Windows Server 2016 : Les stratégies de groupe et l'Active Directory

Installer un contrôleur de domaine en lecture seule

Testez gratuitement nos 1304 formations

pendant 10 jours !

Tester maintenant Afficher tous les abonnements
Les RODC (Read Only Domain Controller, contrôleurs de domaine en lecture seule) offrent un niveau supplémentaire de contrôle de la sécurité. Dans cette vidéo, vous verrez comment installer un RODC.
06:30

Transcription

Nous allons voir à présent comment installer un contrôleur de domaine en lecture seule. Parfois vous vous trouvez dans une situation où vous avez un ou plusieurs bureaux distants qui ont suffisamment d'utilisateurs pour que vous souhaitiez notamment installer un contrôleur de domaine localement sur ce site ou sur l'un des sites. Ne serait-ce qu'afin d'améliorer entre autre les processus d'authentification ? Mais vous n'avez pas le personnel informatique compétent sur place et vous souhaitez que votre serveur et vos données restent malgré tout sécurisés en cas de compromission de ce serveur comme par exemple pouvoir définir ne serait-ce qu'une stratégie de réplication de mot de passe, faire du filtrage sur les attributs qui vont être envoyés à ce contrôlur de domaine. Et puis pourquoi pas, faire de la délégation d'administration. Microsoft est une solution pour cette situation et cette solution s'appelle les contrôleurs de domaine en lecture seule RODC, Read Only Domain Controller. Pour promouvoir une machine en tant que contrôleur de domaine en lecture seule le processus est exactement le même que de pouvoir installer tout simplement des contrôleurs de domaine classiques. Première étape déjà c'est installer tout simplement ici le service Active Directory. Alors, le service DNS, vous souhaitez, bien sûr en plus apporter cette fonctionnalité de DNS, alors, attention, DNS en lecture seule si vous hebergez votre DNS en mode intégré à Active Directory. Donc, service ici ADDS que j'ai déjà installé pour gagner du temps, et ici on va pouvoir maintenant promouvoir ce nouveau serveur en tant que contrôleur de domaine et surtout pouvoir promouvoir ce serveur en tant que contrôleur de domaine en lecture seule. Je vais donc l'ajouter, ce contrôleur de domaine à un domaine existant ici et je vais pouvoir tout simplement ici rentrer les informations d'identification, d'identification de qui ? Tout simplement d'identifiation du compte administrateur qui est autorisé sur le domaine cible ici, le domaine existant pour lequel je vais venir rattacher cette nouvelle machine, en tant, bien sûr, que contrôleur de domaine. Donc, je valide ici alors, ici alors c'est MOJI.TO, voilà, alors, une récupération des domaines de la forêt, le voilà. Donc, voilà mon domaine, je n'en ai qu'un, MOJI.TO. Les informations d'identification pour pouvoir effectuer cette opération, donc, joindre une nouvelle machine de domaine, c'est mon compte administrateur du domaine cible existant. Suivant. Et maintenant ici je vais pouvoir cocher cette case ici là, Contrôleur de domaine en lecture seule (RODC). Le site auquel il appartient, je n'en ai q'un pour l'instant, donc, je n'ai pas d'autres choix que de sélectionner le seul qui existe. Et puis le mot de passe encore une fois pour la restauration des services d'annuaire de ce contrôleur de domaine. Alors, le mot de passe complexe, bien sûr, Suivant, Et maintenant je vais pouvoir ici ajouter un compte administrateur délégué, donc, une personne à qui je vais déléguer par exemple l'administration de ce serveur. Là, je peux le fournir après. Les comptes autorisés à répliquer les mots de passe RODC c'est un groupe qui s'appelle Groupe de réplication dont le mot de passe RODC est autorisé. Tous les utilisateurs de ce groupe, leur mot de passe sera autorisé à être répliqué sur ce nouveau contrôleur de domaine en lecture seule. Et les comptes non autorisés, bien sûr, à répliquer les mots de passe pour le RODC on retrouve tous les groupes notamment un peu sensibles, les groupes administrateurs, les opérateurs de sauvegarde, les opérateurs de compte, un groupe spécifique qui s'appelle Groupe de réplication dont le mot de passe RODC est refusé. Donc, Suivant. Est-ce que je veux installer à partir d'un support de sauvegarde nom et d'où je vais lancer ma première réplication ? Et là comme j'ai déjà deux contrôleurs de domaine, alors soit je prends n'importe quel des deux contrôleurs de domaine, soit je peux spécifier explicitement l'un des contrôleurs de domaine que je vais vouloir choisir, que je vais préférer tout simplement pour la réplicationn initiale de ce nouveau contrôleur de domaine en lecture seule, donc, Suivant. L'emplacement des fichiers pour les bases de données, les fichiers journaux de ma base Active Directory et le dossier SYSVOL parce que malgré tout mon contrôleur de domaine même s'il est en lecture seule, il va contenir quand même le dossier SYSVOL. Petit résumé, encore une fois comme précédemment le petit script PowerShell que je peux ici en cliquant sur Afficher le script sauvegarder, alors, on va faire comme précédemment, on va conserver ce petit fichier. Encore une fois, c'est du PowerShell, alors voyez, je retrouve tout simplement tout ce que j'ai enseigné. Alors si on prend un petit peu plus ce qu'il y a, le groupe qui autorise la réplication, les comptes dont je n'autorise pas la réplication et je retrouve notamment le groupe dont le mot de passe est refusé. Et est-ce que c'est un contrôleur de domaine en lecture seule ? Oui, ReadOnlyReplica. Donc, je retrouve l'ensemble des options que j'ai pu spécifer tout au long de cet assistant, et je n'ai pu qu'à faire Suivant. Encore une fois vérification de la configuration requise et Installer. Et à partir du moment où l'assistant aura terminé l'installation de ce nouveau contrôleur de domaine, celui-ci va redémarrer, bien sûr, pour valider l'ensemble des modifications liées notamment à la configuration des services d'annuaire Active Directory. Et lorsque ce contrôleur de domaine va redémarrer vous pourrez ouvrir une session, bien sûr. Soit avec le compte avec lequel vous avez explicitement délégué l'administration, donc, celui je n'ai pas renseigné, voyez. Donc, on va être deconnecté, puisque le serveur va être redemarré, soit avec le compte administrateur, bien sûr, du domaine. Un potentiellement ou un compte avec lequel vous avez explicitement accordé cette autorisation. Voilà, donc pour l'installation du contrôleur de domaine en lecture seule. Mon serveur est en cours de redémarrage ici, donc, lorsque celui-ci aura redémarré, je pourrai ouvrir une session localement sur cette machine.

Windows Server 2016 : Les stratégies de groupe et l'Active Directory

Prenez en main les services de ​l’annuaire Active Directory et les stratégies de groupe dans Windows Server. Paramétrez, analysez et diagnostiquez les stratégies de groupe, etc.

3h54 (37 vidéos)
Aucun commentaire n´est disponible actuellement
 

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !