Active Directory et GPO

Date Auteur/auteure Catégories
18/06/2025 Janiko A retravailler, Active Directory
Laisser un commentaire

Dans un environnement Windows, les GPO sont incontournables. GPO signifie Group Policy Object, soit en français objet de stratégie de groupe. C’est un composant central d’Active Directory dans les environnements Windows, utilisé pour gérer et appliquer des configurations sur les ordinateurs et les comptes utilisateurs d’un domaine.

Installation de base d’un Active Directory

Pour un environnement de test (de type « lab »), on peut utiliser des machines virtuelles gérées sous Hyper-V, qui permet d’avoir des machines de test avec des OS Windows utilisables pendant 6 mois, ce qui est parfait pour faire des tests. Les machines seront donc jetables, mais le délai est suffisant selon moi. Microsoft permet de télécharger des versions très récentes de ses OS.

Côté réseau, pour une installation personnelle sur le réseau de sa box internet, dans Hyper-V, l’option CommVirt semble être la meilleure. Côté puissance des VM, 4 Go de RAM et 2 cœurs sont un minimum.

A la base : la machine Active Directory

Installer le rôle Active Directory Domain Services

  • Ouvrir le Gestionnaire de serveur
  • Ajouter le rôle « Active Directory Domain Services »
  • Suivre l’assistant d’installation

Promouvoir en contrôleur de domaine

  • Après l’installation du rôle, cliquer sur « Promouvoir ce serveur en contrôleur de domaine ». Il peut y avoir des messages d’avertissement, sans conséquence dans le cas d’un environnement de test ;
  • Créer une nouvelle forêt avec un nom de domaine (ex: test.local)
  • Définr un mot de passe administrateur pour le mode de restauration

Configuration réseau

  • Configurer une IP statique pour votre serveur
  • Le serveur AD fera office de serveur DNS, donc faites-le pointer vers lui-même (127.0.0.1) comme DNS primaire
  • Côté machines clientes (VM), il faut faire pointer le DNS d’abord vers la machine Active Directory, puis vers le DNS de votre box (par exemple 192.168.0.1, ce que vous pouvez visualiser en allant sur une machine connectée directement sur le réseau et en tapant ipconfig /all dans une console (terminal).

Bonnes pratiques

Les règles de nommage vont influer fortement sur la facilité de gestion d’une infrastructure. Quoiqu’on choisisse, il faut rester homogène et consistant, et ne pas négliger certains détails comme le nom du site, des groupes ou des utilisateurs. Par exemple :

  • DC01 ou AD-Serveur-01 pour lamachine Active Directory (à moduler pour d’autres machines) ;
  • lab.local pour le domaine AD ;
  • jmartin pour l’utilisateur Julien Martin.
  • etc.

Mais ça fait quoi, au fait ?

Promouvoir une machine en serveur AD installe et configure tout un tas de choses, notamment :

1. Installation des services de base

Active Directory Domain Services (AD DS)

  • Installation du service principal d’annuaire
  • Installation des outils de gestion (ADUC, ADSI, etc.)
  • Installation du service DNS (obligatoire pour AD)

2. Création de la base de données Active Directory

Base de données NTDS.dit

  • Création du fichier de base de données dans C:\Windows\NTDS\
  • Initialisation des partitions de l’annuaire (Domain, Configuration, Schema)
  • Création des index de recherche LDAP

Fichiers de journalisation

  • Fichiers de logs pour la cohérence transactionnelle
  • Points de contrôle pour la récupération

3. Configuration DNS intégrée

Zone DNS Active Directory

  • Création de la zone DNS pour le domaine (ex: test.local)
  • Enregistrements SRV pour la localisation des services AD
  • Intégration DNS-AD pour la réplication automatique

Enregistrements critiques créés :

  • _ldap._tcp.test.local (service LDAP)
  • _kerberos._tcp.test.local (authentification)
  • _gc._tcp.test.local (catalogue global)

4. Création de la structure de l’annuaire

Unités d’organisation par défaut :

  • CN=Users (utilisateurs par défaut)
  • CN=Computers (ordinateurs du domaine)
  • CN=Domain Controllers (contrôleurs de domaine)
  • CN=Builtin (groupes système intégrés)

Comptes système :

  • Compte Administrator du domaine
  • Compte Guest (désactivé)
  • Groupes de sécurité (Domain Admins, Enterprise Admins, etc.)

5. Configuration des services réseau

Service Kerberos (KDC)

  • Centre de distribution de clés pour l’authentification
  • Configuration du service d’authentification sécurisée

Service LDAP

  • Protocole d’accès à l’annuaire (port 389)
  • LDAPS sécurisé (port 636)

Service de réplication

  • Mécanismes de synchronisation entre contrôleurs de domaine
  • Configuration de la topologie de réplication

6. Modifications système profondes

Changement d’identité de la machine

  • La machine devient membre du domaine qu’elle héberge
  • Nouveau SID (Security Identifier) de domaine
  • Configuration des politiques de sécurité locales

Services Windows modifiés/ajoutés :

  • Windows Time (synchronisation d’horloge)
  • Netlogon (authentification réseau)
  • File Replication Service ou DFS-R

7. Configuration de sécurité

Politiques de domaine par défaut :

  • Default Domain Policy (GPO racine)
  • Default Domain Controllers Policy
  • Configuration des droits utilisateurs

Certificats et cryptographie :

  • Configuration des services de certificats si nécessaire
  • Clés de chiffrement pour Kerberos

8. Intégration réseau

Enregistrement dans DNS

  • Auto-enregistrement du contrôleur de domaine
  • Mise à jour dynamique des enregistrements

Configuration DHCP (si installé)

  • Autorisation du serveur DHCP dans AD
  • Intégration avec les services d’annuaire

Vérification de l’installation

On peut vérifier une partie de l’installation.

1. Connexion au domaine

À l’écran de connexion :

  • On doit voir TEST\Administrateur ou Administrateur@test.local
  • Il faut se connecter avec le mot de passe administrateur (pas celui de sauvegarde) défini plus tôt.

2. Vérifications post-installation

Une fois connecté, dans une une invite de commandes on peut essayer : 

dcdiag
dcdiag /test:connectivity
dcdiag /test:dns
dcdiag /test:services
dcdiag /test:replications
dcdiag /test:advertising

(Diagnostic du contrôleur de domaine – doit montrer des tests réussis, même s’il peut rester quelques avertissements)

nslookup test.local

(Doit résoudre vers votre IP 192.168.1.55)

netdom query dc

(Doit afficher votre serveur comme contrôleur de domaine)

3. Interface graphique

Dans le Gestionnaire de serveur :

  • On doit maintenant voir « AD DS » dans le panneau de gauche
  • Outils > « Utilisateurs et ordinateurs Active Directory » pour voir le domaine

Vérification de la structure :

  • Domaine test.local
  • Unités d’organisation : Users, Computers, Domain Controllers

4. Test de fonctionnement

En créant un utilisateur de test :

  • Utilisateurs et ordinateurs AD > Clic droit sur « Users »
  • « Nouveau » > « Utilisateur »
  • Nom : testuser, Mot de passe : Test123!

Joindre un AD depuis une VM

On va utiliser la méthode de l’administrateur AD qui va aller sur la machine. Pour cela, en tant que administrateur@lab.local sur la machine finale. Il faut aussi choisir le bon domaine au préalable (lab.local, test.local, etc.).

A la fin des opérations de jonction, un redémarrage sera nécessaire. C’est seulement après ce redémarrage que la jonction sera pleinement effective. Dans la vraie vie, on créera un utilisateur spécifique pour cela (non administrateur du domaine mais ayant le droit « Ajouter des stations de travail au domaine »).

Exemple de GPO

Outil officiel Microsoft : Group Policy Search (GPS)

Site : https://gpsearch.azurewebsites.net/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *