Date de dernière modification de l’article :

Nous allons voir dans cet article comment nous pouvons réaliser la configuration de base d’un Active Directory dans l’optique d’avoir un service d’annuaire dans notre infra centralisant la gestion des informations et des politiques de sécurité. Il y aura par la suite une succession d’articles associés à l’Active Directory compte tenu du rôle qu’il joue dans une infrastructure réseau avec tous les services associés qui peuvent s’utiliser conjointement ( LDAP, DNS, Apache, GPO, etc…).

Il est possible de se rendre sur le site officiel de Microsoft pour aller récupérer l’ISO d’installation de Windows Server 2022 en version d’évaluation depuis le lien suivant : https://www.microsoft.com/en-us/evalcenter/download-windows-server-2022.

Téléchargez l’ISO officiel Win-Server-2022-x64-fr-fr ici

Section 1 : Procédure Post-Installation de l’ISO Windows Server 2022

Objectif :

  • Définition d’un mot de passe complexe pour le compte Administrateur du serveur, qui sera utilisé comme compte Administrateur du domaine.
  • Modification du nom d’hôte de la machine qui héberge notre Serveur AD
  • Configuration d’une adresse IP statique (configuration réseau manuelle).
  • Installation des dernières mises à jour de Windows.

Nous allons commencer par définir un mot de passe plus complexe et sécurisé pour le compte administrateur de votre AD ( Il existe plusieurs manières de faire la modification du mot de passe mais je vais vous montrer la méthode simple).

INFO – [ D’après les recommandations de base de l’ANNSI, le mot de passe administrateur doit être suffisamment complexe pour résister aux attaques par force brute ou par dictionnaire. Cela inclut l’utilisation de :

  • Longueur minimale : au moins 12 à 14 caractères.
  • Caractères divers : utiliser un mélange de lettres majuscules, de lettres minuscules, de chiffres, ainsi que de caractères spéciaux (symboles).
  • Absence de mots communs ou d’informations personnelles : il est conseillé de ne pas utiliser des mots du dictionnaire, des noms propres ou des informations facilement devinables (comme des dates de naissance ou des noms de famille). ]

Vous allez pouvoir faire le raccourci clavier CTRL+ALT+SUPPR, ce qui devrait vous emmener sur une fenêtre bleue, puis « modifier un mot de passe » :

Remplissez le deuxième champ par votre ancien mot de passe puis tapez deux fois votre nouveau mot de passe dans les champs suivants d’après les recommandations de l’ANSSI de base cités précédemment :

Maintenant, nous allons modifier le nom d’hôte de notre machine pour qu’elle soit plus facilement identifiable sur notre infra, pour se faire, nous allons aller dans Paramètres > Système > A propos de > Renommer ce PC ( veillez à renommer votre PC avant que l’administrateur local ne devienne l’administrateur de l’AD).

Il ne vous restera plus qu’a renseigner le nouveau nom de votre machine dans le champ ci-dessous :

Nous allons à présent configurer l’interface réseau rattachée à notre serveur AD, pour se faire, tapez le raccourci clavier Windows+R, cela vous ouvrira une petite fenêtre en bas à gauche de votre écran pour exécuter une commande, tapez la commande suivante « ncpa.cpl »

Cela vous amènera directement sur les paramètres Réseau & Internet et vous affichera toutes les interfaces disponibles sur votre machine, vous allez pouvoir faire click droit sur votre interface réseau Ethernet, puis cliquez sur Propriétés :

Une petite fenêtre devrait s’ouvrir, cherchez le paramètre Protocole Internet Version 4 et double-cliquez dessus :

Vous allez pouvoir spécifier la configuration réseau souhaitée, notamment dans notre cas définir une adresse IPv4 statique, vous aurez besoin de définir un fournisseur DNS, pour ma part ce sera quad 9 « 9.9.9.9 » pour servir de résolveur DNS temporaire avant que nous ne configurerions notre propre service DNS avec notre AD.

Vous pouvez vérifier que votre interface réseau soit bien montée en ouvrant un terminal CMD et en tapant la commande « ipconfig », cela devrait vous afficher les paramètres que vous avez spécifié précédemment, puis vous pouvez faire un ping vers le serveur principal DNS de google en tapant la commande « ping 8.8.8.8 », cela vous affichera des réponses de requête ICMP, ce qui signifie que vous avez bien accès à internet.

Nous allons à nouveau ouvrir la petite fenêtre Exécuter avec Win+R et taper la commande « ms-settings:windowsupdate » pour accéder directement aux paramètres de Windows Update :

Rendez-vous dans Windows Update pour lancer les mises à jour système, redémarrez votre poste une fois le statut redémarrage en cours présent pour chaque composants des vos mises à jour :

Section 2 : Création du domaine Active Directory :

Nous pouvons à présent nous rendre dans le « Gestionnaire de Serveurs », je vous recommande d’épingler cette fenêtre car nous nous y rendrons assez souvent durant ce tuto, vous pouvez voir qu’un AD par défaut est assez rudimentaire, mais nous allons lui ajouter des fonctionnalités de services pour le rendre plus efficient, le rôle de prédilection par lequel nous allons commencer est le rôle AD DS, essentiel pour créer un domaine de notre serveur AD.

Ignorez l’étape « Avant de commencer » et continuez en laissant le type d’installation sélectionné sur « Installation basée sur un rôle ou une fonctionnalité ».

Choisissez votre serveur local, qui est généralement l’option par défaut.

Cette étape est essentielle dans l’installation du rôle, car il est nécessaire de cocher « Services AD DS » dans la liste. Une nouvelle fenêtre s’affichera pour vous proposer d’installer les outils de gestion. Acceptez cette option. Ces outils incluent des consoles d’administration telles que « Utilisateurs et ordinateurs Active Directory », ainsi que le module PowerShell pour Active Directory.

Aucune fonctionnalité supplémentaire n’est nécessaire pour le moment pour notre configuration de base de notre AD, continuez donc sans sélectionner d’option.

Prenez connaissance des messages affichés à l’étape « AD DS ». Microsoft y aborde la synchronisation d’Active Directory avec Microsoft Entra ID (anciennement Azure Active Directory), sa solution Cloud. Ensuite faites suivant;

Vous pouvez, si vous le désirez, laisser le serveur se redémarrer automatiquement après l’application de l’installation du service AD DS. Cliquez sur « Installer » pour lancer l’installation, qui devrait durer quelques minutes.

Cliquez sur « Fermer » une fois l’installation lancée et en cours, puis nous allons patienter que l’assistant de Rôles et de Fonctionnalités ordonne le redémarrage de notre serveur, patientez quelques minutes.

Une fois votre serveur AD redémarré, retournez dans le « Gestionnaire de Serveurs », puis sélectionnez le drapeau blanc en haut à droite et cliquez sur « Promouvoir ce Serveur en Contrôleur de Domaine » :

Étant donné qu’il s’agit d’un nouveau domaine dans une nouvelle forêt, sélectionnez l’option « Ajouter une nouvelle forêt » et indiquez le nom de domaine. Si vous optez pour un nom de domaine comme « steve-infra.local », sachez qu’il ne sera pas routable, ce qui pourrait entraîner des difficultés pour l’utilisation de certains services. Votre nom de domaine doit être unique.

Pour le niveau fonctionnel de la forêt et du domaine, sélectionnez « Windows Server 2016 ». Cela signifie que vos contrôleurs de domaine devront impérativement utiliser Windows Server 2016 ou une version ultérieure sinon, prenez la version la plus récente qui vous est proposée. Actuellement, « Windows Server 2016 » est la version la plus élevée disponible, mais cela changera avec la sortie de Windows Server 2025.

Configurez également ce serveur comme serveur DNS et Catalogue global. L’option RODC (Read-Only Domain Controller) est intéressant seulement si vous souhaitez créer un domaine en lecture seule.

Enfin, définissez deux fois un mot de passe pour les services de restauration de l’annuaire et faites suivant (notez que ce mot de passe est distinct de celui de l’administrateur de votre futur domaine) :

Étant donné qu’il s’agit d’un nouveau serveur DNS pour une nouvelle zone, ne vous préoccupez pas du message présent dans le bandeau en haut de la fenêtre et continuez.

Saisissez un nom NETBIOS pour le domaine, un nom court qui ne nécessite pas de résolution DNS.

Laissez les chemins d’accès par défaut et faites suivant.

Observez et vérifiez le résumé des options choisies et continuez.

Terminez en cliquant sur « Installer » pour lancer la création de votre domaine et la configuration du contrôleur de domaine.

Laissez l’installation se dérouler. Une fois terminée, le serveur redémarrera automatiquement.

Une fois l’installation terminée et le redémarrage effectué, vous pourrez commencer à utiliser votre domaine Active Directory, notamment à l’aide des consoles « Utilisateurs et ordinateurs Active Directory » et « Centre d’administration Active Directory », qui permettent de gérer les objets de l’annuaire (utilisateurs, ordinateurs, serveurs, etc.).

Il ne vous reste maintenant plus qu’à ajouter vos premiers utilisateurs, vos premiers ordinateurs, et, si nécessaire, à définir vos premières stratégies de groupe.
Beaucoup d’articles seront associés à cet article principal sur l’AD pour fournir des tutoriel complémentaires et pour aller vers des solutions d’AD plus avancées, seront abordés également dans d’autres articles des solutions d’interconnexion avec d’autres services externes.

Article associé : https://stevepouruportfolio.fr/comment-configurer-la-fonctionnalite-ldaps-sur-votre-active-directory-pour-avoir-un-service-dauthentification-securise-et-chiffre/

Comment configurer la fonctionnalité LDAPS sur votre Active Directory pour avoir un service d’authentification sécurisé et chiffré

Steve
Author: Steve