Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Active Directory : guide complet pour débutants — concepts, installation et administration

ayi_2

Active Directory : guide complet pour débutants

Active Directory (AD) est l'un des composants les plus fondamentaux de l'infrastructure Windows en entreprise. Ce guide vous accompagne pas à pas, de la théorie à la mise en pratique sur Windows Server 2022.

1. Qu'est-ce qu'Active Directory ?

Active Directory est un service d'annuaire développé par Microsoft. Il centralise l'authentification et la gestion des ressources (utilisateurs, ordinateurs, imprimantes, stratégies) au sein d'un réseau d'entreprise.

Concepts clés

Domaine : unité administrative de base. Tous les objets (comptes, machines) partagent une base de données commune et des politiques unifiées. Exemple : contoso.local
Forêt : ensemble d'un ou plusieurs domaines liés par des relations d'approbation. La forêt est la frontière de sécurité absolue d'AD.
Arbre : groupe de domaines partageant un espace de noms DNS contigu (ex. : contoso.local → europe.contoso.local).
Unité d'organisation (OU) : conteneur logique permettant d'organiser les objets par département, site géographique ou fonction. Les GPO s'appliquent au niveau des OU.
GPO (Group Policy Object) : ensemble de paramètres de configuration (sécurité, logiciels, bureau) déployés automatiquement sur les utilisateurs et ordinateurs du domaine.
LDAP (Lightweight Directory Access Protocol) : protocole standard utilisé pour interroger et modifier l'annuaire. AD écoute par défaut sur le port 389 (LDAP) et 636 (LDAPS).
Contrôleur de domaine (DC) : serveur qui héberge AD DS et répond aux demandes d'authentification Kerberos/NTLM.

2. AD DS vs Entra ID (anciennement Azure AD)

La confusion est fréquente : ce sont deux produits distincts avec des cas d'usage différents.

AD DS (Active Directory Domain Services) : service on-premises, installé sur Windows Server. Authentification Kerberos, GPO, jonction de domaine classique. Idéal pour les environnements 100 % locaux.
Microsoft Entra ID : service cloud (Azure). Authentification OAuth 2.0 / SAML / OpenID Connect. Pas de GPO natives, pas de jonction de domaine au sens traditionnel. Conçu pour les applications SaaS et les télétravailleurs.
Hybride : les deux peuvent coexister via Microsoft Entra Connect (anciennement Azure AD Connect), qui synchronise les comptes AD DS vers Entra ID.

En résumé : AD DS gère vos postes Windows dans votre réseau local ; Entra ID gère vos identités dans le cloud (Microsoft 365, Azure…).

3. Installation du rôle AD DS sur Windows Server 2022

Prérequis

Windows Server 2022 (Standard ou Datacenter), IP statique configurée
Nom d'hôte défini avant promotion (ex. : SRV-DC01)
Au moins 4 Go de RAM, 40 Go de disque

Installation via PowerShell (recommandé)

# Installer le rôle AD DS et les outils de gestion
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

# Promouvoir le serveur en contrôleur de domaine (nouveau domaine)
Install-ADDSForest `
  -DomainName "contoso.local" `
  -DomainNetbiosName "CONTOSO" `
  -ForestMode "WinThreshold" `
  -DomainMode "WinThreshold" `
  -InstallDns `
  -Force

Le serveur redémarrera automatiquement après la promotion. Une fois relancé, connectez-vous avec CONTOSO\Administrateur.

Via l'interface graphique

Gestionnaire de serveur → Ajouter des rôles et fonctionnalités
Cocher Services AD DS, puis cliquer sur la notification jaune → Promouvoir ce serveur en contrôleur de domaine
Choisir Ajouter une nouvelle forêt et renseigner le nom de domaine racine

4. Ajouter des ordinateurs au domaine

Sur chaque poste client Windows (Pro ou Entreprise) :

# PowerShell (en tant qu'administrateur local)
Add-Computer -DomainName "contoso.local" -Credential CONTOSO\Administrateur -Restart

Ou via l'interface : Paramètres → Système → À propos → Domaine ou groupe de travail → rejoindre un domaine.

Une fois redémarré, l'ordinateur apparaît dans Computers dans la console AD.

5. Gestion des utilisateurs et groupes

Console « Utilisateurs et ordinateurs Active Directory »

Ouvrez dsa.msc (ou via Outils dans le Gestionnaire de serveur). Vous y créez et gérez tous les objets du domaine.

# Créer un utilisateur
New-ADUser -Name "Jean Dupont" `
  -GivenName "Jean" -Surname "Dupont" `
  -SamAccountName "jdupont" `
  -UserPrincipalName "jdupont@contoso.local" `
  -Path "OU=Utilisateurs,DC=contoso,DC=local" `
  -AccountPassword (Read-Host -AsSecureString "Mot de passe") `
  -Enabled $true

# Créer un groupe de sécurité
New-ADGroup -Name "GRP-Comptabilite" `
  -GroupScope Global `
  -GroupCategory Security `
  -Path "OU=Groupes,DC=contoso,DC=local"

# Ajouter un membre au groupe
Add-ADGroupMember -Identity "GRP-Comptabilite" -Members "jdupont"

Bonnes pratiques d'organisation

Créez des OU par département (OU=Comptabilite, OU=Informatique…)
Utilisez des groupes de sécurité globaux pour les droits d'accès aux ressources
Appliquez le principe du moindre privilège : n'ajoutez au groupe Domain Admins que les comptes strictement nécessaires
Désactivez les comptes inactifs plutôt que de les supprimer immédiatement

6. Premières GPO utiles

Ouvrez la Console de gestion des stratégies de groupe (gpmc.msc) pour créer et lier des GPO à vos OU.

GPO recommandées pour débuter

Politique de mot de passe : Configuration ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies de compte — longueur minimale 12 caractères, complexité activée, expiration 90 jours.
Verrouillage de session : écran de veille avec mot de passe après 10 minutes d'inactivité.
Désactiver le Panneau de configuration pour les utilisateurs standards : Configuration utilisateur → Modèles d'administration → Panneau de configuration.
Mappage de lecteurs réseau : Configuration utilisateur → Préférences → Paramètres Windows → Mappages de lecteurs — montez automatiquement \\SRV-FILE\Partage en Z: à l'ouverture de session.
Windows Update : pointez les postes vers un serveur WSUS local via Configuration ordinateur → Modèles d'administration → Composants Windows → Windows Update.

# Forcer l'application immédiate des GPO sur un poste
gpupdate /force

Conclusion

Active Directory est un socle incontournable pour administrer un parc Windows. Une fois votre premier domaine en place, explorez des sujets complémentaires : DNS intégré AD, réplication multi-DC, RODC (contrôleur en lecture seule pour les sites distants), Fine-Grained Password Policies et la supervision via l'observateur d'événements (journaux Security et System).

N'hésitez pas à poser vos questions en réponse à cet article.


### Voir aussi sur le forum

- [Combien de temps un client peut-il être éteint dans AD ?](/viewtopic.php?t=16717)
- [Est-il acceptable d'utiliser .local dans un nom de domaine Active Directory ?](/viewtopic.php?t=16598)
- [Refonte complète d'Active Directory et application des GPO](/viewtopic.php?t=17214)
- [Commande Linux pour inspecter les enregistrements TXT d'un domaine](/viewtopic.php?t=3154)