</Contexte>
Contexte Dans le cadre d'une infrastructure d'entreprise centralisée, ce projet vise à déployer un Active Directory sur Windows Server 2022 pour unifier l'authentification, la gestion des ressources et l'application de stratégies de groupe (GPO). Un RODC est déployé en agence distante pour renforcer la sécurité et la résilience.
Pourquoi déployer un Active Directory ?
- Centralisation des identités : un annuaire unique pour tous les comptes utilisateurs, groupes et ordinateurs du domaine.
- Gestion des accès (AGDLP) : structuration claire des permissions via groupes Globaux et Domain Local.
- Application de politiques : GPO pour uniformiser la sécurité et l'ergonomie des postes sans intervention manuelle.
- Résilience en agence : le RODC authentifie localement même si la liaison WAN est coupée.
Problématique
Stack technologique
OS serveur Microsoft, héberge les rôles AD DS, DNS, et FSMO. Niveau fonctionnel forêt/domaine 2022.
Annuaire LDAP centralisé : comptes, groupes, OU, GPO. Authentification Kerberos, réplication multi-DC.
Contrôleur de domaine en lecture seule déployé en agence. Limite l'exposition des secrets en cas de compromission physique.
Group Policy Objects pour la sécurité des postes. Stratégie AGDLP pour une attribution des droits claire et évolutive.
Objectifs du projet
- Promouvoir DC01 en contrôleur de domaine et serveur DNS pour
technoplus.local. - Structurer l'annuaire en OU et appliquer la stratégie AGDLP.
- Créer 20 comptes utilisateurs avec partages réseau et permissions NTFS.
- Déployer 4 GPO : blocage USB, Panneau de configuration, fond d'écran, lecteurs réseau mappés.
- Déployer un RODC en agence pour l'authentification locale et la résilience WAN.
</Architecture>
Segmentation réseau
| Zone | Réseau | Rôle |
|---|---|---|
| LAN | 10.0.20.0/24 | Postes utilisateurs, DC01 |
| DMZ | 10.0.30.0/24 | Services exposés (Web, Mail…) |
| SERVEURS | 10.0.10.0/24 | Infrastructure serveurs internes |
| AGENCE | 10.0.40.0/24 | Site distant, RODC |
Serveurs déployés
| Serveur | OS | IP | Rôle |
|---|---|---|---|
| DC01 | Windows Server 2022 | 10.0.20.10 | Contrôleur de domaine principal, DNS, FSMO (tous les rôles) |
| RODC01 | Windows Server 2022 | 10.0.40.10 | Contrôleur de domaine en lecture seule — site agence |
Structure organisationnelle (OU)
technoplus.local
├── OU=Direction
│ └── Utilisateurs Direction, GG_Direction, GG_Managers
├── OU=Administratif
│ └── Utilisateurs Administratif, GG_Administratif
├── OU=Commercial
│ └── Utilisateurs Commercial, GG_Commercial
├── OU=Technique
│ └── Utilisateurs Technique, GG_Technique
└── OU=_Agence
└── Utilisateurs Agence, GG_Agence, RODC01
Chaque OU regroupe les comptes utilisateurs du service correspondant. Les GPO sont liées au niveau des OU pour un ciblage précis par département.
</Réalisation>
1 — Configuration réseau de DC01
Avant la promotion, configurer une IP statique et un DNS pointant sur lui-même :
# PowerShell — sur DC01
New-NetIPAddress -InterfaceAlias "Ethernet" `
-IPAddress 10.0.20.10 -PrefixLength 24 -DefaultGateway 10.0.20.1
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 127.0.0.1
2 — Promotion en contrôleur de domaine
# PowerShell — Installation du rôle AD DS
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
# Promotion — nouvelle forêt
Install-ADDSForest `
-DomainName "technoplus.local" `
-DomainNetBiosName "TECHNOPLUS" `
-ForestMode "WinThreshold" `
-DomainMode "WinThreshold" `
-InstallDns:$true `
-Force:$true
- Domaine :
technoplus.local - Niveaux fonctionnels forêt/domaine : Windows Server 2022
- Rôle DNS intégré à AD activé
- Catalogue global activé sur DC01 — tous les rôles FSMO sur DC01
3 — Création des OU et groupes (AGDLP)
La stratégie AGDLP (Account → Global Group → Domain Local Group → Permission) structure l'attribution des droits : les comptes rejoignent des groupes Globaux par service, qui sont membres des groupes Domain Local associés aux ressources.
# PowerShell — Création des OU
$ou = "DC=technoplus,DC=local"
foreach ($dept in @("Direction","Administratif","Commercial","Technique","_Agence")) {
New-ADOrganizationalUnit -Name $dept -Path $ou
}
# Création des groupes Globaux
New-ADGroup -Name "GG_Direction" -GroupScope Global -Path "OU=Direction,$ou"
New-ADGroup -Name "GG_Administratif" -GroupScope Global -Path "OU=Administratif,$ou"
New-ADGroup -Name "GG_Commercial" -GroupScope Global -Path "OU=Commercial,$ou"
New-ADGroup -Name "GG_Technique" -GroupScope Global -Path "OU=Technique,$ou"
New-ADGroup -Name "GG_Agence" -GroupScope Global -Path "OU=_Agence,$ou"
New-ADGroup -Name "GG_Managers" -GroupScope Global -Path $ou
# Création des groupes Domain Local
New-ADGroup -Name "DL_Acces_Dossiers_Direction" -GroupScope DomainLocal -Path $ou
New-ADGroup -Name "DL_Acces_Dossiers_Admin" -GroupScope DomainLocal -Path $ou
New-ADGroup -Name "DL_Acces_Dossiers_Commercial" -GroupScope DomainLocal -Path $ou
New-ADGroup -Name "DL_Acces_Technique" -GroupScope DomainLocal -Path $ou
| Type | Nom du groupe | Description |
|---|---|---|
| Global | GG_Direction | Utilisateurs Direction |
| Global | GG_Administratif | Utilisateurs Administratif |
| Global | GG_Commercial | Utilisateurs Commercial |
| Global | GG_Technique | Utilisateurs Technique |
| Global | GG_Managers | Responsables tous services |
| Domain Local | DL_Acces_Dossiers_Direction | Accès partage Direction |
| Domain Local | DL_Acces_Dossiers_Admin | Accès partage Administratif |
| Domain Local | DL_Acces_Dossiers_Commercial | Accès partage Commercial |
| Domain Local | DL_Acces_Technique | Accès ressources techniques |
4 — Création des utilisateurs (20 comptes)
# PowerShell — Exemple création d'un utilisateur
$pass = ConvertTo-SecureString "Azerty123!" -AsPlainText -Force
New-ADUser -Name "Philippe Moreau" `
-SamAccountName "p.moreau" `
-UserPrincipalName "p.moreau@technoplus.local" `
-Path "OU=Direction,DC=technoplus,DC=local" `
-AccountPassword $pass `
-ChangePasswordAtLogon $true `
-Enabled $true
Add-ADGroupMember -Identity "GG_Direction" -Members "p.moreau"
Add-ADGroupMember -Identity "GG_Managers" -Members "p.moreau"
-ChangePasswordAtLogon $true).| Login | Nom | Fonction | OU / Groupes |
|---|---|---|---|
| p.moreau | Philippe Moreau | Directeur Général | Direction / GG_Direction, GG_Managers |
| s.bernard | Sophie Bernard | Directrice Adjointe | Direction / GG_Direction, GG_Managers |
| m.dubois | Marie Dubois | Resp. Administrative | Administratif / GG_Administratif, GG_Managers |
| l.martin | Lucie Martin | Comptable | Administratif / GG_Administratif |
| j.petit | Julie Petit | Assistante RH | Administratif / GG_Administratif |
| a.leroy | Antoine Leroy | Assistant Administratif | Administratif / GG_Administratif |
| t.garcia | Thomas Garcia | Directeur Commercial | Commercial / GG_Commercial, GG_Managers |
| c.roux | Camille Roux | Chargé d'Affaires | Commercial / GG_Commercial |
| n.fournier | Nicolas Fournier | Commercial Terrain | Commercial / GG_Commercial |
| e.lambert | Emma Lambert | Assistante Commerciale | Commercial / GG_Commercial |
| f.michel | François Michel | DSI | Technique / GG_Technique, GG_Managers, Admins |
| v.simon | Vincent Simon | Admin Sys/Réseaux | Technique / GG_Technique, Admins du domaine |
| a.laurent | Aurélie Laurent | Chef de Projet IT | Technique / GG_Technique |
| m.girard | Maxime Girard | Développeur Full-Stack | Technique / GG_Technique |
| h.bonnet | Hugo Bonnet | Technicien Support N2 | Technique / GG_Technique |
| l.fontaine | Laura Fontaine | Technicienne Support N1 | Technique / GG_Technique |
| d.marchand | David Marchand | Responsable Agence | _Agence / GG_Agence, GG_Managers |
| i.chevalier | Isabelle Chevalier | Commerciale Agence | _Agence / GG_Agence, GG_Commercial |
| r.blanc | Romain Blanc | Technicien Itinérant | _Agence / GG_Agence, GG_Technique |
| c.henry | Charlotte Henry | Assistante Polyvalente | _Agence / GG_Agence |
5 — Partages réseau et permissions NTFS
# PowerShell — Création partage + NTFS (exemple Direction)
New-Item -Path "C:\Partages\Direction" -ItemType Directory -Force
New-SmbShare -Name "Direction" -Path "C:\Partages\Direction" `
-FullAccess "Administrateurs" -ChangeAccess "DL_Acces_Dossiers_Direction"
# NTFS — donner Modification au groupe Domain Local
$acl = Get-Acl "C:\Partages\Direction"
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"TECHNOPLUS\DL_Acces_Dossiers_Direction","Modify","ContainerInherit,ObjectInherit","None","Allow"
)
$acl.AddAccessRule($rule)
Set-Acl "C:\Partages\Direction" $acl
| Partage | Groupe DL | Permission NTFS |
|---|---|---|
| \\DC01\Direction | DL_Acces_Dossiers_Direction | Modification |
| \\DC01\Administratif | DL_Acces_Dossiers_Admin | Modification |
| \\DC01\Commercial | DL_Acces_Dossiers_Commercial | Modification |
| \\DC01\Technique | DL_Acces_Technique | Modification |
6 — Déploiement du RODC en agence
# PowerShell — Sur le serveur RODC01 (en agence, après jonction au domaine)
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController `
-DomainName "technoplus.local" `
-ReadOnlyReplica:$true `
-SiteName "Agence" `
-InstallDns:$true `
-Force:$true
</GPO>
Quatre stratégies de groupe couvrent la sécurité et l'ergonomie des postes. Elles sont liées aux OU et filtrées par groupe de sécurité pour un ciblage précis.
| GPO | Chemin | Cible / Exclusions |
|---|---|---|
| Blocage USB | Ordinateur > Modèles admin > Système > Accès stockage amovible | Tous — exclure GG_Technique via filtrage de sécurité |
| Panneau de configuration | Utilisateur > Modèles admin > Panneau de configuration | Tous — exclure Direction et Technique |
| Fond d'écran | Utilisateur > Paramètres > Paramètres de bureau > Fond d'écran | Chemin UNC partagé sur DC01 |
| Lecteurs réseau | Préférences > Lecteurs mappés | Ciblage par groupe de sécurité selon le service |
Détail — GPO Blocage USB
- Paramètre : Tout refuser l'accès au stockage amovible → Activé.
- Exception GG_Technique : délégation sur l'objet GPO → retirer Appliquer la stratégie de groupe pour ce groupe.
- Vérification :
gpresult /rsur un poste utilisateur et sur un poste technique.
# Vérification application GPO (cmd ou PowerShell — sur le poste cible) gpresult /r # Ou en détaillé : gpresult /h C:\gpresult.html && start C:\gpresult.html
Détail — GPO Lecteurs réseau
- Préférences Utilisateur > Lecteurs mappés > Nouveau lecteur.
- Action : Mettre à jour — chemin UNC selon le service (ex.
\\DC01\Commercial). - Ciblage de l'élément : membre du groupe de sécurité correspondant.
Validation et tests
- Ouvrir une session avec un compte utilisateur lambda → vérifier le blocage USB et l'absence du Panneau de configuration.
- Ouvrir une session avec un compte
GG_Technique→ vérifier que l'USB fonctionne. - Vérifier les lecteurs mappés selon le groupe de sécurité au logon.
- Forcer l'application si besoin :
gpupdate /force.
</Conclusion>
Résultats et livrables
- Active Directory opérationnel sur le domaine
technoplus.localavec 5 OU structurées. - Stratégie AGDLP appliquée — 8 groupes (4 Globaux + 4 Domain Local) + GG_Managers.
- 20 comptes utilisateurs créés, partages NTFS configurés par département.
- 4 GPO déployées et testées (USB, Panneau de config., fond d'écran, lecteurs réseau).
- RODC déployé en agence avec Password Replication Policy restrictive.
Problèmes rencontrés / Solutions
Réplication RODC échouée (erreur DNS)
- Cause : le RODC pointait sur son propre DNS local avant que la zone
technoplus.localsoit répliquée. - Solution : configurer temporairement le DNS du RODC sur l'IP de DC01 (
10.0.20.10) pendant la promotion, puis remettre127.0.0.1après réplication complète.
GPO non appliquée sur certains postes
- Cause : les comptes ordinateurs n'étaient pas dans la bonne OU, mais dans le conteneur
Computerspar défaut. - Solution : déplacer les comptes ordinateurs dans l'OU ciblée par la GPO, puis forcer
gpupdate /force.
Perspectives d'avenir
- Second DC au siège — Haute disponibilité, partage des rôles FSMO.
- Sauvegardes VSS — Windows Server Backup de l'état du système (SYSVOL, NTDS).
- MFA administrateurs — Azure AD Connect ou solution tierce (Duo, YubiKey).
- Audit avancé — Activer les stratégies d'audit (connexions, modifications AD) et centraliser dans un SIEM (Graylog, ELK).
- Fine-Grained Password Policy — Politique de mots de passe renforcée pour les comptes admins.
— Fin du document —