Configurer Active Directory sur Windows Server 2022 : installation pas-à-pas

Tutoriels, Actualités & Communauté Tutoriels & Guides Pas-à-Pas
1

Configurer Active Directory sur Windows Server 2022 : installation pas-à-pas

Active Directory Domain Services (AD DS) est le pilier de l’infrastructure d’identité dans les environnements Windows en entreprise. Ce tutoriel vous guide à travers l’installation et la configuration complète d’un contrôleur de domaine sous Windows Server 2022, depuis la préparation du serveur jusqu’à la création des premières unités organisationnelles.

Prérequis

Avant de commencer, assurez-vous de disposer de :

  • Un serveur (physique ou virtuel) avec Windows Server 2022 installé
  • Au minimum 4 Go de RAM et 60 Go d’espace disque
  • Une adresse IP statique configurée sur le serveur
  • Les droits Administrateur local sur la machine
  • Un nom de domaine prévu pour votre organisation (ex : contoso.local ou contoso.com)

Attention : Évitez d’utiliser des TLD publics réels (.com, .fr) pour un domaine interne afin de prévenir les conflits DNS. Privilégiez .local, .lan ou un sous-domaine dédié comme ad.contoso.com.

Étape 1 — Préparer le serveur Windows Server 2022

1.1 Configurer une adresse IP statique

Avant toute chose, attribuez une IP statique à votre serveur. Ouvrez PowerShell en tant qu’administrateur :

# Identifier l'interface réseau
Get-NetAdapter

# Configurer l'IP statique (adaptez les valeurs à votre réseau)
New-NetIPAddress -InterfaceAlias "Ethernet" `
    -IPAddress "192.168.1.10" `
    -PrefixLength 24 `
    -DefaultGateway "192.168.1.1"

# Configurer le DNS (pointera vers lui-même après installation AD)
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" `
    -ServerAddresses "192.168.1.10","8.8.8.8"

1.2 Renommer le serveur

# Renommer le serveur (remplacez par votre nom souhaité)
Rename-Computer -NewName "SRV-DC01" -Restart

Astuce : Choisissez un nom explicite pour votre contrôleur de domaine. La convention SRV-DC01 (Serveur - Domain Controller - numéro) est couramment utilisée en entreprise.

1.3 Vérifier les mises à jour Windows

# Vérifier et installer les mises à jour
Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Étape 2 — Installer le rôle AD DS via le Gestionnaire de serveur

Méthode graphique (Gestionnaire de serveur) :

  1. Ouvrez le Gestionnaire de serveur (icône dans la barre des tâches)
  2. Cliquez sur “Gérer”“Ajouter des rôles et des fonctionnalités”
  3. L’assistant s’ouvre — cliquez sur Suivant
  4. Type d’installation : sélectionnez “Installation basée sur un rôle ou une fonctionnalité”Suivant
  5. Sélection du serveur : votre serveur local doit être présent — sélectionnez-le → Suivant
  6. Rôles de serveurs : cochez “Services de domaine Active Directory”
  7. Une boîte de dialogue s’affiche pour les fonctionnalités requises — cliquez sur “Ajouter des fonctionnalités”
  8. Cliquez sur Suivant jusqu’à l’écran de confirmation
  9. Cochez “Redémarrer automatiquement le serveur de destination si nécessaire”
  10. Cliquez sur Installer et attendez la fin de l’installation

Méthode PowerShell (plus rapide) :

# Installer le rôle AD DS et les outils de gestion
Install-WindowsFeature -Name AD-Domain-Services `
    -IncludeManagementTools `
    -Verbose

# Vérifier l'installation
Get-WindowsFeature AD-Domain-Services

Étape 3 — Promouvoir le serveur en contrôleur de domaine

3.1 Lancer l’Assistant de configuration AD DS

Après l’installation du rôle, une notification jaune apparaît dans le Gestionnaire de serveur :

  1. Cliquez sur le drapeau avec triangle jaune en haut du Gestionnaire de serveur
  2. Cliquez sur “Promouvoir ce serveur en contrôleur de domaine”

3.2 Configuration du déploiement

  1. Configuration du déploiement :

    • Sélectionnez “Ajouter une nouvelle forêt”
    • Nom de domaine racine : saisissez votre domaine (ex : contoso.local)
    • Cliquez sur Suivant

  2. Options du contrôleur de domaine :

    • Niveau fonctionnel de la forêt : Windows Server 2016 (ou 2022 si tous vos DC seront en 2022)
    • Niveau fonctionnel du domaine : Windows Server 2016
    • Cochez “Serveur DNS (Domain Name System)”
    • Cochez “Catalogue global (GC)”
    • Mot de passe DSRM : définissez un mot de passe fort pour le Mode de restauration des services d’annuaire
    • Cliquez sur Suivant

Attention : Notez précieusement le mot de passe DSRM dans un coffre-fort sécurisé. Il est indispensable en cas de récupération d’urgence de l’Active Directory.

  1. Options DNS : ignorez l’avertissement de délégation DNS (normal pour un nouveau domaine) → Suivant

  2. Options supplémentaires :

    • Le nom NetBIOS est automatiquement dérivé du nom de domaine (ex : CONTOSO)
    • Vérifiez et cliquez sur Suivant

  3. Chemins d’accès : laissez les chemins par défaut ou personnalisez-les :

    • Base de données AD : C:\Windows\NTDS
    • Fichiers journaux : C:\Windows\NTDS
    • SYSVOL : C:\Windows\SYSVOL

  4. Vérification des prérequis : attendez la vérification complète. Des avertissements peuvent apparaître — ils sont généralement non bloquants pour un lab ou premier déploiement.

  5. Cliquez sur Installer — le serveur redémarre automatiquement en fin d’installation.

Méthode PowerShell complète :

# Installer et configurer AD DS en une commande
$DomainName = "contoso.local"
$NetBIOSName = "CONTOSO"
$SafeModePassword = ConvertTo-SecureString "MotDePasseDSRM@2024!" -AsPlainText -Force

Install-ADDSForest `
    -DomainName $DomainName `
    -DomainNetbiosName $NetBIOSName `
    -ForestMode "WinThreshold" `
    -DomainMode "WinThreshold" `
    -InstallDns `
    -SafeModeAdministratorPassword $SafeModePassword `
    -Force

Étape 4 — Vérifier l’installation d’Active Directory

Après le redémarrage, connectez-vous avec le compte CONTOSO\Administrateur :

# Vérifier que les services AD sont démarrés
Get-Service adws, kdc, netlogon, dns | Select-Object Name, Status

# Vérifier la configuration du domaine
Get-ADDomain

# Vérifier la forêt
Get-ADForest

# Tester la réplication (pour les environnements multi-DC)
repadmin /showrepl

# Vérifier les enregistrements DNS critiques
Resolve-DnsName "_ldap._tcp.contoso.local" -Type SRV
Resolve-DnsName "_kerberos._tcp.contoso.local" -Type SRV

Étape 5 — Créer la structure des Unités Organisationnelles (OU)

Une bonne structure OU est fondamentale pour l’organisation et l’application des GPO.

# Créer la structure OU de base
$Domain = "DC=contoso,DC=local"

# OU principale de l'entreprise
New-ADOrganizationalUnit -Name "Contoso" -Path $Domain

# Sous-OUs
$OUContoso = "OU=Contoso,$Domain"
New-ADOrganizationalUnit -Name "Utilisateurs" -Path $OUContoso
New-ADOrganizationalUnit -Name "Ordinateurs" -Path $OUContoso
New-ADOrganizationalUnit -Name "Groupes" -Path $OUContoso
New-ADOrganizationalUnit -Name "Serveurs" -Path $OUContoso

# Sous-OUs par département
$OUUsers = "OU=Utilisateurs,$OUContoso"
New-ADOrganizationalUnit -Name "Direction" -Path $OUUsers
New-ADOrganizationalUnit -Name "Informatique" -Path $OUUsers
New-ADOrganizationalUnit -Name "Comptabilite" -Path $OUUsers
New-ADOrganizationalUnit -Name "Commercial" -Path $OUUsers

Write-Host "Structure OU créée avec succès !" -ForegroundColor Green

Étape 6 — Créer des comptes utilisateurs

# Créer un utilisateur standard
$Password = ConvertTo-SecureString "Utilisateur@2024!" -AsPlainText -Force

New-ADUser `
    -Name "Jean Dupont" `
    -GivenName "Jean" `
    -Surname "Dupont" `
    -SamAccountName "j.dupont" `
    -UserPrincipalName "[email protected]" `
    -Path "OU=Informatique,OU=Utilisateurs,OU=Contoso,DC=contoso,DC=local" `
    -AccountPassword $Password `
    -Enabled $true `
    -PasswordNeverExpires $false `
    -ChangePasswordAtLogon $true

# Vérifier la création
Get-ADUser -Identity "j.dupont" -Properties *

Étape 7 — Configurer les paramètres DNS

Le DNS est critique pour le bon fonctionnement d’Active Directory :

# Vérifier les zones DNS
Get-DnsServerZone

# Créer une zone de recherche inversée (recommandé)
Add-DnsServerPrimaryZone `
    -NetworkID "192.168.1.0/24" `
    -ReplicationScope "Forest"

# Ajouter un enregistrement PTR
Add-DnsServerResourceRecordPtr `
    -ZoneName "1.168.192.in-addr.arpa" `
    -Name "10" `
    -PtrDomainName "SRV-DC01.contoso.local"

# Tester la résolution DNS
nslookup contoso.local 192.168.1.10
nslookup SRV-DC01.contoso.local 192.168.1.10

Étape 8 — Sécuriser votre contrôleur de domaine

Configurer la stratégie de mot de passe du domaine :

# Configurer la stratégie de mot de passe par défaut du domaine
Set-ADDefaultDomainPasswordPolicy `
    -Identity "contoso.local" `
    -LockoutDuration "00:30:00" `
    -LockoutObservationWindow "00:30:00" `
    -LockoutThreshold 5 `
    -MaxPasswordAge "42.00:00:00" `
    -MinPasswordAge "1.00:00:00" `
    -MinPasswordLength 12 `
    -PasswordHistoryCount 24 `
    -ComplexityEnabled $true

# Vérifier la stratégie appliquée
Get-ADDefaultDomainPasswordPolicy

Activer l’audit des connexions :

# Activer l'audit des ouvertures/fermetures de session
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
auditpol /set /subcategory:"Account Lockout" /success:enable /failure:enable
auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable

Astuce : Sauvegardez l’état du système et la base de données AD régulièrement. Utilisez Windows Server Backup ou Azure Backup pour planifier des sauvegardes automatiques de votre contrôleur de domaine.

Vérification finale

# Rapport de santé complet de l'AD
dcdiag /test:all /v

# Vérifier la réplication DNS
dnslint /ad /s 192.168.1.10

# Lister tous les contrôleurs de domaine
Get-ADDomainController -Filter *

Conclusion

Votre premier contrôleur de domaine Active Directory est maintenant opérationnel sous Windows Server 2022. Vous disposez d’une infrastructure de base solide avec une structure OU organisée, des comptes utilisateurs et une politique de sécurité configurée. La prochaine étape consiste à créer et déployer des GPO (Group Policy Objects) pour standardiser la configuration de vos postes de travail. Consultez notre tutoriel dédié à la gestion des GPO pour aller plus loin.