Vous allez maintenant vous intéresser aux postes clients présents sur votre réseau. On parle d’intégration à un domaine. Vous allez, dans ce chapitre, intégrer des postes clients qui vont s’enregistrer en tant que ressources dans votre domaine.
Pourquoi intégrer ses postes dans un domaine ? En entreprise, l’intégration des postes à un domaine permet de gérer un inventaire des postes détenus, et de les classer dans la hiérarchie selon la configuration d’annuaire que vous avez choisie. Ainsi, les postes seront en lien permanent avec les contrôleurs de domaine, et il sera plus simple de centraliser leur configuration.
Vous avez vu dans le chapitre précédent que des UO spécifiques existaient par défaut. Si vous ne spécifiez pas l’UO dans laquelle vous souhaitez créer un objet, l’objet sera créé dans une de ces UO spécifiques. Pour les enregistrements de postes clients, il s’agit de l’UO Computers.
Voyons justement, étape par étape et en vidéo, comment ajouter un poste client dans votre AD :
Configurez votre poste client
La première chose à faire avant d’intégrer un client à un domaine est de s’assurer de la bonne configuration de ce dernier au sein du réseau.
Si vous ne l’avez pas fait lors du premier chapitre, je vous propose de créer sur VirtualBox une nouvelle machine virtuelle avec un système d’exploitation Windows 10. Une fois l’OS installé, pensez bien à paramétrer la machine en mode « réseau interne », comme vous l’aviez fait avec vos serveurs.
Ensuite, configurez une adresse IP fixe pour votre poste client, et ajoutez à votre configuration l’adresse IP des serveurs contrôleurs de domaine comme serveurs DNS.
Vous pouvez prendre par exemple la configuration suivante :
Adresse IP : 172.16.0.100
Masque : 255.255.255.0 ou /24 😉
Serveurs DNS : 172.16.0.1, 172.16.0.2
Ainsi, toutes les requêtes portant sur les noms de domaine seront dirigées de façon prioritaire vers les contrôleurs de domaine. Changez également le nom de ce PC en PCFIXE01. Je vous propose de prendre l’exemple du PC du directeur général, Pierre.
Passons maintenant à l’intégration au domaine !
Intégrez votre premier poste client
Je vous ai parlé, lors de la conception de votre annuaire, du service DNS. Il est obligatoire pour le fonctionnement de l’AD. Eh bien, c’est ici qu’il va prendre tout son sens.
Le DNS (Domain Name System), ou système de nom de domaine, est un protocole de communication entre machines. Ce protocole est utilisé lorsqu’une des deux machines souhaite communiquer, mais qu’elles ne connaissent que leur nom respectif (exemple : POSTEFIXE01 ou SRVAD1). Or, en réseau, connaître le nom de la machine ne suffit pas. Pour que deux machines puissent se parler, elles doivent connaître leur adresse IP respective. C’est à ce moment-là que le serveur DNS intervient pour fournir à qui le demande (machine client ou serveur lui-même), l’adresse IP associée à un nom de machine.
Et comme l’annuaire Active Directory ne fonctionne qu’avec des noms (de machines et de domaines), la présence d’un ou plusieurs serveurs DNS est indispensable. Sans ça, aucune communication ne serait possible entre l’annuaire et les machines clients.
Il faut donc que chaque machine du réseau (y compris les serveurs) connaisse la ou les adresses IP du/des serveur(s) DNS.
Revenons à la configuration du client. Lorsque vous êtes sur un poste client, il vous faut afficher les propriétés système.
Pour cela, plusieurs méthodes existent :
le panneau de configuration, outil Système ;
le raccourci clavier touche Windows et touche Pause ;
clic gauche sur le poste de travail, puis Propriétés.
Ce panneau de configuration permet de modifier le nom de l’ordinateur et le groupe de travail (entre autres).
Vous allez vous intéresser à ces paramètres uniquement. Cliquez sur Modifier les paramètres. Une nouvelle fenêtre s’ouvre avec un premier champ disponible : Description de l’ordinateur. La partie qui vous intéresse est accessible par le bouton Modifier. La fenêtre en question est la suivante :
Par défaut, tout ordinateur se trouve dans un groupe de travail. Ce type de fonctionnement est utilisable pour moins de 5 postes, mais n’est pas recommandé en entreprise. Active Directory permet plus de sécurité. Vous allez modifier le type d’adhésion du poste en sélectionnant Domaine et en entrant le nom de domaine souhaité. Dans l’exemple que je vous ai proposé, il s’agit de gift.sa .
Nous ne rentrerons pas dans le détail, mais vous pouvez retrouver dans le nom de cette requête quelques informations qui peuvent vous rappeler une partie de la configuration, notamment LDAP et DC. AD se base sur le protocole LDAP pour rechercher un contrôleur de domaine.
Si votre domaine est accessible, il est nécessaire d’entrer un nom d’utilisateur valide et son mot de passe pour authentifier le poste sur le domaine. Une fois cela fait, il vous fait redémarrer le poste.
Comme pour les serveurs, après le redémarrage il est maintenant possible d’utiliser un compte du domaine pour s’authentifier.
Ouvrez votre première session sur le domaine
Cela n’a pas forcément été visible sur les serveurs, mais sur un poste client, la première ouverture de session sur le domaine apporte de nombreux changements. En effet, un nouveau profil utilisateur est créé et l’ancien, bien que toujours disponible, n'est plus utilisé. Rappelez-vous du RID Master, ce rôle qui permet de générer des identifiants uniques sur le réseau, et qui est utilisé pour générer un identifiant de sécurité (le SID). Grâce à ce nouveau profil, l’utilisateur et les droits sur les fichiers seront associés aux SID du poste nouvellement intégré dans le domaine, ainsi que le SID de l’utilisateur avec lequel vous vous êtes authentifié.
À chaque nouvel utilisateur un nouveau profil sera créé, et les droits positionnés avec le SID de l’utilisateur. Ainsi, deux profils utilisateurs sur un même poste ne pourront être accédés sans autorisations particulières !
Comprenez les différentes versions de Windows
Vous avez sûrement observé que la version de Windows 10 que je vous ai proposée n’est pas la même que celle que vous avez sur votre PC personnel. Il s’agit de la version Entreprise LTSB. Ces dernières lettres signifient Long Term Support Branch, il s’agit d’une version qui bénéficie d’un support plus long par Microsoft, avec des mises à jour plus espacées dans le temps, en termes de fonctionnalités. Ce support plus long permet de bénéficier de correctifs de sécurité, avec un cycle de sortie beaucoup plus intéressant pour une entreprise. Cela permettra de garantir le fonctionnement des applications sur les postes clients avec plus de souplesse.
Vous savez maintenant comment intégrer un poste informatique à votre domaine, vous disposez donc d’un annuaire qui liste toutes les ressources de l’entreprise. Je vous propose à présent de mettre en œuvre une politique de sécurité au travers des stratégies de groupes.
En résumé
Le DNS est primordial pour intégrer un poste client à un domaine AD.
Le fait de s’authentifier sur un poste client du domaine modifie le profil sur le poste.
Chaque utilisateur qui s'authentifie sur un poste client d’un domaine aura des droits différents et personnels.
Bravo ! Votre annuaire est enfin complet ! Dans la prochaine partie nous allons pouvoir découvrir l’outil le plus puissant d’Active Directory : les stratégies de groupes. Grâce à elles, vous allez pouvoir appliquer des autorisations et restrictions sur vos objets. À tout de suite !