Active Directory : déployer et sécuriser un domaine Windows Server 2022
Introduction
Active Directory Domain Services (AD DS) est le socle de gestion des identités dans tout environnement Windows d'entreprise. Ce tutoriel couvre l'installation complète d'un domaine AD sur Windows Server 2022, la configuration des GPO essentielles et les mesures de durcissement face aux attaques modernes — y compris les attaques sur mots de passe assistées par IA qui explosent en 2026.
Étape 1 — Préparation du serveur
# Renommer le serveur avant de promouvoir en DC Rename-Computer -NewName "SRV-DC01" -Restart # Configurer une IP statique New-NetIPAddress -InterfaceAlias "Ethernet" ` -IPAddress 192.168.1.10 -PrefixLength 24 ` -DefaultGateway 192.168.1.1 # Configurer le DNS (le DC doit pointer vers lui-même) Set-DnsClientServerAddress -InterfaceAlias "Ethernet" ` -ServerAddresses 192.168.1.10
Étape 2 — Installation du rôle AD DS et promotion en DC
# Installer le rôle AD DS avec les outils de gestion Install-WindowsFeature -Name AD-Domain-Services ` -IncludeManagementTools # Importer le module de déploiement AD Import-Module ADDSDeployment # Promouvoir en contrôleur de domaine (nouvelle forêt) Install-ADDSForest ` -DomainName "smanconde.local" ` -DomainNetbiosName "SMANCONDE" ` -DomainMode "WinThreshold" ` -ForestMode "WinThreshold" ` -InstallDns:$true ` -Force:$true # Le serveur redémarre automatiquement après promotion
Étape 3 — Structure d'Unités Organisationnelles (OU)
Une bonne structure OU est cruciale pour l'application des GPO. Elle doit refléter l'organisation de l'institution :
smanconde.local
├── _Utilisateurs
│ ├── Direction
│ ├── Informatique
│ ├── Finance
│ └── RH
├── _Ordinateurs
│ ├── Serveurs
│ ├── Postes_Admin
│ └── Postes_Standard
├── _ServiceAccounts
└── _Groupes
├── Securite
└── Distribution$base = "DC=smanconde,DC=local" New-ADOrganizationalUnit -Name "_Utilisateurs" -Path $base New-ADOrganizationalUnit -Name "Direction" -Path "OU=_Utilisateurs,$base" New-ADOrganizationalUnit -Name "Informatique" -Path "OU=_Utilisateurs,$base" New-ADOrganizationalUnit -Name "_Ordinateurs" -Path $base New-ADOrganizationalUnit -Name "_ServiceAccounts" -Path $base
Étape 4 — Politique de mots de passe renforcée
# Créer une politique renforcée pour les administrateurs IT New-ADFineGrainedPasswordPolicy ` -Name "PSO-IT-Admins" ` -Precedence 10 ` -MinPasswordLength 16 ` -PasswordHistoryCount 24 ` -MaxPasswordAge "30.00:00:00" ` -MinPasswordAge "1.00:00:00" ` -LockoutThreshold 5 ` -LockoutDuration "00:30:00" ` -LockoutObservationWindow "00:30:00" ` -ComplexityEnabled $true ` -ReversibleEncryptionEnabled $false # Appliquer la politique au groupe IT-Admins Add-ADFineGrainedPasswordPolicySubject ` -Identity "PSO-IT-Admins" -Subjects "IT-Admins"
Étape 5 — GPO de sécurité essentielles
Ces GPO constituent le minimum de durcissement à appliquer à tout domaine en production :
- Désactiver NTLM v1, forcer NTLMv2 minimum (Network security: LAN Manager authentication level)
- Activer l'audit des connexions — succès ET échecs (Audit Logon Events)
- Désactiver les comptes administrateurs locaux sur les postes joints au domaine
- Bloquer l'exécution de scripts PowerShell non signés (Execution Policy: AllSigned)
- Déployer Windows Defender avec définitions centralisées via WSUS
- Activer le pare-feu Windows sur tous les profils (Domain, Private, Public)
Conclusion
Un Active Directory bien configuré est la colonne vertébrale de votre sécurité IT. Couplé à une surveillance via Microsoft Defender for Identity ou un SIEM open-source comme Wazuh, il vous donnera une visibilité complète sur les tentatives d'attaque de votre périmètre d'identité. N'oubliez pas d'activer la MFA pour tous les comptes à privilèges.
