- Windows Server
- 14 mai 2021 à 20:47
-
- 1/2
Lorsque vous déployez une infrastructure Active Directory dans une entreprise, vous créez au moins 2 contrôleurs de domaine par domaine pour éviter que vos utilisateurs ne soient plus en mesure de se connecter sur les postes clients.
Lorsque les serveurs se trouvent dans votre entreprise, il est plus ou moins facile de gérer leur sécurité.
Néanmoins, si vous devez déployer des contrôleurs de domaines supplémentaires dans d'autres pays pour réduire les délais d'accès à votre infrastructure Active Directory, il peut être intéressant de déployer des contrôleurs de domaines en lecture seule (RODC) plutôt que des contrôleurs de domaines standards (accessibles en lecture et écriture).
Info : les contrôleurs de domaines en lecture seule (RODC) ne sont disponibles que depuis Windows Server 2008.
Dans ce tutoriel, nous allons vous montrer comment déployer un contrôleur de domaine accessible uniquement en lecture seule (ou autrement dit un RODC pour : Read Only Domain Controller).
- Installer un contrôleur de domaine en lecture seule (RODC)
- Promouvoir un contrôleur de domaine en lecture seule (RODC)
- Contrôleur de domaine en lecture seule
- Changer l'administrateur délégué d'un contrôleur de domaine en lecture seule (RODC)
- Stratégies de réplication des mots de passe
1. Installer un contrôleur de domaine en lecture seule (RODC)
Pour déployer un nouveau contrôleur de domaine en lecture seule (RODC), lancez l'assistant Ajout de rôles et de fonctionnalités.
Sélectionnez le rôle "Services AD DS".
Cliquez sur "Suivant" à chaque étape, puis cliquez sur Installer.
Une fois le rôle "Services AD DS" installé, cliquez sur le lien "Promouvoir ce serveur en contrôleur de domaine".
2. Promouvoir un contrôleur de domaine en lecture seule (RODC)
Pour commencer, nous ajoutons un contrôleur de domaine à un domaine existant.
Donc, sélectionnez l'option "Ajouter un contrôleur de domaine à un domaine existant", puis cliquez sur "Sélectionner".
Indiquez les identifiants du compte administrateur du domaine à joindre, puis sélectionnez le domaine souhaité.
Ensuite, le domaine souhaité et le compte utilisé apparaitront ici.
Cliquez sur Suivant.
A l'étape suivante, cochez la case "Contrôleur de domaine en lecture seule (RODC)" et cliquez sur Suivant.
Etant donné que nous souhaitons déployer un contrôleur de domaine en lecture seule (RODC), une étape supplémentaire "Options RODC" a fait son apparition.
L'option "Compte d'administrateur délégué" est facultative et permet de déléguer la gestion de ce contrôleur de domaine en lecture seule (RODC) à une autre personne (qui est, par exemple, présente physiquement où ce serveur se trouve).
Les 2 options suivantes permettent de gérer la réplication en lecture seule des comptes utilisateurs du domaine.
Par défaut :
- seuls les mots de passe des utilisateurs présents dans le groupe "Groupe de réplication dont le mot de passe RODC est autorisé" seront répliqués en lecture seule sur ce contrôleur de domaine en lecture seule (RODC)
- les mots de passe des comptes utilisateurs considérés comme sensibles (tels que les comptes administrateurs, par exemple) ne seront pas répliqués sur ce contrôleur de domaine en lecture seule (RODC)
Ensuite, les autres étapes seront les mêmes que lorsque vous ajoutez un nouveau contrôleur de domaine accessible en écriture.
Choisissez depuis quel contrôleur de domaine les données seront répliquées sur celui-ci.
L'assistant vous propose de choisir où stocker les différents dossiers, comme d'habitude.
Un résumé de la configuration s'affiche.
La ligne importante dans ce cas-ci étant : Contrôleur de domaine en lecture seule = Oui.
Une fois la vérification terminée, cliquez sur Installer
Patientez pendant l'installation du contrôleur de domaine en lecture seule (RODC).
Une fois l'installation du contrôleur de domaine terminée, le serveur redémarrera.
Au redémarrage, connectez-vous avec le compte Administrateur du domaine ou avec le compte que vous avez défini comme administrateur délégué à l'étape "Options RODC".
3. Contrôleur de domaine en lecture seule
Sur ce contrôleur de domaine en lecture seule (RODC), lancez la console "Utilisateurs et ordinateurs Active Directory".
Avant que cette console s'affiche, un avertissement s'affichera :
Plain Text
Vous êtes connecté au contrôleur de domaine en lecture seule dc2-rodc.informatiweb.lan. Vous ne pourrez pas effectuer d'opérations d'écriture
Cliquez sur OK.
Dans le dossier "Domain Controllers" de cette console "Utilisateurs et ordinateurs Active Directory", vous trouverez :
- au moins 1 contrôleur de domaine accessible en écriture qui est aussi défini comme catalogue global (GC)
- et votre contrôleur de domaine en lecture seule (RODC)
Etant donné que ce contrôleur de domaine est accessible uniquement en lecture seule (pour des raisons de sécurité), vous ne pourrez pas y créer de nouveaux utilisateurs.
Les options permettant de modifier l'appartenance à des groupes, désactiver des comptes, ... seront également grisées.
Comme indiqué précédemment lors de l'assistant de promotion de votre serveur en contrôleur de domaine en lecture seule, la gestion de la réplication des mots de passe est gérée grâce à 2 groupes spéciaux :
- Groupe de réplication dont le mot de passe RODC est autorisé
- Groupe de réplication dont le mot de passe RODC est refusé
Partager ce tutoriel
A voir également
-
Windows Server 16/4/2021
Windows Server - AD DS - Comment fonctionne la réplication Active Directory
-
Windows Server 3/4/2021
Windows Server - AD DS - Les bases de l'Active Directory
-
Windows Server 30/4/2021
Windows Server - AD DS - Présentation des niveaux fonctionnels Active Directory
-
Windows Server 21/5/2021
WS 2016 - AD DS - Ajouter un contrôleur de domaine à un domaine AD existant
Vous devez être connecté pour pouvoir poster un commentaire