</Contexte>

Contexte Dans le cadre d'une infrastructure d'entreprise centralisée, ce projet vise à déployer un Active Directory sur Windows Server 2022 pour unifier l'authentification, la gestion des ressources et l'application de stratégies de groupe (GPO). Un RODC est déployé en agence distante pour renforcer la sécurité et la résilience.

Pourquoi déployer un Active Directory ?

  • Centralisation des identités : un annuaire unique pour tous les comptes utilisateurs, groupes et ordinateurs du domaine.
  • Gestion des accès (AGDLP) : structuration claire des permissions via groupes Globaux et Domain Local.
  • Application de politiques : GPO pour uniformiser la sécurité et l'ergonomie des postes sans intervention manuelle.
  • Résilience en agence : le RODC authentifie localement même si la liaison WAN est coupée.

Problématique

Comment déployer un Active Directory multi-sites sur Windows Server 2022, structurer l'annuaire selon la stratégie AGDLP, appliquer des GPO ciblées par département, et garantir la résilience en agence via un RODC — le tout de manière auditables et maintenable ?

Stack technologique

🪟 Windows Server 2022

OS serveur Microsoft, héberge les rôles AD DS, DNS, et FSMO. Niveau fonctionnel forêt/domaine 2022.

🗂️ Active Directory DS

Annuaire LDAP centralisé : comptes, groupes, OU, GPO. Authentification Kerberos, réplication multi-DC.

🔒 RODC

Contrôleur de domaine en lecture seule déployé en agence. Limite l'exposition des secrets en cas de compromission physique.

⚙️ GPO + AGDLP

Group Policy Objects pour la sécurité des postes. Stratégie AGDLP pour une attribution des droits claire et évolutive.


Objectifs du projet

  • Promouvoir DC01 en contrôleur de domaine et serveur DNS pour technoplus.local.
  • Structurer l'annuaire en OU et appliquer la stratégie AGDLP.
  • Créer 20 comptes utilisateurs avec partages réseau et permissions NTFS.
  • Déployer 4 GPO : blocage USB, Panneau de configuration, fond d'écran, lecteurs réseau mappés.
  • Déployer un RODC en agence pour l'authentification locale et la résilience WAN.

</Architecture>

Segmentation réseau

ZoneRéseauRôle
LAN10.0.20.0/24Postes utilisateurs, DC01
DMZ10.0.30.0/24Services exposés (Web, Mail…)
SERVEURS10.0.10.0/24Infrastructure serveurs internes
AGENCE10.0.40.0/24Site distant, RODC

Serveurs déployés

ServeurOSIPRôle
DC01Windows Server 202210.0.20.10Contrôleur de domaine principal, DNS, FSMO (tous les rôles)
RODC01Windows Server 202210.0.40.10Contrôleur de domaine en lecture seule — site agence
💡 Le RODC ne stocke pas les mots de passe par défaut (Password Replication Policy). En cas de vol physique du serveur d'agence, les secrets du domaine restent protégés.

Structure organisationnelle (OU)

technoplus.local ├── OU=Direction │ └── Utilisateurs Direction, GG_Direction, GG_Managers ├── OU=Administratif │ └── Utilisateurs Administratif, GG_Administratif ├── OU=Commercial │ └── Utilisateurs Commercial, GG_Commercial ├── OU=Technique │ └── Utilisateurs Technique, GG_Technique └── OU=_Agence └── Utilisateurs Agence, GG_Agence, RODC01

Chaque OU regroupe les comptes utilisateurs du service correspondant. Les GPO sont liées au niveau des OU pour un ciblage précis par département.

</Réalisation>

1 — Configuration réseau de DC01

Avant la promotion, configurer une IP statique et un DNS pointant sur lui-même :

# PowerShell — sur DC01
New-NetIPAddress -InterfaceAlias "Ethernet" `
    -IPAddress 10.0.20.10 -PrefixLength 24 -DefaultGateway 10.0.20.1
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 127.0.0.1

2 — Promotion en contrôleur de domaine

# PowerShell — Installation du rôle AD DS
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

# Promotion — nouvelle forêt
Install-ADDSForest `
    -DomainName "technoplus.local" `
    -DomainNetBiosName "TECHNOPLUS" `
    -ForestMode "WinThreshold" `
    -DomainMode "WinThreshold" `
    -InstallDns:$true `
    -Force:$true
  • Domaine : technoplus.local
  • Niveaux fonctionnels forêt/domaine : Windows Server 2022
  • Rôle DNS intégré à AD activé
  • Catalogue global activé sur DC01 — tous les rôles FSMO sur DC01

3 — Création des OU et groupes (AGDLP)

La stratégie AGDLP (Account → Global Group → Domain Local Group → Permission) structure l'attribution des droits : les comptes rejoignent des groupes Globaux par service, qui sont membres des groupes Domain Local associés aux ressources.

# PowerShell — Création des OU
$ou = "DC=technoplus,DC=local"
foreach ($dept in @("Direction","Administratif","Commercial","Technique","_Agence")) {
    New-ADOrganizationalUnit -Name $dept -Path $ou
}

# Création des groupes Globaux
New-ADGroup -Name "GG_Direction"    -GroupScope Global -Path "OU=Direction,$ou"
New-ADGroup -Name "GG_Administratif" -GroupScope Global -Path "OU=Administratif,$ou"
New-ADGroup -Name "GG_Commercial"   -GroupScope Global -Path "OU=Commercial,$ou"
New-ADGroup -Name "GG_Technique"    -GroupScope Global -Path "OU=Technique,$ou"
New-ADGroup -Name "GG_Agence"       -GroupScope Global -Path "OU=_Agence,$ou"
New-ADGroup -Name "GG_Managers"     -GroupScope Global -Path $ou

# Création des groupes Domain Local
New-ADGroup -Name "DL_Acces_Dossiers_Direction"   -GroupScope DomainLocal -Path $ou
New-ADGroup -Name "DL_Acces_Dossiers_Admin"        -GroupScope DomainLocal -Path $ou
New-ADGroup -Name "DL_Acces_Dossiers_Commercial"   -GroupScope DomainLocal -Path $ou
New-ADGroup -Name "DL_Acces_Technique"             -GroupScope DomainLocal -Path $ou
TypeNom du groupeDescription
GlobalGG_DirectionUtilisateurs Direction
GlobalGG_AdministratifUtilisateurs Administratif
GlobalGG_CommercialUtilisateurs Commercial
GlobalGG_TechniqueUtilisateurs Technique
GlobalGG_ManagersResponsables tous services
Domain LocalDL_Acces_Dossiers_DirectionAccès partage Direction
Domain LocalDL_Acces_Dossiers_AdminAccès partage Administratif
Domain LocalDL_Acces_Dossiers_CommercialAccès partage Commercial
Domain LocalDL_Acces_TechniqueAccès ressources techniques

4 — Création des utilisateurs (20 comptes)

# PowerShell — Exemple création d'un utilisateur
$pass = ConvertTo-SecureString "Azerty123!" -AsPlainText -Force
New-ADUser -Name "Philippe Moreau" `
    -SamAccountName "p.moreau" `
    -UserPrincipalName "p.moreau@technoplus.local" `
    -Path "OU=Direction,DC=technoplus,DC=local" `
    -AccountPassword $pass `
    -ChangePasswordAtLogon $true `
    -Enabled $true
Add-ADGroupMember -Identity "GG_Direction" -Members "p.moreau"
Add-ADGroupMember -Identity "GG_Managers"  -Members "p.moreau"
⚠ Mot de passe initial avec changement imposé à la première ouverture de session pour tous les comptes (-ChangePasswordAtLogon $true).
LoginNomFonctionOU / Groupes
p.moreauPhilippe MoreauDirecteur GénéralDirection / GG_Direction, GG_Managers
s.bernardSophie BernardDirectrice AdjointeDirection / GG_Direction, GG_Managers
m.duboisMarie DuboisResp. AdministrativeAdministratif / GG_Administratif, GG_Managers
l.martinLucie MartinComptableAdministratif / GG_Administratif
j.petitJulie PetitAssistante RHAdministratif / GG_Administratif
a.leroyAntoine LeroyAssistant AdministratifAdministratif / GG_Administratif
t.garciaThomas GarciaDirecteur CommercialCommercial / GG_Commercial, GG_Managers
c.rouxCamille RouxChargé d'AffairesCommercial / GG_Commercial
n.fournierNicolas FournierCommercial TerrainCommercial / GG_Commercial
e.lambertEmma LambertAssistante CommercialeCommercial / GG_Commercial
f.michelFrançois MichelDSITechnique / GG_Technique, GG_Managers, Admins
v.simonVincent SimonAdmin Sys/RéseauxTechnique / GG_Technique, Admins du domaine
a.laurentAurélie LaurentChef de Projet ITTechnique / GG_Technique
m.girardMaxime GirardDéveloppeur Full-StackTechnique / GG_Technique
h.bonnetHugo BonnetTechnicien Support N2Technique / GG_Technique
l.fontaineLaura FontaineTechnicienne Support N1Technique / GG_Technique
d.marchandDavid MarchandResponsable Agence_Agence / GG_Agence, GG_Managers
i.chevalierIsabelle ChevalierCommerciale Agence_Agence / GG_Agence, GG_Commercial
r.blancRomain BlancTechnicien Itinérant_Agence / GG_Agence, GG_Technique
c.henryCharlotte HenryAssistante Polyvalente_Agence / GG_Agence

5 — Partages réseau et permissions NTFS

# PowerShell — Création partage + NTFS (exemple Direction)
New-Item -Path "C:\Partages\Direction" -ItemType Directory -Force
New-SmbShare -Name "Direction" -Path "C:\Partages\Direction" `
    -FullAccess "Administrateurs" -ChangeAccess "DL_Acces_Dossiers_Direction"

# NTFS — donner Modification au groupe Domain Local
$acl = Get-Acl "C:\Partages\Direction"
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    "TECHNOPLUS\DL_Acces_Dossiers_Direction","Modify","ContainerInherit,ObjectInherit","None","Allow"
)
$acl.AddAccessRule($rule)
Set-Acl "C:\Partages\Direction" $acl
PartageGroupe DLPermission NTFS
\\DC01\DirectionDL_Acces_Dossiers_DirectionModification
\\DC01\AdministratifDL_Acces_Dossiers_AdminModification
\\DC01\CommercialDL_Acces_Dossiers_CommercialModification
\\DC01\TechniqueDL_Acces_TechniqueModification

6 — Déploiement du RODC en agence

# PowerShell — Sur le serveur RODC01 (en agence, après jonction au domaine)
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

Install-ADDSDomainController `
    -DomainName "technoplus.local" `
    -ReadOnlyReplica:$true `
    -SiteName "Agence" `
    -InstallDns:$true `
    -Force:$true
💡 La Password Replication Policy (PRP) du RODC est configurée en "Deny All" par défaut. Seuls les comptes explicitement autorisés verront leur mot de passe mis en cache localement — idéal pour minimiser le rayon d'impact en cas d'incident.

</GPO>

Quatre stratégies de groupe couvrent la sécurité et l'ergonomie des postes. Elles sont liées aux OU et filtrées par groupe de sécurité pour un ciblage précis.

GPOCheminCible / Exclusions
Blocage USB Ordinateur > Modèles admin > Système > Accès stockage amovible Tous — exclure GG_Technique via filtrage de sécurité
Panneau de configuration Utilisateur > Modèles admin > Panneau de configuration Tous — exclure Direction et Technique
Fond d'écran Utilisateur > Paramètres > Paramètres de bureau > Fond d'écran Chemin UNC partagé sur DC01
Lecteurs réseau Préférences > Lecteurs mappés Ciblage par groupe de sécurité selon le service

Détail — GPO Blocage USB

  • Paramètre : Tout refuser l'accès au stockage amovible → Activé.
  • Exception GG_Technique : délégation sur l'objet GPO → retirer Appliquer la stratégie de groupe pour ce groupe.
  • Vérification : gpresult /r sur un poste utilisateur et sur un poste technique.
# Vérification application GPO (cmd ou PowerShell — sur le poste cible)
gpresult /r
# Ou en détaillé :
gpresult /h C:\gpresult.html && start C:\gpresult.html

Détail — GPO Lecteurs réseau

  • Préférences Utilisateur > Lecteurs mappés > Nouveau lecteur.
  • Action : Mettre à jour — chemin UNC selon le service (ex. \\DC01\Commercial).
  • Ciblage de l'élément : membre du groupe de sécurité correspondant.
💡 Utiliser le ciblage d'élément (Item-level targeting) dans les Préférences GPO pour mapper automatiquement les lecteurs réseau selon l'appartenance aux groupes de sécurité, sans script de logon.

Validation et tests

  • Ouvrir une session avec un compte utilisateur lambda → vérifier le blocage USB et l'absence du Panneau de configuration.
  • Ouvrir une session avec un compte GG_Technique → vérifier que l'USB fonctionne.
  • Vérifier les lecteurs mappés selon le groupe de sécurité au logon.
  • Forcer l'application si besoin : gpupdate /force.

</Conclusion>

Résultats et livrables

  • Active Directory opérationnel sur le domaine technoplus.local avec 5 OU structurées.
  • Stratégie AGDLP appliquée — 8 groupes (4 Globaux + 4 Domain Local) + GG_Managers.
  • 20 comptes utilisateurs créés, partages NTFS configurés par département.
  • 4 GPO déployées et testées (USB, Panneau de config., fond d'écran, lecteurs réseau).
  • RODC déployé en agence avec Password Replication Policy restrictive.

Problèmes rencontrés / Solutions

Réplication RODC échouée (erreur DNS)

  • Cause : le RODC pointait sur son propre DNS local avant que la zone technoplus.local soit répliquée.
  • Solution : configurer temporairement le DNS du RODC sur l'IP de DC01 (10.0.20.10) pendant la promotion, puis remettre 127.0.0.1 après réplication complète.

GPO non appliquée sur certains postes

  • Cause : les comptes ordinateurs n'étaient pas dans la bonne OU, mais dans le conteneur Computers par défaut.
  • Solution : déplacer les comptes ordinateurs dans l'OU ciblée par la GPO, puis forcer gpupdate /force.
💡 Toujours vérifier l'OU des comptes ordinateurs (pas seulement les comptes utilisateurs) quand une GPO de configuration Ordinateur ne s'applique pas.

Perspectives d'avenir

  • Second DC au siège — Haute disponibilité, partage des rôles FSMO.
  • Sauvegardes VSS — Windows Server Backup de l'état du système (SYSVOL, NTDS).
  • MFA administrateurs — Azure AD Connect ou solution tierce (Duo, YubiKey).
  • Audit avancé — Activer les stratégies d'audit (connexions, modifications AD) et centraliser dans un SIEM (Graylog, ELK).
  • Fine-Grained Password Policy — Politique de mots de passe renforcée pour les comptes admins.

— Fin du document —