Une approche pratique des services de domaine Active Directory, partie 3 : Explorer AD avec des comptes d’utilisateurs et d’ordinateurs

Comment commencer à travailler avec Active Directory Domain Services (AD DS) ? Si vous avez lu les parties précédentes de cette série de blogs, vous savez qu’Active Directory (AD) est un vaste sujet. Dans cette série, nous avons choisi des sujets qui vous aideront à vous familiariser avec les concepts théoriques d’AD et à vous équiper pour travailler avec les objets AD. Ce blog propose des exercices AD pratiques pour vous aider à démarrer.

Il est nécessaire de comprendre le cycle de vie de tous les objets AD, de la création à la suppression en passant par la modification. Vous devez également savoir comment dépanner les activités des comptes et maîtriser la gestion des stratégies de groupe pour optimiser l’administration d’AD.

Dans ce blog, nous aborderons les sujets suivants :

• Conditions préalables à la pratique et à l’expérimentation d’AD.
• Comptes d’utilisateurs : Travailler avec les objets AD les plus dynamiques
• Comptes d’ordinateurs : Comprendre leur rôle dans les environnements AD

Conditions préalables à la pratique et à l’expérimentation d’AD

Avant de commencer à travailler sur AD, vous devez vous assurer de certaines choses :

• Étape 1 : Configurez deux machines virtuelles (VM) sur votre ordinateur afin de pouvoir tester les différents exercices AD.

➤ L’une des VM doit être promue en contrôleur de domaine (DC) avec AD DS installé dessus. Cette VM doit exécuter Windows Server 2012 et une version supérieure.

➤ L’autre VM sera utilisée comme un ordinateur client qui peut être joint au domaine du DC. Il peut s’agir de n’importe quel poste client avec n’importe quel système d’exploitation installé, par exemple un poste de travail Windows 10.

Veuillez noter que le système d’exploitation configuré sur la VM, notamment celui du serveur du DC, détermine les niveaux fonctionnels de forêt et de domaine de l’environnement AD. Ce sont des paramètres de configuration qui sont couverts dans les étapes détaillées ci-dessous. Il convient de noter à ce stade que le niveau fonctionnel du domaine doit être supérieur ou égal au niveau fonctionnel de la forêt défini sur le DC.

Par exemple, si la VM sur laquelle le DC est exécuté a Windows 2012 installé, vous pouvez définir le niveau fonctionnel de la forêt sur Windows 2012 et le niveau fonctionnel du domaine sur Windows 2012 et plus pendant le processus de promotion de cette VM de serveur vers un DC. Dans un environnement AD de test de laboratoire, vous pouvez ajouter des DC supplémentaires, si nécessaire, à ce domaine AD, chacun avec Windows 2012 et plus, conformément au niveau fonctionnel de domaine défini. Cela permettrait de garantir la compatibilité de tous les DC de l’environnement AD avec les dernières fonctionnalités AD.

Au niveau organisationnel, les administrateurs AD doivent s’assurer que les niveaux fonctionnels de la forêt et du domaine de tous les DC dans les domaines AD sont configurés de manière appropriée.

• Étape 2 : Configurez un exemple de domaine AD et mettez en place une frontière administrative pour gérer et tester les fonctionnalités AD de manière centralisée. Cette configuration d’un domaine AD sur le serveur VM imitera la façon dont les administrateurs travaillent avec AD dans un environnement réel.

Dans notre cas, pour la pratique, nous allons configurer un nouveau domaine appelé ad.practice.com. Pour ce faire, assurez-vous de ce qui suit :

➤ Configurez une adresse IP statique sur le serveur en naviguant dans les paramètres Ethernet de la VM qui doit être promue au DC.

➤ Le DNS de cette VM doit pointer vers l’IP du serveur configurée à l’étape précédente pour assurer une découverte fiable de la machine dans le domaine.

➤ Ce serveur virtuel est maintenant prêt pour l’installation de rôles supplémentaires, ce qui dans notre cas est l’installation d’AD DS avec le rôle de serveur DNS. Pour mieux comprendre l’intégration AD-DNS, veuillez vous reporter à la partie 2 de cette série.

• Étape 3 : Promouvoir le serveur vers un DC pour terminer l’installation d’AD DS qui a été commencée à l’étape 2. Cette promotion garantit que le statut du serveur est modifié en un DC avec des capacités d’authentification et d’autorisation.

➤ Pour installer AD DS sur le serveur virtuel, utilisez la console de gestion appelée Server Manager. L’onglet Manage du Server Manager vous permet de localiser et d’ajouter le rôle AD DS et ses fonctionnalités associées.

➤ L’assistant vous accompagne tout au long du processus d’installation de ce rôle sur le serveur.

➤ Après une installation réussie, ce serveur devra être promu en DC, comme l’indique un drapeau de notification.

➤ Pendant la promotion du serveur vers un DC, les paramètres de configuration du déploiement permettent de créer une nouvelle forêt. Le nom de la nouvelle forêt est généralement le nom du premier domaine (domaine racine) qui est créé dans la forêt. Dans notre exemple, elle s’appelle ad.practice.com (Fig. 1).

Figure 1 : Cette capture d’écran montre le tableau de bord du Server Manager avec l’onglet Manage dans le coin supérieur droit.

• Étape 4 : Complétez les autres configurations du DC pour créer un environnement de test fonctionnel pour AD.

➤ D’autres paramètres, tels que les niveaux fonctionnels du domaine et de la forêt et les capacités du DC (y compris la configuration du DNS et du catalogue global), peuvent être ajoutés et définis sur les options par défaut présentées.

➤ Le nom NetBIOS, qui est un nom de connexion facilement identifiable, et l’emplacement de Ntds.dit ou des fichiers de la base de données AD sont quelques-uns des autres paramètres qui peuvent être finalisés à ce stade.

Une fois que la promotion de ce serveur en DC est terminée, vous avez le serveur central d’authentification et d’autorisation prêt à être utilisé.

L’autre VM faisant office d’ordinateur client devra être joint au domaine créé dans les étapes précédentes. Ce point est abordé dans une section ultérieure de ce blog intitulée “Comptes d’ordinateurs : Comprendre leur rôle dans les environnements AD”.

Outils de gestion AD à privilégier

Afin de commencer vos exercices AD pour créer et gérer les deux types d’objets AD couverts dans ce blog (utilisateurs et ordinateurs), vous pouvez utiliser deux outils principaux via le tableau de bord du Server Manager :

1. Centre administratif Active Directory (ADAC)
2. Utilisateurs et ordinateurs Active Directory (ADUC)

Ces deux outils ont des capacités similaires et vous aident à gérer et administrer les domaines et objets AD.

Comptes d’utilisateurs : Travailler avec les objets AD les plus dynamiques

Les utilisateurs sont des objets AD qui doivent être authentifiés pour rejoindre des domaines AD. Une fois authentifiés, les utilisateurs peuvent recevoir diverses autorisations et privilèges pour être autorisés à accéder aux ressources de l’environnement AD. Les utilisateurs humains et les applications qui nécessitent un accès pour travailler dans le réseau connecté sont identifiés comme des comptes d’utilisateur.

Les utilisateurs sont souvent regroupés dans d’autres objets AD appelés groupes. Mais d’abord, comprenons comment créer, modifier et gérer des comptes d’utilisateurs individuels.

Création d’objets AD pour les utilisateurs

Pour créer un utilisateur avec ADAC, suivez les étapes ci-dessous:

1. Dans ADAC, créez un nouvel utilisateur dans le conteneur Users visible dans le volet de gauche.
2. Remplissez tous les champs obligatoires dans les fenêtres émergentes. Vous devez notamment fournir des détails tels que le nom complet et SamAccountName (le nom de connexion de l’utilisateur ou l’ID de connexion unique créé au format domain-name\name format).
3. Définissez les mots de passe et les autorisations associées.

Pour créer un exemple d’utilisateur appelé “Test AD3 User” à l’aide d’ADAC, reportez-vous aux détails de la Figure 2.

Figure 2 : Cette capture d’écran montre comment créer un utilisateur test avec ADAC.

Pour créer un utilisateur avec ADUC, suivez les étapes ci-dessous :

1. Dans ADUC, choisissez n’importe quel conteneur par défaut pour créer un nouvel utilisateur.
2. Dans le conteneur Users, cliquez avec le bouton droit de la souris pour créer un nouveau compte.
3. Dans la fenêtre New Object – User creation qui s’ouvre, remplissez les mêmes détails, y compris le nom de connexion et SamAccountName.
4. Cliquez sur Suivant et définissez le mot de passe.
5. Activez ou désactivez les utilisateurs si vous le jugez nécessaire.

Pour créer un exemple d’utilisateur appelé “Test AD3 User” en utilisant ADUC, reportez-vous aux détails de la Figure 3.

Figure 3 : Cette capture d’écran montre comment créer un utilisateur test avec ADUC.

A la fin, faites un examen final de tous les détails avant de terminer le processus de création d’un nouveau compte utilisateur (Fig. 4).

Figure 4 : Révision finale des détails de l’utilisateur pour la création d’un nouvel objet dans ADUC.

Plus la complexité des données associées à chaque compte d’utilisateur augmente, plus les informations à fournir dans le processus de création d’un utilisateur augmentent. Pour minimiser les risques d’erreurs, maintenez un modèle pour créer de nouveaux utilisateurs ou même utilisez la fonctionnalité de copie dans ADAC et ADUC pour apporter des changements minimes aux fenêtres de création de comptes utilisateurs déjà existantes et standardisées.

Dans la plupart des scénarios, les administrateurs devront créer des utilisateurs en masse. Pour cela, les cmdlets PowerShell peuvent être utilisés pour automatiser ce processus plutôt que de travailler avec ADAC ou ADUC.

Gestion des utilisateurs AD

Vous pouvez modifier et gérer les propriétés des comptes utilisateurs en utilisant l’option d’affichage et de modification des propriétés des utilisateurs (Fig. 5).

1. Dans ADAC et ADUC, cliquez avec le bouton droit de la souris sur le compte utilisateur souhaité pour ouvrir une fenêtre dans laquelle vous pouvez apporter toutes les modifications aux propriétés souhaitées.
2. Désactivez un compte utilisateur pour inclure une icône de flèche pointant vers le bas sur l’affichage des utilisateurs. La désactivation des utilisateurs jusqu’à ce qu’ils soient nécessaires est une bonne pratique.

Figure 5 : Voici un exemple de fenêtre utilisée pour modifier les propriétés d’un compte utilisateur avec ADUC.

Suppression d’utilisateurs

Dans les cas où les utilisateurs ne font plus partie de l’environnement requis et doivent être supprimés, cliquez avec le bouton droit de la souris sur l’utilisateur concerné et sélectionnez l’option de suppression.

Dépannage des comptes utilisateurs AD

Le dépannage des comptes utilisateurs est un autre aspect critique de la maîtrise de la gestion des environnements AD.

Cela implique généralement :

• Confirmer que le compte n’est pas désactivé.
• Vérifier l’état d’expiration du compte utilisateur.
• Vérifier l’état d’expiration du mot de passe.
• Travailler avec divers scénarios de réinitialisation de mot de passe.

La création, la modification et la suppression des comptes d’utilisateur sont effectuées par les administrateurs en fonction des demandes et des politiques uniques de leur organisation pour gérer les nouvelles embauches, les changements de département, la rotation des employés, etc.

La gestion des comptes d’utilisateurs dans un environnement AD peut sembler complexe, mais en réalité, les services AD imitent toujours une configuration d’entreprise réelle et aident à la gestion efficace de toutes les ressources d’une organisation.

Comptes informatiques : Comprendre leur rôle dans les environnements AD

Comme tous les utilisateurs, applications et services qui ont besoin d’un compte d’utilisateur pour se connecter à des domaines AD, des comptes d’ordinateur sont créés pour chaque poste de travail qui doit accéder au réseau AD connecté.

La création, la gestion et la suppression des comptes d’ordinateur sont similaires au cycle de vie des comptes d’utilisateur. Pour gérer efficacement les comptes d’ordinateur, les ordinateurs peuvent également être organisés en groupes et conteneurs AD auxquels des stratégies de groupe peuvent être attribuées.

Les comptes d’ordinateur peuvent être créés de deux façons :

1. En les créant d’abord, puis en les joignant au domaine AD correspondant.
2. En les créant dans AD au fur et à mesure que de nouveaux ordinateurs sont joints au domaine contrôlé par AD.

Travail pratique avec l’ordinateur VM

1. Dans le contexte de ce blog, nous avons une VM configurée comme un ordinateur client qui doit être joint au domaine du DC. Pour ce faire, utilisez la deuxième approche indiquée ci-dessus. Cette approche vous permet de créer un nouveau compte d’ordinateur dans AD pour cet ordinateur client une fois qu’il a été joint au domaine du cabinet créé ci-dessus (c’est-à-dire, ad.practice.com).
2. Dirigez tout ordinateur que vous voulez joindre à un domaine AD vers un minimum d’un serveur DNS maintenu dans l’environnement AD. Définissez l’adresse IP du DC comme le serveur DNS préféré sur cet ordinateur client.
3. À l’aide des paramètres système avancés de l’ordinateur client, fournissez les détails du domaine ainsi que le nom d’utilisateur et le mot de passe d’un compte d’utilisateur qui a la permission d’ajouter cet ordinateur au domaine.
4. Ajoutez cet ordinateur en tant qu’objet informatique dans AD à l’aide des outils de gestion AD.
5. Redémarrez l’ordinateur. Ensuite, il sera vu comme faisant partie du domaine requis et sera visible comme faisant partie du conteneur d’ordinateur par défaut dans AD. L’authentification de l’ordinateur se fait en arrière-plan.

Création d’objets informatiques dans AD

Pour créer un ordinateur à l’aide d’ADAC, suivez les étapes ci-dessous :

1. Dans ADAC, créez des ordinateurs dans le conteneur Computers du volet de gauche.
2. Spécifiez le nom de l’ordinateur.
3. Fournissez des informations sur les utilisateurs ou groupes d’utilisateurs autorisés qui peuvent authentifier les ordinateurs nouvellement créés pour les ajouter au domaine AD.

Reportez-vous à la Figure 6 ci-dessous pour créer un ordinateur de test appelé “TestAD3Computer” à l’aide d’ADAC.

Figure 6 : Cette capture d’écran montre comment créer un ordinateur de test avec ADAC.

Pour créer un ordinateur à l’aide d’ADUC, suivez les étapes ci-dessous :

1. Dans ADUC, vous pouvez choisir n’importe quelle unité d’organisation (OU) ou conteneur approprié pour créer des ordinateurs. Ici, pour la pratique, choisissez le conteneur Computers dans le volet de gauche comme valeur par défaut pour créer un nouveau compte d’ordinateur.
2. Cliquez avec le bouton droit de la souris sur Computers et cliquez sur New.
3. Dans la fenêtre qui s’ouvre, saisissez le nom de l’ordinateur et sélectionnez d’autres paramètres.

Reportez-vous à la Figure 7 ci-dessous pour créer un ordinateur de test appelé “TestAD3User” à l’aide d’ADUC.

Figure 7 : Cette capture d’écran montre comment créer un ordinateur de test avec ADUC.

Vous pouvez utiliser les commandes PowerShell pour créer des comptes d’ordinateur en masse, trouver des comptes d’ordinateur spécifiques, trouver des systèmes d’exploitation spécifiques, et même trouver des comptes inactifs ou expirés.

Suppression d’ordinateurs

Pour supprimer des comptes d’ordinateur via ADAC ou ADUC, cliquez avec le bouton droit de la souris sur l’ordinateur souhaité et sélectionnez l’option de suppression.

Dans ce blog, nous vous avons présenté deux des objets AD les plus critiques et leur gestion via ADUC et ADAC, les deux outils d’administration AD les plus populaires.

Les groupes AD et les OU sont les prochains objets AD qui nécessitent une compréhension plus approfondie. Restez à l’écoute du prochain blog de cette série pour en savoir plus à leur sujet.

Source: A practical approach to Active Directory Domain Services, Part 3: Explore AD with user and computer accounts