WINDOWS SERVER 2019

Service Active Directory

Introduction
} L’objectif principal d’un réseau d’entreprise est de partager des
ressources : imprimantes, fichiers, …

} Pour organiser les ordinateurs dans un réseau les administrateurs

peuvent utiliser deux méthodes :

- Groupe de travail;

- Domaine.

} la principale différence entre les deux méthode est la manière

dont les ordinateurs et les autres ressources du réseau sont
gérés.

2 OUZAOUIT
Introduction
} Dans un groupe de travail :

– Tous les ordinateurs sont identiques, aucun ordinateur ne contrôle les autres.

– Chaque ordinateur partage ces propres ressources

– Chaque ordinateur possède ces propres comptes d’utilisateurs stockés sur la base
de données SAM

à Pour ouvrir une session sur l’un des ordinateurs et accéder à ces ressources, Vous
devez disposer d’un compte sur cet ordinateur.

à Administration et sécurité décentralisées

3 OUZAOUIT
Introduction
} Dans un domaine :
– Un ou plusieurs ordinateurs contrôlent les autres. on les appelle des contrôleurs
de domaines (DC). ils permettant de localiser et gérer l’accès aux ressources
du domaine.

– Chaque ordinateur possède ces propres comptes utilisateurs (dans la base de

données SAM), Permettant d’ouvrir une session sur l’ordinateurs en local et

accéder à ces ressources.

– Il y a aussi des comptes de domaine

stockés sur le contrôleur de domaine

permettant d’accéder à toutes les machines et

ressources du domaine.

– Administration et sécurité centralisées

4 OUZAOUIT
Introduction
Groupe de travail Domaine
Il n’y a en général pas plus de vingt Un domaine peut être constitué de
ordinateurs sur ce type des milliers d’ordinateurs.
réseaux.

Un groupe de travail n’est pas protégé Un domaine est protégé par un

par un mot de passe mot de passe

à tout utilisateur peut joindre sa à Pour joindre une machine au

machine au groupe. domaine vous devez fournir
un mot de passe

Tous les ordinateurs doivent se Les ordinateurs peuvent se trouver

trouver sur le même réseau local ou sur des réseaux locaux différents.
le même sous-réseau
5 OUZAOUIT
1. Vue d’ensemble de l’Active Directory

} Vue d'ensemble d'AD DS

} Que sont les domaines AD DS ?
} Que sont les unités d'organisation ?
} Qu'est-ce qu'une forêt AD DS ?
} Qu'est-ce que le schéma AD DS ?
} Processus de connexion AD DS

6 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
Active Directory est le service d’annuaire (bibliothèque) de la famille Windows.
– Le rôle de l'annuaire Active Directory est d’authentifier les utilisateurs et les machines et de
stocker d’une manière centralisée les information relatives aux objets d’un réseau et d’ y
facilité l’accès, la recherche et la modification.

– Les objets peuvent être les comptes utilisateurs, les groupes, les ordinateurs, les imprimantes,
les dossiers, applications …

– Il existe 5 rôles Active Directory qui sont :

• AD Domain Services (AD DS): Annuaire

• AD Certificate Services (AD CS): gestion des clés et certificats numériques pour la sécurité.

• AD Federation Services (AD FS): Accès aux applications par l’authentification juste la 1ere fois.

• AD Right Management Services (AD RMS): Sécurisation des données au niveau d’accès par des
permissions spéciales comme sauvegarder le fichier mais pas l’imprimer.

• AD Lightweight Directory Services (AD LDS): version allégée de l’annuaire AD DS, sans
création de domaine. L’intérêt est de pouvoir créer un annuaire autonome qui permettra de créer
une base d’utilisateurs, pouvant être utilisé dans le cadre d’un processus d’authentification.

7 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
AD DS se compose à la fois de composants physiques et logiques

Composants physiques Composants logiques

• Base de données AD DS • Partitions

• Contrôleurs de domaine • Schéma

• Serveur de catalogue global • Domaines

• Contrôleur de domaine • Arborescences de domaines

en lecture seule RODC
• Forêts

• Sites

• Unités d'organisation

8 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
Composants physiques

} Base de données: Stocke les informations AD DS. Il s'agit d'un fichier

[Link] qui se trouve sur chaque contrôleur de domaine.
} Contrôleur de domaine: serveur active directory qui gère le
domaine et qui contient la base de données AD. Il authentifie les
utilisateurs et les ordinateurs par protocole Kerberos pour
accéder au domaine.
} Contrôleur en lecture seule RODC: sont des contrôleurs de
domaine qui possèdent une copie en lecture de la base de données
de l'annuaire. Il est souvent utilisé dans les filiales où la sécurité et
l'assistance informatique sont souvent moins avancées que dans les
centres d'affaires principaux.

9 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
Composants physiques
} Serveur Catalogue global: contrôleur de domaine qui stocke une copie
complète de tous les informations sur son domaine et une partie des
informations des autres domaines de la forêt. Il est capable de localiser des
objets dans l’ensemble de la forêt, car il a une vue d’ensemble sur tous les
objets.
} Exemple : Il y a trois domaines : Domaine A, Domaine B, Domaine C.
} Deux contrôleurs de domaine se trouvent au sein du domaine A, un
contrôleur de domaine « standard » et un second qui dispose du rôle de «
catalogue global ».
} Conclusion :
- Le contrôleur de domaine standard disposera de la partition d’annuaire du
domaine A
- Le contrôleur de domaine catalogue global dispose des partitions d’annuaire
du domaine A, mais aussi du domaine B et du domaine C
10 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
Composants logiques Domaine

} Domaine AD: est un ensemble d’objets (

machines, utilisateurs, groupes, imprimantes, Domaine
…) partageant la même base de données
active directory et regroupées sous un
même nom. [Link]

Arbre
} Arborescence de domaine: est constitué de
plusieurs domaines ayant un espace de
noms contigu. La relation d’approbation [Link]
entre les domaines d’une même
arborescence est de type parent/enfant. Domaine
Ø forêt: est constituée d'un arbre ou de
plusieurs arbres qui ne forment pas un [Link]
espace de nom contigu.
Forêt
11 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
} Unité d’organisation OU: est un d’objet
type conteneur qui permet d’organiser
logiquement les objets dans un
domaine.
} Attributs: ce sont les caractéristiques et
les informations qu’un objet AD peut
contenir, comme pour utilisateur: Nom,
prénom, mail, tel, département ..
} Une classe: est composée d’une liste
d’attributs. Chacun de ces attributs peut
être défini comme obligatoire ou optionnel.
un attribut lié à une classe peut être utilisé
dans une autre classe. Exemple
organizationalUnit.
12 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
} Un Schéma: est un espace de stockage des classes
d’objets et des attributs qui décrit de manière précise
chacune des classes et chacun des attributs de ces classes.
Comme exemple:

• Attributs • Classes
• objectSID • Utilisateur
• sAMAccountName • Groupe
• emplacement • Ordinateur
• manager • Site
• service

13 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
} Un site: est représenté par un ou plusieurs sous réseaux
interconnectés par des liaisons fiables et rapides (ex:
liaisons LAN). Il est automatiquement mis en place
lorsque l’on installe le premier contrôleur de domaine
dans un domaine, il est nommé Premier-Site-par-défaut. Il
peut contenir des contrôleurs de domaine de n’importe
quel domaine d’une forêt. Parmi ses avantages, Il permet :

L’optimisation du trafic de réplication entre les sites. La

replication AD C’est la méthode de transfert et de mise
à jour des objets Active Directory d’un contrôleur de
domaine à un autre.
La localisation des ressources sur le réseau.
Authentification plus rapides et plus efficace.
14 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
} Critères d’implimentation de sites :
} Vitesse de connexion : à l’intérieur d’un site, il est
recommandé d'utiliser une liaison dont le débit est supérieur ou
égale à 512 kbits/s. Si une partie du reseau est séparée par une
liaison lente (liaison WAN) on crée un nouveau site.
} Placement des services : en l'absence de DC ou de services
compatibles avec Active Directory, un site ne présente pas
beaucoup d'intérêt.
} Population d'utilisateurs : si le nombre d'utilisateurs justifie un
DC, envisagez d'utiliser un site.
} Trafic de requêtes adressées à l'annuaire par les utilisateurs
ou les applications.
} Souhait de contrôler le trafic de réplication entre les DC.

15 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
La réplication est gérée par le vérificateur de
cohérence des données KCC (Knowledge
Consistency Checker). Il a pour rôle de déterminer
si les liens de réplications sont suffisants. Il peut
créer automatiquement des liens entre des
contrôleurs de domaine de plusieurs sites.

Avec la mise en place des sites on distingue deux

types de réplications:
} La réplication intra-site :
correspondant à la mise à jour de la base
d'annuaire Active Directory à l'intérieur d'un
site c'est-à-dire entre contrôleurs de domaine
biens connectés. Elle utilise le protocole RPC
over IP, sûr mais le contenu n’est pas
compressé. Et les modifications sont
envoyées immédiatement aux contrôleurs de
domaine.
16 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
Ø La réplication inter-site :
correspondant quant à elle à la mise à jour de la base d'annuaire entre sites c'est-
à-dire entre groupes de contrôleurs de domaine qu’on les appelle serveurs tête
de pont séparés par une liaison lente (par exemple DC2 et DC4). Elle utilise le
protocole RPC dans la plupart du temps à la différence de l’intra-site le contenu
est compressé. Dans certains cas, où la liaison intersites serait lente et avec un
temps de latence fort (comme liaison satellite), il est possible d’utiliser le
protocole SMTP pour la réplication. La durée de réplication par défaut pour les
connexions de site à site est de 180 minutes.
L’outil de ligne de commande RepAdmin fournit également des informations et
permet de configurer la réplication d’Active Directory.

17 OUZAOUIT
[Link] d’un contrôleur de domaine
} Installation d'un contrôleur de domaine à partir
du Gestionnaire de serveur
} Installation d'un contrôleur de domaine sur une
installation minimale de Windows Server 2019

18 OUZAOUIT
[Link] d'un contrôleur de domaine
Ouvrez le gestionnaire de serveur, puis cliquez sur "Gérer" puis "Ajouter des rôles
et fonctionnalités".

19 OUZAOUIT
[Link] d'un contrôleur de domaine

20 OUZAOUIT
 [Link] d'un contrôleur de domaine
Il va falloir dans la liste cocher "Services AD DS" et validez aussi quand l'assistant
vous propose d'installer les outils de gestion.

21 OUZAOUIT
[Link] d'un contrôleur de domaine
Petit descriptif du rôle que l'on souhaite installer.

22 OUZAOUIT
[Link] d'un contrôleur de domaine
Pour éviter de devoir redémarrer manuellement à chaque fin d'installation de
service, on coche l'option redémarrage automatique.

23 OUZAOUIT
[Link] d'un contrôleur de domaine

Phase d'installation surtout ne pas éteindre le serveur.

24 OUZAOUIT
[Link] d'un contrôleur de domaine
Une fois l'installation terminée, nous allons configurer notre serveur pour qu'il
devienne contrôleur de domaine. Cliquez sur promouvoir ce serveur en
contrôleur de domaine.
Depuis Windows Server 2012, la fameuse commande dcpromo qui permette de
promouvoir le serveur n'existe plus.

25 OUZAOUIT
[Link] d'un contrôleur de domaine
Comme notre domaine n'existe pas, on crée une nouvelle forêt et on spécifie le nom
du domaine qu’on souhaite créé.

26 OUZAOUIT
[Link] d'un contrôleur de domaine
Puis vous définissez le niveau fonctionnel de la forêt et du domaine et définissez le
mot de passe de restauration. Ils déterminent les
fonctionnalités de domaine
ou forêt disponibles sur
ADDS. Elles déterminent
également les systèmes
d’exploitation Windows que
vous pouvez exécuter sur les
contrôleurs de domaine dans
le domaine ou la forêt.
Vous ne pouvez pas définir le
niveau fonctionnel du
domaine à une valeur
inférieure au niveau
fonctionnel de forêt.
une fois le niveau fonctionnel
défini, il est impossible de
passer à un niveau inférieur.
27 OUZAOUIT
[Link] d'un contrôleur de domaine
Si vous créez votre premier domaine dans une infrastructure n’ayant pas de DNS, le
message d’erreur suivant est normal : la zone de nom de votre domaine sera créée
automatiquement par la suite.

28 OUZAOUIT
[Link] d'un contrôleur de domaine
Le nom NETBIOS de votre domaine est ensuite déterminé, vous pouvez
éventuellement le changer :

29 OUZAOUIT
[Link] d'un contrôleur de domaine
Vous devez ensuite préciser les chemins de stockage de l’AD

30 OUZAOUIT
[Link] d'un contrôleur de domaine
Un dernier écran résume votre paramétrage :

31 OUZAOUIT
[Link] d'un contrôleur de domaine
Après configuration le serveur redémarre automatiquement (cela peut être long car
de nombreux services sont configurés).
L’ouverture de session s’effectue avec le compte administrateur du domaine.
Votre domaine est créé.

32 OUZAOUIT
[Link] d'un contrôleur de domaine
Processus de connexion AD DS

1. Le compte d'utilisateur est

authentifié auprès de DC1 pour
joindre le domaine
DC1
2. DC1 retourne un ticket TGT (Ticket
Granting Ticket) au client
3. Le client utilise le ticket TGT pour
solliciter l'accès à WKS1
4. DC1 accorde l'accès à WKS1
5. Le client utilise le ticket TGT pour
WKS1 SVR1
solliciter l'accès à SVR1
6. DC1 retourne l'accès à SVR1
33 OUZAOUIT
[Link] d'un contrôleur de domaine
Active Directory sur serveur en mode core

ü Pour installer le rôle ADDS on utilise la commande suivante sous Powershell:

Install-WindowsFeature -name AD-Domain-Services

34 OUZAOUIT
[Link] d'un contrôleur de domaine
ü Ensuite pour promouvoir le serveur en tant que contrôleur domaine on
tape une commande parmi les 3 suivantes :

§ Install-ADDSForest: pour créer une nouvelle forêt.

§ Install-ADDSDomain: pour créer un nouveau domaine dans une

forêt existante.

§ Install-ADDSDomainController: pour ajouter un contrôleur de

domaine pour un domaine existant.

ü Pour dégrader un contrôleur domaine à un serveur normal on utilise:

§ Uninstall-ADDSDomainController
§ Uninstall-ADDSDomainController –LastDomainControllerInDomain: si
ce contrôleur est le dernier DC dans le domaine.
35 OUZAOUIT
[Link] d'un contrôleur de domaine
} Pour chaque commande précédente est suivie par des paramètres de
configuration comme:
-domainname: donner le nom de domaine
-databasepath: donner le chemin où la base de donnée [Link] sera
stockée (par défaut C:\Windows\NTDS)
-installdns: pour installer le serveur DNS (par défaut oui)
-forestmode: définir le niveau fonctionnel de la forêt
- domainmode: définir le niveau fonctionnel du domaine

Ø Exemple:
PS C:\> Install-ADDSForest -DomainName [Link]
-DomainMode Win2012R2 -ForestMode Win2012R2
-DatabasePath "d:\NTDS" -SysvolPath "d:\SYSVOL" -LogPath "e:\Logs"
-installdns

36 OUZAOUIT
[Link] partitions Active Directory
Active Directory stocke sa base de donnée dans un fichier
unique [Link]. Cette base de données est divisée
logiquement en cinq partitions (Naming Context):
} la partition de schéma,
} la partition de configuration,
} la partition de domaine.
} La partition application
} La partition catalogue global (PAS)
37 OUZAOUIT
[Link] partitions Active Directory
} La partition de configuration

contient la topologie de la forêt, c'est-à-dire les informations concernant les

domaines, les sites, les connexions entre les contrôleurs, etc... Concrètement, il
existe qu'une seule partition de configuration par forêt. Lors d'une modification, cette
partition sera dupliquée sur tous les contrôleurs de domaine de tous les domaines de la
forêt.

} La partition de schéma
contient le schéma étendu au niveau de la forêt, c'est-à-dire l'ensemble des définitions des
classes (utilisateur, ordinateur, groupe…) et attributs (nom, emplacement,
SID…) des objets pouvant être créer dans l'annuaire Active Directory. Pour assurer la
cohérence de la définition de chaque classe d'objet, il n'existera qu'un seul schéma par
forêt. La partition de schéma est aussi répliquée sur l'ensemble des contrôleurs de
domaine de tous les domaines de la forêt.
38 OUZAOUIT
[Link] partitions Active Directory
} La partition de domaine

contient les informations concernant tous les objets d'un domaine. Elle est spécifique à un
domaine, donc, les informations qu'elle contient seront répliquer sur l'ensemble des
contrôleurs de domaine appartenant au même domaine. Par conséquent, dans une forêt
composée de plusieurs domaines, il existera plusieurs partitions de domaine (une par domaine).

} La partition application

la partition application, stocke les données sur les applications utilisées dans Active
Directory, comme par exemple, les zones intégrées à Active Directory d'un serveur DNS.
Cette partition est répliquée sur des contrôleurs de domaine que vous définissez.

} La partition Catalogue global

Cette partition est également appelé Partial Attribute Set (PAS) dans certains documents.
Elle contient une copie partiel de tous les objets du domaine. Il est répliqué sur tous les
catalogues globaux dans la forêt.

39 OUZAOUIT
[Link] partitions Active Directory
Schéma

Configuration

Domaine A

Schéma
Domaine A
Configura0on Contrôleur domaine
Schéma
Domaine A
Configuration
Domaine B
Domaine B Domaine B

Catalogue global
Schéma

Configuration
Contrôleur
Domaine B
domaine

Contrôleur domaine
40 OUZAOUIT
[Link] IFM
Installation IFM
} IFM (Install From Media) est une installation qui comme son
nom l’indique va nous permettre de créer un support
d’installation contenant la base de donnée Active Directory et
éventuellement le SYSVOL à un instant T afin d’élever un
nouveau serveur au rang de contrôleur de domaine.
} Lorsque nous ajoutons un contrôleur de domaine à un
domaine existant, la base de donnée Active Directory ainsi que
le SYSVOL seront entièrement répliqués. Dans un
environnement où les annuaires sont volumineux et sont
situés sur des sites géographiques différents il y aura un risque
de surchargé le trafic WAN. Ainsi si nous installons le
contrôleur de domaine à l’aide d’un support seulement les
modifications seront répliqués ce qui nous permettra d’éviter
de surcharger inutilement notre bande passante.

41 OUZAOUIT
[Link] IFM
Nous disposons d’un contrôleur de domaine du nom AD1 et d’un serveur
membre du nom de SV1. Le but est de promouvoir SV1 en tant que
contrôleur de domaine à un domaine existant par la méthode de l’IFM.

42 OUZAOUIT
[Link] IFM

§ Nous allons commencer par créer notre support IFM. Pour cela nous
allons nous rendre sur notre serveur AD1 puis lancer l’invité de commande
DOS ou la console Powershell en mode administrateur

§ Il nous faut maintenant saisir les commandes suivantes:

43 OUZAOUIT
[Link] IFM
§ Ensuite nous devons lancer la création du support en choisissant son
type:

-Create sysvol full : crée le support d’installation avec SYSVOL pour un

contrôleur de domaine accessible en écriture.

-Create full : crée le support sans sysvol pour un DC accessible en

écriture ou une instance AD LDS.

-Create sysvol rodc : crée un support d’installation avec SYSVOL pour un

DC en lecture seule.

- Create rodc : crée le support d’installation sans SYSVOL pour un DC en

lecture seule.

44 OUZAOUIT
 [Link] IFM
§Maintenant nous allons lancer la création du média à l’aide de la
commande « create sysvol Full chemin » où le chemin sera l’endroit où
nous souhaitons stocker notre support. Nous choisirons comme chemin
C:\IFM

Voici le contenu du
dossier IFM :

45 OUZAOUIT
[Link] IFM
§ Il nous faut maintenant déplacer notre support sur notre
serveur SV1. Vous pouvez le faire par l’intermédiaire d’un
support de stockage ou par le réseau.

§ Une fois notre dossier créé nous pouvons procéder à

l’installation du rôle AD DS. Sur le serveur SV1 lancez
la console Gestionnaire de serveur puis cliquez sur
Ajouter des rôles ou des fonctionnalités et suivre
les mêmes étapes d’installation de l’active directory AD
DS jusqu’à l'étape concernant l’installation à partir de
support (IFM):

46 OUZAOUIT
 [Link] IFM
Ø Ou bien on commence l’installation
par commande PowerShell, exemple:

Install-ADDSDomainController
–InstallDNS –DomainName «[Link]»
-InstallationMediaPath C:\IFM

-InstallationMediaPath: Indique
l’emplacement du dossier qu’on a
déplacé depuis le DC vers ce serveur.

v A la fin d’installation le serveur

redémarrera alors et il sera à ce
moment-là un nouveau contrôleur de
domaine.

47 OUZAOUIT
5. Joindre un domaine en mode hors connexion
} Cette procédure explique comment joindre une machine sous
Windows à un domaine en mode hors connexion, c'est à dire
sans que la machine soit connectée au réseau et, puisse
contacter le contrôleur de domaine afin de s'authentifier
auprès de lui et joindre le domaine.
} Le contrôleur de domaine générera un fichier de sortie
contenant les métadonnées pour le compte ordinateur devant
être ajouté au domaine.
} Ensuite, on utilisera ce fichier de métadonnées sur la machine
cliente pour joindre le domaine en mode hors connexion.
} vous devez exécuter au moins Windows 7 pour le client et
Windows 2008 R2 pour le serveur.

48 OUZAOUIT
 5. Joindre un domaine en mode hors connexion

Côté contrôleur de domaine

Pour générer le fichier on utilise la commande djoin suivante:

djoin /provision /domain [Link] /machine CLI02 /savefile [Link]

Où [Link] est le nom de domaine, CLI02 le nom de la machine Windows

et [Link] le nom du fichier de sortie à générer. Le fichier se trouvera dans
le répertoire : C:\Windows\System32

On peut voir qu'un compte CLI02 est créé

dans l'Unité d'Organisation "Computers" de
l'annuaire :

49 OUZAOUIT
5. Joindre un domaine en mode hors connexion

Côté Machine cliente

Importez le fichier sur la machine cliente, On utilise également la

commande djoin mais avec des options différentes :

djoin /requestODJ /loadfile C:\Djoin\[Link] /windowspath %SystemRoot% /localos

requestODJ : Demande une jonction de domaine hors connexion au prochain

démarrage
- loadfile : Chemin vers le fichier de métadonnées créé depuis le contrôleur
de domaine
- windowspath %SystemRoot% : On indique le chemin vers l'installation de
Windows, l'utilisation de la variable %SystemRoot% permet de ne pas
s'embêter à saisir le chemin manuellement. Le chemin est contenu dans la
variable.
- localos : Appliquer sur l'OS exécuté localement. Nécessite un redémarrage.
Implique une exécution en tant qu'administrateur local.
50 OUZAOUIT
5. Joindre un domaine en mode hors connexion

Côté Machine cliente

Il ne reste plus qu'à redémarrer la machine afin que l'intégration au domaine

soit validée.

51 OUZAOUIT
6. Les maitres d’opérations AD
} Les Maîtres d’opérations ou FSMO (Flexible Single Master Operation)
désignent certains types de contrôleur de domaine qui ont des
rôles spécifiques.

} Certains rôles sont uniques pour tous les domaines de la forêt ;

d’autres rôles sont plus simplement uniques à l’intérieur d’un domaine.

} Voici les 5 rôles que nous allons étudier :

• Forêt • Domaine
• Maître d'attribution • RID master
de noms de domaine
• Maître d'infrastructure
• Contrôleur de schéma
• Maître d'émulateur de contrôleur
de domaine principal PDC
52 OUZAOUIT
6. Les maitres d’opérations AD
Maitre d’attribution de
Maitre de schéma nom de domaine
– Il est le seul à avoir un accès – Appelé aussi maître de
en écriture sur le schéma nommage
Active Directory pour – Ce rôle permet principalement
l’ensemble de la forêt. de gérer l’ajout et la
– Une fois les modifications suppression d’un domaine
effectuées, il les réplique sur dans une forêt.
l’ensemble de la forêt. – Il ne peut exister qu'un seul
– Il ne peut exister qu'un seul maître de nommage sur
contrôleur de schéma sur l'ensemble de la forêt.
l'ensemble de la forêt.

53 OUZAOUIT
 6. Les maitres d’opérations AD
Maitre des ID relatifs Maitre Emulateur PDC
} Lorsqu’un contrôleur de domaine crée
un objet Active Directory (Utilisateur,
} Il est unique au sein d’un
Groupe de sécurité, Ordinateur...), il domaine.
assigne à cet objet un identifiant unique
de sécurité (SID). Ce dernier est
} Il permet de Synchroniser
constitué de l’identifiant de sécurité les horloges sur tous les
du domaine (Domain SID) et d’un contrôleurs de domaine
RID (Relative Identifier). Afin
d’assurer l’unicité du SID pour un objet
(heure et date), Gérer le
du domaine, le maître RID alloue verrouillage des comptes,
régulièrement des plages de RID à Changer les mots de passe
chaque contrôleur qui en fait la
et Assurer la compatibilité
demande.
avec les contrôleurs de
domaine Windows NT.

54 OUZAOUIT
6. Les maitres d’opérations AD
} Maitre Infrastructure
} Unique au sein d’un domaine, Il a pour objectif de gérer les
références ( objets fantômes) entre plusieurs domaines.
} Imaginons qu’un utilisateur d’un domaine A soit ajouté au sein
d’un groupe du domaine B. Le contrôleur de domaine « Maître
d’infrastructure » deviendra responsable de cette référence et
devra s’assurer de la réplication de cette information sur tous
les contrôleurs de domaine du domaine, alors un objet
fantôme sera créé sur le domaine B afin de faire référence à
l’utilisateur du domaine A.
} De ce fait, si l’objet est modifié ou supprimé à l’avenir, le
Maître d’infrastructure devra se charger de déclencher la mise
à jour de l’objet fantôme auprès des autres contrôleurs de
domaine.

55 OUZAOUIT
6. Les maitres d’opérations AD

56 OUZAOUIT
6. Les maitres d’opérations AD
Attribution initiale des maîtres d'opérations

– le premier contrôleur de domaine de la forêt se voit attribuer les

cinq rôles en plus d’être promu catalogue global.

– Pour chaque nouveau domaine supplémentaire au sein de cette

forêt, le premier contrôleur se verra attribuer quant à lui les 3 rôles
de niveau domaine.

– Le nombre des maîtres d’opérations dans votre infrastructure est

calculable à l’aide de la formule 2 + (n x 3) où n est le nombre de
domaines dans votre forêt.

57 OUZAOUIT
6. Les maitres d’opérations AD
Localisation des maîtres d'opérations

- Ou bien on utilise la ligne de commande: NETDOM, DCDIAG ou NTDSUTIL.

- NETDOM est l'outil fournissant le résultat le plus clair. Il suffit de saisir

netdom query /domain:[MONDOMAINE] fsmo

58 OUZAOUIT
6. Les maitres d’opérations AD
Mise à niveau d’un contrôleur domaine
ü La mise à niveau ou Upgrade d’un contrôleur domaine c’est
d’utiliser la version récente du système serveur (par exemple on
monte un DC 2012 vers DC 2016 ou DC 2019)
ü Options de mise à niveau d'AD DS à Windows Server 2019:

• Mise à niveau sur place (depuis Windows Server 2012 R2): Avantage :
Excepté pour les vérificaAons de condiAons préalables, tous les fichiers et
programmes restent sur place et aucun travail supplémentaire n'est requis

• MigraAon: Introduire un nouveau serveur Windows Server 2019 dans le

domaine et le promouvoir au Atre de contrôleur de domaine: C'est
habituellement l'opAon recommandée
• Avantage : Le résultat est un nouveau serveur sans fichiers
et paramètres accumulés
• À surveiller : Peut nécessiter une charge de travail supplémentaire pour
migrer les paramètres des fichiers d'uAlisateurs

59 OUZAOUIT
6. Les maitres d’opérations AD
Mise à niveau d’un contrôleur domaine

60 OUZAOUIT
6. Les maitres d’opérations AD
Migration – Ajouter un contrôleur de domaine Windows Serveur
2019 avec 2012 R2
Sur le server 2012 R2
ü Tout d’ abord, nous devons préparer la version du schéma Active Directory sur
le serveur 2012 R2 pour accueillir un contrôleur de domaine en Serveur 2019.

ü L’opération de mise à niveau est à

effectuer directement sur le contrôleur de
domaine « maître de schéma ». Pour
l’identifier vous pouvez utiliser la commande
CMD netdom query fsmo

ü Mise a jour Schéma : Sur le Serveur

2012 R2, insérer le DVD de Windows
Serveur 2019 et copier le dossier
« support » sur C:

61 OUZAOUIT
6. Les maitres d’opérations AD
ü Puis aller à l’invite de commande CMD , exécuter (Dans : C:\support\adprep) :

adprep /forestprep
adprep /domainprep

ü Les niveaux fonctionnels du

domaine et de la forêt doivent
être mis à Windows 2012 R2.

62 OUZAOUIT
6. Les maitres d’opérations AD
Sur le server 2019
ü La configuration IP a été mise en place. Le serveur a été nommé
puis joint au domaine en tant que serveur membre.

ü on installe active directory et on le configure comme un contrôleur

domaine secondaire.

ü Migrer les rôles FSMO vers le nouveau contrôleur de domaine

Windows Serveur 2019

ü Rétrograder l’ancien contrôleur de domaine : supprimer AD du

serveur 2012 R2

ü Augmenter le niveau fonctionnel de la forêt et domaine à 2016 pour

bénéficier des dernières nouveautés liées à l’Active Directory et à sa
structure.
63 OUZAOUIT