TP 3 : Contrôleur en lecture seule

1. Installation et configuration du serveur

Après avoir créé une seconde VM pour le nouveau serveur, vous pouvez commencer l’installation d’un Windows
Server.

Les méthodes de configurations restent identiques au premier serveur, seuls quelques éléments doivent changer,
comme le nom et l’adresse IP

Pensez donc au nom, à la configuration réseau, au pare-feu et à l’installation des pilotes VM.

Une fois la configuration de base terminée, vous pouvez procéder à l’installation du rôle AD DS.
 2. Installation de l’AD et configuration

Une fois le rôle installé, vous devez également passer ce serveur en contrôleur de domaine.

La différence avec le premier TP se situe à ce moment. Au lieu de créer une nouvelle forêt, nous allons « ajouter un
contrôleur de domaine à un domaine existant ». Nous n’allons donc ni créer un nouveau domaine ou sous-domaine,
ni une nouvelle forêt. Nous allons simplement ajouter un contrôleur à celui-ci déjà existant, sur un domaine
précédemment créé.

Vous devez donc ajouter le nom de votre domaine, puis cliquez sur sélectionner.
Vous aurez alors une fenêtre de sécurité qui va s’ouvrir, celle-ci demande l’authentification pour pouvoir accéder au
domaine déjà créé. Si vous mettez uniquement « administrateur » en utilisateur, Windows tentera de se connecter
en tant qu’admin sur le poste actuel. Or, vous voulez vous authentifier sur le domaine, la méthode consiste à ajouter
« nom_de_domaine\utilisateur ».

Vous aurez alors la possibilité de sélectionner le domaine proposé.

Vous retrouvez alors cette page, une fois que tout est bien pris en compte.

Sur la page suivante, pensez à cocher la case « contrôleur de domaine en lecture seule ». Cette manipulation nous
permet de créer un serveur qui servira uniquement d’authentifiant, rien ne sera écrit sur celui-ci, ce qui permet une
meilleure sécurisation de nos services. Seuls les comptes autorisés à répliquer les mots de passes sur le serveur
RODC pour stocker les mots de passes sur celui-ci.
Vous aurez ensuite les différentes groupes/comptes qui seront autorisés ou non à répliquer les mots de passes sur le
RODC. Vous pouvez laisser par défaut, ou modifier selon vos besoins.

Choisissez ensuite à partir de quel contrôleur seront répliquées les données.

 3. Test et vérifications

Vous pouvez alors vous logger sur l’un de vos postes du domaine, et vérifier si la connexion se fait via le serveur
RODC.

Il est possible de vérifier quelles sont les machines et utilisateurs connectés ou ceux qui stockent leur MDP sur le
RODC. Pour cela, rendez-vous sur l’outil « utilisateurs et ordinateurs AD ». Sélectionnez ensuite votre serveur RODC.
Clic droit et « propriétés ».

Sélectionnez l’onglet « stratégie de réplication de mot de passe », vous verrez alors les groupes autorisés ou refusés
à stocker les mots de passes. Cliquez sur « avancé ».
Vous pouvez alors voir les comptes et ordinateurs authentifiés. Nous voyons que notre PC est bien présent dans la
base du RODC.
 4. Forcer le stockage du MDP

Dans le cas où nous voudrions préremplir le mot de passe d’un utilisateur directement sur le RODC, afin d’éviter de
le faire sur une première connexion, une méthode est disponible sur l’outil « utilisateurs et ordinateurs Active
Directory ».

Pour cela, il faut déjà autoriser nos utilisateurs via le groupe fait exprès « groupe de réplication dont le mot de passe
RODC est autorisé ». Vous pouvez également interdire la réplication dans le groupe prévu à cet effet. Double cliquez
dessus, sélectionnez l’onglet « membre » puis cliquez sur « ajouter ».
Ajoutez ensuite le ou les utilisateurs de votre choix. Vous pouvez taper les premières lettres du compte puis cliquer
sur « vérifier les noms » pour que Windows l’insère automatiquement.

Lorsque terminé, vous devez retourner sur votre contrôleur RODC et cliquez sur « propriétés », « stratégie de
réplication de mot de passe » et « avancé », comme fait précédemment afin de retrouver cette fenêtre ci-dessous.
Cliquez ensuite sur la case « préremplir les mots de passes » afin d’afficher une nouvelle fenêtre. Puis sélectionnez
encore le ou les utilisateurs de votre choix.

Une invite de confirmation s’ouvre afin de demander validation pour le compte. Cliquez sur oui si vous êtes sûr de
valider celui-ci.
Si tout va bien, aucune erreur ne s’affiche. Vous pourriez éventuellement avoir une erreur si vous n’avez pas mis
l’utilisateur dans le groupe d’autorisation de réplication RODC, et si celui-ci est toujours connecté au moment de son
ajout dans le groupe.

L’utilisateur apparaît maintenant dans les comptes ayant leur mot de passe stocké sur RODC.