Tutos, news et aides informatiques

Publié le par Publié dans WINDOWS

Description : Cette procédure décrit comment l’administrateur d’un domaine peut installer et configurer un contrôleur de domaine en lecture seule (RODC). Lorsque votre compagnie possède plusieurs sites distants qui utilisent des contrôleurs de domaine situés au siège pour s’authentifier, il est possible de leur déployer un contrôleur de domaine en lecture seule sur chaque site afin d’améliorer les processus d’authentification, tout en sécurisant l’accès aux données du domaine. Les RODC ne peuvent être administré en vue d’inscrire des données dans l’annuaire de votre domaine. En cas de vol du contrôleur de domaine sur un site distant, il est possible protéger les comptes d’utilisateurs en forçant la modification de leur mot de passe si la stratégie de réplication de mot de passe a été activé.

 

Pré-requis :

 

  • Avoir au moins un contrôleur de domaine en écriture actif
  • Avoir des droits d’administration sur les deux serveurs

Installer le contrôleur de domaine en lecture seule :

 

1 – Connectez-vous au serveur Windows Server 2008 avec une « Connexion bureau à distance » :

 

2 –  Lancez une fenêtre « Exécuter » et tapez « dcpromo » puis cliquez sur « OK » :

3 – Puis patientez :

 

 

4 – Dans la page « Assistant installation des services AD DS », cliquez sur « Suivant » :

5 – Dans la page « Compatibilité du système d’exploitation », cliquez sur « Suivant » :

 

 

6 – Cliquez sur « Forêt existante » et cliquez sur « Ajouter un contrôleur de domaine… » :

7 – Tapez le nom du domaine que vous souhaitez joindre et cliquez sur « Suivant » :

8 – Sélectionnez le domaine à joindre puis cliquez sur « Suivant » :

9 – Sélectionnez le site à joindre puis cliquez sur « Suivant » :

 

10 – Cochez la case « Contrôleur de domaine en lecture seule (ROCD) » puis cliquez sur « Suivant » :

11 – Cliquez sur « Oui, l’ordinateur utilisera une adresse IP attribuée dynamiquement… » :

 NB : Cette fenêtre apparait lorsque vous avez activer IPV6 sur l’une de vos cartes réseaux.

 

12  – Dans la page « Délégation de l’installation et de l’administration… », cliquez sur « Suivant » :

NB : Cette étape permet de déléguer des droits administratifs à une équipe technique du site distant afin de pouvoir administrer un minimum le RODC pour y effectuer des tâches d’administration locale.

13 – Cliquez sur « Suivant » :

 NB : A cette étape, il est recommandé de modifier les chemins par défaut afin que la base de données, les journaux et le dossier SYSVOL soient stockés sur une partition distincte et différentes de la partition système du serveur.

14 – Tapez un mot de passe administrateur pour la restauration et cliquez sur « Suivant » :

15 – Cliquez sur « Suivant » :

 

16 – Patientez pendant l’installation du contrôleur de domaine RODC :

17 – Cliquez sur « Terminer » et redémarrer le serveur :

 

 

Configurer la stratégie de réplication de mot de passe d’un RODC :


1 – Connectez-vous au serveur Windows Server 2008 avec une « Connexion bureau à distance » :

2 – Ouvrez le composant logiciel enfichable « Utilisateur et ordinateur Active Directory » :

3 – Sélectionnez le conteneur « User » pour apercevoir les groupes de réplication RODC :

 

4 – Par défaut, personne n’est membre du groupe «  Groupe de réplication dont le mot de passe RODC est autorisé » :

5 – Par défaut les groupes suivants appartiennent au groupe « Groupe de réplication dont le mot de passe RODC est refusé » :

 

 

 

6 – Ajoutez le groupe « DnsAdmins » au groupe de réplication dont le mot de passe est refusé :

7 – Sélectionnez l’OU « Domain Controllers » pour voir que le type du serveur est bien en lecture seule :

8 – Double cliquez sur le serveur RODC puis cliquez sur l’onglet « Stratégie de réplication de mot de passe » :

 

 

9 – Cliquez sur le bouton « Ajouter » de l’onglet « Stratégie de réplication de mot de passe » :

10 – Cochez la case « Autoriser la réplication des mots de passe… » , puis cliquez sur « OK » :

 

11 – Tapez le nom de l’utilisateur ou du groupe à autoriser en cache, puis cliquez sur « OK » :

NB : Les utilisateurs ou groupes que vous allez sélectionner à cette étape auront leur mot de passe mis en cache dans le contrôleur de domaine en lecture seule (RODC).

12 – Le groupe est ensuite ajouté à la PRP en « Autorisé » la mise en cache :

 

 NB : PRP = Password Replication Policy ou Stratégie de Réplication des mots de passe

 

Contrôler la mise en cache des informations :


1 – Se connecter au RODC avec un des comptes d’utilisateurs appartenance à un groupe autorisé à être en cache sur le RODC :

2 – Ouvrez le composant logiciel enfichable « Utilisateur et ordinateur Active Directory » :

3 – Sélectionnez l’OU « Domain Controllers » et double cliquez sur le RODC :

4 – Cliquez sur l’onglet « Stratégie de réplication de mot de passe » :

5 – Cliquez sur le bouton « Avancé… » :

6 – L’onglet « Utilisation de la stratégie » permet d’afficher les comptes stockés en cache ou ayant ouvert une session sur un RODC :

 

Pré remplir les informations de mot de passe dans le cache du RODC :


1 – Connectez-vous au serveur Windows Server 2008 avec une « Connexion bureau à distance » :

2 – Ouvrez le composant logiciel enfichable « Utilisateur et ordinateur Active Directory » :

3 – Sélectionnez l’OU « Domain Controllers » et double cliquez sur le RODC :

4 – Cliquez sur l’onglet « Stratégie de réplication de mot de passe » :

5 – Cliquez sur le bouton « Avancé… » :

6 – Cliquez sur le bouton « Pré remplir les mots de passe… » :

 

 

7 – Tapez le nom du compte que vous souhaitez mettre en cache et cliquez sur « OK » :

8 – Cliquez sur « Oui » pour confirmer les informations envoyées au RODC :

9 – Cliquez sur « OK » une fois que les informations de mot de passe sont pré remplis :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.