Si vous avez déjà tenté de configurer un contrôleur de domaine en lecture seule (RODC) sous Windows Server 2022 ou 2019, vous savez que cela peut paraître complexe au premier abord. L’objectif est d’obtenir un contrôleur de domaine ne possédant qu’une copie en lecture seule d’Active Directory, c’est-à-dire qu’il ne peut pas y apporter de modifications, mais qu’il gère l’authentification localement – une solution particulièrement utile dans les succursales ou les environnements à sécurité limitée. Cependant, de l’installation des rôles à la configuration des politiques de mots de passe, la procédure n’est pas toujours simple. Ce guide n’est pas exhaustif, mais il offre un aperçu utile qui vous fera gagner du temps et vous évitera bien des tracas.
Comment installer et gérer un contrôleur de domaine en lecture seule sous Windows Server
Comprendre ce qu’est réellement un RODC
Avant de vous lancer dans l’installation, il est utile de comprendre ce qui distingue un RODC. Il s’agit essentiellement d’une copie de votre contrôleur de domaine principal, mais en mode lecture seule. Il conserve un sous-ensemble restreint de données Active Directory, principalement les mots de passe des utilisateurs des bureaux distants – et non les informations hautement sensibles. La réplication des données est unidirectionnelle depuis un contrôleur de domaine accessible en écriture, ce qui évite les mises à jour accidentelles dans les succursales. Sur une configuration, l’installation s’est déroulée sans problème, tandis que sur une autre, des délais étranges ou des attributs manquants dans la console ont été constatés. Windows est également exigeant quant à son emplacement : ne placez pas le RODC sur le même site que le RWDC, sous peine de rencontrer des dysfonctionnements.
Installation d’un RODC via l’interface graphique du Gestionnaire de serveur
Voici la méthode classique : ouvrez le Gestionnaire de serveur, ajoutez le rôle Services de domaine Active Directory (AD DS) et poursuivez. Lorsque vous lancez l’assistant, sélectionnez « Ajouter un contrôleur de domaine à un domaine existant ». Assurez-vous d’être connecté en tant qu’administrateur de domaine, car ces informations d’identification seront nécessaires. Spécifiez votre nom de domaine (par exemple, woshub.com ) et renseignez les informations d’identification.
À l’étape où il vous est demandé quelles fonctionnalités installer, cochez DNS et Catalogue global si nécessaire, puis sélectionnez Contrôleur de domaine en lecture seule. Choisissez ensuite le site (si vous en avez plusieurs) et définissez un mot de passe DSRM : un mot de passe facile à retenir, mais différent de votre mot de passe d’administrateur.
Ensuite, vous pouvez déléguer les droits d’administrateur du contrôleur de domaine en lecture seule (RODC) à certains utilisateurs (par exemple, les administrateurs système d’une succursale) afin qu’ils puissent le gérer sans droits d’accès complets au domaine. Vous choisirez également les mots de passe des comptes à mettre en cache. Sur certains serveurs, un message concernant un compte RODC existant peut s’afficher ; dans ce cas, sélectionnez simplement « Utiliser le compte RODC existant », surtout si vous l’avez créé au préalable.
Les chemins d’accès à la base de données Active Directory, aux journaux et à SYSVOL sont configurables, mais la configuration par défaut convient généralement. Après avoir cliqué sur « Installer », le serveur redémarre et voilà : un contrôleur de domaine en lecture seule (RODC) est créé. Vérifiez simplement qu’il fonctionne correctement en exécutant la commande dsa.mscet en vous y connectant. Vous constaterez que les boutons de création Active Directory sont grisés et que les attributs ne sont pas modifiables, ce qui est normal pour un contrôleur de domaine en lecture seule.
Déployer un contrôleur de domaine en lecture seule (RODC) à l’aide de PowerShell
Pour ceux qui préfèrent une automatisation plus poussée ou qui travaillent sur Server Core, PowerShell est la solution. Commencez par installer le rôle et les outils :
Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter, RSAT-ADDS-Tools
Une fois cela fait, vous pouvez démarrer le RODC avec une commande comme celle-ci :
Install-ADDSDomainController -ReadOnlyReplica -DomainName woshub.com -SiteName MUN_Branch1_RO_Site -InstallDns:$true -NoGlobalCatalog:$false
Vous serez ensuite invité à redémarrer ; veuillez le faire. Si vous souhaitez vérifier si votre RODC est bien en lecture seule, exécutez :
Get-ADDomainController -Filter * | Select-Object Name, IsReadOnly
Vérifiez que la propriété IsReadOnly est bien définie sur True. Si vous souhaitez pré-créer le compte RODC (par exemple, le préparer avant une promotion), vous pouvez utiliser :
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName MUN-RODC01 -DomainName woshub.com -DelegatedAdministratorAccountName "woshub\mbak" -SiteName MUN_Branch1_RO_Site
Pour promouvoir ensuite ce serveur en RODC, la commande ressemble à ceci :
Install-ADDSDomainController -DomainName woshub.com -Credential (Get-Credential) -LogPath "C:\Windows\NTDS" -SYSVOLPath "C:\Windows\SYSVOL" -ReplicationSourceDC "MUN-DC01.woshub.com" –UseExistingAccount
Il est important de noter que PowerShell ne peut pas modifier les attributs des objets Active Directory lorsqu’il est connecté directement à un contrôleur de domaine en lecture seule (RODC).Si vous devez modifier, par exemple, un objet utilisateur, vous devrez spécifier un contrôleur de domaine accessible en écriture à l’aide du paramètre `-Server`.
Réplication et mise en cache des mots de passe dans RODC
Cette fonctionnalité est souvent source de confusion. Vous pouvez choisir les utilisateurs, ordinateurs ou serveurs dont les mots de passe sont mis en cache localement. Ainsi, l’authentification fonctionne même si le contrôleur de domaine en lecture seule (RODC) n’est pas connecté à un contrôleur de domaine accessible en écriture — un avantage supplémentaire. Windows crée automatiquement deux groupes : le groupe de réplication des mots de passe RODC autorisé et le groupe de réplication des mots de passe RODC refusé.
Par défaut, les comptes sensibles (administrateurs de domaine ou d’entreprise, par exemple) ne sont pas mis en cache afin d’éviter tout risque de sécurité en cas d’intrusion dans la succursale. Pour les utilisateurs standard, vous pouvez les ajouter au groupe Autorisé ou définir des stratégies dans ADUC ( Utilisateurs et ordinateurs Active Directory ), sous l’onglet Stratégie de réplication des mots de passe des propriétés du contrôleur de domaine en lecture seule (RODC).
Il est regrettable de ne pas pouvoir supprimer directement le mot de passe mis en cache d’un utilisateur : il n’existe pas de bouton « Supprimer ».On peut toutefois forcer la suppression en réinitialisant le mot de passe de l’utilisateur dans ADUC, ce qui vide le cache. Ce n’est pas idéal, mais ça fonctionne. Si le contrôleur de domaine en lecture seule (RODC) est compromis, il est également possible d’invalider le cache en changeant le mot de passe ou en utilisant des commandes PowerShell pour supprimer les informations d’identification mises en cache.
En résumé, déployer un contrôleur de domaine en lecture seule (RODC) n’est pas sorcier une fois les étapes maîtrisées. La principale difficulté réside généralement dans la configuration des permissions et des politiques de mise en cache des mots de passe, ainsi que dans le choix de l’emplacement du serveur. Mais avec un peu de patience, c’est tout à fait gérable.
Résumé
- Installer le rôle AD DS via l’interface graphique ou PowerShell
- Choisissez le site, les informations de domaine et les options RODC appropriés lors de la configuration.
- Configurez les politiques de mise en cache des mots de passe dans ADUC
- Vérifiez la réplication et assurez-vous de son bon fonctionnement ; aucune modification inutile des attributs n’est autorisée.
- N’oubliez pas que les RODC sont utiles, mais qu’ils ont des limites ; évitez de mettre les données sensibles en cache.
Conclure
Configurer un contrôleur de domaine en lecture seule (RODC) n’est pas trop compliqué une fois les difficultés d’installation initiales surmontées. Il faut simplement veiller à la sécurité et à l’emplacement du serveur, car certains attributs sont filtrés et ne peuvent pas être modifiés. Sur une machine, il a fonctionné parfaitement après un redémarrage ; sur une autre, j’ai dû ajuster légèrement les paramètres DNS. Globalement, rien à redire : il fonctionne bien lorsqu’il est correctement configuré.