Labo 4 : Active Directory
Active Directory est une implémentation de services d'annuaire LDAP pour les systèmes d'exploitation Windows.
Active Directory a pour principal objectif d'offrir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs. Il permet également l'assignation et l'application des stratégies et l'installation des mises à jour critiques par les administrateurs.
Dans ce Labo, nous allons installer Windows Server pour ensuite y installer Active Directory.
Veuillez à bien lire les Labos précédents pour bien comprendre le contexte de celui-ci :
| # | Nom du Labo | Lien |
|---|---|---|
| 1 | Découverte ESXI | Lien |
| 2 | ESXI et vCenter | Lien |
| 3 | vCenter clusters et iSCSi | Lien |
Tout d'abord, nous devons apporter quelques modifications à notre infrastructure avant de commencer ce labo.
- Modifier la machine virtuelle de notre ESX pour la connecter sur le port group nommé 'EsxStudents'. Pour ce faire, allez dans la console de la VM via son interface dans vSphere
Screenshot
- Modifier le VLAN de notre ESX en 101
Screenshot
- Ensuite, retournez sur la VM dans vCenter, cliquez sur Actions et modifiez les paramètres en déplaçant l'adaptateur réseau vers le port group EsxStudents (il se retrouve en mode trunk)
Screenshot
- Allez sur l'adresse IP de l'ESXi et dans "mise en réseau"
Screenshot
- Cliquer sur VM Network pour préciser le Vlan 103 et ensuite acceptez les 3 paramètres dans sécurité
Screenshot
Création d'une machine virtuelle, comme vu ici précédemment et qui aura le rôle du serveur Windows.
- On lui attribue 2 coeurs, 2GO de RAM, 60GO de disque et on choisit l'ISO Windows disponible dans le datastore.
- Afin de bénéficier d'une interface graphique, on choisit la version standard avec l'option "Desktop Experience".
- Installation des VMWare Tools
Screenshot
- Cliquez sur installation de VMWareTools
- Allez dans le gestionnaire de fichier et cliquez
- CLiquez sur suivant, suivant, installez
- Cliquez sur terminer
- Redémarrez
- Changer le nom du serveur -> DC-2.2
Screenshot
- Configuration du fuseau horaire
Screenshot
- Configuration d'une adresse ip fixe. En effet, il est indispensable de donner une adresse statique au serveur avant de le convertir en contrôleur de domaine
Screenshot
- Configuration des rôles et des features.
Screenshot
- Le gestionnaire de serveurs permet de gérer plusieurs serveurs, il faut sélectionner le bon (ici, il ne devrait y en avoir qu'un)
- Sélection des rôles DHCP, DNS, DFS Namespace et DFS Replication
- Pour les fonctionnalités, on prend celles sélectionnées par défaut
- En ce qui concerne les onglets suivants, serveur DHCP, serveur DNS et AD DS, on clique sur suivant
- Cliquez sur "Installer" dans l'onglet "Confirmation"
- Fermez l'assistant
- Activation du rôle de contrôleur de Domaine
Screenshot
- Création d'un nouveau domaine dans une nouvelle forêt (Aucune forêt n'existe à ce stade).
On précise le FQDN du nouveau domaine c'est-à-dire son nom DNS
- Choix du niveau fonctionnel du serveur (question de compatibilité), spécification des fonctionnalités du contrôleur de domaine (en cas d'une nouvelle forêt, activation obligatoire du serveur DNS et du Catalogue Global CG) et choix d'un mot de passe pour l'Active Directory Restore Mode (restauration en cas de problème)
- Vérification de la configuration DNS. Un avertissement apparaît, c'est normal, cliquez sur suivant
- Spécification du nom NetBIOS pour des raisons de compatibilité, il n'y a pas de raison de le changer
- Choix de l'emplacement des dossiers système utilisés par l'Active Directory, on laisse par défaut
- Vérification des options et de la configuration, cliquez sur installer
- Redémarrage du serveur
- Vérification de l'installation avec les commandes "dcdiag" et "dcdiag/test:DNS" dans l'invit de commandes
Screenshot
La console ADUC (Active Directory Users and Computers) permet la gestion des objets utilisateurs et ordinateurs, des groupes d'utilisateurs et ordinateurs et l'organisation en OU (Organizational Unit) des objets.
- Gestion des objets de l'Active Directory depuis le menu Tools dans le Server Manager.
Ouvrez la fenêtre "Active Directory Users and Computers"
Screenshot
- Création des OU
La structure des OU est à gauche (S) et leur contenu à droite (C).
Les OU Users, Computers et Groups dans la structure à gauche sont créés par défaut. Recréez une OU à l'intérieur de chacune de ces OU.
Pour créer une OU, sélectionnez l'OU par défaut et cliquez droit dans le contenu à droite
Screenshot
- Création d'une nouvelle OU Utilisateurs
- Création d'une nouvelle OU Groupes et une nouvelle OU Ordinateurs
- Création d'un nouvel utilisateur (appelons-le Kevin) dans l'OU Utilisateurs fraîchement créée
Screenshot
- Création d'un groupe "étudiants" dans l'OU Groupes
Screenshot
- Ajout de l'utilisateur "Kevin" dans le groupe "étudiants"
Screenshot
- Double-cliquez sur "étudiants" et choisissez l'onglet "membres" dans les onglets
- Cliquez sur ajouter pour ajouter un objet dans le groupe "étudiants"
- Ajoutez l'objet Utilisateur "Kevin" et appliquez
Pour ce faire, on ne passe pas par l'ADUC comme fait précédemment pour l'objet groupe "étudiant" ou l'objet utilisateur "Kevin"
- Création d'une VM comme vu précédemment ici qui sera notre poste client (VM Windows)
- Pour joindre un ordinateur à un domaine, on retourne dans l'applet du server manager, là où l'on peut changer le nom de l'ordinateur.
Screenshot
- On en profite pour configurer l'adressage du poste client dans le même subnet que l'AD et lui configurer le serveur AD comme serveur DNS en cliquant sur l'adresse de l'ethernet0
- Cliquer sur Local Server
- Cliquez droit sur ethernet0 et choisissez Properties
- Choisissez Internet Protocol Version 4 (TCP/ipv4), cliquez sur Properties et complétez les champs comme indiqué
- Revenez à la première fenêtre et cliquez sur Computer Name
- Cliquez sur Change...
- Et compléter le Domain avec le FQDN du domaine
- Complétez le nom et le mot de passe d'un utilisateur créé dans l'OU utilisateurs et considéré comme l'administrateur. Ce dernier est administrateur sur toutes les machines ajoutées au domaine
- Cliquez OK sur le petit message de bienvenue
- Acceptez de redémarrer pour appliquer les changements et cliquez sur Restart now
- Retournez dans la console ADUC de l'AD. L'objet ordinateur a été créé par défaut dans le conteneur Computers de l'AD, on va le déplacer dans l'OU ordinateurs créé plus tôt.
- Dans Computers, cliquer droit sur l'ordinateur
- l'ordinateur a bien été déplacé dans l'OU ordinateurs
⚠️ le glisser-déposer dans l'OU n'est pas conseillé
- On peut se connecter sur ce poste client avec l'administrateur renseigné plus haut
Screenshot
NTP pour Network Time Protocol, est un protocol qui permet de synchroniser l'horloge d'un ordinateur avec celle d'un serveur de référence en utilisant le Coordinated Universal Time fourni par des horloges de haute précision.
Ce protocole est basé sur UDP et utilise le port 123, il améliore la coordination et l'efficacité des réseaux.
Les GPO ou Group Policy Objects, permettent de gérer les stratégies de groupe ou GP, Group Policy, qui permettent, elles, la gestion des ordinateurs et des utilisateurs dans un Active Directory.
Chaque GP possède un identifiant unique, le GUID (Globally Unique IDentifier) et contrôle certaines actions comme la désactivation de certains exécutables ou l'accès à certains dossiers ou encore restreindre certains risques potentiels.
La GPMC (Group Policy Management Console) donne la possibilité de gérer de manière centralisée et collective les objets en créant et éditant les GP
Screenshot
- Dans le champ de recherche, tapez gpmc.msc
2. Dans l'onglet **Gestion de stratégie de groupe, cliquez sur : Forêt => Domaines => le nom du domaine, ici L2-2.lab
3. Cliquez droit sur Default Domain Policy et choisissez Modifier
4. Dans la Configuration ordinateur, cliquez sur Stratégies => Modèles d'administration => Système
5. Tout en bas, cliquez sur Services de temps Windows et Fournisseur de temps
6. Cliquer droit sur le paramètre à modifier
7. Activez-le
Cliquez sur Appliquer et ensuite OK
8. Faites de même avec les 2 autres paramètres
9. Les 3 paramètres NTP sont ainsi activés
Screenshot
-
Reprenez les étapes 1 à 3 du point précédent
-
Dans la configuration de l'ordinateur, cliquez sur Stratégies => Paramètres Windows => Paramètres de sécurité
- Cliquez sur *Stratégie des comptes et Stratégie des mots de passe
- Cliquez droit sur les stratégies à éditer pour définir d'autres paramètres dans les Propriétés
Remote Desktop Protocol est un protocole déployé par Microsoft qui permet d'utiliser un ordinateur à distance. Par défaut, le serveur écoute sur le port TCP 3389.
Cela se fait en 2 étapes :
- Il faut configurer l'ordinateur que l'on souhaite connecter pour qu'il accepte les connexions à distance
- Il faut ensuite utiliser la fonction Utiliser le bureau à distance pour se connecter à l'ordinateur que l'on vient de configurer
Screenshot
- Dans le gestionnaire de serveur, la fonction Bureau à distance est désactivée
- CLiquez sur désactivé pour ouvrir la fenêtre
- Cliquez sur Autorisez les connexions à distance à cet ordinateur
- Pour autoriser d'autres utilisateurs que l'admin à se connecter à distance, cliquez sur Sélectionner d'autres utilisateurs
- Cliquez sur ajouter
- Entrez le nom de l'utilisateur que vous autorisez et cliquez sur OK
- L'utilisateur a été ajouté, cliquez sur OK
- La propriété Bureau à distance a bien été activée
- Sur votre ordinateur, après avoir activé le vpn, tapez RDP dans la fenêtre de recherche en bas à gauche
- Dans la fenêtre, indiquez le nom ou l'adresse IP de l'ordinateur que vous voulez joindre à distance et cliquez sur connexion
- Cliquez sur Autres choix
- Choisissez Utiliser un autre compte
-
- Indiquez le nom d'un autre utilisateur spécifié avant et le mot de passe, cliquez sur OK
- Acceptez le certificat
- Vous pouvez à présent vous connecter à distance
- Wikipédia. (n.d.). Network Time Protocol. Consulté le 13-12-2022, de https://fr.wikipedia.org/wiki/Network_Time_Protocol
- Wikipedia. (n.d.). Stratégie de groupe. Consulté le 25-12-2022, de https://fr.wikipedia.org/wiki/Strat%C3%A9gie_de_groupe
- IT-connect. (25-12-2022). Comment créer sa première GPO?* https://www.it-connect.fr/chapitres/comment-creer-sa-premiere-gpo/
- Wikipédia. (n.d.). Remote Desktop Protocol. Consulté le 25-12-2022, de https://fr.wikipedia.org/wiki/Remote_Desktop_Protocol