Active Directory : Un tutoriel pas à pas mis à jour en 2023

What is Active Directory? A step-by-step tutorial Updated 2023

What is Active Directory? A step-by-step tutorial Updated 2023

En raison de la complexité croissante des ressources réseau, les services de répertoire sont devenus de plus en plus importants pour la gestion de l’infrastructure informatique.

Aucun service de répertoire n’a une renommée plus grande qu’Active Directory. Le service de répertoire de Microsoft s’est imposé comme un outil essentiel pour les administrateurs réseau.

Dans ce tutoriel sur Active Directory, nous allons voir ce qu’est Active Directory, comment l’utiliser, ainsi que des outils liés à Active Directory tels que SolarWinds Access Rights Manager et ManageEngine AD360.

Qu’est-ce qu’Active Directory ?

Capture d'écran du tableau de bord des utilisateurs et des ordinateurs AD

Active Directory est un service de répertoire ou un conteneur qui stocke des objets de données sur votre réseau local. Le service enregistre les données sur les utilisateurs, les appareils, les applications, les groupes et les appareils dans une structure hiérarchique.

La structure des données permet de trouver les détails des ressources connectées au réseau à partir d’un seul endroit. En substance, Active Directory agit comme un annuaire téléphonique pour votre réseau, ce qui vous permet de rechercher et de gérer facilement les appareils.

Que fait Active Directory ?

Il existe de nombreuses raisons pour lesquelles les entreprises utilisent des services de répertoire comme Active Directory. La principale raison est la commodité. Active Directory permet aux utilisateurs de se connecter et de gérer diverses ressources depuis un seul emplacement. Les informations d’identification de connexion sont unifiées, ce qui facilite la gestion de plusieurs appareils sans avoir à entrer les détails du compte pour accéder à chaque machine individuelle.

Comment configurer Active Directory (avec RSAT)

Vue des fonctionnalités de Windows

Pour commencer, vous devez vous assurer d’avoir Windows Professionnel ou Windows Entreprise installé, sinon vous ne pourrez pas installer les Outils d’administration de serveur à distance (RSAT). Suivez ensuite les étapes suivantes :

Pour Windows 10 Version 1809 et Windows 11 :

  1. Cliquez avec le bouton droit de la souris sur le bouton Démarrer, puis allez dans Paramètres > Applications > Fonctionnalités facultatives > Ajouter une fonctionnalité.
  2. Sélectionnez ensuite “RSAT: Service des domaines Active Directory et Outils de répertoire léger”.
  3. Enfin, sélectionnez “Installer”, puis allez dans “Démarrer > Outils d’administration Windows” pour accéder à Active Directory une fois l’installation terminée.

Pour Windows 8 (et Windows 10 Version 1803) :

  1. Téléchargez et installez la version correcte des Outils d’administration de serveur pour votre appareil : Windows 8, Windows 10.
  2. Cliquez ensuite avec le bouton droit de la souris sur le bouton Démarrer, puis sélectionnez “Panneau de configuration > Programmes > Programmes et fonctionnalités > Activer ou désactiver des fonctionnalités Windows”.
  3. Descendez et cliquez sur l’option “Outils d’administration de serveur à distance”.
  4. Cliquez maintenant sur “Outils d’administration des rôles”.
  5. Cliquez sur “AD DS et AD LDS Tools” et vérifiez que “AD DS Tools” est coché.
  6. Appuyez sur “Ok”.
  7. Allez dans “Démarrer > Outils d’administration” dans le menu “Démarrer” pour accéder à Active Directory.

Comment utiliser Active Directory : Comment configurer un contrôleur de domaine, créer des utilisateurs du répertoire

Assistant de configuration des services de domaine Active Directory

Comment configurer un contrôleur de domaine

L’une des premières choses à faire lorsque vous utilisez Active Directory est de configurer un contrôleur de domaine. Un contrôleur de domaine est un ordinateur central qui répondra aux demandes d’authentification et authentifiera les autres ordinateurs sur le réseau. Le contrôleur de domaine stocke les informations d’identification de connexion de tous les autres ordinateurs et imprimantes.

Tous les autres ordinateurs se connectent au contrôleur de domaine pour que l’utilisateur puisse authentifier chaque appareil depuis un seul emplacement. L’avantage de cela est que l’administrateur n’aura pas à gérer des dizaines d’informations d’identification de connexion.

Le processus de configuration d’un contrôleur de domaine est relativement simple. Attribuez une adresse IP statique à votre contrôleur de domaine et installez Active Directory Domain Services ou ADDS. Suivez ensuite ces instructions :

  1. Ouvrez “Gestionnaire de serveur” et cliquez sur “Résumé des rôles > Ajouter des rôles et des fonctionnalités”.
  2. Cliquez sur “Suivant”.
  3. Sélectionnez “Installation du service Bureau à distance” si vous déployez un contrôleur de domaine dans une machine virtuelle ou sélectionnez “Installation basée sur un rôle ou une fonctionnalité”.
  4. Sélectionnez un serveur dans le pool de serveurs.
  5. Sélectionnez “Services des domaines Active Directory” dans la liste et cliquez sur “Suivant”.
  6. Laissez les fonctionnalités cochées par défaut et appuyez sur “Suivant”.
  7. Cliquez sur “Redémarrer le serveur de destination automatiquement si nécessaire” et cliquez sur “Installer”. Fermez la fenêtre une fois l’installation terminée.
  8. Une fois le rôle ADDS installé, une notification s’affiche à côté du menu “Gérer”. Cliquez sur “Promouvoir ce serveur en contrôleur de domaine”.
  9. Cliquez maintenant sur “Ajouter un nouvel AD” et entrez un “Nom de domaine racine”. Appuyez sur “Suivant”.
  10. Sélectionnez le “Niveau fonctionnel du domaine” souhaité et entrez un mot de passe dans la section “Tapez le mode de restauration des services de répertoire (DSRM)”. Cliquez sur “Suivant”.
  11. Lorsque la page des options DNS s’affiche, cliquez une nouvelle fois sur “Suivant”.
  12. Entrez un domaine dans la case “Nom de domaine NetBios” (de préférence le même que le nom de domaine racine). Appuyez sur “Suivant”.
  13. Sélectionnez un dossier pour stocker votre base de données et vos fichiers journaux. Cliquez sur “Suivant”.
  14. Appuyez sur “Installer” pour terminer. Votre système redémarrera maintenant.
À lire aussi  Adobe Character Animator : Animatez vos personnages automatiquement !

Comment ajouter un contrôleur de domaine à un domaine existant dans Windows Server 2016

Les procédures pour ajouter un contrôleur de domaine à un domaine existant dans Active Directory sont les mêmes, quelle que soit la version du système d’exploitation que vous utilisez. Cependant, ces instructions ont été organisées lors d’un exercice sur Windows Server 2016. Il est toujours préférable d’avoir au moins deux contrôleurs de domaine dans votre domaine AD au cas où l’un d’entre eux tomberait en panne.

Le deuxième contrôleur de domaine est un ordinateur distinct de celui identifié pour votre premier contrôleur de domaine. Ce deuxième ordinateur doit être configuré avec Windows Server 2016. Mettez-le à jour et attribuez-lui une adresse IP avant de commencer la configuration AD sur cette machine. Ensuite, suivez ces étapes :

  1. Ouvrez “Gestionnaire de serveur”, cliquez sur l’option “Gérer” dans le ruban du menu, puis sélectionnez “Ajouter des rôles et des fonctionnalités”.
  2. À l’écran d’ouverture de l’assistant, cliquez sur “Suivant”.
  3. Dans l’écran “Type d’installation”, sélectionnez le bouton radio “Installation basée sur un rôle ou une fonctionnalité” et cliquez sur “Suivant”.
  4. Dans la “Sélection du serveur”, laissez le seul serveur de la liste en surbrillance et appuyez sur “Suivant”.
  5. Dans l’écran des “Rôles du serveur”, cochez la case “Services des domaines Active Directory”. Une boîte de dialogue apparaît. Cliquez sur le bouton “Ajouter des fonctionnalités”.
  6. Revenez à l’écran principal de sélection des fonctionnalités et cliquez sur le bouton “Suivant”.
  7. Cela passe à l’écran “Fonctionnalités”. Cliquez simplement sur le bouton “Suivant”. Dans l’écran “AD DS”, cliquez sur le bouton “Suivant”.
  8. Enfin, cliquez sur le bouton “Installer”. Une fois le processus d’installation terminé, vous verrez un avis vous indiquant que des étapes supplémentaires sont nécessaires. Cliquez sur le lien “Promouvoir ce serveur en contrôleur de domaine”. Cela affiche l’écran de configuration de déploiement.
  9. Laissez le bouton radio “Ajouter un contrôleur de domaine à un domaine existant” actif. En bas de la liste des options, vous verrez “<aucune information d’identification fournie>”. Cliquez sur le bouton “Changer” à côté de cela.
  10. Entrez le nom d’utilisateur et le mot de passe du compte Administrateur de l’instance AD que vous avez d’abord configurée. Ce nom d’utilisateur doit être au format Administrateur. Cliquez sur “OK”.
  11. À votre retour de la fenêtre contextuelle de connexion, vous verrez que le champ “Domaine” a été rempli avec le domaine que vous avez entré pour le compte utilisateur. Cliquez sur le bouton “Suivant”.
  12. Décidez si vous voulez en faire un contrôleur de domaine en lecture seule (RODC). Si c’est le cas, cochez cette case dans l’écran des “Options”, sinon, cochez les cases “Serveur DNS” et “Catalogue mondial”.
  13. Entrez un mot de passe de “DSRM” et confirmez-le. Cliquez sur le bouton “Suivant”. Vous verrez un avertissement, mais cliquez simplement à nouveau sur le bouton “Suivant”.
  14. Dans les “Options supplémentaires”, choisissez votre contrôleur de domaine d’origine pour le champ “Répliquer à partir de :”. Cliquez sur “Suivant”.
  15. Laissez tous les chemins avec leurs paramètres par défaut et cliquez sur “Suivant”. Dans l’écran “Options de révision”, cliquez sur “Suivant”.
  16. Le système effectuera une vérification des prérequis. Si cela se termine correctement, le bouton “Installer” sera activé. Cliquez dessus.
  17. Attendez que l’installation se termine. L’ordinateur redémarrera. Connectez-vous à la machine.
À lire aussi  Les causes et conséquences de la déforestation : secrets dévoilés!

Revenez à votre ordinateur d’origine du contrôleur de domaine et ouvrez “Utilisateurs et ordinateurs Active Directory” pour voir que votre nouveau contrôleur de domaine est répertorié dans le dossier “Contrôleurs de domaine”.

Création d’utilisateurs Active Directory

Les utilisateurs et les ordinateurs sont les deux objets de base que vous devrez gérer lorsque vous utilisez Active Directory. Dans cette section, nous allons voir comment créer de nouveaux comptes d’utilisateur. Le processus est relativement simple, et la façon la plus simple de gérer les utilisateurs est d’utiliser l’outil “Utilisateurs et ordinateurs Active Directory” (ADUC) qui est fourni avec le pack “Outils d’administration de serveur à distance” (RSAT). Vous pouvez installer ADUC en suivant les instructions ci-dessous :

Installer ADUC sur Windows 10 Version 1809 et supérieure ou Windows 11 :

  1. Cliquez avec le bouton droit de la souris sur le bouton Démarrer, puis cliquez sur “Paramètres > Applications”, puis cliquez sur “Fonctionnalités facultatives > Ajouter une fonctionnalité”.
  2. Sélectionnez “RSAT: Service des domaines Active Directory et Outils de répertoire léger”.
  3. Sélectionnez “Installer” et attendez que l’installation soit terminée.
  4. Allez dans “Démarrer > Outils d’administration Windows” pour accéder à la fonctionnalité.

Installer ADUC sur Windows 8 et Windows 10 Version 1803 ou inférieure :

  1. Téléchargez et installez les Outils d’administration de serveur à distance pour votre version de Windows. Vous pouvez le faire à partir de l’un de ces liens : Remote Server Administrator Tools for Windows 10, Remote Server Administrator Tools for Windows 8 ou Remote Server Administrator Tools for Windows 8.1.
  2. Cliquez avec le bouton droit de la souris sur “Démarrer > Panneau de configuration > Programmes > Programmes et fonctionnalités > Activer ou désactiver des fonctionnalités Windows”.
  3. Faites défiler vers le bas et sélectionnez “Outils d’administration de serveur à distance”.
  4. Développez “Outils d’administration des rôles > Services des domaines AD et AD LDS”.
  5. Cochez “Outils des services AD DS” et appuyez sur “Ok”.
  6. Allez dans “Démarrer > Outils d’administration” et sélectionnez “Utilisateurs et ordinateurs Active Directory”.

Comment créer de nouveaux utilisateurs avec ADUC

  1. Ouvrez “Gestionnaire de serveur”, allez dans le menu “Outils” et sélectionnez “Utilisateurs et ordinateurs Active Directory”.
  2. Développez le domaine et cliquez sur “Utilisateurs”.
  3. Cliquez avec le bouton droit de la souris sur le volet de droite et appuyez sur “Nouveau > Utilisateur”.
  4. Lorsque la boîte de dialogue “Nouvel objet – Utilisateur” s’affiche, saisissez un “Prénom”, un “Nom”, un “Nom de connexion de l’utilisateur” et cliquez sur “Suivant”.
  5. Entrez un mot de passe et appuyez sur “Suivant”.
  6. Cliquez sur “Terminer”.
  7. Le nouveau compte utilisateur peut être trouvé dans la section “Utilisateurs” de l’ADUC.

Événements Active Directory à surveiller

Comme toutes les formes d’infrastructure, Active Directory doit être surveillé pour rester protégé. La surveillance du service de répertoire est essentielle pour prévenir les cyberattaques et offrir la meilleure expérience possible aux utilisateurs.

Ci-dessous, nous allons répertorier certains des événements réseau les plus importants auxquels vous devez être attentif. Si vous constatez l’un de ces événements, vous devriez enquêter rapidement pour vous assurer que votre service n’a pas été compromis.

Présentation des forêts et des arbres Active Directory

Les forêts et les arbres sont deux termes que vous entendrez souvent lorsque vous vous plongerez dans Active Directory. Ces termes désignent la structure logique d’Active Directory. En bref, un arbre est une entité avec un seul domaine ou un groupe d’objets suivi de domaines enfants. Une forêt est un groupe de domaines regroupés. Lorsque plusieurs arbres sont regroupés, ils deviennent une forêt.

Les arbres de la forêt se connectent les uns aux autres grâce à une relation de confiance, ce qui permet à différents domaines de partager des informations. Tous les domaines se font confiance automatiquement, vous pouvez donc y accéder avec les mêmes informations de compte que celles utilisées sur le domaine racine.

Chaque forêt utilise une base de données unifiée. Logiquement, la forêt se situe au plus haut niveau de la hiérarchie et l’arbre est situé en bas. L’un des défis auxquels les administrateurs réseau sont confrontés lorsqu’ils travaillent avec Active Directory est la gestion des forêts et la sécurité du répertoire.

À lire aussi  Comment vendre sur les réseaux sociaux : un guide complet

Par exemple, un administrateur réseau sera chargé de choisir entre une conception de forêt unique ou une conception de plusieurs forêts. La conception d’une forêt unique est simple, peu coûteuse et facile à gérer, avec une seule forêt comprenant l’ensemble du réseau. En revanche, une conception de plusieurs forêts divise le réseau en différentes forêts, ce qui est bon pour la sécurité, mais rend l’administration plus compliquée.

Relations de confiance (et types de confiance)

Comme mentionné précédemment, les relations de confiance sont utilisées pour faciliter la communication entre les domaines. Les relations de confiance permettent l’authentification et l’accès aux ressources entre deux entités. Les relations de confiance peuvent être unilatérales ou bilatérales. Dans une relation unilatérale, le domaine de confiance accède aux détails d’authentification du domaine de confiance de sorte que l’utilisateur puisse accéder aux ressources de l’autre domaine. Dans une relation bilatérale, les deux domaines accepteront les détails d’authentification de l’autre. Tous les domaines au sein d’une forêt se font confiance automatiquement, mais vous pouvez également configurer des relations de confiance entre des domaines de forêts différentes pour transférer des informations.

Vous pouvez créer des relations de confiance grâce à l’assistant Nouvelles relations de confiance. L’assistant Nouvelles relations de confiance est un assistant de configuration qui vous permet de créer de nouvelles relations de confiance. Ici, vous pouvez consulter le nom de domaine, le type de confiance et l’état transitif des relations existantes et sélectionner le type de confiance que vous souhaitez créer.

Reporting Active Directory avec SolarWinds Access Rights Manager (ESSAI GRATUIT)

La génération de rapports sur Active Directory est essentielle pour optimiser les performances et rester conforme à la réglementation. L’un des meilleurs outils de génération de rapports Active Directory est SolarWinds Access Rights Manager (ARM). L’outil a été créé pour accroître la visibilité sur l’utilisation et la gestion des informations d’identification du répertoire. Par exemple, vous pouvez afficher les comptes avec des configurations non sécurisées et les abus d’informations d’identification qui pourraient indiquer une cyberattaque.

L’utilisation d’un outil tiers comme SolarWinds Access Rights Manager est bénéfique car il vous fournit des informations et des fonctionnalités auxquelles il serait beaucoup plus difficile, voire impossible, d’accéder directement via Active Directory.

En plus de la génération de rapports, vous pouvez supprimer automatiquement les comptes inactifs ou expirés sur lesquels les cybercriminels se concentrent. SolarWinds Access Rights Manager commence à 3 444 $ (£2,829). Il existe également une version d’essai gratuite de 30 jours que vous pouvez télécharger.

Comment trouver l’origine des verrouillages de compte dans Active Directory

La manière la plus simple de trouver les verrouillages de compte dans Active Directory est d’utiliser l’Observateur d’événements, qui est intégré à Windows. Active Directory génère des messages d’événements Windows pour chacune de ses actions, votre première tâche consiste donc à localiser le bon journal d’événements.

Voici comment procéder :

  1. Ouvrez une fenêtre PowerShell en appuyant simultanément sur la touche Windows et la touche R. Dans la fenêtre “Exécuter”, tapez “powershell” et appuyez sur ENTRÉE.
  2. À l’invite de commandes, tapez “(get-addomain).pdcemulator”
  3. Notez l’adresse du contrôleur de domaine PDC Emulator, qui s’affichera à la ligne suivante.
  4. Tapez “exit” pour fermer la fenêtre PowerShell.
  5. Le visionneur d’événements standard intégré au système d’exploitation Windows vous aidera à trouver les verrouillages de compte.
  6. Accédez au contrôleur de domaine identifié comme étant le contrôleur de domaine PDC Emulator.
  7. Ouvrez l’Observateur d’événements en développant “Outils d’administration Windows” dans le menu Démarrer et en cliquant sur l’entrée “Observateur d’événements” dans ce sous-menu.
  8. Dans l’Observateur d’événements, développez le nœud “Journaux Windows” dans l’arborescence du menu de gauche. Cliquez sur “Sécurité”. La liste des événements de sécurité apparaîtra dans le volet central de l’Observateur d’événements.
  9. Dans le volet de droite de l’Observateur d’événements, cliquez sur “Filtrer le journal courant”, ce qui ouvrira une fenêtre contextuelle.
  10. Dans le champ “ID d’événement”, remplacez “<Tous les ID d’événement>” par “4740”.
  11. Sélectionnez une plage horaire dans la liste déroulante “Enregistré” en haut du formulaire.
  12. Facultativement, entrez un nom d’utilisateur ou un nom d’hôte si vous recherchez spécifiquement un verrouillage sur un utilisateur ou une ressource spécifique.
  13. Appuyez sur “OK”.
  14. Double-cliquez sur l’entrée du journal qui concerne l’utilisateur ou la ressource qui vous intéresse et qui a une horodatage correspondant au moment où vous pensez que le verrouillage s’est produit. Cela ouvrira le rapport d’événement.

Le rapport d’événement vous montrera l’utilisateur qui a été verrouillé, l’ordinateur sur lequel l’événement s’est produit et la source ou la raison du verrouillage.

Gestion d’Active Directory avec ManageEngine AD360 (ESSAI GRATUIT)

ManageEngine AD360 est un ensemble d’outils de gestion Active Directory de ManageEngine, ainsi qu’un service de sauvegarde et de récupération. Ce package représente un bon exemple des outils disponibles pour automatiser les tâches de gestion liées à l’utilisation d’Active Directory. Il peut interfacer avec des implémentations AD pour SharePoint, Microsoft 365, Azure et AWS, ainsi qu’avec le système Active Directory de votre système d’exploitation Windows Server.

ManageEngine AD360 est disponible en version d’essai gratuite de 30 jours.