Windows Server 2022 – Installation et configuration de Active Directory

Présentation du fichier Excel pour les droits des utilisateurs et groupes

Avant de commencer, on va regarder un fichier Excel que j’avais mis à disposition pour la préparation d’un serveur NAS : LIEN
Il y a une case Groupes et une case Utilisateurs et un autre onglet avec une case Groupes et une case Lecteurs correspondants.

Pourquoi ? Tout simplement parce qu’en créant une infrastructure, il faut s’organiser le plus simplement possible.
Il faut se poser et bien voir quels sont les groupes à créer et quels sont les droits à ces groupes.

Il y a un onglet avec un exemple : à la verticale, les groupes des utilisateurs et à l’horizontal, le nom des utilisateurs qui ont droit d’accès à ces groupes.
De cette façon, en posant ces droits en amont, ce sera plus simple pour la suite des opérations et de la configuration.
Enfin, le dernier onglet avec l’exemple des groupes où on donnera des droits de Lecture/Écriture (LR), Lecture seule (L) ou Aucun accès (X).
Avant d’attaquer l’installation d’un contrôleur de domaine, je conseille vivement de prendre le temps et de remplir ce fichier.

Installation du contrôleur de domaine AD DS (Active Directory Domain Services)

On va passer maintenant sur la partie installation.

Comme d’habitude, pour ajouter le contrôleur de domaine : on va dans Gérer > Ajouter des rôles et fonctionnalités > Suivant 3x et on va cocher Service AD DS > Ajouter les fonctionnalités > Suivant 2x puis on clique sur Installer.

On se retrouve une fois l’installation terminée.
L’installation vient de se finir.
On voit le triangle jaune de configuration en haut à droite : on va cliquer sur Promouvoir ce contrôleur de domaine.

Ajout d’une nouvelle forêt

Trois choix sont proposés : Ajouter un contrôleur de domaine à un domaine existant, je le ferai une prochaine fois. On ajoutera un contrôleur de domaine secondaire.
Dans mon cas, je vais faire Ajouter une nouvelle forêt.

Comme annoncé, je vais saisir klinkpc.local
L’extension après le point est important : ne pas prendre une extension connue comme le .com ou .fr , etc
surtout si vous souhaitez faire un site Internet.
Si je saisis klinkpc.fr et que j’héberge un site Internet ailleurs, sur un autre serveur, je ne pourrais l’afficher de mon serveur et tout mon réseau ne pourra pas le voir parce qu’en fait, vu que le serveur est aussi DNS, il ne pourra résoudre l’adresse klinkpc.fr et il va boucler et ne pourra pas afficher mon site Internet.
On peut mettre des extensions comme .local ou .priv , cela ne pose pas de problème.

Ensuite on va faire Suivant, on va taper le mot de passe de restauration des services d’annuaire (DSRM)

puis Suivant, on va attendre que le nom de domaine NetBIOS soit généré : ce sera KLINKPC puis Suivant.
Pour les chemins d’accès, on peut les laisser par défaut mais vous pouvez les mettre ailleurs si vous le souhaitez.
On voit les différentes options puis Suivant.

On va cliquer sur Installer : comme mentionné, le serveur va être redémarré automatiquement à l’issue de l’installation.

Configuration du rôle AD DS

Nous voilà au redémarrage suite à la configuration du contrôleur de domaine : on voit la ligne AD DS sur la gauche.
Vous pouvez lancer les différentes interfaces soit avec un clic droit sur le nom, soit comme les autres services, en cliquant sur Outils.

L’inconvénient du français est l’ordre des mots car la version anglaise propose une liste avec les mots Active Directory en tête de liste.
Avec la version française, ces services sont disséminés à différents endroits.

Présentation de l’interface Active Directory

On va lancer Utilisateurs pour se retrouver sur l’interface Utilisateurs et ordinateurs Active Directory.
On a différents dossiers qu’on appelle Unités d’Organisation (UO).
Il y a :

• les ordinateurs : à l’heure actuelle, il n’y en a aucun.

• les différents contrôleurs de domaine : il existe que SERV-DOM pour le moment.

• Ensuite il y a les utilisateurs et les groupes : le pictogramme Utilisateurs, c’est comme Administrateur, il y un seul bonhomme et pour un groupe, il y aura 2 bonhommes.

Création d’une nouvelle Unité d’Organisation (UO)

On va créer une nouvelle Unité d’Organisation (UO) : ce n’est pas obligatoire, vous pouvez très bien vous servir de celles existantes.

L’avantage d’en créer une est d’éviter les fausses manipulations.
Je vais donc créer tous les utilisateurs et groupes : en cas de suppression ou désactivation, cela évitera les fausses manipulations et de toucher les groupes existants.

Création d’un nouvel utilisateur

Pour créer un utilisateur, on fait un clic droit > Nouveau > Utilisateur.
Maintenant, je vais rentrer les utilisateurs et les groupes que j’ai préparé dans mon tableau en amont.
Le nom et le prénom est demandé et pour l’ouverture de session, le nom est à définir.

Cela peut être prénom.nom , le trigramme, c’est vous qui décidez.
Par contre, il faut respecter ce format de nommage pour toute l’architecture.

Ensuite on clique sur Suivant, on :

• va mettre un mot de passe à cet Utilisateur Klink PC, on décoche L’utilisateur doit changer le mot de passe à la prochaine ouverture de session,
• on peut cocher L’utilisateur ne peut pas changer de mot de passe,
• on peut également cocher Le mot de passe n’expire jamais, la configuration se fera dans les GPO, on verra cela dans une autre vidé,
• et enfin, la dernière ligne est pour désactiver le compte.
  On fait Terminer et l’utilisateur est créé.

Création d’un nouveau groupe

Désormais, je vais créer un groupe en faisant un clic droit > Nouveau > Groupe
On ne change pas les paramètres du bas pour le moment, on va créer le groupe Direction.
Maintenant, je vais vous montrer comment rentrer un utilisateur dans un groupe.
On va prendre l’exemple de l’utilisateur Klink PC qui est dans tous les groupes d’après notre tableau récapitulatif du fichier Excel.

Présentation des onglets Utilisateur

On va sur l’utilisateur et je vais vous présenter rapidement les différents onglets.
Il y a :

• toutes les informations générales,
• les adresses postales,
• la gestion du compte,
• l’onglet Profil où on reviendra dans une prochaine vidéo pour présenter les scripts d’ouverture de session ou encore les chemins d’accès pour les profils itinérants.
• Après il y a l’onglet Téléphonie,
• l’organisation,
• l’onglet « Membre de » qui va nous intéresser,
• les autorisations d’accès réseau,
• le contrôle à distance,
• le Profil des services Bureau à distance (pour du TSE).

Ajout d’un utilisateur dans un groupe à partir de l’onglet Membre de

On revient sur l’onglet « Membre de » et on sait que notre utilisateur Klink PC fait parti du groupe Direction.

On peut taper le début et cliquer sur Vérifier les noms et le groupe est trouvé et on applique.
Ensuite, on ajoute le groupe Comptabilité puis Commercial.

Ajout d’un utilisateur dans un groupe à partir du groupe

L’autre solution pour rentrer un utilisateur dans un groupe est de travailler dans l’autre sens.
J’ai pris l’utilisateur pour aller chercher les groupes.
Sinon on peut faire l’inverse : à partir du groupe, je vais chercher les utilisateurs.
Par exemple, si on prend le groupe Technique, j’ai trois utilisateurs : Klink PC, Romu et Laetitia.
On va dans le groupe Technique et dans l’onglet Membre, on fait Ajouter et on va chercher les noms des utilisateurs Klink PC (il y en a deux car l’autre est administrateur du domaine), Romu et Laetitia.

Nous avons vu les deux mécanismes d’ajouts : soit par l’utilisateur, soit par le groupe.

Point sur les groupes

Comme on le voit, un groupe peut être membre d’un autre groupe avec l’onglet « Membre de« .
On peut très bien créer un groupe Administrateurs comme souvent dans les grandes entreprises et on met ce groupe là Administrateurs du domaine et en se connectant, on peut avoir tous les droits sur toutes les machines auxquelles on se connectera avec notre utilisateur.
On va maintenant intégrer une machine au domaine pour valider que tout fonctionne.

Intégration d’un PC au domaine

Maintenant on va intégrer un PC au domaine.
On va faire un clic droit > Système et on ne va pas sur Renommer ce PC car seulement le nom peut être changé

on va bien sur Renommer ce PC (avancé), on tombe sur l’ancienne interface où on peut faire Modifier
et le champ Domaine apparait.

On va saisir klinkpc.local et une authentification est demandée.

On saisit le nom de l’administrateur de ce domaine avec le mot de passe du compte.
On fait OK et un message « Bienvenue dans le domaine klinpc.local » apparait.

Point obligatoire pour l’intégration

Attention pour une intégration sur le domaine, il faut impérativement que votre machine soit en version Windows Pro.
Si vous avez une version Famille, cela ne fonctionnera pas.

Vérification de l’ajout du PC dans l’UO Computers du serveur

Pendant que le PC redémarre, on va valider sur le serveur que la machine a bien été enregistrée.

On va dans Computers et contrairement à tout à l’heure où c’était vide, la machine a bien été intégrée ce qui valide qu’on est bien dans le domaine.

Conclusion

Dans les prochains articles, on verra le partage de fichiers comme c’est souvent demandé mais avant, il fallait bien faire toutes ces étapes de droits Active Directory car sinon le partage de fichiers n’aurait pas été possible.
On verra également le partage et le montage des disques réseaux.