0. Setup
Pour ce lab, j'ai installé 2 machines virtuelles. :
- Windows Server édition 2025 (en GUI)
- Windows 11 édition famille
Par précaution, j'ai réalisé un snapshot de chaque, à différentes étapes clés, afin de pourvoir retourner en arrière sans avoir à réinstaller la VM, (si besoin est).
1. Création du nom de domaine et du contrôleur de domaine dans windows Server
1.1 Ajouter des rôle et des fonctionnalités
Cette première étape consiste à installer les "outils" du serveur
Une fois arrivé sur le bureau, le gestionnaire de serveur s'ouvre automatiquement.
-En haut à droite, cliquer sur Gérer / Ajouter des rôles et des fonctionnalités.
1.2 : Promouvoir le serveur en tant que contrôleur de domaine
Une fois installée, une notification apparait sur l’icône de drapeau en haut à droite.
Nous pouvons promouvoir la "boîte à outils" que nous avons configuré; autrement dit, l'attribuer à un domaine
S'il n'ya aucun domaine:
-cocher "ajouter une nouvelle forêt" et choisir un nom au format: quelquechose.autrechose
(exemple: ant1.local)
-Option du DC : Sélectionner les niveaux les plus récent possible pour la forêt et le domaine (Windows Server 2025, dans ce cas là).
-Créer et noter un mot de passe DSRM (de secours)
-Options DNS : ignorer le message d’avertissement « impossible de créer une délégation pour ce serveur DNS », cliquer « suivant »
-Options supplémentaires : laisser par défaut et cliquer sur « suivant » (concerne Netbios, ancien protocole de Windows pour joindre deux machines sur un réseau local)
-Chemins d’accès : laisser par défaut, cliquer « suivant ».
-Examiner les options : laisser par défaut, cliquer « suivant ».
-Une vérification se met en place. Certaines recommandations peuvent s'afficher en jaune, mais si un bandeau vert s’affiche en haut (ci contre), tout est bon => cliquer sur "installer".
Le serveur vas redémarrer, et nous pourrons accéder au contrôleur de domaine via l’utilitaire « utilisateurs et ordinateurs active directory » …
Nous pourrons créer des utilisateurs et enfin ajouter le client windows à l’active directory…
Mais pour cela, il faut faire en sorte que les deux machines virtuelles soient joignables.
2. Configuration réseau client et serveur
Les deux machines sont configurées en NAT (Network Adress Translation) : Elles font partie d’un même sous-réseau du réseau local, simulé par VMware Workstation. Il faut néanmois qu'elles se reconnaissent pour pouvoir communiquer
2.1 Configuration côté serveur
- - Ouvrir "exécuter" (windows+R) => ncpa.cpl
- - Clic droit sur Ethernet / propriétées
- - Décocher protocole internet v6
- - Cliquer sur protocole internet v4 => propriétés
- - Cocher "utiliser l'adresse IP suivante"
- - Attribuer une adresse IPv4 statique. Faire d'abord un ipconfig pour trouver l'adresse (ici 192.168.130.137) Puis l'attribuer, ou autre une adresse du même réseau (ici 192.168.130.0/24)
- - Le masque de sous-réseau se rempli automatiquement
- - Utiliser une autre adresse du réseau pour la passerelle
- - Serveur DNS: attribuer sa propre adresse (ici 192.168.130.137)
Le service de résolution de noms de domaine (DNS) est une fonctionalité essentielle de l'active directory. Il permet de résoudre les requêtes de résolution de noms de domaines, des clients du domaine(ex: ant1.local).
Seul le serveur DNS que nous avons installé (dans l'ajout de rôles et de fonctionnalités) est en capacité de le faire (pas ceux de Google ou Cloudflare). Il devra le faire pour les clients et pour lui même, c'est pourquoi on met l'adresse du serveur en tant que son propre DNS.
2.2 Configuration côté client
Même chose côté client : enlever IPv6, et dans les propriétés IPv4 : mettre une adresse statique dans le même réseau.
Et pour le DNS (préféré), indiquer l'adresse du serveur.
Vérifier les changements côté serveur (et client) avec ipconfig
2.3 Ping client vers serveur
Côré client, sur une invite de commande (CMD), tester la connectivité du client vers le serveur.
On peut ping directement le nom de domaine ant1.local, associé à l'adresse du DNS.
Le test fonctionne !
2.4 Ping serveur vers client
Mais de l'autre côté : problème.
Le serveur n'arrive pas à joindre le client =>
Il faut voir au niveau du pare-feu côté client.
2.5 Paramètres de sécurité côté client
Côté client : chercher dans le menu démarrer l'utilitaire "Pare-feu Windows Defender avec fonctions avancées de sécurité"
On veut que le client Windows 11 puisse «accepter» les pings du serveur => cliquer sur Règles de trafic entrant => Nouvelle règle
Type de règle => personnalisée
Programme => Tout les programmes
protocole et ports => Type de protocole : ICMPv4
Étendues => Toutes adresses IP => Autoriser la connexion
Laisser cocher les options par défaut jusqu'à suivant Nom => créer un nom de règle => Terminer
Maintenant, retournons sur le serveur et retentons un ping vers le client : ça marche !
serveur et client se reconnaissent. Nous sommes presque en capacité d’ajouter la machine dans l’AD, mais d’abord nous allons créer des utilisateurs coté serveur.
3. Ajout d'utilisateurs dans le domaine
3.1 : Création d’unités d'organisation (OU) et de groupes
Ouvrons l'utilitaire "Utilisateurs et ordinateurs active directory"
C'est l'interface où l'on organise l'ensemble du domaine. Je commence par créer une première unité d'organisation appellée "Utilisateurs Ant1.local" puis deux sous-OU : "Groupes" et "Utilisateurs"
Dans l'OU "Groupes", je crée deux groupes, qui vont correspondre à deux niveaux d'autorisation différents.
3.2 : Création d’un utilisateur avec droits avancés
Il est temps de créer notre premier utilisateur. Aller dans l'OU utilisateurs
clic droit => nouveau => utilisateur.
Choisir le nom, puis le mot de passe (et options de mot passe) => cliquer sur terminer pour créer l'utilisateur
Une fois le "superadmin" créé:
faire clic droit dessus => propriétés => membre de.
Tout les utilisateurs, peut importe leur niveau de droits, font partie d'un groupe "intégré" à l'AD...
POur attribuer plus de droits, il faut ajouter l'utilisateur à un nouveau groupe.
=> Cliquer sur Ajouter.
Taper le groupe "GP_DomainAdmin" (attention à la casse) et cliquer sur "vérifier les noms"
Si le nom est alors souligné, c'est qu'il est reconnu => Cliquer sur ok.
Mais ce groupe n'a encore aucune spécificité. Lorsque l'on clique dessus et que l'on va dans "membres de",
On constate qu'il fait lui même partie du même groupe intégré propre à tout les utilisateurs. Il faut l'ajouter dans un groupe avec des droits avancés.
Cliquer sur ajouter => avancé => rechercher
on a alors une liste de tout les groupes "préconfigurés" de l'AD
=> cliquer sur "Admins du domaine"
=> ok
=> ok
=> appliquer
Résumé de la structure d'attribution de droits: L'utilisateur Ant1_superAdm a été ajouté au groupe que nous avons crée "DC_DomainAdmin", qui lui même est membre du groupe préconfiguré "Admins du domaine". (Qui lui, attribue des autorisations à ses membres)
3.3 : Création d’un utilisateur standard
À présent, nous allons créer un utilisateur standard, sans droits d'administration. On lui attribuera le Windows 11 en tant que PC d'entreprise.
Il sera ammené à choisir un nouveau mot de passe. =>
cocher l'option "L'utilisateur doit changer le mot de passe à la prochaine session"
Comme pour les autres utilisateurs, il appartient automatiquement au groupe préconfiguré "utilisateurs du domaine"
il sera inutile de l'ajouter à d'autres groupes pour l'instant, puisqu'on ne veut pas lui attribuer d'autorisation particulières
4. Ajouter le PC client dans l’active directory
Nous avons établis une connexion entre les deux VM, créé et configuré deux utilisateurs. On arrive désormais à l'étape clé : ajouter le client Windows 11 au domaine.
Retour sur la VM windows => win+R => sysdm.cpl (ouvre une fenêtre avec configuration avancé de windows) => Nom de l'ordinateur => Modifier
Dans « Membre d’un », cocher Domaine et inscrire le nom de domaine (ant1.local)
Si les paramètres réseaux ont été correctement configuré et les deux VM sont "pingable" : Une fenêtre s'ouvre avec une demande d'authentification.
Il faut s'y connecter avec un profil administrateur. (pour mon cas, Ant1_superAdm)
Bingo ! la machine est désormais intégrée au domaine. => Redémarrer la VM pour appliquer les changements
Lorsqu'on retourne dans le serveur, dans "utilisateurs et ordinateurs", dans l'OU "computers" => la machine à été ajoutée !
5. Création d'une GPO
À partir de maintenant, je vais créer une GPO afin de configurer un fond d'écran pour tout les utilisateurs
5.1 Créer et configurer une nouvelle GPO
Retourner dans le serveur => Aller dans le gestionnaire de serveur => en haut à gauche, cliquer sur « outils » => Gestion des stratégies de groupe
Sur la partie gauche de l'interface, on peut voir lé répertoire de notre forêt. Faire un clic droit sur notre domaine => cliquer sur Créer un objet GPO dans ce domaine et le lier ici
Choisir un nom de GPO, puis faire clic droit = > modifier
5.2 Élaboration de stratégie sur la GPO
Nous voici dans l'éditeur de gestion des stratégies de groupe. Nous avons le choix: attribuer la GPO pour les ordinateurs ou pour les utilisateurs.
Je sélectionne "utilisateurs".
Nous pouvons choisir "stratégie" (l'application sera non-modifiable par l'utilisateur) ou "préférences" (à l'inverse, on pourra le modifier).
Je choisi stratégie=> Modèles d'administration => Bureau => Papier peint
Cocher "activé" et indiquer le chemin vers l'image
5.3 Se connecter en tant qu'utilisateur du domaine sur la Vm client
Se connecter sur la VM en tant que "Benoit_Dev" (il faudrat choisir un nouveau mot de passe)
Une fois arrivé sur le bureau, on constate que le fond d'écran à bien été appliqué
Lorsque l'on essaye de changer le fond d'écran, on constate que c'est impossible, car la licence n'est pas activée. Et
pourtant, on a pu l'appliquer de "force" depuis le serveur, grâce à la GPO !
