Catégories
Expert Windows Server 2012 / R2 Windows Server 2016 Windows Server 2019

Voir le niveau fonctionnel d’une forêt et d’un domaine Active Directory

Lorsque l’on crée une forêt et/ou un domaine Active Directory, on doit choisir un niveau fonctionnel pour la forêt et le domaine. Ces niveaux se définissent durant la configuration du nouveau domaine AD et on les choisit en fonction des postes clients qui se connecteront à ce contrôleur de domaine.

Ce niveau fonctionnel de la forêt et du domaine peut être augmenté pour bénéficier de fonctionnalités plus récentes ou simplement homogénéiser l’ensemble des contrôleurs de domaine d’un arbre ou d’une forêt. La forêt étant le niveau hiérarchique supérieur au domaine, pouvant rassembler plusieurs domaines au sein d’une même organisation.

Ce tutoriel explique deux méthodes pour connaître le niveau fonctionne d’un domaine Active Directory et d’une forêt Active Directory. La première utilise les outils mis à disposition par Microsoft sur Windows Server, l’autre est une simple commande PowerShell pour obtenir cette même information. Dans les deux cas, ce guide détaille uniquement comment afficher le niveau fonctionnel d’un domaine AD, il n’explique pas comment le mettre à jour vers un niveau supérieur. Si vous êtes administrateur réseau dans une entreprise ou dans une filiale qui fait partie d’un groupe, les informaticiens de la maison mère vous demanderont peut-être quel est le niveau fonctionne de votre domaine. En suivant ce tuto, vous pourrez leur fournir cette information. Cela fonctionne sur toutes les versions de Windows Server, tant que cette machine (virtuelle ou physique) est un contrôleur de domaine : Windows Server 2003 / R2, 2008 / R2, 2012 / R2, 2016, 2019.

 

Vérifier le niveau fonctionnel d’un domaine Active Directory

1. Ouvrir les Outils d’administration de Windows Server.

2. Ouvrir Domaines et approbations Active Directory

3. Faire un clic droit sur le nom du domaine et choisir Propriétés.

4. Dans les propriétés du domaine, sont indiqués :

  • Niveau fonctionnel du domaine
  • Niveau fonctionnel de la forêt

 

Vérifier le niveau fonctionnel d’une forêt Active Directory

Même principe pour connaitre le niveau fonctionnel d’une forêt AD, le niveau hiérarchique supérieur d’un ou de plusieurs domaines indépendants.

1. Aller dans les Outils d’administration, icône Domaines et approbations Active Directory.

2. Clic droit sur le domaine, Propriétés.

3. Voir le Niveau fonctionnel de la forêt indiqué sous celui du domaine.

 

Voir le niveau fonctionnel Active Directory en PowerShell

1. Ouvrir une console Windows PowerShell.

2. Taper la commande suivante pour connaitre le niveau fonctionnel du domaine :

 (Get-ADDomain).DomainMode

3. Le résultat indique immédiatement le niveau fonctionnel du domaine :

4. Taper cette commande pour le niveau fonctionnel d’une forêt AD :

(Get-ADForest).ForestMode
Catégories
Expert

Dropbox Active Directory Connector

Réservé aux comptes Dropbox Business et Enterprise, la synchronisation des comptes d’utilisateurs entre Active Directory et Dropbox est possible via le connecteur spécialement conçu par l’entreprise de stockage cloud. Pour éviter d’avoir à créer des dizaines ou des centaines de comptes sur l’interface web Dropbox, la récupération automatique des collaborateurs est possible avec Dropbox AD Connector afin de faciliter la mise en place de l’outil et de gérer les modifications ultérieures de comptes (embauche d’un nouveau salarié, par exemple).

Ce guide présente le fonctionnement du connecteur Active Directory pour Dropbox, donne un lien pour le télécharger et explique comment le configurer. Ce logiciel gratuit est compatible Windows Server 2008 R2, 2012 / R2 et 2016.

 

Présentation de Dropbox AD Connector

Le connecteur Active Directory permet le provisionnement des utilisateurs et des groupes dans Dropbox. Il ne prend pas en charge les mots de passe ni l’authentification unique Single Sign-On (SSO), il s’agit de récupérer la liste des utilisateurs, authentifiés par leur adresse de messagerie.

Le connecteur AD Dropbox est à sens unique : les informations vont de AD vers Dropbox mais pas dans le sens inverse. Ainsi, les modifications apportées dans Dropbox se seront pas remontées dans l’Active Directory.

 

Télécharger Dropbox AD Connector

Le programme au format MSI se télécharge sur cette page du support Dropbox Business. Son téléchargement est gratuit mais il est nécessaire de disposer d’un abonnement Dropbox Business ou Enterprise pour l’utiliser.

 

Installer Dropbox AD Connector

Le connecteur Active Directory pour Dropbox doit s’installer sur un OS Windows uniquement. Soit sur le contrôleur de domaine lui-même, soit sur un serveur membre qui dispose au moins d’un accès en lecture seule à l’annuaire Active Directory. Un serveur RODC (Read Only Domain Controller) est donc compatible avec l’outil Dropbox, si l’on préfère éviter d’installer un logiciel tiers sur un DC.

Le logiciel s’installe comme un programme habituel et deux icônes sont mises en place sur le Bureau : Configure AD Connector et Run AD Connector.

 

Configurer Dropbox AD Connector

1. Ouvrir l’outil Configure AD Connector (icône classique Dropbox).

2. Renseigner les informations demandées :

  • Setup : OAuth2 DfB Token
  • AD Sync Users : User Directory : par exemple CN=????,OU=Entreprise,DC=domaine,DC=com
    et Email Attribute : EmailAddress
  • AD Sync Groups : pour synchroniser des groupes d’utilisateurs

Le jeton OAuth de l’application AD Connector se récupère sur le site Dropbox.com réservé aux développeurs (My apps > Create app) avec un compte administrateur Dropbox ou au moins avec un compte ayant l’autorisation de gestion des membres de l’équipe DBX (Permission type : Team member management).

Dropbox recommande de créer un groupe distinct pour les utilisateurs qui auront accès à un compte Dropbox (que ce soit pour toute l’entreprise ou juste pour certaines personnes). Dans le menu déroulant User Directory, une liste propose de choisir entre tous les common names et groupes qui existent dans l’AD.

 

Utiliser Dropbox AD Connector

Après chaque modification, il est conseillé de lancer un « Simulation Mode » avant de démarrer une synchronisation Active Directory sur un domaine de production.

Pour exécuter une synchro, enregistrer les paramètres de « Configure AD Connector » et exécuter « Run AD Connector » pour ensuite voir le résultat dans un fichier log et surtout dans l’interface d’administration Dropbox. Ce connecteur doit se lancer manuellement, il n’y a pas de mode automatique pour une synchronisation à intervalles réguliers.

Ces informations sont également disponibles en vidéos.

Catégories
Expert Windows Server 2016

Windows Server 2016 : créer un domaine Active Directory

Quand on crée une nouvelle société, on n’a souvent qu’un ou deux ordinateurs pour équiper les fondateurs. Mais très vite, si les embauches suivent l’activité croissante de l’entreprise, on se retrouve avec une dizaine de PC et aucun endroit pour centraliser et sécuriser les fichiers de travail. C’est ainsi qu’il faut faire appel à une société informatique pour acheter et mettre en place un serveur au sein de l’organisation.

Mais on peut aussi souhaiter faire soi-même l’installation du premier serveur de l’entreprise, avec ou sans diplôme informatique. S’il est recommandé d’être assisté par un administrateur système ou réseau, l’opération d’installation d’un serveur Windows et sa configuration peut aussi être découverte par ce mode d’emploi, explicite pour que chacun puisse le suivre et comprendre ses actions.

Aussi, ce guide peut servir de support de cours pour apprendre à installer un domaine Active Directory sur Windows Server 2016. Les étudiants en informatique peuvent ainsi se servir de ces informations pour améliorer leurs connaissances. Dans le cas d’un dossier ou d’un TP, merci de citer WindowsFacile.fr comme source de votre documentation.

Créer un réseau d’ordinateurs Windows avec un serveur (mode client-serveur) passe par l’installation d’un domaine. Chez Microsoft, le serveur Windows devient Contrôleur de domaine (DC pour Domain Controller) et le système de gestion du domaine est l’Active Directory (AD). Active Directory est l’annuaire LDAP version Microsoft, des équivalents existent (par exemple OpenLDAP sur Linux).

Sont présentées ici l’édition Standard et Datacenter, pas la version Windows Server Essentials qui diffère légèrement (dont la limitation à 25 comptes utilisateurs et 50 périphériques).

Pour bien démarrer, il faut disposer d’un serveur (physique ou virtuel), d’une licence Windows Server 2016 (le numéro de série mais aussi le setup d’installation WS2016 au format ISO par exemple), d’un DVD ou d’une clé USB pour installer le système d’exploitation et du tutoriel ci-dessous. On peut aussi consulter ces deux ebooks PDF sur WS2016.

Ce guide peut aussi être utilisé pour créer un nouveau domaine dans un environnement existant ou pour migrer un service d’annuaire Active Directory déjà en place dans l’entreprise. Ainsi, le domaine AD sera géré par la dernière version du système d’exploitation de Microsoft.

 

Installer Windows Server 2016

L’installation du système d’exploitation est très classique, comme les éditions précédentes de Windows Server et comme Windows 10. On paramètre le disque ou la partition pour installer l’OS, on renseigne la licence et on choisit la version que l’on souhaite installer : Windows Server 2016 Standard ou Datacenter, avec ou sans environnement graphique (choisir Expérience utilisateur pour avoir l’interface graphique). Il n’y a pas de différence pour ce tuto entre l’édition Standard et la Datacentre. Voir ici pour la version Nano Server sans GUI.

Suivre ce guide pour installer le système d’exploitation Windows Server 2016 à partir d’un DVD, d’une clé USB ou d’un fichier ISO sur une machine virtuelle.

 

Préparation du serveur Windows 2016

1. Au premier démarrage de WS2016, le Gestionnaire de serveur se lance automatiquement.

2. Cliquer sur « Configurer ce serveur local » pour paramétrer les informations de base.

  • Nom de l’ordinateur : donner un nom explicite au serveur, comme SERVEUR ou DC01
  • Bureau à distance (à activer pour se connecter à distance par TSE / RDP)
  • Ethernet : définir une adresse IP fixe pour ce futur contrôleur de domaine
  • Windows Update : il est recommandé d’effectuer les mises à jour avant de démarrer
  • Windows Defender (protection contre virus, logiciels malveillants et espions) ou autre antivirus à installer

3. Redémarrer la machine pour valider les modifications demandées.

 

Installer Active Directory sur Windows Server 2016

Cette opération consiste à transformer un simple système en serveur de domaine Active Directory pour qu’il devienne le premier contrôleur de domaine (DC) de l’entreprise ou de l’organisation.

1. Première étape, a priori déjà réglée : ouvrir une session en Administrateur local ou avec un compte qui fait partie des administrateurs locaux du serveur.

2. Dans le Gestionnaire de serveur, cliquer sur l’étape « 2 – Ajouter des rôles et des fonctionnalités » .

3. Choisir « Installation basée sur un rôle ou une fonctionnalité » .

4. Dans notre exemple, le serveur est le seul du réseau, sinon choisir la bonne machine dans le pool de serveurs.

5. Cocher le rôle « Services AD DS » pour Active Directory Domain Services. Remarque : les rôles DNS et DHCP seront ajoutés plus tard.

6. Valider aussi l’ajout de rôles et de fonctionnalités complémentaires, requises pour l’installation de ADDS.

7. L’écran suivant permet d’ajouter des fonctionnalités, ne rien faire et cliquer sur Suivant.

8. Vérifier le résumé de l’installation et cliquer sur « Installer » pour démarrer l’opération.

9. En laissant l’écran ouvert, à la fin du processus, on peut lire « Configuration requise. Installation réussie sur SERVEUR » et surtout la ligne « Promouvoir ce serveur en contrôleur de domaine » : c’est sur cette phrase qu’il faut cliquer pour convertir le serveur en contrôleur de domaine du réseau.

Si on a raté cet écran, on peut y accéder par le Gestionnaire de serveur, en cliquant sur l’icône « drapeau » à gauche de « Gérer » :

10. Dans notre configuration exemple, il s’agit du premier serveur d’un nouveau réseau. Choisir « Ajouter une nouvelle forêt » pour configurer un domaine neuf. Indiquer un Nom de domaine racine, par exemple domaine.local ou entreprise.local.

11. Ce nouveau serveur sera-t-il le seul de l’entreprise ? Les postes seront-ils tous en Windows 10 ? Si oui aux deux questions, on peut laisser le Niveau fonctionnel de la forêt et du domaine en Windows Server 2016. Si des serveurs ou des postes plus anciens viendront se connecter, il faut baisser les deux niveaux fonctionnels à leur équivalent serveur. Par exemple, Windows 7 équivaut à Windows Server 2008 R2. Informations TechNet.

Laisser coché l’ajout de la fonctionnalité Serveur DNS pour ajouter ce rôle et indiquer un mot de passe de récupération des services d’annuaire (DSRM). Ce mot de passe ne doit absolument pas être perdu.

12. Un message d’erreur en jaune vient alerter de la délégation du serveur DNS. Il n’y a rien à faire à ce stade, cliquer simplement sur Suivant pour continuer.

13. Nous avons précédemment choisi un nom de domaine complet (FQDN), il faut maintenant indiquer l’équivalent NetBIOS pour les anciens appareils qui ne gèrent pas les noms de domaines qualifiés. Par exemple, pour « domaine.local » on pourra choisir le NetBIOS « DOMAINE » .

14. Valider l’emplacement de la base de données AD DS, des journaux d’historique et pour SYSVOL. Laisser les dossiers proposés par défaut (NTDS et SYSVOL dans C:\Windows).

15. Un récapitulatif résume la configuration qui va être appliquée. Cliquer sur Suivant pour continuer.

16. Une dernière vérification est effectuée, des notifications sont affichées mais cliquer sur Installer pour démarrer le processus.

17. L’opération dure quelques minutes et le redémarrage de Windows prendra plus de temps que d’habitude, le temps de configurer le contrôleur de domaine.

18. La connexion à Windows doit maintenant se faire sur le domaine pour utiliser le compte Administrateur du domaine. Utiliser le mot de passe du compte Administrateur créé lors de l’installation de Windows Server 2016.

19. Il s’agit d’un nouveau profil Windows mais le Gestionnaire des tâches s’ouvre aussi automatiquement. Des blocs indiquent l’état des rôles du serveur : AD DS, DNS, Services de fichiers et de stockage. En vert, tout va bien. En rouge, pas de panique mais cliquer sur le message pour savoir de quoi il s’agit.

 

Outils d’administration

Quand on vient d’un système Windows Server 2008 / R2, on cherche d’abord les Outils d’administration pour lancer les consoles de gestion Active Directory, DNS, DHCP, etc. Mais depuis Windows Server 2012 / R2, c’est le Gestionnaire de serveur qui centralise ces fonctions. Dans la console, cliquer en haut à droite sur Outils pour accéder aux outils de gestion du contrôleur de domaine.

 

Installer le serveur DHCP

Pour connecter plus facilement des postes clients et éviter la configuration manuelle des adresses IP sur ces ordinateurs membres du domaine, il est recommandé d’utiliser le serveur DHCP du contrôleur de domaine. Les ordinateurs recevront ainsi une adresse IP automatique et des options pourront automatiquement être déployées sur les postes du réseau (passerelle, serveur de temps NTP, etc).

1. Depuis le Gestionnaire de serveur, cliquer sur l’étape « 2 – Ajouter des rôles et des fonctionnalités » .

2. Sélectionner « Installation basée sur un rôle ou une fonctionnalité » .

3. Choisir le serveur dans le pool proposé, comme lors de l’installation de l’annuaire Active Directory.

4. Cocher « Serveur DHCP » et valider les composants associés.

5. Faire Suivant à l’écran des fonctionnalités (ne pas en sélectionner) et continuer jusqu’à Installer.

6. Une discrète option « Terminer la configuration DHCP » est à cliquer pour configurer le compte Administrateur autorisé à gérer le serveur DHCP.

7. Choisir l’Administrateur principal, par exemple DOMAINE\Administrateur.

8. Valider et Fermer.

 

Configurer le serveur DHCP

L’installation du rôle DHCP ne suffit pas à activer le serveur. Voyons maintenant sa configuration.

1. Dans le Gestionnaire de serveur, cliquer sur le menu Outils puis sur DHCP.

2. Dérouler DHCP, nom du serveur, IPv4. Fare un clic droit sur IPv4 et choisir Nouvelle étendue.

3. Donner un Nom à l’étendue DHCP et une Description (optionnel).

4. Choisir une plage d’adresse IP, en fonction de l’adresse IP fixe du serveur. Si le serveur a pour adresse IP 192.168.0.1, la plage DHCP sera aussi sur le sous réseau 192.168.0. Choisir une plage plus ou moins large selon le nombre de postes et de périphériques (smartphones, tablettes) qui seront connectés. Laisser les valeurs « Longueur » et « Masque de sous-réseau » par défaut.

5. S’il y a des adresses IP à exclure de la plage sélectionnée, les indiquer sur l’écran « Ajout d’exclusions et de retard » .

6. Par défaut, la Durée du bail est de 8 jours. Modifier cette durée si nécessaire. La durée du bail est la durée pendant laquelle une adresse IP sera réservée à un appareil. Par exemple, si l’ordinateur de Michel se connecte le lundi matin, son adresse IP lui sera attribuée jusqu’au lundi suivant, même s’il ne se connecte pas. Le renouvellement se fera donc chaque semaine avec la valeur par défaut.

7. Demander la Configuration des paramètres DHCP « maintenant » .

8. Votre réseau informatique est certainement équipé d’un routeur ou d’une box pour l’accès à internet. A l’écran Routeur, indiquer l’adresse IP de ce boitier qui deviendra la passerelle par défaut des postes en DHCP. Ainsi, pas besoin de configurer chaque PC pour qu’il puisse aller sur internet.

9. L’option suivante, Nom de domaine et serveurs DNS, doit être préremplie avec le nom du domaine et l’adresse IP du serveur principal. Laisser ainsi et cliquer sur Suivant.

10. S’il y a nécessité d’indiquer un serveur WINS (du temps de Windows NT 4.0, avant Active Directory), sinon laisser vide et Suivant.

11. Valider « Oui, je veux activer cette étendue maintenant » pour commencer à utiliser le serveur DHCP.

12. Dérouler IPv4, Etendue [192.168.0.0] pour voir l’étendue créée (Pool d’adresses), les Baux (c’est-à-dire la liste des postes clients qui recevront une adresse IP automatique), les Réservations et Options précédemment configurées.

 

Créer les comptes utilisateurs du domaine

Dernière étape avant de pouvoir ajouter des PC dans le réseau nouvellement créé, il faut ajouter les comptes pour les utilisateurs du domaine.

1. Depuis le Gestionnaire de serveur, cliquer sur le menu Outils et choisir Utilisateurs et ordinateurs Active Directory (tout en bas).

2. Dérouler « domaine.local » et Users pour voir la liste des utilisateurs et des groupes qui existent déjà, par défaut dans Windows Server 2016. On notera que figure déjà le compte « Administrateur » que l’on utilise déjà.

3. Pour mieux s’en sortir et ne pas se mélanger avec les comptes intégrés, nous allons créer un dossier pour les utilisateurs de notre société (Unité d’Organisation, OU en anglais). Ce « super groupe » sera plus facile à gérer, par exemple avec des GPO.

Faire un clic droit sur le nom du domaine, Nouveau, Unité d’organisation.

4. Donner un nom à cette UO / OU, par exemple le nom de l’entreprise.

5. Ce nouveau « dossier » s’ajoute au même niveau que Users. Faire un clic droit sur la nouvelle UO (ici WindowsFacile), Nouveau, Utilisateur.

Renseigner Prénom, Nom, Nom d’ouverture de session (login) :

et préciser ensuite le mot de passe du compte. Celui-ci doit répondre aux critères de sécurité par défaut (majuscules-minuscules-chiffres-caractères spéciaux, longueur minimale). Pour les petites structures, l’option « Le mot de passe n’expire pas » évite aux utilisateurs d’avoir à changer leur mot de passe dix fois par an, donc de l’oublier ou de le noter sur un papier collé sur l’écran.

Voir ce tutoriel pour gérer ou baisser la complexité des mots de passe Active Directory.

 

Et ensuite ?

Le serveur en Windows 2016 est maintenant installé et opérationnel. D’autres ajustements sont possibles, comme une gestion du DHCP, créer et appliquer des GPO pour gérer les postes, centraliser les mises à jour par WSUS, etc.

Mais la priorité est maintenant de joindre des postes clients au serveur pour constituer un vrai réseau en mode client – serveur. Lire ce guide pour ajouter des ordinateurs Windows 10 à un domaine Active Directory.

 

Catégories
Expert

Impossible de renommer un PC Windows membre d’un domaine Active Directory

Pour attribuer un poste à un autre salarié, dans un autre service ou simplement modifier son identifiant sur le réseau, il est facilement faisable de renommer un ordinateur Windows. Si le procédé ne pose aucun problème dans un réseau de type Workgroup, il se peut que le changement du nom d’un poste membre d’un domaine soit impossible, avec un message d’erreur à la clé. Ce souci existe depuis Windows 2000 et l’arrivée d’Active Directory, le service d’annuaire LDAP de Microsoft, et ne s’explique pas forcément. Cependant, il persiste en Windows Server 2008, 2012 et même 2016. Voici comment procéder pour renommer un ordinateur Windows qui est membre d’un domaine AD.

Si vous ne rencontrez aucun problème pour modifier le nom de l’ordinateur qui est membre d’un domaine, alors inutile de suivre ce guide qui ne s’adresse aux personnes qui rencontrent un message d’erreur lors du renommage d’un poste de travail ou d’un serveur membre.

Ce tutoriel a été réalisé sous Windows 10 Professionnel mais les versions précédentes sont aussi concernées, pour peu que ce soient des éditions Professionnel de Windows (2000, XP, Vista, 7 et 8).

 

Modifier le nom d’un ordinateur membre d’un domaine Active Directory

1. Sur Windows 10, faire un clic droit sur le bouton Démarrer et choisir Système. Sur toutes les versions de Windows, appuyer sur les touches Windows + Pause pour ouvrir les Propriétés du système d’exploitation.

2. A droite, cliquer sur « Modifier les paramètres » :

3. Cliquer sur « Modifier » .

4. Passer de Domaine à « Groupe de travail » en indiquant « WORKGROUP » par exemple.

5. Renseigner un compte Administrateur AD ou un utilisateur ayant les droits sur le domaine.

6. Redémarrer l’ordinateur.

7. Retourner dans les Propriétés système de Windows et Modifier les paramètres.

8. Modifier le nom de l’ordinateur :

9. Redémarrer l’ordinateur.

10. Aller une dernière fois dans les Propriétés système du poste Windows et Modifier les paramètres.

11. Rejoindre à nouveau le domaine Active Directory en indiquant un compte autorisé à le faire.

12. Redémarrer l’ordinateur.

Le poste a changé de nom et fait à nouveau partie du domaine Active Directory.

Catégories
Expert Sécurité Tutoriel Windows Server 2012 / R2

Windows Server : mots de passe des utilisateurs Active Directory

La gestion d’un réseau informatique passe entre autres par la configuration de mots de passe pour les comptes d’utilisateurs. La complexité des mots de passe est nécessaire pour éviter les classiques « password » ou « 123456 » trop faciles à deviner. Ce tutoriel explique, pour Windows Server 2000, 2003, 2008 / R2 et 2012 / R2, comment gérer les paramètres de sécurité des comptes Active Directory pour que les utilisateurs choisissent un mot de passe « fort » et ainsi éviter le piratage de comptes.

 

Sécurité des mots de passe avec Windows Server 2000 et 2003

Les paramètres de sécurité des mots de passe Active Directory se gèrent dans Outils d’administration et Stratégie de sécurité du domaine (à ne pas confondre avec la sécurité du contrôleur de domaine qui ne concerne que les comptes locaux du serveur lui-même).

 

Sécurité des mots de passe avec Windows Server 2008 / R2

Windows Server 2008 / R2 nécessite de se rendre dans les Outils d’administration, Gestion des stratégies de groupe (ou GPMC.msc). Les GPO peuvent s’appliquer au domaine, aux unités d’organisation (OU), aux groupes, etc.

1. Dérouler Gestion de stratégie de groupe, Forêt, Domaines, nom du domaine.

2. Clic droit et Modifier sur Default Domain Policy, cela ouvre l’Editeur de gestion des stratégies de groupe.

3. Dérouler Configuration ordinateur, Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de comptes, Stratégie de mot de passe.

4. On peut ainsi configurer :

  • Nombre de mots de passe à garder en historique : pour éviter que les utilisateurs reprennent les mêmes
  • Durée de vie minimale et maximale du mot de passe : expiration automatique du mot de passe
  • Exigence de complexité du mot de passe : un mot de passe « fort » se doit de mélanger majuscules, minuscules, chiffres et caractères spéciaux, le tout ayant plus de X caractères
  • Longueur minimale : fixer le nombre de caractères minimum que les mots devront avoir

5. Fermer les fenêtres et appliquer les modifications avec un gpupdate /force dans un Invite de commandes ou dans la console Exécuter.

 

Sécurité des mots de passe avec Windows Server 2012 / R2

Windows Server 2012 / R2 a un nouveau Gestionnaire de serveur. Ouvrir le menu Outils, Gestion des stratégies de groupe (ou GPMC.msc).

1. Dans la Gestion de stratégie de groupe, dérouler la Forêt, Domaines, nom du domaine.

2. Clic droit et Modifier sur Default Domain Policy, cela ouvre l’Editeur de gestion des stratégies de groupe.

3. Dérouler Configuration ordinateur, Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de comptes, Stratégie de mot de passe.

4. Les différentes stratégies qui peuvent s’appliquer :

  • Conserver l’historique : pour empêcher les utilisateurs d’utiliser plusieurs fois le même mot de passe
  • Durée de vie minimale et maximale du mot de passe : délai minimum entre deux changement et expiration automatique
  • Exigence de complexité : il est conseillé de mélanger majuscules, minuscules, chiffres et caractères spéciaux
  • Longueur minimale : par défaut, un mot de passe doit comporter au moins 7 caractères

5. Après l’activation ou la désactivation de ces stratégies, fermer les fenêtres et appliquer les modifications par un gpupdate /force (dans un Invite de commandes ou via la console Exécuter).

Catégories
Expert Tutoriel Windows Server 2012 / R2

Windows Server 2012 / R2 : installer Active Directory

Installer un Windows Server 2012 est utile si l’on souhaite créer un domaine pour mettre en réseau des postes de travail. Ce serveur deviendra donc contrôleur de domaine, un rôle minimum qu’il convient de bien configurer. Dans le cas de l’unique serveur d’une petite entreprise, ce contrôleur de domaine aura les rôles de serveur Active Directory, serveur DNS et serveur DHCP.

Ce tutoriel, bien que destiné aux experts techniques, a été rédigé de manière à ce que tout le monde comprenne et arrive à installer Windows Server 2012. La configuration proposée conviendra à la plupart des petits réseaux, que ce soit pour votre entreprise, association, groupe de travail ou même pour essayer chez soi à la maison.

Pour essayer sans acheter, il est possible de télécharger gratuitement la version complète de Windows Server 2012 en Français sur cette page. (choisir le fichier ISO puis le graver). Microsoft limite l’utilisation à 180 jours, ce qui laisse largement le temps de tester leur dernier système d’exploitation serveur.

Le même guide pour Windows Server 2016 se trouve sur cette page.


 

Installer Windows Server 2012 / R2

L’installation du système d’exploitation est très classique et ressemble bien sûr à celle de Windows 8. Les différents écrans sont aussi très proches de Windows Server 2008/R2.

Le premier démarrage se fait sur l’écran Gestionnaire de serveur (Server manager en Anglais). Le design est très différent des anciennes versions de Windows Server mais les fonctions sont conservées, voire améliorées.

1. Cliquer sur (1) Configurer ce serveur local.

2. Changer le Nom de l’ordinateur : cliquer sur le nom par défaut (WIN-xxx) pour le modifier.

3. Attribuer une Adresse IP fixe : cliquer sur « Adresse IPv4 attribuée par DHCP » de la ligne Ethernet et définir une IP fixe + passerelle + DNS pour ce serveur.

4. Si besoin, activer le Bureau à distance.

5. Windows Update : mises à jour de sécurité Windows Server 2012, Internet Explorer 10, .NET Framework 4.5, etc.

6. Redémarrer le serveur (méthode similaire à Windows 8 via la barre des charmes).

 

Installer le rôle Active Directory pour en faire un contrôleur de domaine

Windows Server 2012 permet de gérer les rôles et fonctionnalités des autres serveurs de notre réseau. Nous n’avons pour l’instant aucun autre serveur donc cette installation ne concernera que notre futur contrôleur de domaine.

1. Depuis le Gestionnaire de serveur, cliquer sur l’étape (2) Ajouter des rôles et des fonctionnalités.

2. Sélectionner le type d’installation « Installation basée sur un rôle ou une fonctionnalité » .

3. Notre serveur est le seul du réseau, le choisir dans le Pool de serveurs.

4. Cocher le rôle Services AD DS / Active Directory Domain Services.

Sont précisés les rôles et fonctions qui sont associées à l’AD DS : les accepter.

5. L’écran suivant permet d’ajouter des fonctionnalités, ne rien choisir et faire simplement Suivant.

6. Indiquer que le serveur peut automatiquement redémarrer si nécessaire et cliquer sur « Installer » .

7. Etape importante et facile à oublier : cliquer sur « Promouvoir ce serveur en contrôleur de domaine » sinon le domaine ne sera pas créé. Les anciens connaissent la commande dcpromo mais autant continuer d’utiliser cet assistant.

8. Choisir l’opération de déploiement « Ajouter une nouvelle forêt » et lui donner un nom de domaine racine, « ad2012.local » par exemple. Les autres choix concernent l’ajout de contrôleur de domaine supplémentaire dans une forêt ou un domaine existant, pour rajouter un DC supplémentaire.

9. Une nouvelle forêt avec un nouveau domaine seront donc créés. Il faut ici choisir leur niveau fonctionnel, par défaut sur « Windows Server 2012 / R2 » . Ce choix va dépendre des ordinateurs qui composeront votre réseau, on peut laisser 2012 si tout est en Windows 8 ou supérieur mais mieux vaut descendre en « Windows Server 2008 R2 » si le parc informatique est aussi composé de Windows 7. Informations TechNet.

Laisser coché l’ajout de la fonctionnalité Serveur DNS et indiquer un mot de passe de récupération des services d’annuaire (DSRM).

10. Une erreur apparait sur l’écran suivant. Pas de panique, ce message survient car aucun serveur DNS n’est installé sur la machine. On clique simplement sur Suivant pour le créer.

11. Indiquer un nom NetBIOS au domaine, par exemple « AD2012 » .

12. Laisser les valeurs de l’écran suivant par défaut (NTDS et SYSVOL).

13. L’installation est prête et un récapitulatif est affiché pour vérifier la configuration. L’assistant donne même un script PowerShell pour ces manipulations (« Afficher le script »).

14. Une vérification système est effectuée, cliquer sur Installer.

15. Le serveur redémarre automatiquement.

16. Le login se fait maintenant sur le domaine, ici AD2012\Administrateur.

Le Gestionnaire de serveur s’ouvre automatiquement, des boites résument l’état de santé des rôles AD DS, DNS, Services de fichiers et de stockage, Serveur local et Tous les serveurs. En vert, tout va bien.

 

Outils d’administration

Tous ceux qui ont déjà installé et utilisé un serveur Windows connaissent les outils d’administration. Ce menu permet d’accéder aux consoles de gestion Utilisateurs et ordinateurs Active Directory, Gestion des stratégies de groupes, DNS, DHCP, Sauvegarde Windows Server, etc.

Si les icônes les plus courants sont copiés sur le bureau « Modern UI » de Windows Server 2012, tous les outils d’administration se trouvent depuis le Gestionnaire de serveur, en cliquant sur Outils en haut à droite.

 

Installer le serveur DHCP

Le serveur DHCP est quasiment un pré-requis pour un contrôleur de domaine sur un petit réseau. Il sert à donner des adresses IP aux ordinateurs qui seront connectés au serveur, pratique pour ne pas avoir à configurer le réseau de chaque poste.

1. Depuis le Gestionnaire de serveur, cliquer sur l’étape 2 Ajouter des rôles et des fonctionnalités.

2. Sélectionner le type d’installation « Installation basée sur un rôle ou une fonctionnalité » .

3. Notre serveur est le seul du réseau, le choisir dans le Pool de serveurs. On remarque que notre serveur est maintenant identifié par son nom complet, par exemple SRV2012.ad2012.local.

4. Cocher le rôle Serveur DHCP et valider les composants associés.

5. Ne choisir aucune fonctionnalité supplémentaire, cliquer sur Suivant jusqu’à l’étape de confirmation avant installation.

6. Une fois encore, une petite option discrète permet de finaliser l’installation du nouveau rôle. Cliquer sur « Terminer la configuration DHCP » .

7. Laisser le choix par défaut sur le compte Administrateur et Valider.

Une nouvelle boite apparait dans le Gestionnaire de serveur : DHCP.

 

Configurer le serveur DHCP

Si les rôles AD DS et DNS sont déjà fonctionnels en l’état, il faut configurer manuellement le serveur DHCP pour accueillir des postes clients.

1. Ouvrir le serveur DHCP (soit par Outils du Gestionnaire de serveur, soit par l’icône du bureau « moderne ».

2. Dérouler DHCP, srv2012.ad2012.local, IPv4 et faire un clic droit sur IPv4, Nouvelle étendue.

3. Donner un nom et une description (optionnel).

4. Entrer la plage d’adresses IP de l’étendue DHCP, c’est-à-dire l’étendue d’adresses IP qui seront attribuées aux postes.

5. On peut ensuite exclure certaines adresses IP (optionnel).

6. La durée du bail est de 8 jours par défaut. Un même ordinateur recevra la même adresse IP s’il se connecte au moins une fois par semaine, le cas échéant elle sera disponible pour quelqu’un d’autre.

7. Demander la configuration immédiate des options.

8. Votre réseau informatique utilise très certainement un (modem-) routeur pour se connecter à internet. On peut indiquer son adresse IP pour que les postes clients reçoivent automatiquement cette information.

9. L’option suivante, Nom de domaine et Serveurs DNS, doit automatiquement être remplie des bonnes informations : Domaine parent = votre DNS ad2012.local et adresse IP de votre serveur.

10. Dans l’écran suivant, préciser un serveur WINS si besoin. Pour information, WINS date de Windows NT 4.0 et est l’ancêtre d’Active Directory. Depuis Windows 2000, Microsoft conseille d’utiliser le DNS dynamique d’Active Directory à la place de WINS. WINS est au nom NetBIOS ce que DNS est au nom de domaine FQDN. On peut donc laisser cet écran vide.

11. Demander l’activation immédiate de cette étendue DHCP.

Dérouler le serveur DHCP sous IPv4, Etendue [192.168.0.0] pour voir l’étendue créée (Pool d’adresses), les Baux (c’est-à-dire les postes clients qui ont reçu une IP automatique : pas encore!), les Réservations et Options configurées précédemment.

 

Créer un compte utilisateur Active Directory

Dernière étape avant de connecter un ordinateur à notre serveur, il faut créer un ou plusieurs comptes d’utilisateurs.

1. Ouvrir la console Utilisateurs et ordinateurs Active Directory (soit par Outils du Gestionnaire de serveur, soit par l’icône du bureau « moderne ».

2. Dérouler ad2012.local, Users pour voir les comptes par défaut. On utilise déjà l’un d’entre eux : Administrateur. Toutes les autres lignes « Administrateur… » sont des groupes de sécurité.

4. Pour ne pas s’emmêler les pinceaux et mieux gérer son réseau, il est conseillé de créer une Unité d’organisation dédiée à votre parc informatique. Ce « super groupe » permet une gestion bien meilleure des comptes utilisateurs, des ordinateurs reliés au domaine pour y appliquer des stratégies de sécurité (GPO).

Faire un clic droit sur ad2012.local à gauche, Nouveau, Unité d’organisation.

5. Indiquer un nom à cette UO, par exemple le nom de votre société. Un nouveau « dossier » est créé au même niveau que Computers et Users.

6. Faire un clic droit sur cette UO Société, Nouveau, Utilisateur.

7. Indiquer les informations du compte utilisateur, généralement le prénom, le nom et le nom d’ouverture de session (login) de vos utilisateurs/employés. Cliquer sur Suivant.

8. Indiquer deux fois le mot de passe de cet utilisateur, celui-ci doit répondre aux exigences de sécurité par défaut (majuscules-minuscules-chiffres-caractères spéciaux, longueur minimale). Pour les petites structures, l’option « Le mot de passe n’expire pas » évite aux utilisateurs de modifier leur mot de passe dix fois par an, donc de l’oublier ou de le noter sur un Post it.

 

Voilà, vous savez maintenant installer et configurer les bases d’un serveur Windows 2012 !