L’Active Directory pour débutants

L’Active Directory, c’est quoi ? 

L’Active Directory est un annuaire référençant les personnes (nom, prénom, numéro de téléphone, …) mais également toute sorte d’objet (serveurs, imprimantes, …).

Il permet de recenser toutes les informations concernant le réseau, que ce soient les utilisateurs, les machines ou les applications. Il constitue ainsi le noyau central de toute l’architecture réseau et a pour vocation de permettre à un utilisateur de retrouver et d’accéder à n’importe quelle ressource identifiée par ce service. 

Active Directory est donc un outil destiné aux utilisateurs mais constitue également un outil d’administration et de gestion du réseau. Il fournit des outils permettant de gérer la répartition de l’annuaire sur le réseau, sa duplication, la sécurisation et le partitionnement de l’annuaire de l’entreprise.

La structure d’Active Directory lui permet de gérer de façon centralisée des réseaux pouvant aller de quelques ordinateurs à des réseaux d’entreprises répartis sur de multiples sites.

Préparatif

Un laboratoire vaut mieux qu’un long discours. Nous allons en apprendre d’avantage en nous amusant.

Vous aurez besoin d’une machine Windows Server 2008 R2 ainsi que d’une machine cliente (ici un Windows Seven).

Le serveur aura 2 cartes réseaux, une vers Internet et l’autre vers le réseau local.
Celle vers Internet sera en DHCP (chez moi 192.168.1.X) et celle concernant le réseau local sera en statique (10.1.X.X,  X = 1 donc l’adresse du serveur 2008 sera 10.1.1.1/24).

Le domaine sera Namurdomain.be.

Mise en pratique

Après avoir installé notre serveur, nous allons configurer les cartes réseaux comme indiqué ci-dessus:

1 - Les cartes réseauxNous désactivons l’IPv6 sur la carte vers Internet:

2 -  Désactiver IPv6On fait pareil pour celle du réseau local.

Nous devons à présent changer le nom de la machine ainsi que préciser le nom de domaine. Un redémarrage sera fait pour que les changements soient pris en compte.

4 - Nom de la machine + Domaine

5 - Redémarrage

Attention de bien vérifier l’heure de la machine, elle doit être correcte sinon les mises-à-jour entre Domain Controller ne se feront pas (si nous décidons d’avoir plusieurs serveurs) !

Lorsque la machine est redémarrée, nous allons réaliser un dcpromo (installe et supprime les Services de domaine Active Directory (AD DS).

6 - dcpromo

Une fenêtre s’ouvre, nous procédons comme indiqué sur les Screenshots:

7 - dcpromo 1 8 - dcpromo 2

Nous allons créer un nouveau domaine dans une nouvelle forêtstructure hiérarchique d’un ou plusieurs domaines indépendants (ensemble de tous les sous domaines Active Directory) ):

9 - dcpromo 3 10 - dcpromo 4 11 - dcpromo 5 12 - dcpromo 6

Un serveur DNS est indispensable, il est présélectionnée:

13 - dcpromo 7 14 - dcpromo 8 15 - dcpromo 9 16 - dcpromo 10

Nous choisissons un mot de passe administrateur pour restaurer les services si besoin:17 - dcpromo 11 18 - dcpromo 12

Nous devons redémarrer à la fin de l’installation, nous cochons donc la case prévue à cet effet:

19 - dcpromo 13Lorsque que l’ordinateur a redémarré, nous allons ouvrir une session (dans le domaine) :

20 - Ouverture de session

Nous allons devoir rentrer le serveur DNS utilisé pour les 2 cartes (lorsque l’on installe le serveur DNS, les champs sont effacés). Nous faisons la même manipulation pour les 2 cartes:

21 - Serveur DNS

Nous devons maintenant configurer le serveur DNS:

22 - Configuration du serveur DNS

Nous ajoutons une nouvelle zone de recherche inversée:

23 - Ajout d'une zône

24 - Assistant Nouvelle zone 25 - Assistant Nouvelle zone 2 26 - Assistant Nouvelle zone 3 27 - Assistant Nouvelle zone 4 28 - Assistant Nouvelle zone 5 29 - Assistant Nouvelle zone 6 30 - Assitant Nouvelle zone 7

Nous nous rendons maintenant dans la zone de recherche directe. Un petit détail et le tour est joué:

31 - Gestionnaire DNS 32 - Gestionnaire DNS 2

Voilà, notre machine est à présent domain controller du domaine Namurdomain.be.

Il faudra attendre 2 ou 3 minutes avant que le DNS soit opérationnel.
Après cette petite attente, un nslookup permet de vérifier que le DNS est bien configuré comme il faut. Il faut une réponse de ce type :

33 - nslookup

Nous installons la machine Seven et lorsque cela est fait on peut joindre notre Seven au domaine. Avant de le faire, on s’assure d’abord que l’IP est bien 10.1.1.4/24 avec comme passerelle 10.1.1.1 et DNS 10.1.1.1.

Nous faisons   un ping et un nslookup pour s’assurer qu’on arrive bien à joindre le serveur.

On peut aussi désactiver IPv6 et surtout n’oublions pas de renommer la machine en même temps que nous la joignons au domaine :

34 - Machine cliente 35 - Joindre le domaine 36 - Bienvenue

On pourrait aussi ouvrir la session en utilisant le compte Administrateur mais le mieux serait d’avoir un utilisateur et donc il va falloir en créer un.

Avant ça, nous allons permettre aux utilisateurs d’avoir un mot de passe non complexe. Chipotons au GPO:

37 - GPO

38 - GPO 2 39 - GPO 3 40 - GPO 4 41 - GPO 5

Une fois que la GPO est modifiée, il faut faire un GPUpdate (pour ça démarrer > executer > cmd) et ensuite :

42 - GPUpdate

Maintenant on peut créer notre utilisateur « toto » avec comme mot de passe « tata ».

43 - Utilisateurs et Ordinateurs AD

44 - Utilisateurs et Ordinateurs AD 2 45 - Nouvel Objet - Utilisateur 46 - Nouvel Objet - Utilisateur 2 47 - Nouvel Objet - Utilisateur 3 48 - Utilisateurs et Ordinateurs AD FIN

Et maintenant, nous nous connectons au Seven avec l’utilisateur toto.

49 - Ouverture de session toto 50 - Bureau toto

Actuellement toto ne peut pas se connecter sur le Domain Controller. Pour y parvenir, nous allons créer un groupe et y mettre les personnes autorisées à se loguer sur le Domain Controller. Appelons le groupe dc_connect (ceci est un exemple, vous pouvez l’appeler comme vous voulez).

On se rend dans « Utilisateurs et Ordinateurs Active Directory » :

10 - dcpromo 4 51 - Groupe dc_connect 52 - Groupe dc_connect 2 53 - Groupe dc_connect 3 54 - Groupe dc_connect 4

Et maintenant on va modifier la GPO du Domain Controller afin de permettre au GROUPE « dc_connect » de se loguer sur lui-même. On se rend donc dans « Gestion stratégie de groupe » :

55 - Gestion de stratégie de groupe 56 - Editeur de gestion des stratégies de groupe 57 - Propriétés de Permettre l'ouverture d'une session locale 58 - Propriétés de Permettre l'ouverture d'une session locale 2 59 - Propriétés de Permettre l'ouverture d'une session locale 3 60 - Propriétés de Permettre l'ouverture d'une session locale 4 61 - Propriétés de Permettre l'ouverture d'une session locale 5

Voilà maintenant il faut mettre à jour la GPO (démarrer > Executer > cmd) via un gpupdate :

62 - gpupdate

Et voilà, maintenant tous les membres du GROUPE « dc_connect » pourront se loguer sur le DC !

63 - Ouverture de session sur le DC 64 - Bureau toto

Et voilà qui est fait…