Вы находитесь на странице: 1из 19

MASTER 2 RETEL

MISE EN PLACE D’UN CONTROLEUR


DE DOMAINE EN LECTURE SEULE :
RODC

Sommaire
1. Introduction
2. Prérequis
3. Installation du rôle
4. Configuration du contrôleur de domaine en lecture seule
5. Administration du contrôleur de domaine

Etudiante : FATOU DIOP Professeur : Mr DIOP

1
Introduction
Un contrôleur de domaine comme son nom l’indique est lecture seule et ne
peut donc pas modifier les attributs utilisateurs ou même ajouter des objets.

Il existe plusieurs scénarios d’implémentation de ce type de contrôleur de


domaine, en voici deux que j’ai déjà utilisé :

• Sur des sites distants afin d’optimiser le processus tout en gardant


une part de sécurité.
• En DMZ pour les services nécessitant une authentification.
En plus de l’annuaire Active Directory, les services DNS sont installés en
lecture seul.

Un autre avantage du contrôleur RODC est qu’il conserve sa base locale


(SAM) d’utilisateur ce qui permet de mettre un utilisateur d’un site distant
Administrateur sur le serveur dans le cas où il serait nécessaire d’intervenir
sur la machine.

Prérequis
Les rôles ADDS et DNS doivent être installés sur les deux serveurs.
ADDS01 contient deux sites, DAKAR qui est notre site principal et THIES,
qui va accueillir notre RODC.

2
Et un groupe avec quelques utilisateurs, qui seront autorisé à se
connecter sur le RODC.
1. Être dans un domaine Active Directory avec un niveau fonctionnel de
domaine et foret.
2. Configurer le site Active Directory si nécessaire.
3. Configurer un IP fixe au serveur et lui indiquer en DNS un contrôleur
de domaine existant
4. Configurer les ports des firewalls logiciels et matériels pour assurer la
communication entre le contrôleur RODC et les autres DC.

Installation du rôle

1. L’installation du rôle est identique à un contrôleur de domaine


standard, l’option de lecture seule est faite au moment de sa
configuration.

Sur les serveurs où va être installé le rôle, ouvrir le gestionnaire de


serveur et cliquer sur Ajouter des rôles et des fonctionnalités

Au lancement de l’assistant, cliquer sur Suivant

3
2. Sélectionner Installation basée sur un rôle ou une fonctionnalité et
cliquer sur Suivant.

4
3. Choisir le serveur où le rôle AD DS va être installé et cliquer sur
Suivant.

4. Dans la liste des rôles, cocher la case Service AD DS.

5
5. Cliquer sur Ajouter des fonctionnalités.

6. Maintenant que le service AD DS est sélectionné, cliquer sur Suivant.

6
7. Passer la liste des fonctionnalités en cliquant sur Suivant.

8. Un résumé du rôle AD DS s’affiche, cliquer sur Suivant.

7
9. Confirmer l’installation en cliquant sur Installer.

10. Patienter pendant l’installation du rôle AD DS …

8
11. L’installation terminée, quitter l’assistant en cliquant sur Fermer.

Configuration du contrôleur de
domaine en lecture seule
Maintenant le rôle contrôleur de domaine est installé sur le serveur, il faut le
promouvoir contrôleur du domaine, c’est dans cette partie que nous allons
indiquer qu’il est RODC.

1. Depuis le gestionnaire de serveur, cliquer sur l’icône de


notification et cliquer sur Promouvoir ce serveur en contrôleur de
domaine.

9
2. Sélectionner l’option Ajouter un contrôleur de domaine à un
domaine existant, entrer le nom du domaine, indiquer un compte
membre du groupe Admins du domaine et cliquer sur Suivant.

3. Cocher la case Contrôleur de domaine en lecture seule (RODC),


indiquer le site (THIES) où est installé le serveur, entrer un mot de
passe de récupération et cliquer sur Suivant.

10
4. A ce moment de la configuration, il faut indiquer les éléments dont les
mots de passe sont répliqués sur ce contrôleur, par défaut un groupe
nommer « Groupe de réplication dont le mot de passe RODC est
autorisé » est créé dans lequel on va mettre les utilisateurs que l’on
souhaite répliquer le mot de passe. En production si vous avez
plusieurs sites distants et donc plusieurs contrôleurs RODC, il faudra
créer un groupe par site. Il est inutile de répliquer les mots de passe
des utilisateurs du site B sur le site C par exemple. Il est aussi possible
d’indiquer des objets (utilisateurs ou groupes) dont on ne souhaite
pas répliquer le mot de passe comme par exemple les comptes
administrateurs, ceci renforce la sécurité en cas où le contrôleur RODC
serait compromis. Cliquer sur Suivant pour valider les options

11
5. Passer les options supplémentaires en cliquant sur Suivant.

12
6. Si vous le souhaitez changer l’emplacement des dossiers, sinon cliquer
sur Suivant.

7. Valider les options en cliquant sur Suivant.

8. Les tests validés, cliquer sur Installer.

13
Patienter pendant l’installation, durant cette phase le serveur va
redémarrer. Après il sera membre du domaine ainsi que contrôleur.
Après le redémarrage, le serveur est contrôleur de domaine.

Administration du contrôleur de
domaine
1. Dans cette partie, nous allons voir comment administrateur le
contrôleur RODC.

Sur un contrôleur « normal » (ADDS01), ouvrir la console Utilisateur et


ordinateur Active Directory, aller sur Domain Controllers et ouvrir les
propriétés du contrôleur RODC.

Dans les propriétés aller sur l’onglet Stratégie de réplication de mot de


passe. Depuis cette partie, on peut voir les groupes Autorisés et Refusés.
Cliquer sur le bouton Avancé.

14
2. Sur cette fenêtre, il est possible de voir les objets dont le mot de
passe est répliqué et aussi les utilisateurs ayant une session ouverte
sur le contrôleur en changeant le sélecteur.

3. Maintenant nous allons voir comment ajouter un utilisateur au groupe


autorisé à répliquer les mots de passe et le préremplir. Ajouter un
utilisateur au groupe « Groupe de réplication dont le mot de passe
RODC est autorisé ».
Retourner sur les propriétés avancées du contrôleur RODC et cliquer
sur Préremplir les mots de passe.
Une nouvelle fenêtre apparaît, recherchez dans l’annuaire le groupe
ou utilisateur concerné pour l’ajouter.

15
4. Sélectionner l’utilisateur (fati fati) qui vient d’être ajouté au groupe et
cliquer sur OK.

16
5. Confirmer l’action en cliquant sur Oui.

6. Fermer le message de confirmation en cliquant sur OK.

17
7. L’utilisateur fati fati est ajouté aux comptes qui ont le mot de passe
répliqué.

Conclusion
Le contrôleur de domaine RODC a tout son intérêt. Étant donné que l’on
peut déterminer avec précision quels sont les mots de passe à stocker sur le
serveur RODC, donc, en cas de corruption/de vol du serveur, la perte sera
moindre.

18
N’OUBLIONS PAS D’AJOUTER SRV01 DANS LE
DOMAINE xaf.la AVANT TOUTES CHOSES

19