Installer un contrôleur de domaine Active Directory en lecture seule (RODC) sous Windows Server 2016
- Windows Server
- 14 mai 2021 à 20:47
-
- 2/2
4. Changer l'administrateur délégué d'un contrôleur de domaine en lecture seule (RODC)
A l'étape "Options RODC" de l'assistant, vous aviez la possibilité de définir un administrateur délégué pour ce contrôleur de domaine.
Si vous voulez le changer ou l'ajouter (si vous ne l'avez pas fait par le passé), ouvrez les propriétés de l'objet ordinateur correspondant à votre contrôleur de domaine en lecture seule (RODC).
Dans l'onglet "Géré par", vous verrez l'information "Le groupe sélectionné peut administrer ce contrôleur de domaine en lecture seule (RODC)".
Cliquez sur : Modifier.
Indiquez le nom d'un compte Active Directory que vous souhaitez autoriser à gérer votre contrôleur de domaine en lecture seule (RODC).
Le compte sélectionné apparait.
Bien que cela ne soit pas obligatoire, il peut être intéressant d'ajouter le compte choisi comme administrateur délégué au groupe "Groupe de réplication dont le mot de passe RODC est autorisé".
Cela permet d'autoriser la réplication en lecture seule du mot de passe de ce compte sur le contrôleur de domaine en lecture seule (RODC) concerné et ainsi de permettre à ce compte de pouvoir gérer ce contrôleur de domaine même si le lien réseau entre celui-ci et les autres contrôleurs de domaine n'est pas disponible actuellement.
Bref, ouvrez les propriétés du compte que vous avez choisi précédemment, allez dans l'onglet "Membre de" et cliquez sur "Ajouter".
Cherchez le groupe "Groupe de réplication dont le mot de passe RODC est autorisé" via le bouton "Avancé", puis cliquez sur OK.
Notez que l'administrateur délégué du contrôleur de domaine en lecture seule (RODC) ne peut modifier que les utilisateurs qui se trouvent dans le groupe "Groupe de réplication dont le mot de passe RODC est autorisé".
Par contre, il ne pourra pas modifier les autres objets et comptes utilisateurs.
En effet, comme vous pouvez le voir, tout est grisé.
5. Stratégies de réplication des mots de passe
Ouvrez les propriétés de votre contrôleur de domaine Active Directory en lecture seule (RODC).
Etant donné qu'il s'agit d'un contrôleur de domaine en lecture seule (RODC), un onglet "Stratégie de réplication de mot de passe" est présent dans ses propriétés.
Pour autoriser ou refuser la réplication du mot de passe pour un nouvel utilisateur, un nouveau groupe ou un nouvel ordinateur, cliquez sur "Ajouter".
Choisissez si vous souhaitez autoriser ou refuser la réplication des mots de passe sur ce contrôleur de domaine en lecture seule (RODC) et cliquez sur OK.
Puis, indiquez le nom de l'utilisateur, du groupe ou de l'ordinateur souhaité et cliquez sur OK pour l'ajouter à la liste.
Si vous cliquez sur le bouton "Avancé" présent dans l'onglet "Stratégie de réplication de mot de passe", une fenêtre "Stratégie de réplication de mot de passe avancée pour [nom du serveur RODC]" s'affichera.
Par défaut, le choix sélectionné est : Comptes dont les mots de passe sont stockés sur ce contrôleur de domaine en lecture seule.
Ce qui signifie qu'il s'agit de la liste des utilisateurs pour lesquels le mot de passe est stocké sur ce contrôleur de domaine en lecture seule.
Lorsque ces utilisateurs tenteront de se connecter sur un poste client, la demande de connexion pourra donc être traitée directement par ce contrôleur de domaine en lecture seule (RODC).
Note que le compte "krbtgt_*****" est un compte KRBTGT utilisé par les contrôleurs de domaine en lecture seule (RODC) et que ce compte possède un mot de passe différent de celui des contrôleurs de domaines accessibles en écriture.
Source : Contrôleurs de domaine en lecture seule et compte KRBTGT
Si vous choisissez "Comptes authentifiés sur ce contrôleur de domaine en lecture seule", il s'agira de la liste des utilisateurs qui se sont déjà authentifiés sur ce contrôleur de domaine en lecture seule (RODC).
Pour accélérer l'authentification des utilisateurs dont le mot de passe peut être répliqué sur ce contrôleur de domaine en lecture seule, vous pouvez préremplir les mots de passe pour ceux-ci en cliquant sur : Préremplir les mots de passe.
Indiquez le nom du ou des utilisateurs dont vous souhaitez répliquer maintenant les mots de passe sur ce contrôleur de domaine en lecture seule (RODC) et cliquez sur OK.
Confirmez le remplissage des mots de passe sur ce contrôleur de domaine et cliquez sur Oui.
Cliquez sur OK.
Si vous souhaitez vérifier si le mot de passe est autorisé à être répliqué ou non, allez dans l'onglet "Stratégie résultante".
Cliquez sur "Ajouter", indiquez le nom d'un utilisateur, puis cliquez sur OK.
Le paramètre résultant indiquera si la réplication du mot de passe est autorisée ou refusée pour cet utilisateur.
Partager ce tutoriel
A voir également
-
Windows Server 16/4/2021
Windows Server - AD DS - Comment fonctionne la réplication Active Directory
-
Windows Server 3/4/2021
Windows Server - AD DS - Les bases de l'Active Directory
-
Windows Server 30/4/2021
Windows Server - AD DS - Présentation des niveaux fonctionnels Active Directory
-
Windows Server 21/5/2021
WS 2016 - AD DS - Ajouter un contrôleur de domaine à un domaine AD existant
Pas de commentaire