Lab_AD_Complet/docs/etudiant/fr/02-promotion-dc.md

# Promouvoir le serveur en contrôleur de domaine

Objectif : transformer le Windows Server fraîchement installé en premier DC
d'une nouvelle forêt Active Directory. On installera aussi le rôle DNS, requis
par AD.

## Ce qu'est AD DS et ce qu'on crée

Une forêt Active Directory est une structure logique qui contient un ou
plusieurs domaines. On va ici créer :

- une nouvelle forêt dont la racine est le domaine configuré (`corp.lab` par
  défaut)
- un premier contrôleur de domaine (`DC01`) qui héberge la base AD et le DNS

Le DC est une machine critique : il gère l'authentification, les stratégies de
groupe, les enregistrements DNS internes. En production, on en déploie toujours
au moins deux pour la redondance. Dans ce lab, un seul suffit.

## Préparation

Avant toute chose, on renomme la machine. C'est un geste obligatoire : une
fois promue DC, elle ne pourra plus être renommée sans dépromotion.

### Approche graphique

1. `Paramètres > Système > À propos > Renommer ce PC` (ou `Win + Pause` puis
   "Modifier les paramètres")
2. Nouveau nom : `DC01`
3. Redémarrer

### Approche PowerShell

```
Rename-Computer -NewName "DC01" -Restart
```

Si `Rename-Computer` refuse l'authentification sur une install fraîche, passe
par la GUI ou par le registre (voir `troubleshooting.md`).

## Installation des rôles

Après le redémarrage, ouvre une session Administrator.

### Approche graphique

1. Ouvre le `Gestionnaire de serveur`
2. `Gérer > Ajouter des rôles et fonctionnalités`
3. Sélectionne :
   - `Services AD DS`
   - `Serveur DNS`
4. Laisse les fonctionnalités par défaut, valide et installe
5. Une fois l'installation terminée, clique sur le drapeau
   d'avertissement en haut à droite puis sur
   `Promouvoir ce serveur en contrôleur de domaine`

### Approche PowerShell

```
Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeManagementTools
```

## Promotion en contrôleur de domaine

### Approche graphique

1. Dans l'assistant de configuration des services de domaine Active Directory :
2. `Ajouter une nouvelle forêt` > Nom racine : `corp.lab`
3. Niveaux fonctionnels : laisse `Windows Server 2016` (ou la valeur proposée)
4. Coche `Serveur DNS`, `Catalogue global`
5. Saisis un mot de passe DSRM (mode restauration des services d'annuaire)
6. Ignore les avertissements DNS (normaux sur un DC tout neuf)
7. Valide et laisse la machine redémarrer

### Approche PowerShell

```
$dsrmPwd = Read-Host -AsSecureString "Mot de passe DSRM"
Install-ADDSForest `
    -DomainName "corp.lab" `
    -DomainNetbiosName "CORP" `
    -InstallDns `
    -SafeModeAdministratorPassword $dsrmPwd `
    -Force
```

Cmdlets clés :

- `Install-ADDSForest` crée une nouvelle forêt
- `Install-ADDSDomainController` joint un DC existant à une forêt
  (utile quand tu ajoutes un second DC)

## Validation

Après redémarrage, reconnecte-toi (compte `CORP\Administrator` désormais) et
lance :

```
Get-ADDomain
Get-ADForest
dcdiag
```

Les deux premières commandes renvoient les infos du domaine. `dcdiag` exécute
une batterie de tests d'intégrité. Des avertissements DNS mineurs sont normaux
sur un DC isolé.

## Points d'attention

- Le mot de passe DSRM est indépendant de celui d'Administrator. Il sert en
  mode de récupération si AD est corrompu. Note-le dans ton gestionnaire de
  mots de passe.
- Une fois la machine promue DC, elle ne peut plus être renommée sans d'abord
  être dépromotée (`Uninstall-ADDSDomainController`).
- Sur une installation fraîche dockur, la VM a parfois un nom généré
  automatiquement (`WIN-xxxx`). Rename **avant** la promotion est crucial.

## Étape suivante

Le DC est prêt, AD est vide. On passe à la création des OU, utilisateurs et
groupes dans `03-ou-utilisateurs-groupes.md`.