MiniVerseGeek

I) Étape 1 : Préparer et configurer DC1

A. Renommer le serveur et configurer une IP fixe

1. Renommer le serveur :
   • Ouvrez Paramètres > Système > À propos > Renommer ce PC.
   • Entrez SRV-DC1 et redémarrez.
2. Configurer l'IP fixe :
   • Ouvrez Panneau de configuration > Centre Réseau et partage > Modifier les paramètres de la carte.
   • Faites un clic droit sur votre carte réseau > Propriétés > Protocole Internet version 4 (TCP/IPv4).
   • Entrez :
     • Adresse IP : 192.168.1.10
     • Masque de sous-réseau : 255.255.255.0
     • Passerelle par défaut : 192.168.1.1 (ou l'IP de votre routeur).
     • Serveur DNS préféré : 127.0.0.1 (car ce serveur sera aussi DNS).
   • Validez et fermez.

B. Installer le rôle AD DS et promouvoir DC1

1. Ouvrez Gestionnaire de serveur > Ajouter des rôles et fonctionnalités.
2. Sélectionnez Services de domaine Active Directory et installez.
3. Après l'installation, cliquez sur Promouvoir ce serveur en contrôleur de domaine.
4. Choisissez Ajouter une nouvelle forêt et entrez miniverse.local comme nom de domaine.
5. Définissez un mot de passe pour le mode restauration (DSRM) : P@ssw0rdDSRM2025! (à conserver précieusement).
6. Laissez les options par défaut et redémarrez.

C. Créer les OU et un utilisateur test

1. Ouvrez Utilisateurs et ordinateurs Active Directory (dsa.msc).
2. Faites un clic droit sur miniverse.local > Nouveau > Unité d'organisation.
3. Créez les OU suivantes :
   • _Infra
   • Utilisateurs > Comptabilite
   • Ordinateurs
4. Créez un utilisateur jdupont dans OU=Comptabilite,OU=Utilisateurs,DC=miniverse,DC=local :
   • Prénom : Jean
   • Nom : Dupont
   • Nom d'ouverture de session : jdupont
   • Mot de passe : Azerty123! (cochez "Le mot de passe n'expire jamais").

D. Joindre un poste client au domaine

1. Sur un poste client Windows 10/11, allez dans Paramètres > Système > À propos > Renommer ce PC (avancé).
2. Cliquez sur Modifier et entrez miniverse.local.
3. Entrez les identifiants d'un administrateur du domaine (MINIVERSE\Administrator).
4. Redémarrez et connectez-vous avec jdupont pour valider.

dcdiag /test:dns /v
repadmin /showrepl
whoami

II) Étape 2 : Ajouter un second contrôleur de domaine (DC2)

A. Préparer le serveur pour DC2

1. Installez Windows Server 2019/2022 sur une nouvelle machine (ou VM) avec :
   • Nom : SRV-DC2
   • IP fixe : 192.168.1.11/24
   • Passerelle : 192.168.1.1
   • DNS primaire : 192.168.1.10 (IP de DC1)
2. Joignez DC2 au domaine miniverse.local :

   Add-Computer -DomainName "miniverse.local" -Credential "MINIVERSE\Administrator" -Restart -Force

3. Après redémarrage, connectez-vous avec MINIVERSE\Administrator.

whoami
ipconfig /all

B. Installer AD DS sur DC2

1. Ouvrez Server Manager → Add Roles and Features.
2. Sélectionnez Active Directory Domain Services et installez.
3. Redémarrez si nécessaire.

C. Promouvoir DC2 en contrôleur de domaine supplémentaire

1. Dans Server Manager, cliquez sur Promote this server to a domain controller.
2. Choisissez Add a domain controller to an existing domain.
3. Entrez les identifiants d’un admin du domaine (MINIVERSE\Administrator).
4. Sélectionnez le domaine miniverse.local.
5. Cochez :
   • DNS Server
   • Global Catalog
6. Entrez un mot de passe DSRM (ex: P@ssw0rdDSRM2025!).
7. Laissez les options de réplication par défaut (depuis DC1).
8. Validez et redémarrez.

III) Étape 3 : Configurer la réplication DNS entre DC1 et DC2

A. Vérifier la réplication des zones DNS

1. Sur DC1 ou DC2, ouvrez DNS Manager (dnsmgmt.msc).
2. Vérifiez que :
   • La zone miniverse.local est présente sur DC2.
   • Les enregistrements (A, SRV, etc.) sont identiques sur DC1 et DC2.
3. Testez la résolution depuis DC2 :

   nslookup SRV-DC1.miniverse.local 192.168.1.11
   nslookup SRV-DC2.miniverse.local 192.168.1.10

repadmin /syncall /AdeP

B. Configurer les clients pour utiliser les deux DC

1. Sur les postes clients (et DC1/DC2), configurez les DNS comme suit :
   • DNS primaire : 192.168.1.10 (DC1)
   • DNS secondaire : 192.168.1.11 (DC2)
2. Testez la bascule DNS :

   # Désactivez temporairement DC1 (pour test)
   Stop-Service -Name DNS -Force -ComputerName SRV-DC1
   # Depuis un poste client :
   nslookup SRV-DC1.miniverse.local

   • Doit retourner 192.168.1.10 même si DC1 est arrêté (grâce au cache).
   • Après quelques minutes, les requêtes doivent être traitées par DC2.

IV) Étape 4 : Déployer une GPO de base (sécurité)

A. GPO pour les mots de passe

1. Ouvrez Group Policy Management (gpmc.msc).
2. Faites un clic droit sur miniverse.local > Créer un objet GPO dans ce domaine, et le lier ici.
3. Nommez-la GPO-Securite-MotsDePasse.
4. Faites un clic droit > Modifier et allez dans :

   Configuration ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies de compte → Stratégie de mot de passe

5. Configurez :
   • Durée minimale : 1 jour
   • Durée maximale : 90 jours
   • Longueur minimale : 12 caractères
   • Exigences de complexité : Activé
   • Conserver l’historique : 24 mots de passe

B. GPO pour le verrouillage de session

1. Créez une GPO nommée GPO-Verrouillage-Session.
2. Éditez-la et allez dans :

   Configuration utilisateur → Stratégies → Modèles d’administration → Panneau de configuration → Personnalisation

3. Activez :
   • Verrouiller l’ordinateur après 10 minutes d’inactivité
4. Liez la GPO à l’OU Utilisateurs.

C. GPO pour bloquer les disques amovibles

1. Créez une GPO nommée GPO-Blocage-USB.
2. Éditez-la et allez dans :

   Configuration ordinateur → Stratégies → Modèles d’administration → Système → Accès au stockage amovible

3. Activez :
   • Tous les lecteurs amovibles : Refuser l’accès en écriture
   • Tous les lecteurs amovibles : Refuser l’accès en lecture (optionnel)
4. Liez la GPO à l’OU Ordinateurs.

V) Étape 5 : Déployer une GPO complexe (Firefox/Chrome)

A. Télécharger les modèles administratifs

1. Sur DC1, créez un dossier pour les modèles :

   New-Item -ItemType Directory -Path "C:\GPO\Templates" -Force

2. Téléchargez les fichiers .admx et .adml :
   • Firefox : Modèles officiels
   • Chrome : Modèles officiels
3. Copiez les fichiers dans :

   C:\Windows\PolicyDefinitions

   • .admx → C:\Windows\PolicyDefinitions\
   • .adml → C:\Windows\PolicyDefinitions\fr-FR\ (pour la langue française)

B. Créer une GPO pour Firefox

1. Dans Group Policy Management, créez une GPO nommée GPO-Firefox-Entreprise.
2. Éditez-la et allez dans :

   Configuration utilisateur → Stratégies → Modèles d’administration → Mozilla → Firefox

3. Configurez :
   • Définir la page d’accueil : https://intranet.miniverse.local
   • Désactiver l’installation d’extensions : Activé
   • Configurer le proxy : Si votre réseau utilise un proxy.
   • Bloquer l’accès aux paramètres : Pour éviter les modifications.
4. Allez dans Préférences > Paramètres Windows > Fichiers et ajoutez un raccourci Firefox sur le bureau.

C. Créer une GPO pour Chrome

1. Créez une GPO nommée GPO-Chrome-Entreprise.
2. Éditez-la et allez dans :

   Configuration utilisateur → Stratégies → Modèles d’administration → Google → Google Chrome

3. Configurez :
   • Page d’accueil : https://intranet.miniverse.local
   • Bloquer les extensions : Activé
   • Désactiver la synchronisation : Pour la vie privée.
   • Activer le mode entreprise : Pour appliquer les stratégies.

D. Déployer les GPO sur une OU test

1. Créez une OU Test-Navigateurs dans Utilisateurs.
2. Déplacez un utilisateur test (ex: jdupont) dans cette OU.
3. Liez les GPO GPO-Firefox-Entreprise et GPO-Chrome-Entreprise à cette OU.

VI) Étape 6 : Vérifications finales et dépannage

VII) Étape 7 : Sauvegarde complète d'Active Directory

A. Installer Windows Server Backup

1. Sur DC1 et DC2, installez le rôle Windows Server Backup :

   Install-WindowsFeature Windows-Server-Backup -IncludeManagementTools

2. Vérifiez l'installation dans Server Manager.

B. Sauvegarder l'état du système (System State)

1. Ouvrez Windows Server Backup.
2. Cliquez sur Backup Once (Sauvegarde unique).
3. Choisissez Different options → Full server (recommandé pour une première sauvegarde).
4. Sélectionnez un disque de destination (ex: F:\ ou un partage réseau).
5. Lancez la sauvegarde.

C. Sauvegarde manuelle de ntds.dit (méthode experte)

1. Redémarrez en mode DSRM :

   bcdedit /set safeboot dsrepair
   shutdown /r /t 0

2. Copiez les fichiers AD :

   # Depuis l'invite DSRM
   copy C:\Windows\NTDS\ntds.dit F:\AD_Backup\ntds_$(Get-Date -Format "yyyyMMdd").dit
   copy C:\Windows\SYSVOL\ F:\AD_Backup\SYSVOL_$(Get-Date -Format "yyyyMMdd") /E

3. Redémarrez normalement :

   bcdedit /deletevalue safeboot
   shutdown /r /t 0

D. Sauvegarder les GPO

1. Exportez toutes les GPO :

   # Exporter toutes les GPO
   Get-GPO -All | ForEach-Object {
       $gpoId = $_.Id
       $gpoName = $_.DisplayName
       $backupPath = "F:\GPO_Backup\$(Get-Date -Format 'yyyyMMdd_HHmm')\$gpoName"
       Backup-GPO -Guid $gpoId -Path $backupPath
   }
   # Générer un rapport
   Get-ChildItem "F:\GPO_Backup\$(Get-Date -Format 'yyyyMMdd_HHmm')" | Out-File "F:\GPO_Backup\$(Get-Date -Format 'yyyyMMdd_HHmm')\rapport_gpo.txt"

VIII) Étape 8 : Restaurer un objet Active Directory supprimé

A. Restaurer avec la corbeille AD (si activée)

1. Activez la corbeille AD (si ce n'est pas déjà fait) :

   Enable-ADOptionalFeature ‘Recycle Bin Feature’ -Scope ForestOrConfigurationSet -Target ‘miniverse.local’

2. Listez les objets supprimés :

   Get-ADObject -Filter 'isDeleted -eq $true' -IncludeDeletedObjects -Properties *

3. Restaurez un utilisateur :

   # Exemple : Restaurer "jdupont"
   Get-ADObject -Filter {Name -eq "jdupont"} -IncludeDeletedObjects | Restore-ADObject

B. Restaurer depuis une sauvegarde (si corbeille non disponible)

1. Identifiez l'objet à restaurer :

   wbadmin get versions -backuptarget:F:

2. Restaurez l'état du système :

   wbadmin start systemstaterecovery -version:05/10/2025-09:00 -backuptarget:F: -quiet

3. Redémarrez en mode DSRM et restaurez un objet spécifique :

   ntdsutil
   activate instance ntds
   authoritative restore
   restore subtree "OU=Comptabilite,OU=Utilisateurs,DC=miniverse,DC=local"
   quit
   quit

IX) Étape 9 : Restaurer un contrôleur de domaine complet

A. Restaurer depuis une sauvegarde wbadmin

1. Installez Windows Server sur un nouveau matériel (même nom/IP que l'ancien DC).
2. Joignez-le au domaine en tant que membre.
3. Installez le rôle AD DS :

   Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

4. Restaurez l'état du système :

   wbadmin start systemstaterecovery -version:05/10/2025-09:00 -backuptarget:F: -quiet

5. Redémarrez en mode DSRM et effectuez une restauration non autoritative :

   bcdedit /set safeboot dsrepair
   shutdown /r /t 0
   # Après redémarrage en DSRM
   wbadmin start systemstaterecovery -version:05/10/2025-09:00 -backuptarget:F: -authenticaterestore
   shutdown /r /t 0

B. Gérer les rôles FSMO après restauration

1. Vérifiez les rôles FSMO actuels :

   netdom query fsmo

2. Si le DC restauré détenait des rôles, réassignez-les :

   # Exemple : Réassigner le rôle PDC Emulator à SRV-DC1
   Move-ADDirectoryServerOperationMasterRole -Identity "SRV-DC1" -OperationMasterRole PDCEmulator

X) Étape 10 : Vérifications finales et bonnes pratiques