités avancées depuis le menu ''Affichage'', et décocher cette case de ses propriétés. | :!: La case ''Protéger le conteneur contre une suppression accidentelle'' permet d'éviter toute suppression accidentelle de l'UO. Pour pouvoir la supprimer, il faudra alors activer l'affichage des Fonctionnalités avancées depuis le menu ''Affichage'', et décocher cette case de ses propriétés. |
| |
| ==== Créer un utilisateur ==== | === Créer un utilisateur === |
| |
| Pour ajouter un nouvel utilisateur, cliquer sur ''Créer un nouvel utilisateur dans le conteneur actuel'' (bouton [1] ci-dessus). | Pour ajouter un nouvel utilisateur, cliquer sur ''Créer un nouvel utilisateur dans le conteneur actuel'' (bouton [1] ci-dessus). |
| On peut maintenant indiquer d'autres paramètres en ouvrant la fenêtre des propriétés de l'utilisateur (double clic dessus). | On peut maintenant indiquer d'autres paramètres en ouvrant la fenêtre des propriétés de l'utilisateur (double clic dessus). |
| |
| ==== Créer un groupe et y ajouter des utilisateurs ==== | === Créer un groupe et y ajouter des utilisateurs === |
| |
| Les groupes d'utilisateurs permettent de grouper des utilisateurs pour leur appliquer des réglages ou des permissions communes. | Les groupes d'utilisateurs permettent de grouper des utilisateurs pour leur appliquer des réglages ou des permissions communes. |
| * Les groupes de distribution : utilisés par certains serveurs de messagerie (ex: Exchange) pour créer des adresses partagées. | * Les groupes de distribution : utilisés par certains serveurs de messagerie (ex: Exchange) pour créer des adresses partagées. |
| |
| Pour créer un groupe d'utilisateurs, cliquer sur''Créer un nouveau groupe dans le conteneur actuel'' (bouton [2] plus haut). | Pour créer un groupe d'utilisateurs, cliquer sur ''Créer un nouveau groupe dans le conteneur actuel'' (bouton [2] plus haut). |
| | |
| Ensuite taper un nom pour le groupe : | Ensuite taper un nom pour le groupe : |
| L'utilisateur est ajouté au groupe ! | L'utilisateur est ajouté au groupe ! |
| |
| ===== Joindre un poste Windows au domaine ===== | ==== Joindre un poste Windows au domaine ==== |
| |
| Afin d'associer un ordinateur au domaine, celui-ci doit tout d'abord être sur le même réseau que le contrôleur de domaine, et être capable de résoudre les noms DNS locaux. Pour cela, il faut lui indiquer manuellement le contrôleur de domaine comme serveur DNS, depuis les paramètres de sa carte réseau : | Afin d'associer un ordinateur au domaine, celui-ci doit tout d'abord être sur le même réseau que le contrôleur de domaine, et être capable de résoudre les noms DNS locaux. Pour cela, il faut lui indiquer manuellement le contrôleur de domaine comme serveur DNS, depuis les paramètres de sa carte réseau : |
| {{ ::32.joindomain1.png?400 |Paramètres avancés du système}} | {{ ::32.joindomain1.png?400 |Paramètres avancés du système}} |
| |
| En premier lieu, s'assurer que le nom de la machine est correct. En second lieu, cocher le bouton radio ''Domaine'', entrer le nom du domaine à joindre juste en-dessous [2] et valider avec ''OK'' [2] : | En premier lieu, s'assurer que le nom de la machine est correct. En second lieu, cocher le bouton radio ''Domaine'', entrer le nom du domaine à joindre juste en-dessous [1] et valider avec ''OK'' [2] : |
| |
| {{ ::33.joindomain2.png?400 |Jointure du poste au domaine}} | {{ ::33.joindomain2.png?400 |Jointure du poste au domaine}} |
| |
| {{ ::37.premiereco.png?350 |Changement de mot de passe à la première connexion}} | {{ ::37.premiereco.png?350 |Changement de mot de passe à la première connexion}} |
| | |
| | Et voilà ! |
| | |
| | ==== Réglages supplémentaires ==== |
| | |
| | Voici quelques réglages utiles qui peuvent être implémentés pour ajouter des fonctionnalités ou sécuriser un peu mieux le système : |
| | |
| | [[Exécuter un script au lancement d'une session Windows|Exécuter un script au lancement d'une session Windows]] |
| | |
| | [[Stocker les profils utilisateur sur un serveur de fichiers|Stocker les profils utilisateur sur un serveur de fichiers]] |
| | |
| | [[Interdire l'utilisation de périphériques amovibles sur les poste d'un domaine]] |