Avant de commencer la planification formelle d’un RODC, un travail approprié de vérification préalable et de préplanification poussée d’AD DS s’impose. Ce travail doit inclure des tâches clés comme la validation de la structure AD DS logique en place et la confirmation que le modèle d’administration
Préplanification d’un RODC sous Windows Server
et la structure AD DS physiques prennent en charge les exigences techniques et métier actuelles. Vous devrez aussi vous pencher sur la configuration matérielle, les stratégies de mise à niveau des logiciels et les problèmes de système d’exploitation connus applicables, et évaluer les prérequis AD DS du RODC.
Ces informations seront critiques pour les processus de planification et de déploiement, et vous verrez qu’elles sont bien documentées dans les listes de contrôle de déploiement détaillées.
Fonctions de gestion
RODC inclut une fonction de gestion essentielle, intitulée Séparation des rôles d’administrateur ou ARS (Administrator Role Separation). Elle délègue à des administrateurs non responsables des services la possibilité d’installer et d’administrer des serveurs RODC, sans droits d’accès à Active Directory. Il s’agit d’un changement majeur par rapport à l’approche classique concernant les procédures de conception de serveur DC, de délégation d’administration et de déploiement. Cette séparation des rôles devient encore plus importante avec les applications stratégiques nécessitant une installation directe sur un DC, ou pour les sites qui hébergent des serveurs polyvalents uniques.
Rôles de serveur supplémentaires
En règle générale, vous devez retirer du serveur tous les rôles inutiles au fonctionnement du RODC. Par conséquent, les seuls rôles à ajouter aux RODC sont les rôles de serveur DNS et de serveur de catalogue global (GC). Vous devez installer le rôle de serveur DNS sur chaque RODC, afin que les clients DNS locaux puissent effectuer la résolution DNS lorsque la connectivité réseau vers un DC en écriture est indisponible.
Toutefois, si le rôle de serveur DNS n’est pas installé via Dcpromo.exe, vous devrez procéder à son installation a posteriori. Il faudra utiliser Dnscmd.exe pour ajouter le RODC aux partitions d’annuaire d’application DNS qui hébergent les zones intégrées Active Directory. Vous devrez aussi configurer les RODC comme serveur de catalogue global, afin qu’ils puissent exécuter les requêtes d’authentification et de catalogue global au moyen uniquement du RODC. Du point de vue de l’authentification, si le rôle de catalogue global n’est pas une option, vous pouvez employer la mise en cache de groupe universelle. L’authentification réussie vers un RODC pourrait au final dépendre de la configuration PRP du RODC.
Rendez-vous la semaine prochaine pour apprendre comment implanter les RODC.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Teams Live Event: Kollective ou Microsoft ECDN ?
- Baromètre de la Transformation digitale 2024 en France
- Le secteur financier reste dans la ligne de mire des cyberattaquants
- CyberPatriot ®, le SOC de dernière génération de CHEOPS TECHNOLOGY
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
