Publié le 28 Juillet 2025
Introduction
La gestion centralisée des utilisateurs, des ordinateurs et des ressources réseau repose sur un composant fondamental : le contrôleur de domaine. Windows Server 2022, dans sa version Active Directory Domain Services (AD DS), offre une infrastructure robuste, adaptée aux environnements professionnels exigeants, du déploiement initial aux stratégies de sécurité. Ce guide présente la configuration d’un premier contrôleur de domaine dans un réseau local, incluant les aspects réseau, DNS, sécurité et intégration client, sans se limiter aux assistants graphiques.
Préparation de l’environnement serveur
Avant toute installation, il est essentiel de configurer proprement le système. Le serveur doit être doté d’une adresse IP statique, hors du DHCP, idéalement dans une plage dédiée. Par exemple, si le serveur est sur un réseau 192.168.10.0/24, l’adresse IP 192.168.10.10 peut être réservée au DC. Le nom d’hôte du serveur ne doit pas contenir d’espaces ni de caractères accentués – par convention, on utilise un format comme srv-dc01.
On configure ensuite les interfaces réseau en statique, en indiquant son propre serveur DNS comme première résolution (cette configuration pourra sembler paradoxale avant l’installation du rôle DNS, mais elle devient cruciale après). Enfin, on renomme le serveur si besoin, redémarre proprement, et procède à l’installation des rôles.
Installation du rôle Active Directory Domain Services (AD DS)
On peut passer par Server Manager, mais une méthode directe et scriptable consiste à utiliser PowerShell. La commande suivante installe à la fois AD DS et les outils d’administration associés :
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
L’installation ne promeut pas encore le serveur en contrôleur de domaine : elle déploie uniquement les composants nécessaires.
Promotion en tant que contrôleur de domaine
La promotion s’effectue via l’outil dcpromo modernisé (intégré au wizard graphique ou via PowerShell). Pour créer un nouveau domaine racine, on utilise la commande suivante :
Install-ADDSForest -DomainName "entreprise.local" -DomainNetbiosName "ENTREPRISE" -SafeModeAdministratorPassword (Read-Host -AsSecureString "Mot de passe DSRM") -InstallDNS:$true -Force
Cette commande crée une nouvelle forêt, ajoute DNS, définit le nom NetBIOS, et configure le mot de passe du mode de restauration. Le serveur redémarre automatiquement une fois la promotion terminée. Après redémarrage, il devient contrôleur de domaine et serveur DNS interne.
Configuration DNS et résolution interne
Le service DNS est fondamental au fonctionnement d’Active Directory. Le serveur héberge désormais une zone primaire de type intégrée à AD, souvent nommée entreprise.local. Tous les clients du réseau doivent pointer vers ce serveur comme DNS principal.
On ajoute une zone de recherche inversée si nécessaire (10.168.192.in-addr.arpa) et on configure un redirecteur conditionnel (par exemple vers 1.1.1.1 ou 8.8.8.8) pour que les résolutions Internet fonctionnent.
On vérifie ensuite la résolution interne :
nslookup srv-dc01.entreprise.local
Et on teste l’autorité DNS :
dcdiag /test:dns
Intégration d’un poste client au domaine
Du côté client, le poste doit être sous Windows Pro (ou supérieur) et utiliser l’adresse IP du DC comme DNS. Il ne s’agit pas simplement d’ajouter le domaine à la main, mais de vérifier que le nom entreprise.local est bien résolu. Une fois cela validé, on peut joindre le poste au domaine via les paramètres système, ou directement via PowerShell :
Add-Computer -DomainName entreprise.local -Credential entreprise\administrateur -Restart
Le poste redémarre automatiquement après intégration, et un compte utilisateur du domaine peut désormais s’y connecter.
Application des stratégies de groupe (GPO)
Une fois les machines intégrées, la gestion centralisée se met en place à travers les stratégies de groupe. Celles-ci sont propagées depuis le dossier \\entreprise.local\SYSVOL et s’appliquent automatiquement aux objets selon leur appartenance à des unités organisationnelles (OU).
La console GPMC permet de lier une stratégie à une OU. Par exemple, on peut créer une OU « Utilisateurs » et y lier une stratégie qui désactive l’accès au Panneau de configuration, mappe un lecteur réseau ou applique une politique de mot de passe renforcée. Le tout est propagé automatiquement grâce à la réplication SYSVOL.
Sécurisation du contrôleur de domaine
Un domaine bien configuré peut devenir un atout de sécurité, mais mal géré, il peut également devenir une cible critique. On évite d’utiliser le compte Administrateur par défaut, on crée un groupe de sécurité spécifique pour les administrateurs du domaine, et on active les audits d’accès sur les objets sensibles (comptes à privilèges, dossiers partagés, contrôleurs de domaine eux-mêmes).
Il est également recommandé d’activer la protection des comptes administrateurs via l’attribut AdminSDHolder, et de surveiller régulièrement les journaux de sécurité via un SIEM (Wazuh, Graylog ou autre).
Sauvegarde du système d’état
Pour assurer la résilience du domaine, la sauvegarde du System State est impérative. Cela inclut la base Active Directory, la configuration du registre, et les fichiers système critiques. Avec Windows Server Backup installé, on lance une sauvegarde manuelle :
wbadmin start systemstatebackup -backuptarget:E:
En cas de défaillance, une restauration sur un matériel ou une VM identique peut être réalisée via l’environnement WinRE ou les outils natifs de récupération. La stratégie idéale inclut également un second contrôleur de domaine dans une autre machine/VM, synchronisé automatiquement.
Validation de l’infrastructure
Après déploiement, il est crucial de valider tous les points sensibles. dcdiag et repadmin permettent de vérifier l’intégrité du domaine et la réplication. nslookup et ping permettent de tester les enregistrements DNS, tandis que gpresult confirme l’application des GPO.
Une documentation interne précise des configurations (nom NetBIOS, domaine, IP, OU, règles GPO) facilitera le support et l’évolutivité du système.
Conclusion
La mise en place d’un contrôleur de domaine avec Windows Server 2022 constitue la pierre angulaire d’une infrastructure réseau professionnelle maîtrisée. Une configuration rigoureuse, couplée à une bonne gestion DNS, une application raisonnée des stratégies de groupe, et des sauvegardes régulières, assure la stabilité, la sécurité et la scalabilité de l’environnement.
