Joindre un poste client Windows 11 à un domaine Active Directory

Présentation

Joindre un poste client Windows à un domaine Active Directory permet de centraliser la gestion des comptes utilisateurs, des stratégies (GPO), des ressources réseau et des permissions. Le poste se retrouve ainsi administré par les règles de l'entreprise, offrant une meilleure cohérence, sécurité et simplicité de gestion.

Prérequis techniques :

Un contrôleur de domaine (Domain Controller, DC) : Il exécute les services Active Directory Domain Services (AD DS), dont le rôle a été installé dans l'article précédent.
Nom de domaine Active Directory : Par exemple mondomaine.local ou entreprise.com.
Compte d'utilisateur avec droits pour joindre le domaine : L'utilisateur qui effectue la jonction doit disposer des privilèges suffisants. Généralement, on utilise un compte membre du groupe Domain Admins sur le serveur AD ou un compte autorisé à joindre des machines au domaine.
Connectivité réseau : Le poste client doit pouvoir communiquer avec le contrôleur de domaine. Cela implique :
- Une adresse IP sur le même réseau que le DC (ou un routage fonctionnel entre le poste et le DC).
- Les paramètres DNS du poste pointant vers le serveur DNS interne hébergeant le domaine AD. Le plus souvent, le serveur contrôleur de domaine fait office de serveur DNS.
Système d'exploitation du poste client : Windows Pro ou Enterprise (les éditions Familiales ne peuvent pas être jointes à un domaine Active Directory), par exemple Windows 10 Pro, Windows 11 Pro, etc.
Horloge synchronisée : Le poste doit avoir une heure système proche de celle du domaine (moins de 5 minutes de dérive par défaut), sinon l'authentification Kerberos échouera.

Respectez scrupuleusement les étapes indiquées ci-dessous.

1. Configuration du nom d'hôte sur le Poste Client

Avant de joindre le poste au domaine, vous devez lui donner un nom d'hôte significatif.
Par défaut, les noms d'hôtes Windows sont aléatoires (du style "DESKTOP-SPUHHNS").
Dans un domaine Active Directory, chaque machine est répertoriée dans le conteneur ou l'Unité d'Organisation appropriée. Un nom d'hôte choisi avec soin permet d'identifier facilement un poste parmi des centaines d'autres.

Exemple : MK-DESK-JSMITH indique qu'il appartient à un employé nommé "John Smith", du département MarKeting de l'entreprise. Il utilise un ordinateur de bureau (DESK)

Pour changer le nom d'hôte, tapez "sysdm.cpl" sur le poste client :

Capture d'écran

Validez sur "Ok", puis éteignez votre ordinateur (ne le redémarrez pas tout de suite si vous êtes sur un Ordinateur Virtuel Hyper-V)

Note Importante : Il vous est possible de renommer "directement" votre poste client au moment de la jonction au domaine (étape 4. plus bas).

C'est, toujours, en 2024, UNE TRES MAUVAISE IDEE !

Il se produit régulièrement des problèmes lorsqu'on use de ce moyen de dernière minute !

Respectez l'ordre dans lequel je vous indique ces étapes, vous vous éviterez de fâcheuses déconvenues !

1bis. Etape intermédiaire à cause des réplications d'Ordinateurs Virtuels sous Hyper-V

Dans le cadre de la formation, si vous utilisez des Ordinateurs Virtuels répliqués par le serveur VIRTU, il est nécessaire de changer l'adresse MAC de l'interface réseau de votre Ordinateur Virtuel.
Pour une raison curieuse, vous ne pourrez pas contacter le contrôleur de domaine sans cette étape.

De façon générale, il est préférable que l'adresse MAC de vos Ordinateurs Virtuels soit statique.

Passez cette étape si vous avez vous-même créé votre Ordinateur Virtuel.

Ordinateur Virtuel éteint, allez dans ses paramètres, passez l'adresse MAC en statique et changez simplement l'un des chiffres de l'adresse.
Appliquez puis démarrez votre Ordinateur Virtuel.

Capture d'écran

2. Configuration du DNS sur le Poste Client

Avant de joindre le poste au domaine, il est primordial qu'il résolve correctement le nom de domaine Active Directory (raison pour laquelle l'étape précédente est nécessaire sur les réplications du serveur VIRTU).

Le DNS est critique dans un environnement Active Directory.

Configurez l'adresse du Serveur DNS principal afin qu'elle pointe vers l'adresse IP du contrôleur de domaine (serveur DNS interne).

Exemple :

Serveur DNS préféré : 10.10.10.4 (adresse de votre DC pour l'exemple)
Serveur DNS secondaire (facultatif) : N'en indiquez pas le temps de la jonction au domaine.

Pour changer le DNS, tapez "ncpa.cpl" sur le poste client :

Capture d'écran

3. Vérifier la Connectivité et le Contrôleur de Domaine

Avant de joindre la machine, assurez-vous que :

Le contrôleur de domaine est en ligne et opérationnel.
Le poste client peut joindre le DC par son nom (ex. ping DC.AFPAPAUER.INFO).

4. Procédure pour Joindre le Poste au Domaine

Méthode via l'Interface Graphique (Paramètres Système)

sysdm.cpl

Capture d'écran

Redémarrez ensuite votre ordinateur, comme suggéré.

Méthode via PowerShell

Il est aussi possible de le faire en ligne de commande, ce qui est pratique pour l'automatisation.

Add-Computer -DomainName "AFPAPAUER.INFO" -Credential (Get-Credential) -Restart

Cette commande :

Demande les identifiants d'un compte autorisé.
Joint la machine au domaine AFPAPAUER.INFO.
Redémarre la machine automatiquement après la jonction (option -Restart).

Sur un serveur Windows, la jonction à un domaine peut également se faire via l'utilitaire sconfig

5. Contrôles et Vérifications Après la Jonction

Une fois le poste redémarré :

À l'écran de connexion, vous devriez voir la possibilité de vous connecter en utilisant un compte du domaine. Par exemple, si votre domaine est AFPAPAUER, l'écran de connexion pourrait indiquer Se connecter à : AFPAPAUER

Mention spéciale pour Hyper-V !
Si votre ordinateur client (tout juste joint au domaine) est un Ordinateur Virtuel Hyper-V, alors vous ne pourrez pas ouvrir de session avec un utilisateur de l'AD sans avoir préalablement autorisé cet utilisateur AD à se connecter en RDP à l'ordinateur client !

! Vous devez faire la première authentification en tant qu'Administrateur du Domaine !
Il y a d'autres méthodes pour régler cet inconvénient, mais vous apprendrez ça plus tard !

Cliquez sur "Autre utilisateur"

Capture d'écran

Puis

Capture d'écran

Ouvrez les "Paramètres du Bureau à Distance" et Activez le Bureau à distance, puis cliquez sur "Utilisateurs du Bureau à distance"

Capture d'écran

Entrez le nom d'utilisateur AD à autoriser puis cliquez sur "Vérifier les noms"

Capture d'écran

Votre utilisateur John.Smith peut désormais se connecter sur le poste client. Vous pouvez vous déconnectez de la session de l'Administrateur du domaine et vous connecter avec John.Smith

Capture d'écran

Pour voir le poste client joint au domaine AD sur le serveur contrôleur de domaine, ouvrez "Utilisateurs et ordinateurs Active Directory" sur ce dernier, déroulez votre domaine, cliquez sur "Computers" et voyez :

Capture d'écran

6. Dépannage Commun

Message d'erreur "Le chemin réseau n'a pas été trouvé" : Vérifiez le DNS, la connectivité, le pare-feu ou que le nom du domaine est correctement renseigné.
Problème d'authentification (erreur de compte) : Assurez-vous d'utiliser un compte avec les droits nécessaires (membre du groupe "Admins du domaine" ou disposant de l'autorisation explicite de joindre des ordinateurs au domaine).
Problème de synchronisation d'heure : Vérifiez l'horloge du poste client et du contrôleur de domaine. Synchronisez-les ou configurez le client NTP pour pointer sur le DC.
DNS mal configuré : Sans DNS interne pointant vers le DC, la jonction échouera.
Assurez-vous que le serveur DNS du poste est celui du DC (et que vous avez passé votre adresse MAC en statique et modifié un chiffre !)

⬆️ Retour en haut de la page