Services Active Directory DS

Installation du service AD DS

Ajouter des role et fonctionaliter windows serveur.png

Rôle AD DS.png

Fin install AD DS plus promotion.png

Ajout d'une nouvelle fôret.png

Config AD DS.png

créeer délégation DNS.png

 

Installation du service AD DS redondant

Maintenant que le service principal est en place sur le serveur principale, nous allons voir l’installation du service AD DS sur le serveur secondaire, ici SRVDC2. Pour l’installation, il faut suivre la même procédure que pour le serveur principal jusqu’au niveau de la promotion du serveur en contrôleur de domaine.

Option de déploiement serveur AD secondaire.png

Capacité du controleur de domaine secondaire.png

Option de réplication.png

fin installation AD..png

 

Joindre un poste au domaine

S’assurer que le poste communique bien avec le serveur AD (ping FQDN)
- Aller dans les propriétés système (touche Windows + pause) → Modifier les paramètres → Modifier… → Sélectionner membre d’un domaine → Entrer le nom du domaine.
- Le contrôleur de domaine indique alors de s’identifier avec un compte administrateur du domaine pour valider l’intégration.
- Ensuite le client redémarre, on se connecte avec un utilisateur du domaine pour vérifier.

Modification du nom ou du domaine de l'ordinateur.png

GPO

GPO

Blocage du CMD

GPO config user - stratégie - modèles d'admin - système.png

GPO désactiver l'accès à l'invite de commandes.png

GPO désactiver l'accès à l'invite de commandes 2.png

GPO désactiver l'accès à l'invite de commandes 3.png

GPO

Afficher un message avant l’ouverture de session Windows

Afficher un message d'avertissement sur les postes de votre domaine pour rappeler quelques règles de bonne conduite sur l'utilisation des postes informatiques ou pour avertir les utilisateurs d'un changement ?

Fonctionne sur les différentes versions de Windows : Windows 7, Windows 10 ou encore Windows 11 (mais aussi les versions "Server").

À partir de la console de gestion des stratégies de groupe, créez une nouvelle GPO nommée "Message ouverture de session" liée directement à l’OU sur la quel vous souhaitez que cela s’applique.


GPO message session.png

GPO message session 2.png

GPO message session 3.png

GPO message session 4.png

GPO message session 5.png

GPO

Stratégie de verrouillage des comptes

À partir de la console de gestion des stratégies de groupe, créez une nouvelle GPO nommée "Verrouillage des comptes" liée directement à la racine de votre domaine afin de sécuriser l'ensemble des utilisateurs

GPO stratégie verrouillage de compte 1.png

GPO stratégie verrouillage de compte 2.png

GPO stratégie verrouillage de compte 3.png


GPO stratégie verrouillage de compte 4.png

Vérifier que la GPO s'applique bien

Rendez-vous sur un poste de travail où s'applique la GPO afin de se connecter avec un utilisateur. Avant toute chose, il faut effectuer un "gpupdate /force" et redémarrer la machine (Non obligatoire sur cette GPO).

Ouvrir une fenetre CMD est exécuter 

net accounts

CMD commande net accounts.png


Déverrouillée un compte dans l'AD

Au bout de X tentatives en échecs, le compte va se verrouiller. Windows affichera un message pour préciser que le compte est verrouillé. "Par mesure de sécurité, le compte de l’utilisateur a été verrouillé suite à un nombre excessif de tentatives de connexion ou de modification du mot de passe. Attendez un peu avant de réessayer, ou contactez votre administrateur système ou votre service de support technique."


Dans les propriétés du compte utilisateur, dans l'onglet « Compte » :
"Déverrouiller le compte. Ce compte est actuellement verrouillé sur ce contrôleur de domaine Active Directory".
Pour déverrouiller le compte sans attendre la fin du temps imparti, il faut cocher l'option et valider.

AD compte bloquée.png

 

Si l'on veut en savoir un peu plus sur ce verrouillage de compte, il faut basculer sur l'éditeur d'attributs. L'attribut "lockoutTime" indique la date et l'heure à laquelle a eu lieu cet incident de sécurité.

Comtpe ad bloque lockouttime.png

Ce timestamp peut-être converti avec la commande suivante :

w32tm.exe /ntte 132890901190781735

CMD commande w32tm.png