2023

[AD DS] Active Directory Domaine Services

 

Les services de domaines Active Directory sont la mise en œuvre d’un annuaire LDAP (Lightweight Directory Access Protocol) dans le monde Microsoft. La notion d’annuaire LDAP peut vous sembler étrangère et vous trouverez plus de détails sur le site de l’IETF : https://tools.ietf.org/html/rfc4510.

[AD DS] Gestion des utilisateurs

Création d'un utilisateur

Pour créer un nouvel utilisateur faites un clic droit sur l'unité d'organisation choisi puis « nouveau » et « utilisateur ». Lors de la création d'un utilisateur un nombre minimal d'informations sont demandée par rapport à l'ensemble des attributs dont dispose un utilisateur.

 

[AD DS] Les unités d’organisations

Une unité d'organisation est un conteneur permettant de classer les objets pour simplifier l'administration du domaine. Afin d'organiser au mieux vos unités d'organisation, il est vivement conseillé de tenir compte des contraintes de délégations de certaines opérations d'administration. Par exemple, il est possible de définir un groupe de personnes qui dispose du droit d'ajouter des ordinateurs dans le domaine sans que ces personnes ne fassent partie de l'équipe qui administre l'annuaire Active Directory.

[AD DS] La console Utilisateur et Ordinateur Active Directory

La console « utilisateurs et Ordinateurs Active Directory est une des consoles les plus utilisées. Elle permet comme son nom l'indique de gérer les utilisateurs, les ordinateurs mais aussi les groupes, les unités d'organisation et quelques autres éléments. Il est possible d'accéder à la console soit par les outils d'administration dans le gestionnaire de serveur soit directement en exécutant « DSA.msc ».

[ AD DS] Désinstaller un contrôleur de domaine

Sur les versions avant Windows 2012 pour rétrograder un contrôleur de domaine il fallait exécuter la commande « dcpromo ». A partir de Windows 2012, vous pouvez le rétrograder en supprimant le rôle « service de domaine » depuis le gestionnaire de serveur. Vous devez utiliser un compte avec les droits d'administrations sur le domaine.

[AD DS] Installation d’un contrôleur de domaine supplémentaire

Comme pour l'installation du premier contrôleur de domaine nous commençons par la configuration des paramètres réseaux. Il faudra en plus de l'adresse IP fixe, mettre comme DNS primaire un serveur qui dispose de la zone du domaine et de la forêt, comme par exemple le premier contrôleur de domaine que nous venons d'installer. En général il s'agit d'un contrôleur de domaine qui dispose des services DNS et qui est déjà opérationnel.

[AD DS] Que faire après l’installation du premier DC ?

 

Configuration DNS pour la résolution de nom

Afin de garantir la résolution de nom sur Internet il est nécessaire d'autoriser sur votre routeur le trafic DNS (UDP et TCP sur le port 53). Par défaut les services DNS de notre contrôleur de domaine sont en mesure de résoudre des noms DNS par l'intermédiaire des serveurs DNS racines.

[AD DS] Installation du premier contrôleur de domaine

Nous allons dans ce chapitre installé le premier contrôleur de domaine de notre nouvelle forêt. Le contrôleur de domaine sera virtualisé dans un environnement Hyper-V. La machine virtuelle aura 2 processeurs virtuels et 2 Go de RAM ce qui est suffisant pour la présentation.

La première étape consiste à installer le système d'exploitation, à configurer les disques.

[AD DS] Interconnexion avec d’autres domaines

Il est possible qu'à un moment ou un autre, vous vous retrouviez dans l'obligation de partager des ressources avec d'autres entreprises. C'est le cas par exemple lors du rachat d'une entreprise ou d'une fusion. Si dans une forêt Active Directory l'ensemble des domaines s'approuvent automatiquement, il est possible de mettre en place des relations d'approbations avec des environnements extérieurs à la forêt.

[ AD DS] Un Catalogue global, qu’est-ce que c’est ?

Dans une forêt multi domaine chaque contrôleur de domaine ne gère que les utilisateurs de son domaine. Or il est possible à un utilisateur d'un domaine d'utiliser une ressource d'un autre domaine (si l'administrateur de ce domaine l'autorise). Les contrôleurs de domaine doivent être en mesure de localiser les objets des autres domaines de la forêt. Ce service est rendu par le catalogue global. Il contient également des éléments spécifiques, les groupes universels indispensables au moment de l'ouverture d'une session.

[AD DS] Conception de la structure physique

Si la structure logique d'Active Directory permet de s'adapter aux besoins liés à l'administration du domaine, la structure physique va permettre de s'adapter à la répartition géographique de l'entreprise. Elle permettra d'optimiser les flux réseaux entre les sites situés dans différents lieux géographiques.

[AD DS] Choisir un nom DNS

Un des éléments importants à définir avant le déploiement d'un domaine Active Directory est le nom DNS de votre domaine. Même s'il existe des solutions pour modifier un nom de domaine après sa création, l'opération reste généralement délicate car d'autres services ou applications peuvent en être dépendant (Exchange, SharePoint, …). Je vous conseille de ne pas renommer un domaine existant si vous ne maitrisez pas l'opération et l'ensemble des éléments qui s'appuie sur Active Directory et DNS.

[AD DS] Introduction aux Services de Domaine

Comment définir les services de Domaine AD ?

Dans ce chapitre, nous commencerons par définir la notion d'annuaire et ses avantages. Il est vrai que ce paragraphe s'adresse avant tout à un public débutant et même si cela peut paraître superflue je vais prendre quelques lignes pour définir les notions de base.

[ AD DS] Rôle FSMO, qu’est-ce que c’est ?

Dans une forêt Active Directory il existe 5 rôles particuliers qui ne sont pas partagés par l'ensemble des contrôleurs de domaine. Ces rôles sont les rôles de maitre d'opération (Flexible Single Master Operations). Il existe 2 rôles présents sur un seul contrôleur de domaine de la forêt et 3 rôles présents sur un seul contrôleur de domaine de chaque domaine de la forêt. Les différents rôles FSMO ne se trouvent pas forcément sur le même contrôleur de domaine.

[AD DS] Conception de la structure logique : notion de domaine et de forêt

Avant la création d'Active Directory, la gestion des utilisateurs et des ressources se faisait à l'aide d'un ou plusieurs domaines « NT » (New Technology). Une entreprise présente sur plusieurs sites disposait souvent d'un domaine pour chacun de ses sites. Dans un domaine NT, il y avait un serveur qui était accessible en écriture, le « Primary Domain Controller », les autres « Backup Domain Controller » ne sont que des copies en lecture de l'annuaire et pouvait assurer le rôle d'authentification de l'utilisateur.

[AD DS Security] Utilisez PingCastle

 

Nous avons parlé dans un précédent article de l'outil « PolicyAnalyzer » inclut dans Microsoft Security & Compliance Toolkit.

Dans cet article, nous allons voir un autre outil pour analyser la sécurité de votre environnement Active Directory.

PingCastle est un outil gratuit dans version « basic », lorsque vous faites une analyse de votre environnement Active Directory.

S'abonner à RSS - 2023