Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Configurer Active Directory sur Windows Server 2022 : installation pas-à-pas

AyiNEDJIMI

<h1><a name="p-39427-configurer-active-directory-sur-windows-server-2022-installation-pas-pas-1" class="anchor" href="#p-39427-configurer-active-directory-sur-windows-server-2022-installation-pas-pas-1" aria-label="Heading link"></a>Configurer Active Directory sur Windows Server 2022 : installation pas-à-pas</h1>
<p>Active Directory Domain Services (AD DS) est le pilier de l’infrastructure d’identité dans les environnements Windows en entreprise. Ce tutoriel vous guide à travers l’installation et la configuration complète d’un contrôleur de domaine sous Windows Server 2022, depuis la préparation du serveur jusqu’à la création des premières unités organisationnelles.</p>
<hr>
<h2><a name="p-39427-prrequis-2" class="anchor" href="#p-39427-prrequis-2" aria-label="Heading link"></a>Prérequis</h2>
<p>Avant de commencer, assurez-vous de disposer de :</p>
<ul>
<li>Un serveur (physique ou virtuel) avec <strong>Windows Server 2022</strong> installé</li>
<li>Au minimum <strong>4 Go de RAM</strong> et <strong>60 Go d’espace disque</strong></li>
<li>Une <strong>adresse IP statique</strong> configurée sur le serveur</li>
<li>Les droits <strong>Administrateur local</strong> sur la machine</li>
<li>Un <strong>nom de domaine</strong> prévu pour votre organisation (ex : <code>contoso.local</code> ou <code>contoso.com</code>)</li>
</ul>
<blockquote>
<p><strong>Attention :</strong> Évitez d’utiliser des TLD publics réels (<code>.com</code>, <code>.fr</code>) pour un domaine interne afin de prévenir les conflits DNS. Privilégiez <code>.local</code>, <code>.lan</code> ou un sous-domaine dédié comme <code>ad.contoso.com</code>.</p>
</blockquote>
<hr>
<h2><a name="p-39427-tape-1-prparer-le-serveur-windows-server-2022-3" class="anchor" href="#p-39427-tape-1-prparer-le-serveur-windows-server-2022-3" aria-label="Heading link"></a>Étape 1 — Préparer le serveur Windows Server 2022</h2>
<h3><a name="p-39427-h-11-configurer-une-adresse-ip-statique-4" class="anchor" href="#p-39427-h-11-configurer-une-adresse-ip-statique-4" aria-label="Heading link"></a>1.1 Configurer une adresse IP statique</h3>
<p>Avant toute chose, attribuez une IP statique à votre serveur. Ouvrez PowerShell en tant qu’administrateur :</p>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Identifier l'interface réseau
Get-NetAdapter

Configurer l'IP statique (adaptez les valeurs à votre réseau)

New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress "192.168.1.10"
-PrefixLength 24 `
-DefaultGateway "192.168.1.1"

Configurer le DNS (pointera vers lui-même après installation AD)

Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses "192.168.1.10","8.8.8.8" </code></pre> <h3><a name="p-39427-h-12-renommer-le-serveur-5" class="anchor" href="#p-39427-h-12-renommer-le-serveur-5" aria-label="Heading link"></a>1.2 Renommer le serveur</h3> <pre data-code-wrap="powershell"><code class="lang-powershell"># Renommer le serveur (remplacez par votre nom souhaité) Rename-Computer -NewName "SRV-DC01" -Restart </code></pre> <blockquote> <p><strong>Astuce :</strong> Choisissez un nom explicite pour votre contrôleur de domaine. La convention <code>SRV-DC01</code> (Serveur - Domain Controller - numéro) est couramment utilisée en entreprise.</p> </blockquote> <h3><a name="p-39427-h-13-vrifier-les-mises-jour-windows-6" class="anchor" href="#p-39427-h-13-vrifier-les-mises-jour-windows-6" aria-label="Heading link"></a>1.3 Vérifier les mises à jour Windows</h3> <pre data-code-wrap="powershell"><code class="lang-powershell"># Vérifier et installer les mises à jour Install-Module PSWindowsUpdate -Force Get-WindowsUpdate -Install -AcceptAll -AutoReboot </code></pre> <hr> <h2><a name="p-39427-tape-2-installer-le-rle-ad-ds-via-le-gestionnaire-de-serveur-7" class="anchor" href="#p-39427-tape-2-installer-le-rle-ad-ds-via-le-gestionnaire-de-serveur-7" aria-label="Heading link"></a>Étape 2 — Installer le rôle AD DS via le Gestionnaire de serveur</h2> <h3><a name="p-39427-mthode-graphique-gestionnaire-de-serveur-8" class="anchor" href="#p-39427-mthode-graphique-gestionnaire-de-serveur-8" aria-label="Heading link"></a>Méthode graphique (Gestionnaire de serveur) :</h3> <ol> <li>Ouvrez le <strong>Gestionnaire de serveur</strong> (icône dans la barre des tâches)</li> <li>Cliquez sur <strong>“Gérer”</strong> → <strong>“Ajouter des rôles et des fonctionnalités”</strong></li> <li>L’assistant s’ouvre — cliquez sur <strong>Suivant</strong></li> <li>Type d’installation : sélectionnez <strong>“Installation basée sur un rôle ou une fonctionnalité”</strong> → <strong>Suivant</strong></li> <li>Sélection du serveur : votre serveur local doit être présent — sélectionnez-le → <strong>Suivant</strong></li> <li>Rôles de serveurs : cochez <strong>“Services de domaine Active Directory”</strong></li> <li>Une boîte de dialogue s’affiche pour les fonctionnalités requises — cliquez sur <strong>“Ajouter des fonctionnalités”</strong></li> <li>Cliquez sur <strong>Suivant</strong> jusqu’à l’écran de confirmation</li> <li>Cochez <strong>“Redémarrer automatiquement le serveur de destination si nécessaire”</strong></li> <li>Cliquez sur <strong>Installer</strong> et attendez la fin de l’installation</li> </ol> <h3><a name="p-39427-mthode-powershell-plus-rapide-9" class="anchor" href="#p-39427-mthode-powershell-plus-rapide-9" aria-label="Heading link"></a>Méthode PowerShell (plus rapide) :</h3> <pre data-code-wrap="powershell"><code class="lang-powershell"># Installer le rôle AD DS et les outils de gestion Install-WindowsFeature -Name AD-Domain-Services
-IncludeManagementTools `
-Verbose

Vérifier l'installation

Get-WindowsFeature AD-Domain-Services
</code></pre>
<hr>
<h2><a name="p-39427-tape-3-promouvoir-le-serveur-en-contrleur-de-domaine-10" class="anchor" href="#p-39427-tape-3-promouvoir-le-serveur-en-contrleur-de-domaine-10" aria-label="Heading link"></a>Étape 3 — Promouvoir le serveur en contrôleur de domaine</h2>
<h3><a name="p-39427-h-31-lancer-lassistant-de-configuration-ad-ds-11" class="anchor" href="#p-39427-h-31-lancer-lassistant-de-configuration-ad-ds-11" aria-label="Heading link"></a>3.1 Lancer l’Assistant de configuration AD DS</h3>
<p>Après l’installation du rôle, une notification jaune apparaît dans le Gestionnaire de serveur :</p>
<ol>
<li>Cliquez sur le <strong>drapeau avec triangle jaune</strong> en haut du Gestionnaire de serveur</li>
<li>Cliquez sur <strong>“Promouvoir ce serveur en contrôleur de domaine”</strong></li>
</ol>
<h3><a name="p-39427-h-32-configuration-du-dploiement-12" class="anchor" href="#p-39427-h-32-configuration-du-dploiement-12" aria-label="Heading link"></a>3.2 Configuration du déploiement</h3>
<ol>
<li>
<p><strong>Configuration du déploiement</strong> :</p>
<ul>
<li>Sélectionnez <strong>“Ajouter une nouvelle forêt”</strong></li>
<li><strong>Nom de domaine racine</strong> : saisissez votre domaine (ex : <code>contoso.local</code>)</li>
<li>Cliquez sur <strong>Suivant</strong></li>
</ul>
</li>
<li>
<p><strong>Options du contrôleur de domaine</strong> :</p>
<ul>
<li><strong>Niveau fonctionnel de la forêt</strong> : Windows Server 2016 (ou 2022 si tous vos DC seront en 2022)</li>
<li><strong>Niveau fonctionnel du domaine</strong> : Windows Server 2016</li>
<li>Cochez <strong>“Serveur DNS (Domain Name System)”</strong></li>
<li>Cochez <strong>“Catalogue global (GC)”</strong></li>
<li><strong>Mot de passe DSRM</strong> : définissez un mot de passe fort pour le Mode de restauration des services d’annuaire</li>
<li>Cliquez sur <strong>Suivant</strong></li>
</ul>
</li>
</ol>
<blockquote>
<p><strong>Attention :</strong> Notez précieusement le mot de passe DSRM dans un coffre-fort sécurisé. Il est indispensable en cas de récupération d’urgence de l’Active Directory.</p>
</blockquote>
<ol start="3">
<li>
<p><strong>Options DNS</strong> : ignorez l’avertissement de délégation DNS (normal pour un nouveau domaine) → <strong>Suivant</strong></p>
</li>
<li>
<p><strong>Options supplémentaires</strong> :</p>
<ul>
<li>Le <strong>nom NetBIOS</strong> est automatiquement dérivé du nom de domaine (ex : <code>CONTOSO</code>)</li>
<li>Vérifiez et cliquez sur <strong>Suivant</strong></li>
</ul>
</li>
<li>
<p><strong>Chemins d’accès</strong> : laissez les chemins par défaut ou personnalisez-les :</p>
<ul>
<li>Base de données AD : <code>C:\Windows\NTDS</code></li>
<li>Fichiers journaux : <code>C:\Windows\NTDS</code></li>
<li>SYSVOL : <code>C:\Windows\SYSVOL</code></li>
</ul>
</li>
<li>
<p><strong>Vérification des prérequis</strong> : attendez la vérification complète. Des avertissements peuvent apparaître — ils sont généralement non bloquants pour un lab ou premier déploiement.</p>
</li>
<li>
<p>Cliquez sur <strong>Installer</strong> — le serveur redémarre automatiquement en fin d’installation.</p>
</li>
</ol>
<h3><a name="p-39427-mthode-powershell-complte-13" class="anchor" href="#p-39427-mthode-powershell-complte-13" aria-label="Heading link"></a>Méthode PowerShell complète :</h3>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Installer et configurer AD DS en une commande
$DomainName = "contoso.local"
$NetBIOSName = "CONTOSO"
$SafeModePassword = ConvertTo-SecureString "MotDePasseDSRM@2024!" -AsPlainText -Force

Install-ADDSForest -DomainName $DomainName
-DomainNetbiosName $NetBIOSName -ForestMode "WinThreshold"
-DomainMode "WinThreshold" -InstallDns
-SafeModeAdministratorPassword $SafeModePassword `
-Force
</code></pre>
<hr>
<h2><a name="p-39427-tape-4-vrifier-linstallation-dactive-directory-14" class="anchor" href="#p-39427-tape-4-vrifier-linstallation-dactive-directory-14" aria-label="Heading link"></a>Étape 4 — Vérifier l’installation d’Active Directory</h2>
<p>Après le redémarrage, connectez-vous avec le compte <code>CONTOSO\Administrateur</code> :</p>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Vérifier que les services AD sont démarrés
Get-Service adws, kdc, netlogon, dns | Select-Object Name, Status

Vérifier la configuration du domaine

Get-ADDomain

Vérifier la forêt

Get-ADForest

Tester la réplication (pour les environnements multi-DC)

repadmin /showrepl

Vérifier les enregistrements DNS critiques

Resolve-DnsName "ldap.tcp.contoso.local" -Type SRV
Resolve-DnsName "kerberos.tcp.contoso.local" -Type SRV
</code></pre>
<hr>
<h2><a name="p-39427-tape-5-crer-la-structure-des-units-organisationnelles-ou-15" class="anchor" href="#p-39427-tape-5-crer-la-structure-des-units-organisationnelles-ou-15" aria-label="Heading link"></a>Étape 5 — Créer la structure des Unités Organisationnelles (OU)</h2>
<p>Une bonne structure OU est fondamentale pour l’organisation et l’application des GPO.</p>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Créer la structure OU de base
$Domain = "DC=contoso,DC=local"

OU principale de l'entreprise

New-ADOrganizationalUnit -Name "Contoso" -Path $Domain

Sous-OUs

$OUContoso = "OU=Contoso,$Domain"
New-ADOrganizationalUnit -Name "Utilisateurs" -Path $OUContoso
New-ADOrganizationalUnit -Name "Ordinateurs" -Path $OUContoso
New-ADOrganizationalUnit -Name "Groupes" -Path $OUContoso
New-ADOrganizationalUnit -Name "Serveurs" -Path $OUContoso

Sous-OUs par département

$OUUsers = "OU=Utilisateurs,$OUContoso"
New-ADOrganizationalUnit -Name "Direction" -Path $OUUsers
New-ADOrganizationalUnit -Name "Informatique" -Path $OUUsers
New-ADOrganizationalUnit -Name "Comptabilite" -Path $OUUsers
New-ADOrganizationalUnit -Name "Commercial" -Path $OUUsers

Write-Host "Structure OU créée avec succès !" -ForegroundColor Green
</code></pre>
<hr>
<h2><a name="p-39427-tape-6-crer-des-comptes-utilisateurs-16" class="anchor" href="#p-39427-tape-6-crer-des-comptes-utilisateurs-16" aria-label="Heading link"></a>Étape 6 — Créer des comptes utilisateurs</h2>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Créer un utilisateur standard
$Password = ConvertTo-SecureString "Utilisateur@2024!" -AsPlainText -Force

New-ADUser -Name "Jean Dupont"
-GivenName "Jean" -Surname "Dupont"
-SamAccountName "j.dupont" -UserPrincipalName "j.dupont@contoso.local"
-Path "OU=Informatique,OU=Utilisateurs,OU=Contoso,DC=contoso,DC=local" -AccountPassword $Password
-Enabled $true -PasswordNeverExpires $false
-ChangePasswordAtLogon $true

Vérifier la création

Get-ADUser -Identity "j.dupont" -Properties *
</code></pre>
<hr>
<h2><a name="p-39427-tape-7-configurer-les-paramtres-dns-17" class="anchor" href="#p-39427-tape-7-configurer-les-paramtres-dns-17" aria-label="Heading link"></a>Étape 7 — Configurer les paramètres DNS</h2>
<p>Le DNS est critique pour le bon fonctionnement d’Active Directory :</p>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Vérifier les zones DNS
Get-DnsServerZone

Créer une zone de recherche inversée (recommandé)

Add-DnsServerPrimaryZone -NetworkID "192.168.1.0/24"
-ReplicationScope "Forest"

Ajouter un enregistrement PTR

Add-DnsServerResourceRecordPtr -ZoneName "1.168.192.in-addr.arpa"
-Name "10" `
-PtrDomainName "SRV-DC01.contoso.local"

Tester la résolution DNS

nslookup contoso.local 192.168.1.10
nslookup SRV-DC01.contoso.local 192.168.1.10
</code></pre>
<hr>
<h2><a name="p-39427-tape-8-scuriser-votre-contrleur-de-domaine-18" class="anchor" href="#p-39427-tape-8-scuriser-votre-contrleur-de-domaine-18" aria-label="Heading link"></a>Étape 8 — Sécuriser votre contrôleur de domaine</h2>
<h3><a name="p-39427-configurer-la-stratgie-de-mot-de-passe-du-domaine-19" class="anchor" href="#p-39427-configurer-la-stratgie-de-mot-de-passe-du-domaine-19" aria-label="Heading link"></a>Configurer la stratégie de mot de passe du domaine :</h3>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Configurer la stratégie de mot de passe par défaut du domaine
Set-ADDefaultDomainPasswordPolicy -Identity "contoso.local"
-LockoutDuration "00:30:00" -LockoutObservationWindow "00:30:00"
-LockoutThreshold 5 -MaxPasswordAge "42.00:00:00"
-MinPasswordAge "1.00:00:00" -MinPasswordLength 12
-PasswordHistoryCount 24 `
-ComplexityEnabled $true

Vérifier la stratégie appliquée

Get-ADDefaultDomainPasswordPolicy
</code></pre>
<h3><a name="p-39427-activer-laudit-des-connexions-20" class="anchor" href="#p-39427-activer-laudit-des-connexions-20" aria-label="Heading link"></a>Activer l’audit des connexions :</h3>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Activer l'audit des ouvertures/fermetures de session
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
auditpol /set /subcategory:"Account Lockout" /success:enable /failure:enable
auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable
</code></pre>
<blockquote>
<p><strong>Astuce :</strong> Sauvegardez l’état du système et la base de données AD régulièrement. Utilisez Windows Server Backup ou Azure Backup pour planifier des sauvegardes automatiques de votre contrôleur de domaine.</p>
</blockquote>
<hr>
<h2><a name="p-39427-vrification-finale-21" class="anchor" href="#p-39427-vrification-finale-21" aria-label="Heading link"></a>Vérification finale</h2>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Rapport de santé complet de l'AD
dcdiag /test:all /v

Vérifier la réplication DNS

dnslint /ad /s 192.168.1.10

Lister tous les contrôleurs de domaine

Get-ADDomainController -Filter *
</code></pre>
<hr>
<h2><a name="p-39427-conclusion-22" class="anchor" href="#p-39427-conclusion-22" aria-label="Heading link"></a>Conclusion</h2>
<p>Votre premier contrôleur de domaine Active Directory est maintenant opérationnel sous Windows Server 2022. Vous disposez d’une infrastructure de base solide avec une structure OU organisée, des comptes utilisateurs et une politique de sécurité configurée. La prochaine étape consiste à créer et déployer des GPO (Group Policy Objects) pour standardiser la configuration de vos postes de travail. Consultez notre tutoriel dédié à la gestion des GPO pour aller plus loin.</p>