Table des matières

Introduction…………………………………………………………………... 2
Chapitre 1 : Déploiement et gestion de Windows Server……………………. 3
1.Éditions de Windows Server……………………………………………….. 3
2.Configuration minimale requise……………………………………………..4
3.Qu'est-ce que l'installation minimale………………………………………...4
4. Installation de Windows Server Standard…………………………………...5
5.Rôles et fonctionnalités de Windows Server………………………………. 14
6.La configuration réseau du serveur Windows………………………………19
Chapitre 2 : Présentation des services de domaine Active Directory…………21
1.Introduction………………………………………………………………….21
2.Structure ADDS……………………………………………………………..21
3.Que sont les domaines AD DS………………………………………………22
4.Que sont les unités d'organisation…………………………………………...23
5.Qu'est-ce qu'une forêt AD DS……………………………………………….24
6.Qu'est-ce qu'un contrôleur de domaine……………………………………...25
7.Qu'est-ce que le catalogue global……………………………………………26
8.Processus de connexion AD DS……………………………………………..28
9.Installation d'un contrôleur de domaine……………………………………..28
10.Gestion des objets AD DS……………………………………………… 30
Chapitre 3 : Automatisation de l'administration des domaines de services Active
Directory……………………………………………………………………….35
1.Qu'est-ce que les commandes DS……………………………………………35
2.Utilisation de Windows PowerShell pour l'administration d'AD DS………..36
Chapitre 4 : Implémentation du protocole DHCP (Dynamic Host Configuration
Protocol)………………………………………………………………………..39
1.Introduction…………………………………………………………………..39
2.Installation d'un rôle Serveur DHCP…………………………………………39
3.Comment le protocole DHCP alloue des adresses IP………………………...42
4.Définition d'un agent de relais DHCP………………………………………..43
5.Configuration des étendues DHCP…………………………………………...44
6.Qu'est-ce qu'une réservation DHCP………………………………………….45
7.Gestion d'une base de données DHCP………………………………………..47
8.Sauvegarde et restauration d'une base de données DHCP……………………47
Chapitre 5 : Implémentation du système DNS (Domain Name System)………50
1.Zones et enregistrements DNS……………………………………………….50
2.Résolution des noms DNS Internet…………………………………………..51
3.Que sont les requêtes DNS…………………………………………………...52
4.Installation du rôle Serveur DNS…………………………………………….53
5.Gestion des zones DNS………………………………………………………54

1
6.Outils et commandes………………………………………………………...55
Chapitre 6 : Implémentation d'une stratégie de groupe GPO…………………56
1.Introduction………………………………………………………………….57
2.Composants de la stratégie de groupe……………………………………….57
3.Stockage des objets de stratégie de groupe de domaine……………………..58
4.Traitement d'une stratégie de groupe………………………………………...58
5.Application des objets de stratégie de groupe………………………………..59
Bibliographie…………………………………………………………………...60

2
 1. Introduction

Microsoft Windows Server est le système d’exploitation serveur de Microsoft. En

quelque sorte, il s’agit d’une version améliorée du système Windows que vous
connaissez sûrement, installé par défaut sur une grande majorité des ordinateurs
du commerce. Pour permettre de simplifier la gestion de services applicatifs et
réseaux. Avec Windows Server, l’objectif est de fournir des services à de
nombreux autres équipements.
La popularité de la nouvelle version de Windows (Windows NT) dans le domaine
de l’entreprise pousse Microsoft à continuer d’investir dans ce domaine. En 2003
arrive en fin la première version de Windows Server (Windows Server 2003).
Cette version marque un tournant dans la conquête de l’entreprise par Microsoft.
Ce sera une version massivement adoptée en entreprise. Se suivent alors,
régulièrement, de nouvelles versions de ce système : 2008, 2012, 2016, 2019 et
2022.

3
Chapitre 1 : Déploiement et gestion de Windows Server

Dans ce chapitre, nous découvrirons les différents rôles et fonctionnalités que

vous propose le système d'exploitation Windows Server. Nous présentons
également les différentes options d'installation ainsi que les étapes de
configuration qu’on peut effectuer pendant l'installation et après le déploiement
pour assurer que les serveurs pourront commencer à fonctionner dans le rôle qui
leur a été attribué. Nous apprenons également l’utilisation de Windows
PowerShell® pour effectuer des tâches d'administration courantes dans Windows
Server.
En résumé l’objectifs de ce chapitre est :
• Décrire Windows Server ;
• Décrire les outils de gestion disponibles dans Windows Server ;
• Installer Windows Server ;

1) Éditions de Windows Server :

Microsoft étant une société commerciale, elle se doit de commercialiser
différentes versions d’un même produit ! Pour cette mouture 2019, il existe donc
trois éditions de Windows avec des cibles différentes :

A. Windows Server 2016 Essentials : Cette édition se destine aux petites

entreprises et organisations jusqu’à 25 utilisateurs et 50 équipements. Cette
licence permet de faire fonctionner, à moindre coût (aux environs de 500€).

B. Windows Server 2016 Standard : Cette édition se destine à toute entité

n’ayant pas de forts besoins de virtualisation ou à faible densité (peu de
serveurs). Sa tarification se base sur le nombre de cœurs sur le serveur
physique (aux environs de 850 € par cœur). Il sera nécessaire de faire
l'acquisition de licences d’accès clients en plus de l’acquisition d’un poste
disposant d’une licence Windows Pro.

C. Windows Server 2016 Datacenter : Cette dernière édition est le haut de

gamme. Avec cette édition, vous pouvez créer autant de machines virtuelles
que vous le souhaitez sous Windows Server. Elle se destine aux entités ayant
de forts besoins de virtualisation, pour la mise en œuvre de centres de
données totalement gérés logiciellement. Sa tarification se base elle aussi sur
le nombre de cœurs des serveurs physiques (aux environs de 6 500 € par
cœur) et nécessite également une licence d’accès client pour chaque machine
cliente (toujours en supplément d’une licence Windows Pro).

4
2) Configuration minimale requise :

3) Qu'est-ce que l'installation minimale ?

L'installation minimale est une option d'installation utilisée pour Windows Server,
qui peut contenir des variantes de l'interface graphique utilisateur selon les
exigences. L'installation minimale peut être gérée localement à l'aide de Windows
PowerShell ou d'une interface de ligne de commande, plutôt qu'en utilisant des
outils basés sur l'interface graphique utilisateur, ou à distance à l'aide de l'une des
options de gestion à distance que nous étudierons plus tard dans le module.
L'installation minimale est l'option d'installation par défaut utilisée lors de
l'installation de Windows Server.
L'installation minimale est l'option d'installation par défaut utilisée lors de
l'installation de Windows Server. L'installation minimale présente les avantages
suivants par rapport à un déploiement traditionnel de Windows Server :
• Réduction des exigences en matière de mise à jour. Comme l'installation
minimale installe moins de composants, son déploiement exige que vous installiez
moins de mises à jour logicielles. Ceci réduit le nombre de redémarrages mensuels
et le temps de maintenance requis pour un administrateur.
• Encombrement matériel réduit. Les ordinateurs avec installation minimale
requièrent moins de RAM et moins d'espace disque. Une fois virtualisé, ceci
signifie que vous pouvez déployer plus de serveurs sur le même hôte.
Lorsque vous êtes connecté localement, vous pouvez utiliser les outils répertoriés
dans le tableau ci-dessous pour gérer les déploiements avec installation minimale
de Windows Server.

5
4) Installation de Windows Server Standard :

Nous avons choisi l’installation de la version d’évaluation, sur une machine

virtuelle sous VirtualBox, voici les étapes à suivre :
1. Récupérer l’ISO de Windows Server 2016 Standard ;
2. Créer une machine virtuelle :
• Spécifier une quantité d’espace mémoire (RAM) ;
• Créer un disque dur virtuel ;
3. Démarrer la machine virtuelle ;
4. Lancer l’installation de Windows Server 2016 Standard.

La première chose à faire est de créer une nouvelle machine virtuelle sur
VirtualBox :

6
Ensuite, vous devez affecter une certaine quantité de mémoire vive à votre
machine virtuelle pour qu’elle puisse fonctionner correctement. Plus vous allez
en affecter, plus votre machine virtuelle aura de l’espace en mémoire pour gérer
ses services. Pour le moment, restez sur 2048Mio :

7
Maintenant, vous devez spécifier un espace de stockage, qui représente le disque
dur de la machine virtuelle. Attention, cet espace doit être disponible sur votre
ordinateur (celui sur lequel vous exécutez VirtualBox). Ensemble des étapes
nécessaires à la création du disque virtuel de 100 Go avec allocation de l’espace
dynamiquement.

8
9
Voilà, une fois cette dernière étape terminée, votre machine est prête à démarrer :

Cliquez sur “Démarrer” et la première chose qui vous sera demandée est le fichier
ISO que vous avez téléchargé précédemment :

10
Après ce premier chargement, vous tombez sur un écran vous demandant de
cliquer sur “Suivant” :

11
En cliquant sur “Suivant”, vous avez enfin la possibilité de lancer l’installation,
via le bouton “Installer maintenant”.

Si vous sélectionnez le premier choix, “Windows Server 2016 Standard

Evaluation”, vous serez bien étonné de découvrir que cette option ne vous donne
pas accès à des fenêtres. Vous installez la version “Core” de Windows Server
2016 Standard. Cette version permet de réduire les éléments “superflus” chargés
au démarrage du serveur (PowerShell permet de lancer toutes les commandes
utiles et de reproduire tout ce qui peut être fait graphiquement en lignes de
commandes).
Nous choisissons « expérience utilisateur » “à la Microsoft” avec un
environnement graphique simple ; sélectionnez donc “Windows Server 2016
Standard Evaluation (Expérience utilisateur…)". Après avoir fait ce choix et
validé les avis et conditions du contrat de licence, vous arrivez sur l’écran de choix
du type d’installation :

12
Choisissez l’option “Personnalisé”, afin de maîtriser toutes les configurations de
cette installation :

13
Une fois cette personnalisation terminée, vous voici devant l’écran de connexion
de Windows Server. Identifiez-vous sur le serveur avec le mot de passe
Administrateur.

Attribution d’un mot de passe valide pour l’administrateur, c'est à dire contenant
des caractères appartenant à trois de ces quatre groupes (minuscules, majuscules,
chiffres, caractères spéciaux) et d'une longueur d'au moins 6 caractères.

Une fois terminé, vous devriez arriver sur le bureau de votre serveur. Vous
remarquez que le chargement n’est pas totalement terminé, Windows Server va
lancer automatiquement le gestionnaire de serveur :

14
5) Rôles et fonctionnalités de Windows Server :

Pour planifier correctement comment vous allez utiliser Windows Server pour
prendre en charge les exigences de votre organisation, vous devez être pleinement
conscient des rôles qui sont disponibles dans le cadre du système d'exploitation.
Chaque version de Windows Server présente un ensemble différent de rôles.
Lorsque de nouvelles versions de Windows Server sont mises sur le marché,
certains rôles sont améliorés et d'autres sont abandonnés.
Un serveur Windows va avoir dans une entreprise un (ou plusieurs) rôle(s). Ce(s)
rôle(s) peu(ven)t être de fournir/héberger des fichiers, gérer un annuaire (AD DS),
gérer des certificats (ADCS), la configuration réseau (DHCP)...
Pour être efficace, un rôle peut avoir besoin de fonctionnalités. Le rôle Serveur
Web qui va héberger vos pages web peut avoir besoin d’une fonctionnalité .Net
si vous avez besoin de développer votre application web à l’aide d’un langage
dynamique.
L’organisation d’un serveur Windows en rôles, fonctionnalités et services se fait
comme illustrée dans la figure suivante :

15
Depuis Windows Server 2008, les rôles n’ont pas beaucoup changé, la liste s’est
précisée sans avoir été fondamentalement bouleversée. Voici la liste des rôles que
vous pouvez installer sur un serveur Windows :

16
Cet outil permet d’avoir un tableau de bord permettant d’avoir rapidement l’état
de santé général de votre service. Avant de voir en détail ce tableau de bord,
remarquez la zone de démarrage rapide de l’outil :

17
Avec cette zone vous pouvez directement :
• Ajouter des rôles et des fonctionnalités (comme c’est écrit ) ;
• Ajouter d’autres serveurs à gérer (comme des serveurs Core sans interface
graphique) ;
• Regrouper vos serveurs en groupe permettant de simplifier l’administration et,
nouveauté depuis la version 2016,
• Gérer des services Cloud directement depuis cet espace !
Sous cette zone de démarrage rapide se trouve le tableau de bord. Ici, et c’est
généralement le cas systématiquement à l’installation “par défaut” d’un serveur
Windows, vous avez le rôle “Services de fichiers et de stockage” installé, et l’état
de santé de votre serveur local affiche des alertes :

Comment ajouter un rôle ?

✓ Soit en utilisant le démarrage rapide et donc en cliquant sur le 2ème item
“Ajouter des rôles et des fonctionnalités”,
✓ Soit en cliquant sur “Gérer” (enhaut à droite), puis sur “Ajouter des rôles et
fonctionnalités” :

18
Ensuite, sélectionnez le rôle qui vous intéresse parmi la liste des rôles proposés.
Avant de vous afficher la liste, le Gestionnaire de serveur va vous donner de
l’information et vous poser quelques questions, à savoir :
▪ Quelques informations sur le fonctionnement de l’assistant ;
▪ Le mode/type d’installation (basée sur un rôle, ou bureau à distance) ;
▪ Le serveur ou groupe de serveurs de destination.
Bien entendu, pour le moment pas d’histoire de bureau à distance ou
d’architecture de bureaux virtuels (VDI), mais simplement une installation basée
sur des rôles sur votre serveur local

19
6) La configuration réseau du serveur Windows :

Si votre VirtualBox est correctement configuré, on doit avoir une adresse IP, un
masque, une passerelle et un serveur DNS par défaut. Vous avez ici toutes les
informations nécessaires à la mise en réseau : Le nom de votre serveur, ici WIN-
1HOJWCE0IT, le groupe de travail, ici WORKGROUP, et sur la même ligne les
dernières mises à jour installées

Pour nommer un serveur, vous pouvez par exemple adopter une codification
telle que SRVADPAR01 pour un serveur (SRV) ayant le rôle ADDS situé à
Paris (PAR) et étant le premier serveur de ce type (01).

L’étape de Configuration de la couche TCP/IP de votre serveur consiste à cliquer

sur “Adresse IPv4 attribuée par DHCP, compatible IPv6”, vous arrivez sur la
configuration de vos interfaces réseaux.

20
21
Chapitre 2 : Présentation des services de domaine Active
Directory

1. Introduction :
Les services de domaine Active Directory® (AD DS) et les services associés
constituent une base pour les réseaux d'entreprise qui exécutent des systèmes
d'exploitation Windows®. La base de données AD DS est le magasin central de
tous les objets de domaine, tels que les comptes d'utilisateur, les comptes
d'ordinateur et les groupes. AD DS fournit un répertoire hiérarchisé interrogeable
et une méthode pour l'application de la configuration et des paramètres de sécurité
aux objets de l'entreprise. Ce chapitre traite de la structure d'AD DS et de ses
divers composants, tels qu'une forêt, un domaine et des unités d'organisation
(OU). La base de données AD DS stocke des informations sur l'identité de
l'utilisateur, les ordinateurs, les groupes, les services et les ressources. Les
contrôleurs de domaine AD DS hébergent également le service qui authentifie les
comptes d'utilisateur et d'ordinateur quand ils se connectent au domaine. Comme
AD DS stocke des informations sur tous les objets inclus dans le domaine et que
tous les utilisateurs et ordinateurs doivent se connecter aux contrôleurs de
domaine AD DS lorsqu'ils se connectent au réseau, AD DS constitue le principal
moyen vous permettant de configurer et gérer les comptes d'utilisateur et
d'ordinateur dans votre réseau.

2. Structure ADDS :
AD DS se compose à la fois de composants physiques et logiques. Vous devez
comprendre la manière dont les composants d'ADDS fonctionnent ensemble de
façon à pouvoir gérer efficacement votre réseau et contrôler à quelles ressources
vos utilisateurs peuvent accéder. En outre, vous pouvez utiliser de nombreuses
autres options AD DS, y compris l'installation et la configuration du logiciel et
des mises à jour, la gestion de l'infrastructure de sécurité, l'activation de l'accès à
distance et de DirectAccess, ainsi que la gestion des certificats.
Une des fonctionnalités d'AD DS est la fonctionnalité Stratégie de groupe qui
permet de configurer des stratégies centralisées que vous pouvez utiliser pour
gérer la plupart des objets dans AD DS. La compréhension des divers composants
AD DS est importante pour pouvoir utiliser correctement la fonctionnalité
Stratégie de groupe.
• Composants physiques : Les informations relatives à AD DS sont stockées
dans un fichier unique sur le disque dur de chaque contrôleur de domaine. Le
tableau suivant répertorie quelques composants physiques et où ils sont
stockés.

22
• Composants logiques : Les composants logiques AD DS sont des structures
utilisées pour l'implémentation d'une conception Active Directory appropriée
à une organisation. Le tableau suivant décrit certains types de structures
logiques qu'une base de données Active Directory peut contenir.

3. Que sont les domaines AD DS ?

Un domaine AD DS est un regroupement logique d'objets utilisateur, ordinateur

et groupe, effectué pour des raisons de gestion et de sécurité. Tous ces objets sont
enregistrés dans la base de données AD DS et une copie de cette base de données
est enregistrée sur chaque contrôleur de domaine dans le domaine AD DS.

23
Plusieurs types d'objets peuvent être stockés dans la base de données AD DS, y
compris des comptes d'utilisateur. Les comptes d'utilisateur fournissent un
mécanisme que vous pouvez utiliser pour authentifier puis autoriser des
utilisateurs à accéder à des ressources sur le réseau. Chaque ordinateur joint à un
domaine doit avoir un compte dans AD DS. Ceci permet aux administrateurs de
domaine d'utiliser les stratégies qui sont définies dans le domaine pour gérer les
ordinateurs. Le domaine stocke également des groupes, qui représentent le
mécanisme de regroupement d'objets pour des raisons administratives ou de
sécurité (par exemple, des comptes d'utilisateur et des comptes d'ordinateur).
Le domaine AD DS est également une limite de réplication. Quand des
changements sont apportés à n'importe quel objet du domaine, ces changements
sont répliqués automatiquement sur tous les autres contrôleurs de domaine du
domaine.
Un domaine AD DS est un centre d'administration. Il contient un compte
Administrateur et un groupe Administrateurs du domaine ; chacun a le contrôle
total sur chaque objet du domaine. À moins qu'ils ne soient dans le domaine racine
de la forêt, leur plage de contrôle est toutefois limitée au domaine. Des règles de
mot de passe et de compte sont gérées au niveau du domaine par défaut. Le
domaine AD DS fournit un centre d'authentification. Tous les comptes
d'utilisateur et comptes d'ordinateur dans le domaine sont stockés dans la base de
données du domaine, et les utilisateurs et les ordinateurs doivent se connecter à
un contrôleur de domaine pour s'authentifier. Un domaine individuel peut contenir
plus de 1 million d'objets, si bien que la plupart des organisations ont besoin de
déployer un seul domaine. Les organisations qui ont des structures administratives
décentralisées, ou qui sont distribuées entre plusieurs emplacements, peuvent
implémenter plusieurs domaines dans la même forêt.

4. Que sont les unités d'organisation ?

Une unité d'organisation (OU) est un objet conteneur dans un domaine, que vous
pouvez utiliser pour consolider des utilisateurs, des groupes, des ordinateurs et
d'autres objets. Vous pouvez créer des unités d'organisation pour deux raisons :

24
• Pour configurer des objets contenus dans l'unité d'organisation. Vous pouvez
attribuer des objets GPO à l'unité d'organisation, et les paramètres s'appliquent
à tous les objets dans l'unité d'organisation. Les objets GPO sont des stratégies
que les administrateurs créent pour gérer et configurer les comptes d'ordinateur
et d'utilisateur. La manière la plus courante de déployer ces stratégies est de
les lier aux unités d'organisation.
• Pour déléguer le contrôle administratif d'objets présents dans l'unité
d'organisation. Vous pouvez attribuer des autorisations de gestion sur une unité
d'organisation, déléguant de ce fait le contrôle de cette unité d'organisation à
un utilisateur ou à un groupe dans AD DS autre que l'administrateur.

Vous pouvez utiliser des unités d'organisation pour représenter les structures
hiérarchiques et logiques au sein de votre organisation. Par exemple, vous pouvez
créer des unités d'organisation qui représentent les différents services de votre
organisation, les régions géographiques de votre organisation ou une combinaison
des services et des régions géographiques. Vous pouvez utiliser des unités
d'organisation pour gérer la configuration et l'utilisation des comptes d'utilisateur,
de groupe et d'ordinateur en fonction de votre modèle d'organisation.
Chaque domaine AD DS contient un ensemble standard de conteneurs et d'unités
d'organisation qui sont créés quand vous installez AD DS, dont notamment :
• Conteneur du domaine. Sert de conteneur racine à la hiérarchie.
• Conteneur Builtin. Stocke plusieurs groupes par défaut.
• Conteneur Utilisateurs. Emplacement par défaut pour les nouveaux
comptes d'utilisateur et groupes que vous créez dans le domaine. Le
conteneur Utilisateurs contient également les comptes d'administrateur et
d'invité du domaine, et quelques groupes par défaut.
• Conteneur Ordinateurs. Emplacement par défaut pour les nouveaux
comptes d'ordinateur que vous créez dans le domaine.
• Unité d'organisation Contrôleurs de domaine. Emplacement par défaut des
comptes d'ordinateur pour les comptes d'ordinateur du contrôleur de
domaine. Il s'agit de la seule unité d'organisation présente dans une
nouvelle installation d'AD DS.

5. Qu'est-ce qu'une forêt AD DS ?

Une forêt est une collection d'une ou plusieurs arborescences de domaines. Une
forêt est une collection d'un ou de plusieurs domaines. Le premier domaine qui
est créé dans la forêt est appelé le domaine racine de la forêt. Le domaine racine
de la forêt contient quelques objets qui n'existent pas dans d'autres domaines de
la forêt. Par exemple, le domaine racine de la forêt contient deux rôles de
contrôleur de domaine spéciaux, le contrôleur de schéma et le maître d'opérations
des noms de domaine. En outre, le groupe Administrateurs de l'entreprise et le
groupe Administrateurs du schéma existent seulement dans le domaine racine de
25
la forêt. Le groupe Administrateurs de l'entreprise a le contrôle total sur chaque
domaine de la forêt. La forêt AD DS est une limite de sécurité. Ceci signifie que,
par défaut, aucun utilisateur provenant de l'extérieur de la forêt ne peut accéder à
une ressource située à l'intérieur de la forêt. Cela signifie également que des
administrateurs provenant de l'extérieur de la forêt n'ont aucun accès
d'administration à l'intérieur de la forêt. Une des raisons principales pour
lesquelles une organisation peut déployer plusieurs forêts est qu'elle doit isoler les
autorisations administratives entre ses différentes parties.

6. Qu'est-ce qu'un contrôleur de domaine ?

Un contrôleur de domaine est un serveur configuré pour stocker une copie de la

base de données d'annuaire AD DS (NTDS.DIT) et une copie du dossier
SYSVOL. Tous les contrôleurs de domaine, à l'exception des contrôleurs de
domaine en lecture seule, stockent une copie en lecture/écriture de NTDS.DIT et
du dossier SYSVOL. NTDS.DIT est la base de données elle-même et le dossier
SYSVOL contient tous les paramètres de modèle des objets GPO.
Il est possible d'initier des modifications de la base de données AD DS sur
n'importe quel contrôleur de domaine d'un domaine, à l'exception des contrôleurs
de domaine en lecture seule. Le service de réplication AD DS synchronise alors
les modifications et les mises à jour de la base de données AD DS sur tous les
autres contrôleurs de domaine du domaine. Les dossiers SYSVOL sont répliqués
par le service de réplication de fichiers (FRS) ou par la réplication DFS
(Distributed File System) plus récente.
Les contrôleurs de domaine hébergent plusieurs autres services liés à Active
Directory, y compris le service d'authentification Kerberos, qui est utilisé par les

26
comptes d'utilisateur et d'ordinateur pour l'authentification des connexions, et le
centre de distribution de clés (KDC). Le centre de distribution de clés est le service
qui émet le ticket TGT (Ticket-Granting Ticket) pour un compte qui se connecte
au domaine AD DS. Vous pouvez éventuellement configurer des contrôleurs de
domaine pour qu'ils hébergent une copie du catalogue global Active Directory.
Un domaine AD DS doit toujours avoir un minimum de deux contrôleurs de
domaine. De cette façon, si l'un des contrôleurs de domaine connaît une
défaillance, une instance de secours permet de garantir la continuité des services
de domaine AD DS. Quand vous décidez d'ajouter plus de deux contrôleurs de
domaine, considérez la taille de votre organisation et les exigences en matière de
performances.
Lorsque vous déployez un contrôleur de domaine dans une filiale où la sécurité
physique n'est pas optimale, certaines mesures supplémentaires peuvent être
utilisées pour réduire l'impact d'une brèche de sécurité. Une option consiste à
déployer un contrôleur de domaine en lecture seule. Le contrôleur de domaine en
lecture seule contient une copie en lecture seule de la base de données AD DS et,
par défaut, il ne met en cache aucun mot de passe d'utilisateur. Vous pouvez
configurer le contrôleur de domaine en lecture seule pour mettre en cache les mots
de passe pour les utilisateurs dans la filiale. Si un contrôleur de domaine en lecture
seule est compromis, la perte d'informations potentielle est nettement inférieure à
ce qu'elle serait avec un contrôleur de domaine en lecture-écriture complet.
Une autre option consiste à utiliser le chiffrement de lecteur Windows
BitLocker® pour chiffrer le disque dur du contrôleur de domaine. Si le disque dur
est volé, le chiffrement BitLocker garantit une très faible éventualité qu'un
utilisateur malveillant parvienne à obtenir des informations utiles du disque dur.

7. Qu'est-ce que le catalogue global ?

Dans un même domaine, la base de données AD DS contient toutes les

informations sur chaque objet présent dans ce domaine. Ces informations ne sont
pas répliquées en dehors du domaine. Par exemple, une requête pour un objet dans
AD DS est dirigée vers l'un des contrôleurs de domaine pour ce domaine. Si la
forêt contient plusieurs domaines, cette requête ne fournit aucun résultat pour des
objets figurant dans un autre domaine.

27
Pour permettre une recherche sur plusieurs domaines, vous pouvez configurer un
ou plusieurs contrôleurs de domaine pour stocker une copie du catalogue global.
Le catalogue global est une base de données distribuée qui contient une
représentation pouvant faire l'objet d'une recherche de tous les objets issus de tous
les domaines d'une forêt de plusieurs domaines. Par défaut, le seul serveur de
catalogue global qui est créé est le premier contrôleur de domaine dans le domaine
racine de la forêt.
Le catalogue global ne contient pas tous les attributs pour chaque objet. Au lieu
de cela, le catalogue global conserve le sous-ensemble des attributs qui sont le
plus susceptibles d'être utiles dans les recherches inter-domaines. Ces attributs
peuvent inclure firstname, displayname et location. Il existe de nombreuses
raisons pour lesquelles vous pouvez effectuer une recherche dans un catalogue
global plutôt que sur un contrôleur de domaine qui n'est pas un catalogue global.
Par exemple, quand un serveur Exchange reçoit un courrier électronique entrant,
il doit rechercher le compte du destinataire afin de pouvoir décider comment
router le message. En interrogeant automatiquement un catalogue global, le
serveur Exchange peut localiser le destinataire dans un environnement à plusieurs
domaines. Lorsqu'un utilisateur se connecte à son compte Active Directory, le
contrôleur de domaine qui effectue l'authentification doit entrer en contact avec
un catalogue global pour vérifier l'appartenance aux groupes universels avant
d'authentifier l'utilisateur.
Dans un domaine unique, tous les contrôleurs de domaine doivent être configurés
comme détenteurs du catalogue global. Toutefois, dans un environnement à
plusieurs domaines, le maître d'infrastructure ne doit pas être un serveur de
catalogue global. Quels contrôleurs de domaine sont configurés pour détenir une
copie du catalogue global dépend du trafic de réplication et de la bande passante
réseau. De nombreuses organisations choisissent de configurer chaque contrôleur
de domaine comme serveur de catalogue global.

28
8. Processus de connexion AD DS :

Lorsque vous ouvrez une session AD DS, votre système examine le service DNS
pour trouver des enregistrements de ressource de service (SRV) permettant de
localiser le contrôleur de domaine approprié le plus proche. Les enregistrements
SRV sont des enregistrements qui spécifient des informations sur les services
disponibles et qui sont enregistrés dans DNS par tous les contrôleurs de domaine.
À l'aide des recherches DNS, les clients peuvent localiser un contrôleur de
domaine approprié pour traiter leurs demandes d'ouverture de session.
Si l'ouverture de session a réussi, l'autorité de sécurité locale (LSA) crée un jeton
d'accès pour l'utilisateur, qui contient les identificateurs de sécurité (SID) pour
l'utilisateur et tous les groupes dont l'utilisateur est membre. Le jeton fournit les
informations d'identification d'accès pour tout processus initié par l'utilisateur.
Remarque : Un SID est un numéro unique présentant la forme suivante :
S-1-5-21-4130086281-3752200129-271587809-500, où :
• Les quatre premiers blocs de lettres et de chiffres (S-1-5-21) représentent le
type d'identificateur ;
• Les trois blocs de chiffres suivants (4130086281-3752200129-271587809)
correspondent au numéro de la base de données où le compte est stocké
(habituellement le domaine AD DS) ;
• La dernière section (500) est l'identificateur relatif (RID), lequel correspond à
la partie de l'identificateur SID qui identifie de manière unique ce compte dans
la base de données.
Chaque compte d'utilisateur et d'ordinateur et chaque groupe que vous créez ont
un SID unique. Ils diffèrent les uns des autres uniquement en vertu d’identificateur
RID unique. Vous pouvez constater que cet identificateur SID particulier est le
SID du compte administrateur, car il se termine par un identificateur RID égal à
500.

9. Installation d'un contrôleur de domaine :

L'Assistant Installation des services de domaine Active Directory se lance à partir

du Gestionnaire de serveur.

29
Vous pouvez sélectionner le lien pour Promouvoir ce serveur en contrôleur de
domaine et l'Assistant Configuration des services de domaine Active Directory
s'exécute. Vous pouvez alors fournir les informations répertoriées dans le tableau
suivant au sujet de la structure proposée.

Certaines informations supplémentaires dont vous devez disposer avant

d'exécuter la promotion de contrôleur de domaine sont répertoriées dans le
tableau suivant :

30
10. Gestion des objets de services de domaine Active Directory

A. Gestion de comptes d'utilisateurs :

Un objet utilisateur dans AD DS est bien plus que de simples propriétés liées à
l'identité de sécurité, ou compte, de l'utilisateur. Il constitue la pierre angulaire de
l'identité et de l'accès dans les services de domaine Active Directory. Par
conséquent, les processus cohérents, efficaces et sécurisés concernant
l'administration des comptes d'utilisateurs constituent la pierre angulaire de la
gestion de la sécurité d'entreprise.
Avant de pouvoir commencer à créer et gérer des comptes d'utilisateurs, de
groupes et d'ordinateurs, il est important que vous compreniez quels outils vous
pouvez utiliser pour effectuer ces diverses tâches de gestion.
- Composants logiciels enfichables d'administration Active Directory :
Utilisateurs et ordinateurs Active Directory, Sites et services Active Directory,
Composant Domaines et approbations Active Directory et Composant logiciel
enfichable Schéma Active Directory.
- Centre d'administration Active Directory : fournit une interface utilisateur
graphique (GUI) reposant sur Windows PowerShell®. Cette interface
améliorée vous permet d'effectuer la gestion d'objets AD DS à l'aide de la
navigation orientée vers les tâches.
- Windows PowerShell : Vous pouvez utiliser le module Active Directory pour
Windows PowerShell (module Active Directory) pour créer et gérer des objets
dans AD DS. Windows PowerShell est non seulement un langage de script,
mais il permet également d'exécuter les commandes qui effectuent des tâches
d'administration, telles que la création de comptes d'utilisateurs, la
configuration de services, la suppression de boîtes aux lettres, et autres
fonctions similaires.
- Outils de ligne de commande du service d'annuaire : Vous pouvez
également utiliser les outils de ligne de commande du service d'annuaire, en
plus de Windows PowerShell. Ces outils permettent de créer, modifier, gérer

31
 et supprimer des objets AD DS, tels que des utilisateurs, des groupes et des
ordinateurs. Vous pouvez utiliser les commandes suivantes :
✓ Dsadd. Pour créer des objets.
✓ Dsget. Pour afficher des objets et leurs propriétés.
✓ Dsmod. Pour modifier des objets et leurs propriétés.
✓ Dsmove. Pour déplacer des objets.
✓ Dsquery. Pour demander à AD DS des objets qui correspondent à des
critères que vous fournissez.
✓ Dsrm. Pour supprimer des objets.

B. Création de comptes d'utilisateurs :

Dans AD DS, tous les utilisateurs qui ont besoin d'accéder aux ressources réseau
doivent être configurés avec un compte d'utilisateur. Grâce à ce compte
d'utilisateur, les utilisateurs peuvent s'authentifier auprès du domaine AD DS et
recevoir l'accès aux ressources réseau. Un compte d'utilisateur est un objet qui
contient toutes les informations qui définissent un utilisateur. Un compte
d'utilisateur inclut le nom d'utilisateur et le mot de passe, ainsi que les
appartenances aux groupes. Un compte d'utilisateur contient également de
nombreux autres paramètres que vous pouvez configurer en fonction de la
configuration requise de votre organisation.

C. Configuration des attributs de compte d'utilisateur

Lorsque vous créez un compte d'utilisateur dans AD DS, configurez également
toutes les propriétés associées au compte, ou attributs.

32
 D. Gestion des comptes de groupes :
Bien que l'attribution des autorisations et des capacités aux comptes d'utilisateurs
individuels dans de petits réseaux puisse être pratique, elle devient impossible et
inefficace dans de grands réseaux d'entreprise. Par exemple, si de nombreux
utilisateurs ont besoin du même niveau d'accès à un dossier, il est plus efficace de
créer un groupe qui contient les comptes d'utilisateurs requis, puis d'attribuer au
groupe les autorisations requises.
Il y a deux types de groupes : les groupes de sécurité et les groupes de distribution.
Lorsque vous créez un groupe, vous choisissez le type et l'étendue du groupe.
Les groupes de distribution, sur lesquels la sécurité n'est pas activée, sont
principalement utilisés par des applications de messagerie électronique. Cela
signifie qu'ils n'ont pas de SID, et qu'ils ne peuvent donc pas être autorisés à
accéder aux ressources. L'envoi d'un message à un groupe de distribution permet
d'envoyer le message à tous les membres du groupe.
Les groupes de sécurité sont des entités de sécurité avec des SID. Vous pouvez
donc utiliser ces groupes dans des entrées d'autorisation dans des listes de contrôle
d'accès pour contrôler la sécurité de l'accès aux ressources. Vous pouvez
également utiliser des groupes de sécurité à des fins de distribution pour des
applications de messagerie électronique. Si vous souhaitez utiliser un groupe pour
gérer la sécurité, celui-ci doit être un groupe de sécurité.

33
L'étendue d'un groupe détermine à la fois la plage de capacités ou d'autorisations
d'un groupe, et l'appartenance au groupe. Il existe quatre étendues de groupes :
- Local : Ce type de groupe est conçu pour les serveurs ou stations de travail
autonomes, sur des serveurs membres du domaine qui ne sont pas des
contrôleurs de domaine ou sur des stations de travail membres du domaine.
- Domaine local : Ce type de groupe est principalement utilisé pour gérer l'accès
aux ressources ou pour attribuer des responsabilités de gestion (droits). Les
groupes locaux de domaine existent sur des contrôleurs de domaine dans une
forêt AD DS et, par conséquent, l'étendue des groupes est localisée au domaine
dans lequel ils résident.
- Global : Ce type de groupe est principalement utilisé pour regrouper les
utilisateurs qui présentent des caractéristiques semblables. Par exemple, des
groupes globaux sont souvent utilisés pour regrouper les utilisateurs qui font
partie d'un service ou d'un emplacement géographique.
- Universel : Ce type de groupe est le plus utile dans les réseaux multi domaines
car qu'il combine les caractéristiques des groupes locaux de domaine et des
groupes globaux.

E. Groupes par défaut

Le serveur Windows Server crée un certain nombre de groupes automatiquement.
Ceux-ci sont appelés groupes locaux par défaut, et ils comprennent les groupes
réputés tels que Administrateurs, Opérateurs de sauvegarde et Utilisateurs du
Bureau à distance.

34
 F. Gestion des comptes d'ordinateurs :
Avant de créer un objet ordinateur dans le service d'annuaire, vous devez disposer
d'un emplacement où le mettre. Lorsque vous créez un domaine, le conteneur
Ordinateurs est créé par défaut (CN=Computers). Ce conteneur n'est pas une unité
d'organisation ; au lieu de cela, c'est un objet de la classe Conteneur.
La plupart des organisations créent au moins deux unités d'organisation pour les
objets ordinateur : une pour les serveurs, et une autre pour héberger les comptes
d'ordinateurs pour les ordinateurs clients, tels que des bureaux, des portables et
d'autres systèmes utilisateur. Ces deux unités d'organisation s'ajoutent à l'unité
d'organisation Contrôleurs de domaine qui est créée par défaut pendant
l'installation d'AD DS.

35
Chapitre 3 : Automatisation de l'administration des
domaines de services Active Directory

Windows Server inclut plusieurs outils en ligne de commande que vous pouvez
utiliser pour exécuter l'administration d'AD DS. De nombreuses organisations
créent des scripts qui utilisent des outils en ligne de commande pour automatiser
la création et la gestion des objets AD DS, tels que les comptes d'utilisateurs et
les groupes. Vous devez savoir utiliser ces outils en ligne de commande pour
vérifier que vous pouvez modifier les scripts d’une organisation.

1. Qu'est-ce que les commandes DS ?

Windows Server inclut des outils en ligne de commande, appelés commandes DS,
qui sont appropriées pour une utilisation dans les scripts. Vous pouvez utiliser les
outils en ligne de commande DS pour créer, afficher, modifier et supprimer des
objets AD DS. Le tableau suivant décrit les outils en ligne de commande DS.

Exemple 1 :
Pour modifier le service d'un compte d'utilisateur, tapez
Dsmod user "cn=Joe Healy,ou=Managers,
dc=adatum,dc=com" –dept IT

Pour afficher le courrier électronique d'un compte d'utilisateur, tapez

Dsget user "cn=Joe Healy,ou=Managers,
dc=adatum,dc=com" –email

Pour supprimer un compte d'utilisateur, tapez

Dsrm "cn=Joe Healy,ou=Managers,dc=adatum,dc=com"

Pour créer un compte d'utilisateur, tapez

Dsadd user "cn=Joe Healy,ou=Managers,dc=adatum,dc=com"

36
Exemple 2:
Utilisateur:
Dsadd user "cn=testuser,cn=users,dc=ADATUM,dc=com" –samid testuser –upn
testuser@ ADATUM.com –fn test –ln user –display "test user" –pwd Pa$$w0rd
Unité d’organisation :
dsadd ou "ou= IT1,dc= ADATUM,dc=com" -desc "service Investissements" -d
ADATUM.com -u Administrateur –p Pa$$w0rd
Groupes :
dsadd group "cn=MarketingGG, cn=Users, dc= ADATUM, dc=com" –samid
MarketingGG –secgrp yes –scope g

2. Utilisation de Windows PowerShell pour l'administration d'AD DS :

Windows PowerShell est l'environnement d'écriture de scripts par défaut de. Il est
beaucoup plus facile à utiliser que les langages de script précédents tels que
Microsoft® Visual Basic Scripting Edition (VBScript). Windows PowerShell
inclut une liste étendue d'applets de commande pour gérer les objets AD DS. Vous
pouvez utiliser des applets de commande pour créer, modifier et supprimer des
comptes d'utilisateurs, des groupes, des comptes d'ordinateurs et des unités
d'organisation (OU).

A. Utilisation des applets de commande Windows PowerShell pour gérer les

comptes d'utilisateurs : Vous pouvez utiliser les applets de commande
Windows PowerShell pour créer, modifier et supprimer des comptes
d'utilisateurs. Ces applets de commande peuvent être utilisées pour des
opérations différentes ou dans le cadre d'un script permettant d'exécuter des
opérations en bloc. Certaines des applets de commande permettant de gérer
des comptes d'utilisateurs se trouvent dans le tableau suivant.

Voici un exemple de commande que vous pouvez utiliser pour créer un compte
d'utilisateur avec une invite vous demandant d'entrer un mot de passe :
New-ADUser “Sten Faerch” –AccountPassword (Read-Host
–AsSecureString “Entrez le mot de passe”) -Department IT
37
B. Utilisation des applets de commande Windows PowerShell pour gérer les
groupes : Vous pouvez utiliser les applets de commande Windows PowerShell
pour créer, modifier et supprimer des groupes. Ces applets de commande
peuvent être utilisées pour des opérations différentes ou dans le cadre d'un
script permettant d'exécuter des opérations en bloc.

C. Utilisation des applets de commande Windows PowerShell pour gérer les

comptes d'ordinateurs : Vous pouvez utiliser les applets de commande
Windows PowerShell pour créer, modifier et supprimer des comptes
d'ordinateurs. Ces applets de commande peuvent être utilisées pour des
opérations différentes ou dans le cadre d'un script permettant d'exécuter des
opérations en bloc.

38
D. Utilisation des applets de commande Windows PowerShell pour gérer les
unités d'organisation : Vous pouvez utiliser les applets de commande Windows
PowerShell pour créer, modifier et supprimer des unités d'organisation. Ces
applets de commande peuvent être utilisées pour des opérations différentes ou
dans le cadre d'un script permettant d'exécuter des opérations en bloc.

39
Chapitre 4 : Implémentation du protocole DHCP (Dynamic
Host Configuration Protocol)

1. Introduction
Le protocole DHCP (Dynamic Host Configuration Protocol) joue un rôle
important dans l'infrastructure de Windows Server. Il s'agit non seulement du
principal moyen employé pour distribuer les informations de configuration réseau
importantes aux clients réseau, mais il fournit également certaines informations
de configuration à d'autres services réseau, notamment les services de
déploiement Windows® (WDS) et la protection d'accès réseau (NAP). Pour
prendre en charge une infrastructure réseau basée sur Windows Server et résoudre
les éventuels problèmes, il est important que vous sachiez déployer et configurer
le rôle Serveur DHCP et résoudre les problèmes associés. Microsoft implémente
ici la RFC2131 au sein du rôle DHCP. Si l’on résume son fonctionnement, le
serveur DHCP écoute sur le port UDP 67.

2. Installation d'un rôle Serveur DHCP

Le protocole DHCP simplifie la configuration des clients IP dans un
environnement réseau. Si vous n'utilisez pas DHCP, à chaque fois que vous
ajoutez un client à un réseau, vous devez le configurer en reprenant les
informations du réseau sur lequel il était installé, notamment l'adresse IP, le
masque de sous-réseau du réseau et la passerelle par défaut permettant l'accès
à d'autres réseaux. Gérer les nombreux ordinateurs qui constituent un réseau
devient une tâche très fastidieuse lorsqu'elle est effectuée manuellement. Il n'est
pas rare que des sociétés aient des milliers de périphériques informatiques à gérer
: périphériques portables, ordinateurs de bureau, ordinateurs portables, etc. Il n'est
pas possible de gérer manuellement les configurations IP de réseau pour les
entreprises de cette taille.
Avec le rôle Serveur DHCP, vous faites en sorte que tous les clients disposent
d'informations de configuration appropriées, ce qui contribue à éliminer les
erreurs humaines pendant la configuration. Lorsque d'importantes informations
de configuration changent dans le réseau, il est possible de les mettre à jour à l'aide
du rôle Serveur DHCP sans qu'il soit nécessaire d'intervenir directement sur
chaque ordinateur.
De même, DHCP est un service clé pour les utilisateurs itinérants qui changent
souvent de réseau. DHCP permet aux administrateurs réseau de fournir des
informations de configuration réseau complexes aux utilisateurs non techniciens,
sans que ceux-ci n'aient à se préoccuper des détails de configuration de leur
réseau. La configuration avec état et sans état de DHCP version 6 (v6) est prise
en charge pour la configuration de clients dans un environnement IPv6. La
configuration avec état intervient lorsque le serveur DHCPv6 attribue l'adresse
IPv6 au client, en même temps que d'autres données DHCP. La configuration sans

40
état intervient quand le routeur de sous-réseau attribue l'adresse IPv6
automatiquement et que le serveur DHCPv6 attribue seulement d'autres
paramètres de configuration d'IPv6.

Pour ajouter ce rôle, vous savez quoi faire. Rendez-vous sur le gestionnaire de
serveur, et dans la partie “Ajouter un rôle ou une fonctionnalité”, cochez la case
"Serveur DHCP" :

Pour administrer et configurer le rôle DHCP, on utilise la console de gestion du

serveur DHCP, sur la partie DHCP et avec un clic droit, sélectionnez le
Gestionnaire DHCP :

41
Vous trouverez toutes les options pour configurer ce rôle :

42
3. Comment le protocole DHCP alloue des adresses IP
DHCP alloue les adresses IP en suivant un processus dynamique également appelé
bail. Bien que vous puissiez définir la durée du bail sur Illimité, vous définissez
en général cette durée sur quelques heures ou jours. La durée du bail par défaut
pour les clients câblés est de huit jours, et de trois jours pour les clients sans fil.

Vous utilisez le processus de génération de bail DHCP en quatre étapes pour

attribuer une adresse IP aux clients. Le fait de comprendre le fonctionnement de
chaque étape vous aide à résoudre les problèmes survenant lorsque les clients ne
parviennent pas à obtenir une adresse IP. Les quatre étapes sont les suivantes :
1) Le client DHCP diffuse un paquet DHCPDISCOVER à chaque ordinateur du
sous-réseau. Seul un ordinateur qui a le rôle Serveur DHCP ou un ordinateur
ou routeur qui exécute un agent de relais DHCP répond. Dans ce dernier cas,
l'agent de relais DHCP transfère le message au serveur DHCP avec lequel il
est configuré.
2) Un serveur DHCP répond avec un paquet DHCPOFFER. Ce paquet contient
une adresse potentielle pour le client.
3) Le client reçoit le paquet DHCPOFFER. Il peut recevoir des paquets de
plusieurs serveurs, auquel cas il sélectionne généralement le serveur qui a
répondu le plus rapidement à son paquet DHCPDISCOVER. Il s'agit
habituellement du serveur DHCP le plus proche du client. Le client diffuse
alors un paquet DHCPREQUEST qui contient un identificateur de serveur. Ce
dernier indique aux serveurs DHCP qui reçoivent le paquet DHCPOFFER quel
serveur le client a choisi d'accepter.
4) Les serveurs DHCP reçoivent le paquet DHCPREQUEST. Les serveurs non
acceptés par le client utilisent le message comme notification indiquant que le
client refuse l'offre du serveur. Le serveur choisi stocke l'adresse IP du client

43
 dans la base de données DHCP et répond par un message DHCPACK. Si, pour
une raison ou une autre, le serveur DHCP ne peut pas fournir l'adresse
contenue dans le paquet DHCPOFFER initial, le serveur DHCP envoie un
message DHCPNAK.

4. Définition d'un agent de relais DHCP

DHCP utilise des messages IP pour établir des communications. Par conséquent,
les serveurs DHCP sont limités aux communications à l'intérieur de leur sous-
réseau IP. Cela signifie que dans bon nombre de réseaux, il existe un serveur
DHCP pour chaque sous-réseau IP. Or, si les sous-réseaux sont nombreux, le
déploiement de serveurs pour chaque sous-réseau peut s'avérer onéreux. Un même
serveur DHCP peut desservir des groupes de sous-réseaux plus petits. Pour
pouvoir répondre à une requête d'un client DHCP, le serveur DHCP doit être en
mesure de recevoir les requêtes DHCP. Pour cela, vous devez configurer un agent
de relais DHCP sur chaque sous-réseau. Un agent de relais DHCP est un
ordinateur ou un routeur qui écoute les messages des clients DHCP et les transmet
aux serveurs DHCP sur différents sous-réseaux.

5. Configuration des étendues DHCP

Une fois le rôle DHCP installé sur un serveur, vous devez configurer les étendues
DHCP. L'étendue DHCP est la méthode privilégiée pour configurer les options
d'un groupe d'adresses IP. Elle est basée sur un sous-réseau IP et certains de ses
paramètres peuvent être spécifiques au matériel ou à des groupes de clients
personnalisés. Cette leçon présente les étendues DHCP et explique comment les
gérer.
Une étendue DHCP est une plage d'adresses IP disponibles pour le bail et gérées
par un serveur DHCP. En règle générale, une étendue DHCP se limite aux
adresses IP d'un sous-réseau donné. Par exemple, une étendue DHCP du réseau

44
192.168.1.0/24 (masque de sous-réseau 255.255.255.0) prend en charge une plage
comprise entre 192.168.1.1 et 192.168.1.254. Lorsqu'un ordinateur ou
périphérique du sous-réseau 192.168.1.0/24 demande une adresse IP, l'étendue
qui a défini la plage de cet exemple alloue une adresse comprise entre 192.168.1.1
et 192.168.1.254.

Pour configurer une étendue, vous devez définir les propriétés suivantes :
• Nom et description : Cette propriété identifie l'étendue.
• Plage d'adresses IP. Cette propriété répertorie la plage d'adresses pouvant être
proposées pour le bail et comprend habituellement la plage complète des
adresses d'un sous-réseau donné.
• Masque de sous-réseau. Cette propriété est utilisée par les ordinateurs clients
pour déterminer leur emplacement dans l'infrastructure réseau de l'entreprise.
• Exclusions. Cette propriété répertorie les adresses uniques ou les blocs
d'adresses qui font partie de la plage d'adresses IP, mais qui ne sont pas
proposés pour le bail.
• Délai. Cette propriété correspond à la durée d'attente avant l'exécution de
DHCPOFFER.
• Durée du bail. Cette propriété indique la durée du bail. Utilisez des durées plus
courtes pour les étendues disposant d'un nombre limité d'adresses IP et des
durées plus longues pour les réseaux plus statiques.
• Options. Vous pouvez configurer de nombreux propriétés facultatives sur une
étendue, mais les plus courantes sont les suivantes :
o option 003 – Routeur (passerelle par défaut du sous-réseau)

45
 o option 006 – Serveurs DNS (Domain Name System)
o option 015 – Suffixe DNS
Une fois l'étendue activée, votre rôle DHCP est opérationnel. Après avoir
configuré et activé une étendue.

6. Qu'est-ce qu'une réservation DHCP ?

La pratique recommandée consiste à fournir une adresse IP prédéterminée aux
périphériques réseau tels que les imprimantes réseau. Avec une réservation
DHCP, vous êtes assuré que les adresses IP que vous excluez d'une étendue
configurée ne sont pas attribuées à un autre périphérique. Une réservation DHCP
est une adresse IP spécifique au sein d'une étendue qui est réservée de manière
permanente pour le bail d'un client DHCP spécifique. De plus, une réservation
DHCP garantit que les périphériques ayant fait l'objet de réservations disposeront
à coup sûr d'une adresse IP même si une étendue se trouve à court d'adresses. Le
fait de configurer des réservations vous permet de centraliser la gestion des
adresses IP fixes.
Pour configurer une réservation, vous devez connaître l'adresse MAC (Media
Access Control) ou l'adresse physique de l'interface réseau du périphérique. Cette
adresse indique au serveur DHCP que le périphérique doit avoir une réservation.
Vous pouvez acquérir l'adresse MAC d'une interface réseau en utilisant la
commande ipconfig/all. Généralement, l'adresse MAC des imprimantes réseau et
des autres périphériques réseau est apposée sur le périphérique proprement dit.

46
7. Gestion d'une base de données DHCP
Une base de données DHCP est une base de données dynamique contenant les
données en relation avec les étendues, les baux d'adresse et les réservations. La
base de données contient également le fichier de données où sont stockées les
informations de configuration DHCP et les données de bail pour les clients qui
ont loué une adresse IP du serveur DHCP. Par défaut, les fichiers de base de
données DHCP sont stockés dans le dossier %systemroot%\System32\Dhcp.

8. Sauvegarde et restauration d'une base de données DHCP

Vous pouvez sauvegarder une base de données DHCP manuellement ou la
configurer de sorte qu'elle soit sauvegardée automatiquement. Une sauvegarde
automatique est appelée sauvegarde synchrone. Une sauvegarde manuelle est
appelée sauvegarde asynchrone.
• Sauvegarde automatique (synchrone) : Le chemin d'accès de sauvegarde par
défaut pour la sauvegarde de DHCP est systemroot\System32\Dhcp\Backup.
Pour vous conformer aux meilleures pratiques, vous pouvez modifier ce
chemin dans les propriétés du serveur de façon à le faire pointer vers un autre
volume.
• Sauvegarde manuelle (asynchrone) : Si vous devez créer une sauvegarde
immédiatement, vous pouvez exécuter l'option de sauvegarde manuelle dans
la console DHCP. Cette opération nécessite soit des autorisations de niveau
administrateur, soit que le compte utilisateur soit membre du groupe
Administrateurs DHCP.
Lors d'une sauvegarde synchrone ou asynchrone, c'est la base de données DHCP
entière qui est enregistrée, à savoir :
• Toutes les étendues ;
47
• Les réservations ;
• Les baux ;
Si vous devez restaurer la base de données, utilisez la fonction Restore de la
console du serveur DHCP. Vous serez invité à spécifier l'emplacement de la
sauvegarde. Une fois que vous aurez sélectionné l'emplacement, le service DHCP
s'arrête et la base de données est restaurée. Pour restaurer la base de données, le
compte d'utilisateur doit disposer d'autorisations de niveau administrateur ou être
membre du groupe Administrateurs DHCP.

9. Sécurisation et surveillance DHCP

Par nature, DHCP peut être difficile à sécuriser. En effet, le protocole a été conçu
pour fonctionner avant que les informations nécessaires à l'authentification d'un
ordinateur client via un contrôleur de domaine ne soient disponibles. C'est
pourquoi vous devez prendre des précautions pour empêcher les ordinateurs non
autorisés d'obtenir un bail avec DHCP.
Les statistiques DHCP fournissent des informations sur l'activité et l'utilisation du
service DHCP. Vous pouvez utiliser cette console pour déterminer rapidement s'il
existe un problème au niveau du service DHCP ou des clients DHCP du réseau.
Les statistiques peuvent s'avérer utiles si vous détectez un nombre excessif de
paquets d'accusé de réception négatif (NAK), ce qui peut indiquer que le serveur
ne fournit pas les données correctes aux clients.

48
Le journal d'audit DHCP est un journal qui consigne l'activité d'un serveur DHCP.
Vous pouvez utiliser ce journal pour suivre les demandes, les octrois et les refus
de bail. Ces informations vous permettent de résoudre les problèmes de
performances des serveurs DHCP. Par défaut, les fichiers journaux sont stockés
dans le dossier %systemroot%\system32\dhcp. Vous pouvez configurer les
paramètres du fichier journal dans la boîte de dialogue Propriétés du serveur.
Les fichiers journaux d'audit DHCP sont nommés en fonction du jour de la
semaine où ils ont été créés. Par exemple, si le journal d'audit est activé un lundi,
le fichier s'intitule DhcpSrvLog-Mon.log.

49
Chapitre 5 : Implémentation du système DNS (Domain
Name System)

La résolution de noms est le processus de traduction logicielle des noms, que les
utilisateurs peuvent lire et comprendre, et des adresses IP numériques, qui sont
nécessaires aux communications TCP/IP. Pour cette raison, la résolution de noms
est l'un des concepts les plus importants de toute infrastructure du réseau. Vous
pouvez comparer DNS (Domain Name System) à un annuaire des ordinateurs sur
Internet. Les ordinateurs clients utilisent le processus de résolution de noms lors
de la localisation d'hôtes sur Internet et lors de la localisation d'autres hôtes et
services dans un réseau interne.
Le type de nom (nom d'hôte ou nom NetBIOS) qu'une application utilise est
déterminé par le développeur d'applications. Si le développeur d'applications
conçoit une application pour demander des services réseau via des sockets
Windows, les noms d'hôtes sont utilisés. En revanche, si le développeur
d'applications conçoit une application pour demander des services via NetBIOS,
un nom NetBIOS est utilisé.
Un nom d'hôte est un nom convivial associé à l'adresse IP d'un ordinateur afin de
l'identifier en tant qu'hôte TCP/IP. Le nom d'hôte peut comprendre jusqu'à 255
caractères (caractères alphabétiques et numériques, points et traits d'union).
Un nom NetBIOS, qui compte 16 caractères, identifie une ressource NetBIOS
sur le réseau. Un nom
NetBIOS peut représenter un ordinateur unique ou un groupe d'ordinateurs. Les
15 premiers caractères sont utilisés pour le nom, le dernier caractère identifie la
ressource ou le service de l'ordinateur auquel il est fait référence.
DNS est un service qui résout les noms de domaine complets et autres noms
d'hôtes en adresses IP. Tous les systèmes d'exploitation Windows Server incluent
un service Serveur DNS.

1. Zones et enregistrements DNS

Une zone DNS est une partie spécifique de l'espace de noms DNS qui contient
des enregistrements DNS. Une zone DNS est hébergée sur un serveur DNS chargé
de répondre aux requêtes portant sur les enregistrements d'un domaine spécifique.
Par exemple, le serveur DNS chargé de résoudre www.contoso.com en adresse IP
doit contenir la zone contoso.com.
Les types de zone DNS les plus couramment utilisés dans le DNS Windows
Server sont les zones de recherche directe et les zones de recherche inversée.
• Zones de recherche directe : Elles résolvent les noms d'hôtes en adresses IP
et hébergent les enregistrements de ressources courants, notamment les
enregistrements de ressources d'hôte (A), d'alias (CNAME), de service
(SRV), de serveur de messagerie (MX), de source de noms (SOA) et de

50
 serveur de noms (NS). Le type d'enregistrement de ressource le plus courant
est l'enregistrement de ressource d'hôte (A).
• Zones de recherche inversée : résout les adresses IP en noms de domaine.
Une zone inversée fonctionne de la même manière qu'une zone directe, mais
l'adresse IP fait partie de la requête et le nom d'hôte représente l'information
retournée. Les zones de recherche inversée hébergent les enregistrements de
ressources SOA, NS et de pointeur (PTR). Les zones inversées ne sont pas
toujours configurées, mais vous devez les configurer pour réduire le nombre
de messages d'avertissement et d'erreur.

Enregistrements de ressources : Le fichier de zone DNS stocke les

enregistrements de ressources. Les enregistrements de ressources spécifient un
type de ressource et l'adresse IP permettant de localiser la ressource.
L'enregistrement de ressource le plus courant est un enregistrement de ressource
d'hôte (A). Il s'agit d'un enregistrement simple qui résout un nom d'hôte en une
adresse IP. L'hôte peut être une station de travail, un serveur ou un autre
périphérique réseau, tel qu'un routeur.
Les enregistrements de ressources facilitent également la recherche de ressources
pour un domaine particulier. Par exemple, lorsqu'un serveur Microsoft Exchange
Server a besoin de trouver le serveur responsable de la remise du courrier d'un
autre domaine, il demande l'enregistrement de ressource du serveur de messagerie
(MX) de ce domaine. Cet enregistrement pointe vers l'enregistrement de ressource
d'hôte (A) de l'hôte qui exécute le service de messagerie SMTP (Simple Mail
Transfer Protocol). Les enregistrements de ressources peuvent également contenir
des attributs personnalisés. Les enregistrements MX, par exemple, comportent un
attribut de préférence, qui s'avère utile si une organisation possède plusieurs
serveurs de messagerie. L'enregistrement MX indique au serveur d'envoi quel
serveur de messagerie l'organisation réceptrice préfère.
Les enregistrements SRV contiennent également des informations sur le port que
le service écoute et sur le protocole que vous devez utiliser pour communiquer
avec le service.

2. Résolution des noms DNS Internet

Lors de la résolution de noms DNS sur Internet, tout un système d'ordinateurs est
utilisé au lieu d'un seul serveur. Il existe des centaines de serveurs sur Internet,
appelés serveurs racine, qui gèrent l'ensemble du processus de résolution
DNS. Ces serveurs sont représentés par 13 noms de domaine complets. Une liste
de ces 13 serveurs est préchargée sur chaque serveur DNS. Lorsque vous inscrivez
un nom de domaine sur Internet, vous payez pour faire partie de ce système. Pour
voir comment ces serveurs fonctionnent conjointement afin de résoudre un nom
DNS, examinez le processus de résolution de noms suivant pour le nom
www.microsoft.com :

51
1) Un poste de travail interroge le serveur DNS local pour obtenir l'adresse IP de
www.microsoft.com.
2) Si le serveur DNS local ne dispose pas de l'information, il interroge un serveur
DNS racine pour connaître l'emplacement des serveurs DNS .com.
3) Le serveur DNS local interroge un serveur DNS .com pour connaître
l'emplacement des serveurs DNS microsoft.com.
4) Le serveur DNS local interroge le serveur DNS microsoft.com pour connaître
l'adresse IP de www.microsoft.com.
5) L'adresse IP de www.microsoft.com est retournée au poste de travail.

3. Que sont les requêtes DNS ?

Une requête DNS est une requête de résolution de noms envoyée à un serveur
DNS. Le serveur DNS fournit ensuite une réponse faisant autorité ou ne faisant
pas autorité à la requête du client.
• Requêtes récursives : Dans une requête récursive, le demandeur demande au
serveur DNS une adresse IP entièrement résolue de la ressource demandée,
avant de retourner la réponse au demandeur. Le serveur DNS peut être amené
à effectuer plusieurs requêtes destinées à d'autres serveurs DNS avant de
trouver la réponse recherchée. Les requêtes récursives sont généralement
effectuées par un client DNS vers un serveur DNS, ou par un serveur DNS
configuré pour transmettre les requêtes non résolues vers un autre serveur
DNS, dans le cas d'un serveur DNS configuré pour utiliser un redirecteur.
• Requêtes itératives : Les requêtes itératives ont accès aux informations de
noms de domaine qui se trouvent sur le système DNS. À l'aide des requêtes
itératives, vous pouvez résoudre rapidement et efficacement des noms sur de
nombreux serveurs.

52
• Un redirecteur : C’est un serveur DNS réseau qui transfère des requêtes DNS
de noms DNS externes aux serveurs DNS situés à l'extérieur de son réseau.
Vous pouvez également utiliser des redirecteurs conditionnels pour transférer
des requêtes en fonction de noms de domaine spécifiques.

4. Installation du rôle Serveur DNS

L’installation du rôle DNS sur un serveur Windows se fait sur le gestionnaire de
serveur et ajoutez un rôle. À la sélection du rôle, Microsoft vous propose des
fonctionnalités obligatoires :

La console du gestionnaire DNS permet de créer les différentes zones

nécessaires au fonctionnement du DNS.

53
5. Gestion des zones DNS

Il existe quatre types de zone DNS :

• Zone principale : c’est une zone pour laquelle le serveur DNS est à ‘la fois
l'hôte et la source principale des informations relatives à cette zone. En outre,
le serveur DNS stocke la copie principale des données de zone dans un fichier
local ou dans les services AD DS. Lorsque le serveur DNS stocke la zone dans
un fichier, le fichier de la zone principale est nommé par défaut nom_zone.dns
et se trouve sur le serveur dans le dossier %windir%\System32\Dns. Lorsque
la zone n'est pas stockée dans les services AD DS, il s'agit du seul serveur DNS
qui dispose d'une copie accessible en écriture de la base de données.
• Zone secondaire : C’est une zone pour laquelle le serveur DNS sert d'hôte mais
où il représente la source secondaire des informations de zone. Les
informations relatives à la zone au niveau de ce serveur doivent être obtenues
à partir d'un autre serveur DNS distant qui héberge également la zone. Ce
serveur DNS doit avoir un accès réseau au serveur DNS distant pour recevoir
les informations mises à jour de la zone. Étant donné qu'une zone secondaire
est une copie d'une zone principale qu'un autre serveur héberge, la zone
secondaire ne peut pas être stockée dans les services AD DS. Les zones
secondaires peuvent s'avérer utiles si vous répliquez des données provenant de
zones DNS non Windows.

54
• Zone de stub : C’est une copie répliquée d'une zone qui contient uniquement
les enregistrements de ressources nécessaires à l'identification des serveurs
DNS faisant autorité pour la zone en question. Une zone de stub résout les
noms entre des espaces de noms DNS distincts, lesquels peuvent s'avérer
nécessaires lorsqu'une fusion d'entreprises a besoin que les serveurs DNS de
deux espaces de noms DNS distincts résolvent les noms des clients dans les
deux espaces de noms.

6. Outils et commandes
Les outils en ligne de commande et les commandes que vous utilisez pour
résoudre les problèmes de configuration sont les suivants :
• Nslookup : utilisez cet outil pour interroger des informations DNS. Il s'agit
d'un outil flexible, capable de fournir des informations précieuses à propos de
l'état du serveur DNS. Vous pouvez également l'utiliser pour rechercher des
enregistrements de ressources et valider leur configuration. Vous pouvez, en
outre, tester des transferts de zone, des options de sécurité et la résolution des
enregistrements MX.
• DNSCmd : utilisez cet outil en ligne de commande pour gérer le rôle serveur
DNS. Cet outil permet de créer des scripts dans des fichiers de commandes
dans le but d'automatiser des tâches de gestion DNS de routine ou de procéder
à un simple travail d'installation et de configuration sans assistance de
nouveaux serveurs DNS sur votre réseau.
• Dnslint : utilisez cet outil pour diagnostiquer les problèmes DNS courants. Cet
outil diagnostique rapidement les problèmes de configuration de DNS et peut
générer un rapport au format HTML sur l'état du domaine que vous testez.
• Ipconfig : utilisez cette commande pour afficher et modifier les détails de la
configuration IP que l'ordinateur utilise. Cet outil inclut des options de ligne
de commande supplémentaires que vous pouvez utiliser pour dépanner et
prendre en charge des clients DNS. Vous pouvez consulter le cache DNS local
du client à l'aide de la commande ipconfig/displaydns. En outre, vous pouvez
effacer le cache local à l'aide de ipconfig/flushdns. Si vous voulez réinscrire
un hôte dans DNS, vous pouvez utiliser ipconfig /registerdns.
• Analyse du serveur DNS: pour tester si le serveur peut communiquer avec
des serveurs en amont, vous pouvez effectuer de simples requêtes locales et
récursives à partir de l'onglet Analyse du serveur DNS. Vous pouvez
également planifier ces tests pour qu'ils s'exécutent de manière régulière.
• Clear-DNSClientCache : Cette applet de commande efface le cache client, à
l'instar de ipconfig /flushdns.
• Get-DNSClient : Cette applet de commande affiche les détails des interfaces
réseau.
• Get-DNSClientCache : Cette applet de commande affiche le contenu du cache
client DNS local.

55
• Register-DNSClient. Cette applet de commande inscrit toutes les adresses IP
de l'ordinateur sur le serveur DNS configuré.
• Resolve-DNSName. Cette applet de commande effectue une résolution de
noms DNS pour un nom spécifique, à l'instar de Nslookup.
• Set-DNSClient. Cette applet de commande définit les configurations de client
DNS spécifiques à l'interface sur l'ordinateur.

56
Chapitre 6 : Implémentation d'une stratégie de groupe
GPO

1. Introduction :
La stratégie de groupe est un ensemble de paramètres du registre Windows qui
contrôlent la sécurité, les audits et d’autres comportements opérationnels. La
stratégie de groupe vous permet par exemple d’empêcher des utilisateurs
d’accéder à certains fichiers ou à certains paramètres du système, d’exécuter des
scripts lorsque le système démarre ou s’arrête, ou déforcer une page d’accueil
particulière à s’ouvrir pour tous les utilisateurs du réseau. Ces bonnes pratiques
relatives à la stratégie de groupe d’Active Directory vous aideront à protéger vos
systèmes et à optimiser vos performances. Assurer la maintenance d'un
environnement informatique cohérent au sein d'une organisation représente un
véritable défi. Les administrateurs ont besoin d'un mécanisme pour configurer et
appliquer les paramètres et les restrictions des ordinateurs et des utilisateurs. La
stratégie de groupe peut fournir cette cohérence en permettant aux administrateurs
de gérer et d'appliquer les paramètres de configuration de manière centralisée.

2. Composants de la stratégie de groupe

Les paramètres de stratégie de groupe sont des paramètres de configuration qui
permettent aux administrateurs d'appliquer des paramètres en modifiant les
paramètres du Registre spécifiques à l'utilisateur et spécifiques à l'ordinateur sur
les ordinateurs basés sur un domaine. Vous pouvez regrouper des paramètres de
stratégie de groupe pour créer des objets de stratégie de groupe, que vous pouvez
ensuite appliquer aux utilisateurs ou aux ordinateurs.

57
 3. Stockage des objets de stratégie de groupe de domaine
Les paramètres de stratégie de groupe sont présentés sous forme d'objets de
stratégie de groupe dans la console de gestion des stratégies de groupe (GPMC),
mais un objet de stratégie de groupe représente en réalité deux composants : un
modèle de stratégie de groupe et un conteneur de stratégie de groupe.
Les modèles de stratégie de groupe correspondent à la collection réelle de
paramètres que vous pouvez modifier. Le modèle de stratégie de groupe est une
collection de fichiers stockée dans le dossier SYSVOL de chaque contrôleur de
domaine.

4. Traitement d'une stratégie de groupe

Une fois que vous avez créé un objet de stratégie de groupe et défini tous les
paramètres que vous souhaitez qu'il fournisse, l'étape suivante consiste à lier la
stratégie à un conteneur Active Directory. Une liaison d'objet de stratégie de
groupe est la connexion logique de la stratégie à un conteneur. Vous pouvez lier
un objet de stratégie de groupe unique à plusieurs conteneurs à l'aide de la console
GPMC. Vous pouvez lier des objets de stratégie de groupe aux types de conteneur
suivants :
• Sites
• Domaines
• Unités d'organisation
Une fois qu'un objet de stratégie de groupe est lié à un conteneur, par défaut, la
stratégie est appliquée à tous les objets de ce conteneur, et ensuite, à tous les
conteneurs enfants sous cet objet parent. C'est dû au fait que les autorisations par
défaut de l'objet de stratégie de groupe sont telles que les utilisateurs authentifiés
disposent des autorisations Lire et Appliquer la stratégie de groupe. Vous pouvez
modifier ce comportement en gérant les autorisations sur l'objet de stratégie de
groupe.

58
 5. Application des objets de stratégie de groupe
Les paramètres de configuration de l'ordinateur sont appliqués au démarrage, puis
actualisés à intervalles réguliers. Tous les scripts de démarrage sont exécutés au
démarrage de l'ordinateur. L'intervalle par défaut est de 90 minutes, mais il est
configurable. L'exception à l'intervalle défini concerne les contrôleurs de
domaine, dont les paramètres sont actualisés toutes les cinq minutes. Les
paramètres utilisateur sont appliqués à l'ouverture de session et actualisés à
intervalles réguliers et configurables ; la valeur par défaut est également de 90
minutes. Tous les scripts d'ouverture de session sont exécutés à l'ouverture de la
session.
Vous pouvez modifier l'intervalle d'actualisation en configurant un paramètre de
stratégie de groupe. Pour les paramètres de l'ordinateur, le paramètre d'intervalle
d'actualisation se trouve dans le nœud Configuration de
l'ordinateur\Stratégies\Modèles d'administration\Système\Stratégie de groupe.
Pour les paramètres utilisateur, l'intervalle d'actualisation se trouve dans les
paramètres correspondants sous Configuration de l'utilisateur. Les paramètres de
sécurité constituent une exception à l'intervalle d'actualisation. La section
paramètres de sécurité de la stratégie de groupe est actualisée au moins toutes les
16 heures, indépendamment de l'intervalle défini pour l'intervalle d'actualisation.
Vous pouvez également actualiser la stratégie de groupe manuellement.
L'utilitaire de ligne de commande Gpupdate actualise et fournit toutes les
nouvelles configurations de stratégie de groupe.
La commande Gpupdate /force actualise tous les paramètres de stratégie de
groupe. Il existe également une nouvelle applet de commande Windows
PowerShell Invoke-Gpupdate, qui remplit la même fonction.

59
 Bibliographie

- Microsoft®Official Course 22410B

- Microsoft®Official Course 22740C
- Support du cours https://leguideinfo.com/
- © Hainaut P. 2021 - www.coursonline.be

60