Atelier : Installer et Configurer Active Directory

Windows Server 2016

Objectif : Cet atelier présente les phases de la création d’un nouveau domaine dans un
environnement virtuel ou pour migrer un service d’annuaire Active Directory déjà en place
dans l’entreprise. De plus vers la fin l’implémentation des GPOs (Gestion des stratégies de
groupe) comme la Sécurité des mots de passe avec Windows Server.

Préparation du serveur Windows 2016

1. Après le démarrage de la machine, le Gestionnaire de serveur se lance automatiquement.
2. Cliquer sur « Configurer ce serveur local » pour paramétrer les informations de base.

• Nom de l’ordinateur : donner un nom unique au serveur, comme SERVER-ENSAM

• Bureau à distance (à activer pour se connecter à distance par TSE / RDP)
• Ethernet : définir une adresse IP fixe pour ce futur contrôleur de domaine

• Windows Update : il est recommandé d’effectuer les mises à jour avant de démarrer
• Windows Defender (protection contre virus, logiciels malveillants et espions) ou autre
antivirus à installer

3. Redémarrer la machine pour valider les modifications demandées.

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

Installer Active Directory sur Windows Server 2016
Dans cette étape, on va migrer un simple serveur en serveur de domaine Active Directory
pour qu’il devienne le premier contrôleur de domaine (DC) de l’entreprise ou la forêt.
1. Dans le Gestionnaire de serveur, cliquer sur « Gérer – Ajouter des rôles et des
fonctionnalités ».
2. Sélectionner « Installation basée sur un rôle ou une fonctionnalité ».
3. Dans notre cas, il y a un seul serveur dans le réseau, sinon choisir le bon serveur dans le
pool de serveurs.

4. Cocher le rôle « Services AD DS » pour Active Directory Domain Services et le rôle DNS.

5. Vérifier les fonctionnalités complémentaires, requises pour l’installation de ADDS.

6. valider le résumé de l’installation et démarrer l’opération de l’installation.

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

7. Dans la barre de notification cliquer sur « Promouvoir ce serveur en contrôleur de
domaine » pour convertir le serveur en contrôleur de domaine du réseau.

8. Ajouter une nouvelle forêt, pour configurer un Nom de domaine racine, par exemple
domaine.com.

9. Choisissez le niveau fonctionnel de domaine, si l’entreprise a des postes plus anciens

viendront se connecter, il faut baisser les deux niveaux fonctionnels à leur équivalent
serveur. Par exemple, Windows 7 équivaut à Windows Server 2008 R2.
Cocher le rôle Serveur DNS, puis indiquer un nouveau mot de passe pour la prochaine
récupération des services d’annuaire. Ce mot de passe ne doit absolument pas être perdu
(ce n’est pas le même que le compte Administrateur de serveur).

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

10. Vérifier l’emplacement de la base de données AD DS, des journaux d’historique et pour
SYSVOL. Laisser les dossiers proposés par défaut (NTDS et SYSVOL dans C:\Windows) puis
valider.
11. Un récapitulatif affiche la configuration qui va être appliquée. Cliquer sur Suivant pour
continuer et Installer pour démarrer le processus.
12. L’opération prend quelques minutes et le redémarrage de Windows prendra plus de
temps que d’habitude pour implémenter la configuration du contrôleur de domaine.
13. Se connecter à votre contrôleur de domaine avec le mot de passe de l’administrateur de
Windows server 2016 qui sera l’administrateur de DC.

14. Après l’authentification réussite, le Gestionnaire des tâches s’ouvre aussi

automatiquement.

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

Créer les comptes utilisateurs du domaine
Pour tester l’annuaire AD, on doit ajouter les comptes pour les utilisateurs du domaine.

1. Depuis le Gestionnaire de serveur, cliquer sur le menu Outils et choisir Utilisateurs et

ordinateurs Active Directory.
2. Pour mieux organiser les utilisateurs et ne pas se mélanger avec les comptes intégrés,
nous allons créer une Unité d’Organisation pour les utilisateurs de notre métier. Cette OU
sera plus facile à gérer avec des GPOs.

Un simple clic droit sur Nom du domaine -> Nouveau -> Unité d’organisation.

3. Donner un nom à cette UO / OU, par exemple le nom d’un métier.

4. Ce nouveau « dossier » s’ajoute au même niveau que Users. Faire un clic droit sur la
nouvelle UO (ici INFO), Nouveau -> Utilisateur.

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

5. Proposer ensuite le mot de passe du compte en répondant aux stratégies de sécurité par
défaut.

6. Joindre le domaine avec cet utilisateur crée, en spécifiant le domaine lors de

l’authentification

Implémentations de GPO
GPO : Stratégie des mots de passe
1. Ouvrir le menu Outils, Gestion des stratégies de groupe (ou raccourci gpmc.msc).
2. Puis, dérouler la Forêt, Domaines, « nom du domaine ».
3. Clic droit et Modifier sur Default Domain Policy, cela ouvre l’Editeur de gestion des
stratégies de groupe.
4. Sélectionner Configuration ordinateur -> Configuration ordinateur -> Stratégies ->
Paramètres Windows -> Paramètres de sécurité -> Stratégies de comptes -> Stratégie
de mot de passe.

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

 5. Les différentes stratégies qui peuvent s’appliquer :
• Conserver l’historique : pour empêcher les utilisateurs d’utiliser plusieurs fois le même
mot de passe
• Durée de vie minimale et maximale du mot de passe : délai minimum entre deux
changement et expiration automatique
• Exigence de complexité : il est conseillé de mélanger majuscules, minuscules, chiffres
et caractères spéciaux
• Longueur minimale : par défaut, un mot de passe doit comporter au moins 7 caractères
6. Après l’activation ou la désactivation de ces stratégies, fermer les fenêtres et
appliquer les modifications par une commande cmd ou via la console Exécuter
gpupdate /force.
GPO : Implémenter deux autres GPOs de votre choix sur le domaine.

ENSA Marrakech © 2022 Pr. Omar ACHBAROU