[AD DS] Active Directory Domaine Services

Les services de domaines Active Directory sont la mise en œuvre d’un annuaire LDAP (Lightweight Directory Access Protocol) dans le monde Microsoft. La notion d’annuaire LDAP peut vous sembler étrangère et vous trouverez plus de détails sur le site de l’IETF : https://tools.ietf.org/html/rfc4510 .

[AD DS] Gestions des groupes

Les différents types de groupes

[AD DS] Gestion des utilisateurs

Création d'un utilisateur

Pour créer un nouvel utilisateur faites un clic droit sur l'unité d'organisation choisi puis « nouveau » et « utilisateur ». Lors de la création d'un utilisateur un nombre minimal d'informations sont demandée par rapport à l'ensemble des attributs dont dispose un utilisateur.

[AD DS] Les unités d’organisations

Une unité d'organisation est un conteneur permettant de classer les objets pour simplifier l'administration du domaine. Afin d'organiser au mieux vos unités d'organisation, il est vivement conseillé de tenir compte des contraintes de délégations de certaines opérations d'administration. Par exemple, il est possible de définir un groupe de personnes qui dispose du droit d'ajouter des ordinateurs dans le domaine sans que ces personnes ne fassent partie de l'équipe qui administre l'annuaire Active Directory.

[AD DS] La console Utilisateur et Ordinateur Active Directory

La console « utilisateurs et Ordinateurs Active Directory est une des consoles les plus utilisées. Elle permet comme son nom l'indique de gérer les utilisateurs, les ordinateurs mais aussi les groupes, les unités d'organisation et quelques autres éléments. Il est possible d'accéder à la console soit par les outils d'administration dans le gestionnaire de serveur soit directement en exécutant « DSA.msc ».

[AD DS] Tour d’horizon d’Active Directory

Une série d'articles pour les débutants sur les services de domaines Active Directory.

[AD DS] Autres options d’installation : IFM & Clonage de DC

Installation à partir d'un Média : IFM (Install from Media)

[ AD DS] Désinstaller un contrôleur de domaine

Sur les versions avant Windows 2012 pour rétrograder un contrôleur de domaine il fallait exécuter la commande « dcpromo ». A partir de Windows 2012, vous pouvez le rétrograder en supprimant le rôle « service de domaine » depuis le gestionnaire de serveur. Vous devez utiliser un compte avec les droits d'administrations sur le domaine.

[AD DS] Installation d’un contrôleur de domaine supplémentaire

Comme pour l'installation du premier contrôleur de domaine nous commençons par la configuration des paramètres réseaux. Il faudra en plus de l'adresse IP fixe, mettre comme DNS primaire un serveur qui dispose de la zone du domaine et de la forêt, comme par exemple le premier contrôleur de domaine que nous venons d'installer. En général il s'agit d'un contrôleur de domaine qui dispose des services DNS et qui est déjà opérationnel.

[AD DS] Que faire après l’installation du premier DC ?

Configuration DNS pour la résolution de nom

Afin de garantir la résolution de nom sur Internet il est nécessaire d'autoriser sur votre routeur le trafic DNS (UDP et TCP sur le port 53). Par défaut les services DNS de notre contrôleur de domaine sont en mesure de résoudre des noms DNS par l'intermédiaire des serveurs DNS racines.

[AD DS] Installation du premier contrôleur de domaine

Nous allons dans ce chapitre installé le premier contrôleur de domaine de notre nouvelle forêt. Le contrôleur de domaine sera virtualisé dans un environnement Hyper-V. La machine virtuelle aura 2 processeurs virtuels et 2 Go de RAM ce qui est suffisant pour la présentation.

La première étape consiste à installer le système d'exploitation, à configurer les disques.

[AD DS] Pré requis pour les contrôleurs de domaine

Au niveau de l'édition de Windows Serveur 2016 et supérieur, vous pouvez, utiliser une version standard ou entreprise. Nous ne donnerons pas plus de détail sur la version Essentiel qui est très limitée.

[AD DS] Interconnexion avec d’autres domaines

Il est possible qu'à un moment ou un autre, vous vous retrouviez dans l'obligation de partager des ressources avec d'autres entreprises. C'est le cas par exemple lors du rachat d'une entreprise ou d'une fusion. Si dans une forêt Active Directory l'ensemble des domaines s'approuvent automatiquement, il est possible de mettre en place des relations d'approbations avec des environnements extérieurs à la forêt.

[AD DS] Planification et installation

Comment préparer son déploiement

Avant de déployer votre environnement, je vous conseille de réfléchir aux points suivants :

[AD DS] Partition de forêt ou de domaine et réplication multi maître

Active Directory dispose de différentes partitions. Au minimum nous en retrouvons trois :

[ AD DS] Un Catalogue global, qu’est-ce que c’est ?

Dans une forêt multi domaine chaque contrôleur de domaine ne gère que les utilisateurs de son domaine. Or il est possible à un utilisateur d'un domaine d'utiliser une ressource d'un autre domaine (si l'administrateur de ce domaine l'autorise). Les contrôleurs de domaine doivent être en mesure de localiser les objets des autres domaines de la forêt. Ce service est rendu par le catalogue global. Il contient également des éléments spécifiques, les groupes universels indispensables au moment de l'ouverture d'une session.

[AD DS] Conception de la structure physique

Si la structure logique d'Active Directory permet de s'adapter aux besoins liés à l'administration du domaine, la structure physique va permettre de s'adapter à la répartition géographique de l'entreprise. Elle permettra d'optimiser les flux réseaux entre les sites situés dans différents lieux géographiques.

[AD DS] Choisir un nom DNS

Un des éléments importants à définir avant le déploiement d'un domaine Active Directory est le nom DNS de votre domaine. Même s'il existe des solutions pour modifier un nom de domaine après sa création, l'opération reste généralement délicate car d'autres services ou applications peuvent en être dépendant (Exchange, SharePoint, …). Je vous conseille de ne pas renommer un domaine existant si vous ne maitrisez pas l'opération et l'ensemble des éléments qui s'appuie sur Active Directory et DNS.

[AD DS] Introduction aux Services de Domaine

Comment définir les services de Domaine AD ?

Dans ce chapitre, nous commencerons par définir la notion d'annuaire et ses avantages. Il est vrai que ce paragraphe s'adresse avant tout à un public débutant et même si cela peut paraître superflue je vais prendre quelques lignes pour définir les notions de base.

[AD DS] Conception de la structure logique (partie 2)

Les Unités d'organisations (OU)

[ AD DS] Rôle FSMO, qu’est-ce que c’est ?

Dans une forêt Active Directory il existe 5 rôles particuliers qui ne sont pas partagés par l'ensemble des contrôleurs de domaine. Ces rôles sont les rôles de maitre d'opération (Flexible Single Master Operations). Il existe 2 rôles présents sur un seul contrôleur de domaine de la forêt et 3 rôles présents sur un seul contrôleur de domaine de chaque domaine de la forêt. Les différents rôles FSMO ne se trouvent pas forcément sur le même contrôleur de domaine.

[AD DS] Conception de la structure logique : notion de domaine et de forêt

Avant la création d'Active Directory, la gestion des utilisateurs et des ressources se faisait à l'aide d'un ou plusieurs domaines « NT » (New Technology). Une entreprise présente sur plusieurs sites disposait souvent d'un domaine pour chacun de ses sites. Dans un domaine NT, il y avait un serveur qui était accessible en écriture, le « Primary Domain Controller », les autres « Backup Domain Controller » ne sont que des copies en lecture de l'annuaire et pouvait assurer le rôle d'authentification de l'utilisateur.

[Windows News] Mise à jour cumulative 2022-11

Vous avez peut-être déjà entendu parler des problèmes sur Kerberos depuis l'installation des mises à jour du mois de novembre.

En effet des problèmes reconnus par Microsoft peuvent exister sur l'authentification Kerberos depuis l'application des mises à jour.

Il y aura pas mal de choses à dire sur les mises à jour du mois de novembre, vu qu'elle intègre deux évolutions progressives sur le protocole Kerberos et une sur Netlogon.

[Active Directory] Qui peut ajouter un ordinateur à un domaine ?

Dans un domaine Active Directory les comptes membres du groupe « admins du domaine » ou « administrateurs de l'entreprise » peuvent ajouter un ordinateur à un domaine.

Il est possible de déléguer l'autorisation de joindre un ordinateur au domaine à des personnes ou des groupes. Pour ce faire il faut autoriser le groupe ou l'utilisateur à créer des objets ordinateurs dans le domaine.

[AD DS] AD, LAPS (Local Administrator Password Solution) GPo et magasin central

Il y a deux ans, j'avais publié deux articles sur la mise en œuvre de LAPS.

[AD Sécurité] Gérer vos comptes administrateurs locaux avec LAPS (partie 1)

[Active Directory] Verrouillage des comptes et audit

Dans cet article, nous allons voir le suivi du verrouillage de compte par suite d'une succession de tentatives de connexion avec un mot de passe erroné.

L'environnement de test est composé de deux contrôleurs de domaine : LAB2016dc1 et LAB2019DC2 et d'un poste client Windows 10 LABCL1. Tous les rôles FSMO sont gérés par LAB2016DC1.

La stratégie de verrouillage a été définie dans la GPO « Default Domain Policy ». Nous avons défini un verrouillage de 10 minutes si pendant une durée de 10 minutes, 3 mauvais mot de passe sont saisie.

[AD PowerShell] Déterminé la stratégie de mot de passe appliquée

J'avais déjà publié un message sur la stratégie de mot de passe affiné et sur la commande « Get-ADUserResultantPasswordPolicy » ainsi qu'un article plus détaillé sur la stratégie de mot de passe dans un domaine Active Directory.

[AD Sécurité] Auditer NTLM V1

J'avais déjà écrit un article sur les niveaux d'authentification NTLM :

[AD DS] Installation d’un DC Windows 2022

Vous trouverez dans ce post quelques informations sur l'installation des DC sous Windows server 2022.

Avant de promouvoir un nouveau contrôleur de domaine, il faut généralement mettre à jour le schéma Active Directory.

Depuis 2012 et la fin de « dcpromo.exe », l'assistant de configuration des services Active Directory effectue la mise à jour automatiquement lors de la promotion.

La commande suivante permet de connaître la version du schéma :

[NPS] Migrer NPS et serveur Radius

Si vous souhaitez migrer les services NPS, comme par exemple votre serveur Radius, sur un nouveau serveur, vous pouvez utiliser l'export et l'import de la configuration pour faciliter le déploiement sur le nouveau serveur. Dans cet exemple, la configuration des services NPS sur un Windows 2008R2 est exportée et ensuite importée sur un nouveau serveur en 2016 à l'aide de PowerShell. Le temps de l'opération est inférieur à 5 minutes et comprend :

Formulaire de recherche