Module 1

Installation et configuration
de contrôleurs de domaine
Vue d’ensemble du module

• Vue d’ensemble de AD DS
• Vue d’ensemble des contrôleurs de domaine AD DS
• Déploiement d’un contrôleur de domaine
Leçon 1 : Vue d’ensemble d’AD DS

• Vue d’ensemble de AD DS
• Qu’est-ce que le schéma AD DS ?
• Qu’est-ce qu’une forêt AD DS ?
• Qu’est-ce qu’un domaine AD DS ?
• Que sont les UO ?
• Nouveautés d’AD DS dans Windows Server 2016
• Qu’est-ce qu’AD Azure ?
• Vue d’ensemble des outils d’administration AD DS
• Démonstration : Utiliser le Centre d’administration Active Directory pour
administrer et gérer AD DS
Leçon 1 : Vue d’ensemble d’AD DS

Active Directory Domain Services (AD DS) est un service de gestion des identités
et des accès développés par Microsoft.

AD DS permet de créer, gérer et sécuriser les objets d'un réseau, tels que les
utilisateurs, les groupes, les ordinateurs et les ressources partagées. Il fournit
également des fonctionnalités de sécurité, d'authentification et d'autorisation
pour contrôler l'accès aux ressources du réseau.

AD DS est largement utilisé dans les environnements d'entreprise pour simplifier

la gestion des utilisateurs, des groupes et des ressources, et pour fournir un
contrôle d'accès sécurisé aux systèmes et aux données.

Il joue un rôle clé dans l'authentification des utilisateurs, l'autorisation des accès
et la gestion des politiques de sécurité dans un réseau Windows.
Vue d’ensemble d’AD DS

AD DS est constitué de composants logiques et

physiques
Composants logiques Composants physiques
• Cloisons • Les contrôleurs de
• Schéma domaine
• Domaines • Magasins de données
• Arborescences de • Serveurs de catalogue
domaine global
• Forêts • RODC
• Sites
• Unités d’organisation
• Conteneurs
Vue d’ensemble d’AD DS

• Cloisons : Les cloisons (ou partitions) dans Active Directory permettent de

diviser logiquement l'annuaire en sous-ensembles distincts. Chaque cloison
a sa propre base de données et peut être administrée de manière
indépendante. Cela permet de séparer les données et de déléguer la
gestion à des équipes spécifiques.

• Schéma : Le schéma Active Directory définit la structure et les types d'objets

qui peuvent être stockés dans l'annuaire. Il indique quels attributs peuvent
être associés à chaque type d'objet et quelles sont les relations entre les
objets. Le schéma est globalement partagé dans tout l'environnement
Active Directory.

• Domaines : Un domaine Active Directory est une unité d'organisation

logique qui regroupe des objets, tels que des utilisateurs, des groupes et
des ordinateurs, au sein d'un réseau. Les domaines permettent de gérer
l'authentification, l'autorisation et la gestion des ressources au sein d'un
ensemble d'objets.
Vue d’ensemble d’AD DS

• Arborescences de domaine : Une arborescence de domaine est une

hiérarchie de domaines liés entre eux. Elle est constituée d'un domaine
racine et de domaines enfants qui sont connectés les uns aux autres.
L'arborescence de domaine permet de partager des informations et des
politiques entre les domaines tout en conservant une gestion indépendante
de chaque domaine.

• Forêts : Une forêt Active Directory est un ensemble d'arborescences de

domaines qui partagent une structure de noms commune et une
infrastructure de services d'annuaire. Les forêts permettent de regrouper
plusieurs arborescences de domaine tout en maintenant une relation de
confiance entre elles.

• Sites : Un site Active Directory est une représentation logique d'un ou

plusieurs réseaux physiques. Les sites permettent d'optimiser la réplication
des données et la gestion des services d'annuaire en fonction de la
connectivité réseau. Ils sont utilisés pour définir des paramètres de
réplication, de disponibilité des services et de localisation des ressources.
Vue d’ensemble d’AD DS

• Unités d'organisation (OU) : Une unité d'organisation est un conteneur dans

lequel vous pouvez organiser des objets Active Directory tels que des
utilisateurs, des groupes et des ordinateurs. Les OUs permettent de
structurer et de gérer les objets en fonction de la structure de votre
organisation et de déléguer les autorisations de gestion à des
administrateurs spécifiques.

• Conteneurs : Les conteneurs sont des objets de base dans Active Directory
qui servent à regrouper d'autres objets. Ils peuvent représenter des
domaines, des unités d'organisation, des sites ou d'autres types d'objets.
Les conteneurs sont utilisés pour organiser et gérer les objets dans la
structure hiérarchique d'Active Directory.
Qu’est-ce que le schéma AD DS ?
Qu’est-ce qu’une forêt AD DS ?

Racine de forêt
Racine domaine
d’arbores
cence adatum.com
domaine

fabrikam.com

atl.adatum.com
Domaine enfant
Qu’est-ce qu’un domaine AD DS ?
• AD DS nécessite un ou plusieurs contrôleurs de domaine
• Tous les contrôleurs de domaine détiennent une copie de la base
de données de domaine, qui est continuellement synchronisée
• Le domaine est le contexte dans lequel les comptes d’utilisateurs,
les comptes d’ordinateurs et les groupes sont créés
• Le nom de domaine est une limite de
réplication
• Le domaine est un centre administratif
pour la configuration et la gestion des
objets
Utilisateurs
• Tout contrôleur de domaine peut
authentifier n’importe quelles infos AD DS
d’identification, partout dans le domaine
• Le domaine donne l’autorisation

Ordinateurs Groupes
Que sont les UO ?
• Utilisez des conteneurs pour regrouper les objets dans un domaine :
• Vous ne pouvez pas appliquer les GPO aux conteneurs
• Les conteneurs sont utilisés pour les objets du système et en tant que
valeur par défaut pour les nouveaux objets

• Créez des UO pour :

• Configurer les objets en leur attribuant les GPO
• Déléguer les autorisations administratives
Nouveautés d’AD DS dans Windows Server 2016
• PAM (Privileged Access Management) est un concept de gestion des accès
privilégiés qui vise à sécuriser les comptes à haut niveau d'accès dans un
environnement informatique. Il s'agit d'un ensemble de bonnes pratiques, de
processus et d'outils qui permettent de contrôler, de surveiller et de gérer les
activités des utilisateurs disposant de privilèges élevés. L'objectif est de réduire
les risques de compromission et de limiter les abus de privilèges.

• Azure AD Join est un processus qui permet de lier un appareil Windows 10 à

un annuaire Azure Active Directory (Azure AD). Lorsqu'un appareil est joint à
Azure AD, les utilisateurs peuvent se connecter à cet appareil en utilisant leurs
identifiants Azure AD, ce qui facilite l'authentification et l'accès aux ressources
basées sur le cloud.

• Microsoft Passport est une fonctionnalité de sécurité de Windows 10 qui vise à

offrir une méthode d'authentification sans mot de passe. Elle utilise la
biométrie (comme la reconnaissance faciale ou l'empreinte digitale) ou des
dispositifs de confiance (tels que des clés de sécurité USB) pour authentifier les
utilisateurs. Microsoft Passport est conçu pour offrir une expérience
d'authentification plus simple, plus sécurisée et plus pratique que les mots de
passe traditionnels.
Qu’est-ce qu’AD Azure ?

Exchange SharePoint
Online Online

Skype
Office 365 Entreprise

Azure
AD

Internet
Service Azure App

Sur place Applications

AD DS connectées à Internet
Vue d’ensemble des outils d’administration AD DS

La gestion d’AD DS est généralement effectuée à l’aide des outils suivants :

• Centre d’administration Active Directory
• Utilisateurs et ordinateurs Active Directory
• Sites et services Active Directory
• Domaines et approbations Active Directory
• Schéma de composant logiciel enfichable Active Directory
• Module Active Directory pour Windows PowerShell
Démonstration : Utiliser le Centre d’administration
Active Directory pour administrer et gérer AD DS

Dans cette démonstration, vous apprendrez à :

• Naviguez dans le Centre d’administration Active Directory.
• Effectuer une tâche administrative au sein du Centre
d’administration Active Directory
• Créer des objets
• Voir tous les attributs de l’objet
• Utilisez la visionneuse Historique Windows PowerShell dans le
Centre d’administration Active Directory
Leçon 2 : Vue d’ensemble des contrôleurs de
domaine AD DS

• Qu’est-ce qu’un contrôleur de domaine ?

• Qu’est-ce qu’un catalogue global ?
• Vue d’ensemble de l’enregistrement SRV des
contrôleurs de domaine
• Démonstration : Affichage des enregistrements
SRV dans DNS
• Processus de connexion AD DS
• Quels sont les maîtres d’opérations ?
• Transférer et prise des rôles
Qu’est-ce qu’un contrôleur de domaine ?

Contrôleurs de domaine :
• Sont des serveurs qui hébergent la base de données
AD DS (Ntds.dit) et SYSVOL
• Hébergent le service d’authentification Kerberos et les
services KDC pour effectuer une authentification
• Avoir les bonnes pratiques pour :
• La disponibilité :
• Utilisez au moins deux contrôleurs de domaine dans
un domaine
• La sécurité :
• Utilisez un RODC ou BitLocker
Qu’est-ce qu’un catalogue global ?
Le catalogue global :
Schéma
• Héberge un jeu d’attributs partiel
Configuration pour d’autres domaines de la forêt
Schéma • Prend en charge les requêtes pour
Domaine A
des objets dans la forêt
Configuration

Schéma
Domaine A

Configuration
Domaine B

Domaine B
Serveur de catalogue global Schéma

Configuration

Domaine B
AD DS
Vue d’ensemble du contrôleur de domaine des
enregistrements SRV

• Les clients trouvent les contrôleurs de domaine par le

biais de la recherche DNS
• Les contrôleurs de domaine enregistrent
dynamiquement leurs adresses avec DNS
• Les résultats des requêtes DNS pour les contrôleurs de
domaine sont retournés dans cet ordre :
1. Une liste des contrôleurs de domaine du même site
que le client.
2. Une liste des contrôleurs de domaine dans le
prochain site le plus proche, si aucun n’est disponible
sur le même site.
3. Une liste aléatoire de contrôleurs de domaine sur
d’autres sites, si aucun contrôleur de domaine n’est
disponible sur le site le plus proche.
Démonstration : Affichage des enregistrements
SRV dans DNS

Dans cette démonstration, vous allez apprendre

comment utiliser le Gestionnaire DNS pour afficher
les enregistrements SRV
Processus de connexion AD DS

1. Le compte de l’utilisateur est

authentifié auprès du contrôleur de
domaine.
2. Le contrôleur de domaine renvoie Contrôleur
un TGT au client. de domaine

3. Le client utilise le TGT pour

demander l’accès au poste de
travail.
4. Le contrôleur de domaine accorde
l’accès à la station de travail.
5. Le client utilise le TGT pour
demander l’accès au serveur. Station de travail Serveur
6. Le contrôleur de domaine rétablit
l’accès au serveur.
Que sont les contrôleurs d’opérations ?

• Dans le modèle de réplication multimaître, certaines

opérations doivent être des opérations à maître unique
• De nombreux termes sont utilisés pour les opérations à
maître unique dans AD DS, notamment :
• Maître d’opérations (ou rôle maître d’opérations)
• Rôle de maître unique
• Opérations à maître unique flottant (FMSO)

Les cinq FSMO :

Forêt : Domaine :
• Maître d’opérations des noms • Maître RID
de domaine • Maître d’infrastructure
• Contrôleur de schéma • Maître d’émulateur de
contrôleur de domaine principal
Le transfert et la prise de rôles

• Le transfert est :
• Planifié
• Réalisé avec les dernières données
• Effectué grâce à des composants logiciels
enfichables Windows PowerShell ou ntdsutil.exe
• La prise de rôle est :
• Non planifiée et utilisée en dernier recours
• Faite avec des données incomplètes ou
obsolètes
• Effectuée grâce à Windows PowerShell ou
ntdsutil.exe
Leçon 3 : Déploiement d’un contrôleur de domaine

• Installation d’un contrôleur de domaine depuis le

Gestionnaire de serveur
• Installation d’un contrôleur de domaine sur une
installation minimale de Windows Server 2016
• Mise à niveau d’un contrôleur de domaine
• Installation d’un contrôleur de domaine en
l’installant depuis un support
• Clonage des contrôleurs de domaine
• Démonstration : Le clonage d’un contrôleur de
domaine
• Les bonnes pratiques pour la virtualisation des
contrôleurs de domaine
Installer un contrôleur de domaine depuis le
Gestionnaire de serveur
La section Configuration du déploiement de l’Assistant
Configuration des services de domaine Active Directory
Installer un contrôleur de domaine sur une
installation Server Core de Windows Server 2016
• Utilisation du Gestionnaire de serveur :
1. Installation du rôle AD DS.
2. Exécuter l’Assistant Configuration des services de
domaine Active Directory.
• Utilisation de Windows PowerShell :
1. Installez les fichiers en exécutant la commande
Install-WindowsFeature AD-Domain-Services.
2. Installer le rôle de contrôleur de domaine en exécutant la
commande Install-ADDSDomainController.
Mise à niveau d’un contrôleur de domaine
Options de mise à niveau d’AD DS pour Windows Server 2016 :
• Effectuer une mise à niveau sur place de Windows Server 2008 à
Windows Server 2016.
• Avantage : sauf pour les contrôles préalables, tous les fichiers et
programmes restent en place et aucun travail supplémentaire
n’est nécessaire
• Risque : Il peut laisser des fichiers obsolètes et des bibliothèques
de liaisons dynamiques (DLL)

• Introduire un nouveau serveur exécutant Windows Server 2016 dans

le domaine, puis le promouvoir afin qu’il soit contrôleur de domaine
(cette option est généralement préférée) :
• Avantage : le nouveau serveur n’a pas les fichiers et paramètres
obsolètes
• Risque : la migration des fichiers et des paramètres des
administrateurs peut demander un travail supplémentaire
Installer un contrôleur de domaine en installant des
médias
La section Installation à partir d’un support de la page
Options supplémentaires de l’Assistant de configuration
des services de domaine Active Directory
Cloner des contrôleurs de domaine

• Vous pouvez cloner des contrôleurs de domaine pour :

• Un déploiement rapide
• Les clouds privés
• Les stratégies de récupération
• Pour cloner un contrôleur de domaine source :
• Ajouter le contrôleur de domaine au groupe des
Contrôleurs de domaine clonables
• Vérifier la compatibilité des applications et des services
• Créer un fichier DCCloneConfig.xml
• Exporter une fois, puis créer autant de clones que
nécessaire
• Démarrer les clones
Cloner des contrôleurs de domaine
Ordinateur virtuel
Démarrage
identificateur de génération existe-t-il ?
Non Non
Oui DCCloneConfig Normale
existe ? Démarrage
Génération d’ordinateur virtuel Oui
Non
identifiant changé ?

Oui Oui Renommer

Non Protections de DDCloneConfig
Renommer virtualisation
DDCloneConfig déclenchées
Oui Redémarrer
Normale DSRM
Démarrage DCCloneConfig
Non Non
existe ?
Oui
Dupliquer IP Normale
Adresse ? Démarrage
Échec Clone Oui

Redémarrer Réussi
DSRM Redémarrer
Redémarrer DSRM
Démonstration : Cloner un contrôleur de domaine

Dans cette démonstration, vous apprendrez à :

• Préparer un contrôleur de domaine source à cloner
• Exporter l’ordinateur virtuel source
• Créer et démarrer le contrôleur de domaine cloné
Meilleures pratiques pour la virtualisation du
contrôleur de domaine

• Éviter les points de défaillance uniques

• Utiliser les services de temps
• Utiliser la technologie de virtualisation avec la fonction d’identification
de génération d’ordinateur virtuel
• Utiliser Windows Server 2012 ou une version ultérieure en tant
qu’invités de virtualisation
• Éviter ou désactiver les points de contrôle
• Penser à améliorer la sécurité
• Envisager de tirer profit du clonage dans votre déploiement ou dans
votre stratégie de récupération
• Lancer au maximum 10 nouveaux clones en même temps
• Penser à utiliser les technologies de virtualisation qui permettent aux
ordinateurs virtuels invités de se déplacer entre les sites
• Ajuster votre stratégie de nommage pour autoriser les clones de
contrôleurs de domaine
Atelier pratique : Déploiement et administration
d’AD DS
• Exercice 1 : Déploiement d’AD DS
• Exercice 2 : Déploiement de contrôleurs de domaine
en procédant à un clonage du contrôleur de domaine
• Exercice 3 : Administration AD DS

Informations d’ouverture de session

Ordinateurs virtuels : 22742A-LON-DC1
22742A-LON-DC2
22742A-LON-SVR1
Nom d’utilisateur : Adatum\Administrator
Mot de passe : Pa$$w0rd

Durée approximative : 45 minutes

Scénario de l’atelier pratique

Vous êtes administrateur informatique à A. Datum

Corporation. La société étend ses activités et possède
plusieurs nouveaux emplacements. L’équipe
d’administration AD DS évalue actuellement les
méthodes disponibles dans Windows Server 2016
pour un déploiement rapide et à distance du
contrôleur de domaine. En outre, l’équipe cherche un
moyen d’automatiser certaines tâches administratives
AD DS. L’équipe veut un déploiement rapide et
transparent des nouveaux contrôleurs de domaine
pour les nouveaux emplacements et elle veut faire la
promotion de serveurs auprès de contrôleurs de
domaine à partir d’un emplacement central.
Contrôle des acquis et éléments à retenir

• Questions de contrôle des acquis

• Problèmes courants et conseils de résolution des
problèmes
Active Directory

L’Active Directory est un annuaire LDAP (Lightweight Directory Access

Protocol est à l'origine un protocole permettant l'interrogation et la
modification des services d'annuaire.) pour les systèmes
d’exploitation Windows, le tout étant créé par Microsoft.

Cet annuaire contient différents objets, de différents types (utilisateurs,

ordinateurs, etc.), l’objectif étant de centraliser deux fonctionnalités
essentielles : l’identification et l’authentification au sein d’un système
d’information.
Les intérêts d’un annuaire

L’importante présence
de l’Active Directory
dans les entreprises
suffit pour se
convaincre de ses
intérêts, mais alors,
quels sont ces intérêts ?
Les intérêts d’un annuaire

• Administration centralisée et simplifiée : la gestion des objets, notamment des

comptes utilisateurs et ordinateurs est simplifiée, car tout est centralisé dans l’annuaire
Active Directory. De plus, on peut s’appuyer sur cet annuaire pour de nombreuses tâches
annexes comme le déploiement de stratégies de groupe sur ces objets .
• Unifier l’authentification : un utilisateur authentifié sur une machine, elle-même
authentifiée, pourra accéder aux ressources stockées sur d’autres serveurs ou
ordinateurs enregistrés dans l’annuaire (à condition d’avoir les autorisations nécessaires).
Ainsi, une authentification permettra d’accéder à tout un système d’information par la
suite, surtout que de nombreuses applications sont capables de s’appuyer sur l’Active
Directory pour l’authentification. Un seul compte peut permettre un accès à tout le
système d’information, ce qui est fortement intéressant pour les collaborateurs.
• Identifier les objets sur le réseau : chaque objet enregistré dans l’annuaire est unique,
ce qui permet d’identifier facilement un objet sur le réseau et de le retrouver ensuite
dans l’annuaire.
• Référencer les utilisateurs et les ordinateurs : l’annuaire s’apparente à une énorme
base de données qui référence les utilisateurs, les groupes et les ordinateurs d’une
entreprise. On s’appuie sur cette base de données pour réaliser de nombreuses
opérations : authentification, identification, stratégie de groupe, déploiement de
logiciels, etc.
La structure de l’Active Directory

➢Les classes et les attributs :

Au sein de l’annuaire Active Directory, il y a différents types d’objets, comme par exemple
les utilisateurs, les ordinateurs, les serveurs, les unités d’organisation ou encore les
groupes. En fait, ces objets correspondent à des classes, c’est-à-dire des objets disposant
des mêmes attributs.

De ce fait, un objet ordinateur sera une instance d’un objet de la classe « Ordinateur »
avec des valeurs spécifiques à l’objet concerné.

Certains objets peuvent être des containers d’autres objets, ainsi, les groupes permettront
de contenir plusieurs objets de types utilisateurs afin de les regrouper et de simplifier
l’administration. Par ailleurs, les unités d’organisation sont des containers d’objets afin de
faciliter l’organisation de l’annuaire et permettre une organisation avec plusieurs niveaux.

Sans les unités d’organisations, l’annuaire ne pourrait pas être trié correctement et
l’administration serait moins efficace. Comparez les unités d’organisations à des dossiers
qui permettent de ranger les objets à l’intérieur, si cela est plus compréhensible pour vous.
La structure de l’Active Directory

➢Le schéma :
Par défaut, tout annuaire Active Directory dispose de classes prédéfinies ayant chacune
une liste d’attributs bien spécifique, et propre à tout annuaire, cela est défini grâce à un
schéma.

Le schéma contient la définition de toutes les classes et de tous les attributs disponibles et
autorisés au sein de votre annuaire. Il est à noter que le schéma est évolutif, le modèle de
base n’est pas figé et peut évoluer selon vos besoins, voir même pour répondre aux
prérequis de certaines applications.

Par exemple, l’application de messagerie Microsoft Exchange effectue des modifications

au schéma lors de son installation.

Les modifications du schéma doivent être réalisées avec précaution, car l’impact est
important et se ressentira sur toute la classe d’objets concernée. Pour preuve, le schéma
est protégé et les modifications contrôlées, puisque seuls les membres du groupe «
Administrateurs du schéma » peuvent, par défaut, effectuer des modifications.
La structure de l’Active Directory

➢Le schéma :
La structure de l’Active Directory

➢Les partitions d’annuaire :

La base de données Active Directory est divisée de façon logique en trois partitions de
répertoire (appelé « Naming Context »). Ces trois partitions sont la partition de schéma, la
partition de configuration, et la partition de domaine.

• La partition de schéma : cette partition contient l'ensemble des définitions des classes
et attributs d’objets, qu’il est possible de créer au sein de l'annuaire Active Directory. Cette
partition est unique au sein d’une forêt.

• La partition de configuration : cette partition contient la topologie de la forêt

(informations sur les domaines, les liens entre les contrôleurs de domaines, les sites, etc.).
Cette partition est unique au sein d’une forêt.

• La partition de domaine : cette partition contient les informations de tous les objets
d'un domaine (ordinateur, groupe, utilisateur, etc.). Cette partition est unique au sein d’un
domaine, il y aura donc autant de partitions de domaine qu’il y a de domaines.