(Active Directory) Mise en place d’un AD, d’un DNS et d’un DHCP

To the non-french speaker, note that you can translate the articles using the Google Trad widget situated at the bottom of all pages.


Dans cet article nous allons voir comment monter la base d’un réseau d’entreprise. La base, c’est : un Active Directory, un DNS et un DHCP. Sans ces trois éléments, nous ne pourrons pas nous servir de notre réseau (ah et des clients aussi… Sinon ça sert à rien).

Pour les besoins de cet article je vais utiliser deux VM’s : une VM Windows 2012 pour le serveur DNS/DHCP/AD et une VM Windows 7 SP1 pour le client. Let’s go !

I/ Mise en place d’un Active Directory / DNS

Avant d’aller plus loin on va renommer le serveur. Pour cela allez dans les paramètres de l’ordinateur :

1.png

Pour ma part je l’ai renommé en « DC » car c’est ce à quoi il va servir sur le long terme. Dans un même temps on va aussi attribuer une IP statique à notre DC. Pour cela il faut aller dans le « Panneau de configuration » puis « Réseau et Internet » et enfin « Connexions réseau ». Faites un clic droit sur votre connexion puis cliquez sur « Propriétés ». Ensuite, cliquez sur « Protocole Internet version 4(TCP/IPv4) et complétez la nouvelle fenêtre avec les informations adéquates :

Capture d’écran du 2019-05-13 18-23-06.png

N’oubliez pas pour la partie DNS de spécifier que le DC lui même sera un serveur DNS (127.0.0.1) et de spécifier aussi l’adresse de votre routeur (chez moi 192.168.0.1). Pour que les modifications soient appliqués il faudra ensuite redémarrer la machine.

Maintenant on va pouvoir installer le rôle DC DS à partir du gestionnaire de serveur :

2.png

Depuis cette fenêtre cliquez sur « Gérer » puis sur « Ajouter des rôles et fonctionnalités » puis sur « Suivant ». Maintenant sélectionnez l’option « Installation basée sur un rôle ou une fonctionnalité » :

3.png

Puis à nouveau « Suivant » et encore « Suivant ». Vous allez arrivé sur la page qui liste l’ensemble des services installables. Sélectionnez le service « AD DS » puis valider tout jusqu’au moment de l’installation.

Une fois l’installation faite, il va falloir promouvoir ce serveur en tant que contrôleur de domaine. Pour cela cliquez sur l’onglet notifications puis sur « Promouvoir en tant que contrôleur de domaine » :

4.png

Un assistant de configuration va pop :

5.png

La première chose à faire, ça va être de sélectionner une opération de déploiement. Plusieurs options s’offrent à vous. Soit vous ajoutez un domain controller (DC) pour un domaine déjà existant (auquel cas il faudra spécifier le domaine). Soit vous ajoutez un nouveau domaine à une forêt déjà existante. Mais nous ce que nous voulons c’est ajouter une nouvelle forêt dont le nom de domaine racine sera : whiteflag.local !

Cliquez sur « Suivant », l’assistant va vous demander le niveau fonctionnel de la forêt ainsi que d’autres informations comme le mot de passe DSRM (Directory System Restore Mode) qui nous permettra de reprendre le contrôle le contrôle sur le DC en cas d’attaque ou de destruction partielle (concrètement c’est une backdoor qui permet de restaurer l’AD). Choisissez un mot de passe fort si vous montez un vrai réseau…

Pour finir cliquez sur « Suivant » puis « Installer » quand on vous le demandera.

Une fois l’installation finie, déconnectez vous et reconnectez vous en spécifiant comme username votre domaine\votre nom d’utilisateur.

7.png

Voilà, votre Active Directory est prêt ! Première chose qu’on va faire : désactiver la stratégie de mot de passe fort. Bon si vous montez un vrai réseau ne faites pas ça hein… Moi je me le permets car c’est un environnement de test.

Pour cela il faudra lancer le gestionnaire de stratégies de groupe que vous trouverez dans la liste des outils d’administration. Déroulez l’arbre sur la gauche et faites un clic droit sur « Default Domain » puis cliquez sur « Edit ». Une nouvelle fenêtre va s’ouvrir. Re-déroulez l’arbre jusqu’à arriver ici :

Capture d’écran du 2019-05-13 18-43-42.png

Faites un clic droit sur la ligne sélectionnée en bleue et sélectionnez l’option « Désactivé ». La politique est dorénavant désactivée.

Voilà notre AD/DNS est prêt !

II/ Installation du DHCP

Cliquez sur « Gérer » puis « Ajouter un rôle ou une fonctionnalité » et sélectionner « Serveur DHCP ». Cliquez sur « Suivant » puis « Installer ».

Maintenant cliquez sur « DHCP » :

Capture d’écran du 2019-05-13 18-47-25.png

Comme vous pouvez le voir, nous avons une notification qui nous demande de configurer le serveur DHCP… Bah ouais ça serait bien de lui donner une plage d’IP à attribuer quand même… Faites un clic droit sur la ligne en bleu sur l’image et le gestionnaire DHCP va s’ouvrir. Déroulez l’arbre sur la gauche jusqu’à voir « IPv4 ».

Capture d’écran du 2019-05-13 18-48-28.png

Faites un clic droit dessus et cliquez sur « ajouter une nouvelle étendue ». Plusieurs informations vont vous être demandé telles que le nom de l’étendue et la plage d’IP à attribuer. Remplissez là en fonction de vos besoins.

Voilà ce que j’ai fait :

13.png

Puis l’assistant va vous demander d’entrer l’IP de votre passerelle (i.e : votre routeur). N’oubliez pas de la renseigner sinon vous aurez des problèmes plus tard !

Capture d’écran du 2019-05-13 18-50-34.png

Cliquez sur « Suivant » jusqu’à la fin de l’installation. Voilà ! Nos serveurs AD, DHCP et DNS sont fonctionnels ! Redémarrez le serveur et passons à l’ajout de machine dans notre nouveau domaine !

III/ Ajouter un ordinateur au domaine

Avant d’ajouter un ordinateur dans le domaine nous allons devoir créer des comptes utilisateurs ainsi qu’un compte ordinateur. Pour cela il faudra utiliser l’utilitaire « Utilisateurs et ordinateurs Active Directory », dérouler l’arbre sur la gauche et faire un clic droit sur « Users » > « Nouveau » > « Utilisateurs. Une fenêtre va s’ouvrir vous demandant d’entrer les informations de l’utilisateur à créer :

Capture d’écran du 2019-05-13 18-55-32.png

Remplissez les informations puis faites de même pour le compte ordinateur. Attention, cette fois-ci il faudra récupérer le nom de l’ordinateur à ajouter (dans mon cas : defte-PC) :

Capture d’écran du 2019-05-13 18-56-48.png

Dernière chose au niveau de noter AD, nous allons désactiver le pare-feu (puisqu’on monte un environnement de test) ainsi que les sécurités avancées pour Internet Explorer. Pour cela il faudra ouvrir le gestionnaire de serveur et cliquer sur « Serveur local ».

Dans les propriétés vous verrez ceci :

Capture d’écran du 2019-05-13 18-58-30.png

Veuillez bien à ce que les lignes « Configuration de sécurité renforcée d’Internet Explorer » et « Pare-feu Windows » soit désactivé. Pour finir redémarrer le DC et connecter vous sur l’ordinateur à entrer dans le domaine.

Allez dans les paramètres de l’ordinateur et cliquer sur « Modifier les paramètres » puis sur « Modifier ».

14.png

Une fenêtre va s’ouvrir. Vous n’aurez plus qu’à cliquer sur le rond « Domaine » ajouter le nom du domaine et entrer vos identifiants d’administrateur du domaine pour que la machine soit ajoutée sur le domaine !

Capture d’écran du 2019-05-13 19-06-47.png

A partir de maintenant on pourra se connecter sur notre domaine whiteflag.fr avec les différents comptes que nous avons créés ! Voilà pour cet article de « création de laboratoire ». Je n’avais pas forcément envie de le faire mais bon au moins ça me permet de vous montrer comment créer un petit laboratoire de test 😁 !

Si vous êtes un administrateur système et réseau, bien évidemment je vous invite à ne pas suivre ce que j’ai fait puisque c’est vraiment n’importe quoi (surtout au niveau de la politique de gestion des mots de passe ahahahah) !

A partir de ce laboratoire je pourrais vous proposer des articles un peu plus poussés comme celui sur le pentest du protocole Kerberos qui arrive bientôt (c’est un peu plus long que prévu eheh) 😉😉 !

Un commentaire

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s