AGIF INFORMATIQUE

338647314

Présentation d'Active Directory

Active Directory existe depuis Windows 2000 Server.

Active Directory est un service d’annuaire permettant en premier lieu de mettre en œuvre l’authentification des
utilisateurs et des ordinateurs dans un réseau.
Active Directory est basé sur LDAP, un protocole de la suite TCP/IP (standardisé).
Active Directory offre une administration centralisée des comptes d’utilisateurs et
d’ordinateurs.
Du principe d’authentification découle le contrôle d’accès, la gestion des groupes, la configuration des postes
clients par GPO, DFS, la corbeille Active Directory, ADBA, etc…
La plupart des fonctionnalités offertes par Windows Server 2012 ne seront optimisées que dans un
environnement Active Directory.
Plus les contrôleurs de domaine seront hébergés sur une version récente de Windows Server, plus la sécurité de
l’authentification, l’optimisation des ressources et les possibilités seront vastes.

DCPROMO revisité dans Windows 2012

Grande nouveauté dans Active Directory Domain Services de Windows Server 2012 : la commande DCPROMO
n’existe plus.
Dorénavant, la promotion d’un serveur en contrôleur de domaine n’est possible que depuis le gestionnaire de
serveur ou Powershell (Sachant que le gestionnaire de serveur ne fait qu’exécuter Powershell en tâche de
fond).
Après avoir installé le rôle Active Directory Domain Services, une alerte est notifiée qui vous invite à finir la
promotion. Un clic et c’est parti pour l’assistant « Installation des services de domaines Active Directory
».

Assistant Installation des services de domaines Active Directory dans Windows 2012

L’assistant « Installation des services de domaines Active Directory » est l’assistant permettant de promouvoir
un serveur en contrôleur de domaine.
Cet assistant a été remanié et le nombre d’étapes de l’assistant a été grandement
diminué.
Les options proposées sont cependant exactement les mêmes.
De plus, il n’est plus nécessaire, quand on souhaite mettre à jour l’Active Directory existant (2008R2 par
exemple), d’exécuter la commande ADPREP. L’assistant s’en charge en lieu et place de l’administrateur.
Cet assistant peut dorénavant promouvoir des contrôleurs de domaine distants grâce au gestionnaire de serveur
et Powershell.
Il propose également une validation des prérequis, et vous informe si un prérequis n’est pas remplit.

Présentation du Clonage de contrôleurs de domaine dans Windows 2012

Active Directory Domain Services dans Windows Server 2012 permet le clonage de contrôleurs de domaine
virtuels existants afin de déployer les réplicas dans d’autres machines virtuelles.
Cette fonctionnalité permet de déployer très rapidement des contrôleurs de domaine dans votre environnement
Active Directory Domain Services.
Les prérequis sont :

1. Un contrôleur de domaine Windows Server 2012 hébergeant le rôle « émulateur PDC ». En général c’est
le premier contrôleur de domaine du domaine.
2. Deux serveurs Hyper-V Windows Server 2012.
3. Un contrôleur de domaine virtuel Windows Server 2012 qui sera la machine virtuelle clonée.

Procédure du clonage de contrôleurs de domaine dans Windows 2012

Le premier contrôleur de domaine Windows Server 2012 du domaine est créé de façon manuelle (Sur une
machine physique ou une machine virtuelle). Nous l’appellerons DC1.
Le rôle Hyper-V 2012 est installé sur un serveur de votre réseau. Nous l’appellerons HYPERV1

M. BODIAN
 AGIF INFORMATIQUE
338647314

Sur ce serveur Hyper-V, un réplica du premier contrôleur de domaine est créé de façon manuelle. Nous
l’appellerons DC2.
Dans Active Directory, il faut ajouter DC2 (le contrôleur de domaine que l’on veut cloner) au groupe «
contrôleurs de domaine clonables » afin d’autoriser le clonage de ce contrôleur de domaine.
Sur DC2, grâce à Powershell et à des fichiers de configuration XML (dans lequel vous spécifiez les paramètres
uniques du contrôleur de domaine cloné, ainsi que les paramètres généraux du clonage), la préparation du
clonage est effectuée.
Il suffit maintenant d’exporter la machine virtuelle DC2, puis de l’importer sur un autre serveur Hyper-V
Windows Server 2012.
Au redémarrage, on obtient 2 contrôleurs de domaine différents.

Pour information, si le contrôleur de domaine cloné est aussi un serveur DNS, alors le service DNS est aussi
cloné.

Prévention de USN Rollback dans Windows 2012

Dans les versions précédentes de Windows Server, si un snapshot d’une machine virtuelle hébergeant un
contrôleur de domaine était restauré, alors se produisait l’effet USN Rollback.
Chaque contrôleur de domaine stocke les modifications opérées dans Active Directory (modification d’un user
par exemple) grâce à un numéro qui s’incrémente à chaque modification. Ce numéro s’appelle USN pour
Update Sequence Number.
L’USN est échangé entre les contrôleurs de domaine afin de déterminer si les base Active Directory sont à jour
entre les contrôleurs de domaine.
Restaurer un contrôleur de domaine par un autre moyen que la sauvegarde Windows ou un outil de sauvegarde
tiers prenant en charge la sauvegarde d’Active Directory, débouche sur un USN Rollback.
Les autres contrôleurs de domaine (ceux qui n’ont pas été restaurés) croient que le contrôleur de domaine
restauré n’est pas à jour et bloquent les réplications vers ce contrôleur de domaine.
Dorénavant, Windows Server 2012 empêche le USN Rollback sur les contrôleurs de domaine installés sur des
machines virtuelles (si on restaure un snapshot de la machine virtuelle) en stockant un attribut supplémentaire
pour l’objet contrôleur de domaine. Cet attribut est géré par Hyper-V 2012 ou un hyperviseur compatible.

Dynamic Access Control (DAC) dans Windows 2012

DAC n’est disponible qu’à partir de Windows 8 et Windows 2012 Server. C’est une des nouveautés
fondamentales de ces systèmes.
DAC permet de mettre en œuvre une gestion centralisée du contrôle d’accès. Cela signifie que les autorisations
et l’audit NTFS sont définies dans Active Directory, et que les systèmes clients appliquent ces autorisations
en plus des autorisations locales.
L’autorisation la plus restrictive est appliquée en cas de conflit entre les autorisations NTFS locales et celles
envoyées par DAC.
DAC fournit de plus les autorisations conditionnelles, c’est-à-dire la possibilité de définir comme condition à
l’application des autorisations NTFS différents types de paramètres comme par exemple : appliquer
l’autorisation de lire au groupe des comptables sur tous les fichiers contenant le mot « Comptabilité » si
l’attribut LDAP country est égal à « France ».
DAC nécessite au moins un contrôleur de domaine Windows Server 2012 et un serveur de fichier Windows
Server 2012.
DAC donne aussi la possibilité de personnaliser le message d’erreur envoyé à un client Windows 8 n’ayant pas
le droit d’accès, et dans ce message, il est possible d’envoyer un mail à une personne responsable des
autorisations.

M. BODIAN
 AGIF INFORMATIQUE
338647314

Configuration de Dynamic Access Control (DAC) dans Windows 2012

Jonction de domaine hors connexion dans Windows 2012

Windows 2008R2 proposait une fonctionnalité permettant de joindre un poste client au domaine même sans
connectivité réseau avec le contrôleur de domaine.
Windows 2012 enrichit cette fonctionnalité en permettant la jonction au domaine hors connexion au travers
d’Internet si Direct Access est activé pour le domaine.
Direct Access est une sorte de VPN intégré à Windows depuis Windows Server 2008. Il offre une méthode
d’accès de type « Tunnel » aux clients du domaine.
Direct Access diffère du VPN en ce qu’il est activé sur le poste client dès le démarrage du système (et donc
applique les GPO ordinateurs). Aucune information d’identification n’est demandée, si ce n’est les
informations d’ouverture de session. Direct Access est totalement transparent pour l’utilisateur.
Le principe est donc de préparer un ordinateur sans le joindre au domaine (ce qui limite le nombre de
redémarrage) grâce à la commande DJOIN.EXE, puis de le démarrer hors du domaine. Au premier redémarrage,
l’ordinateur se sert de Direct Access pour valider son adhésion.
Cette amélioration nécessite au moins un contrôleur de domaine Windows Server 2012.

Corbeille Active Directory dans Windows 2012

La corbeille Active Directory est un outil apparu dans Windows 2008.

Cette corbeille stocke les objets Active Directory supprimés pour environ 180 jours, et permet de les restaurer
rapidement sans avoir recours à une restauration Active Directory.
L’inconvénient de cette fonctionnalité était qu’elle n’était activable et gérable uniquement par Powershell.
Windows Server 2012 propose désormais une interface graphique permettant d’activer la corbeille Active
Directory et de restaurer des objets Active Directory précédemment supprimés.

M. BODIAN
 AGIF INFORMATIQUE
338647314

Cette interface graphique est intégrée au Centre d’administration Active Directory (mais pas dans "utilisateurs
et ordinateurs Active Directory").
Le seul moyen de gérer la corbeille Active Directory est donc le Centre d’administration Active Directory
(et Powershell bien sûr).
La corbeille Active Directory de Windows Server 2012 nécessite un niveau fonctionnel 2008R minimum, que
la corbeille soit activée (soit graphiquement, soit par Powershell), et un Windows Server 2012 avec le
Centre d’administration Active Directory installé.
Attention, un objet supprimé avant l’activation de la corbeille Active Directory n’est pas récupérable.

Restauration d'objets Active Directory supprimés grâce à la corbeille dans Windows 2012

M. BODIAN