Windows Server 2025 et Active Directory pour PME : guide d’infrastructure complet

Pourquoi Windows Server et Active Directory restent incontournables en PME

La PME moderne vit une tension permanente : elle veut bénéficier du cloud — Microsoft 365, applications SaaS, postes nomades — sans renoncer à un socle d’identité maîtrisé, à la gestion centralisée des postes, au partage de fichiers interne et à l’application de règles de sécurité homogènes. Pour des dizaines de milliers d’entreprises de 5 à 500 collaborateurs, ce socle s’appelle toujours Windows Server et son service phare, Active Directory Domain Services (AD DS).

Windows Server 2025, disponible en version finale depuis le 1er novembre 2024, marque une étape majeure : nouvelle architecture de base AD avec pages de 32 Ko, support NUMA pour dépasser les 64 cœurs CPU, durcissement Kerberos et LDAP par défaut, nouveau niveau fonctionnel 10 de la forêt. C’est le moment idéal pour soit migrer un domaine vieillissant en 2016/2019, soit construire de zéro une infrastructure propre pour une PME.

Ce guide pose les fondations conceptuelles et techniques. Il décrit la cible — un domaine AD redondé, sécurisé, sauvegardé, supervisé — puis renvoie vers des tutoriels pas-à-pas pour chaque brique : promotion de DC, DNS intégré, DHCP en failover, GPO, jonction des postes, sauvegarde, WSUS, audit. À la fin, vous saurez quoi installer, dans quel ordre, et avec quels garde-fous.

1. Le rôle stratégique d’Active Directory pour une PME

Active Directory n’est pas un produit marketing : c’est un annuaire LDAP couplé à une autorité Kerberos. Concrètement, c’est lui qui répond à trois questions vitales chaque jour, plusieurs fois par minute, sur chaque poste connecté au réseau de l’entreprise :

• Qui es-tu ? — authentification de l’utilisateur, du poste, du serveur.
• Que peux-tu faire ? — appartenance à des groupes, droits sur des partages, accès aux applications.
• Comment dois-tu te comporter ? — politiques de sécurité, mots de passe, accès USB, BitLocker, mises à jour.

Le tout sans qu’un seul utilisateur saisisse plusieurs identifiants : Windows ouvre la session, valide un ticket Kerberos auprès du contrôleur de domaine, et ce ticket suffit ensuite pour accéder à un partage de fichiers, un site SharePoint hébergé sur l’intranet, une imprimante réseau ou une session RDS. Cette propriété — single sign-on natif — reste la valeur ajoutée principale d’AD face aux solutions de gestion d’identité cloud isolées.

En PME, AD permet en particulier :

• de provisionner ou désactiver un compte utilisateur en une commande PowerShell quand un collaborateur arrive ou part, avec révocation immédiate des accès ;
• de déployer une stratégie de mot de passe conforme aux exigences réglementaires (longueur, complexité, expiration) sur tous les postes en quelques minutes via une GPO ;
• de centraliser la liste des comptes pour l’audit (qui s’est connecté, où, à quelle heure, et avec quel type de session) ;
• de fédérer ce même annuaire avec Microsoft Entra ID (anciennement Azure AD) pour bénéficier du SSO sur les services cloud sans dupliquer les comptes.

2. Concepts fondamentaux à maîtriser avant tout déploiement

Forêt, domaine, arbre

Une forêt est la frontière de sécurité ultime d’Active Directory. Tout ce qui partage un schéma commun et une configuration globale appartient à la même forêt. Pour une PME, on déploie presque toujours une forêt à domaine unique : monentreprise.local ou corp.monentreprise.com. Les déploiements multi-domaines (un par filiale) restent l’exception : ils complexifient l’administration sans apporter de valeur sur des effectifs inférieurs au millier.

Microsoft recommande aujourd’hui d’éviter les TLD purement internes (.local, .lan) au profit d’un sous-domaine d’un nom DNS public que l’entreprise possède (ad.monentreprise.com). Cela facilite la fédération avec Entra ID, l’émission de certificats publics et la coexistence avec Microsoft 365.

Contrôleur de domaine (DC)

Un contrôleur de domaine est un serveur Windows promu, qui héberge la base AD (fichier NTDS.dit), répond aux requêtes Kerberos et LDAP, applique les GPO et réplique avec ses pairs. En production, on déploie au minimum deux DC dans le même domaine pour tolérer la panne d’un serveur sans interrompre les ouvertures de session. Sur Windows Server 2025, le service AD bénéficie d’une base réécrite pour exploiter pleinement les machines NUMA modernes, peut dépasser 64 cœurs et lit/écrit en pages de 32 Ko (en mode 8 Ko tant que le niveau fonctionnel forêt 10 n’est pas atteint).

FSMO — les rôles uniques

Cinq rôles ne peuvent vivre que sur un DC à la fois. Ils s’appellent FSMO (Flexible Single Master Operations) :

• Schema Master et Domain Naming Master — un par forêt.
• RID Master, PDC Emulator, Infrastructure Master — un par domaine.

En PME, ils résident généralement sur le premier DC promu. La règle d’or : savoir où ils sont et savoir les transférer ou les saisir (seize) en urgence si le DC qui les héberge tombe.

Unités d’organisation (OU)

Les OU servent à structurer l’annuaire et à cibler les GPO. Elles n’ont pas vocation à modéliser un organigramme : on ne crée pas une OU par chef d’équipe. La structure efficace en PME suit deux axes : un par type d’objet (Utilisateurs / Postes / Serveurs / Groupes) et un par fonction métier ou site géographique. La conception détaillée fait l’objet d’un tutoriel dédié dans cette série.

Groupes : portée et type

Active Directory distingue groupes de distribution (listes de diffusion, sans SID utilisable pour les permissions) et groupes de sécurité (porteurs d’un SID, utilisés pour les permissions NTFS, les partages, les applications). Pour les groupes de sécurité, trois portées coexistent : locale de domaine, globale, universelle. La méthode AGDLP (Account → Global → Domain Local → Permission) reste la pratique professionnelle : on évite d’attribuer une permission directement à un compte utilisateur.

GPO — Group Policy Objects

Les stratégies de groupe sont l’outil par lequel AD agit sur les postes. Une GPO porte un ensemble de paramètres (registre, scripts, sécurité, déploiement de logiciels), elle est liée à un site, un domaine ou une OU, et elle s’applique selon un ordre précis : Local → Site → Domaine → OU, les paramètres les plus proches l’emportant. Les GPO côté ordinateur s’appliquent au boot, celles côté utilisateur à l’ouverture de session.

Sites et réplication

Le concept de site AD reflète la topologie réseau : un bureau parisien et un bureau lyonnais reliés par un lien WAN forment deux sites. Les sites contrôlent la réplication (intra-site rapide, inter-sites planifiée) et le rattachement automatique des postes au DC le plus proche. Pour une PME mono-site, un seul site Default-First-Site-Name suffit.

3. Le périmètre d’une infrastructure AD pour PME en 2026

Une infrastructure AD bien conçue pour une PME de 20 à 200 postes intègre en pratique les rôles suivants :

1. Deux contrôleurs de domaine Windows Server 2025 Standard. Le premier porte les FSMO, le second offre la redondance et héberge la zone DNS répliquée.
2. DNS intégré à AD — la résolution de noms est vitale : un domaine sans DNS fonctionnel est un domaine en panne. Les zones AD-integrated sont répliquées et hautement disponibles.
3. DHCP redondé en failover — la distribution d’adresses IP, mode Hot Standby ou Load Balance selon la taille.
4. Serveur de fichiers avec partages, quotas et FSRM (File Server Resource Manager) ou stockage Nextcloud auto-hébergé en complément.
5. Sauvegarde — au minimum Windows Server Backup planifié, idéalement Veeam Backup & Replication Community Edition (gratuit jusqu’à 10 instances) ou équivalent, avec déport hors-site chiffré.
6. WSUS ou successeur — patching des postes et serveurs. WSUS reste fonctionnel dans Windows Server 2025 même s’il est officiellement déprécié depuis septembre 2024. Microsoft recommande Intune + Windows Autopatch pour les clients et Azure Update Manager pour les serveurs ; en PME on conserve WSUS comme solution gratuite pendant le cycle de vie 2025.
7. Audit et supervision — Event Viewer, audits AD avancés, idéalement un collecteur (Wazuh, ELK, ou Microsoft Sentinel selon le budget).

Ces briques sont chacune couvertes par un tutoriel dédié dans la série, avec installation, configuration et points de contrôle.

4. Articles connexes de la série Windows Server & Active Directory

Chaque tutoriel ci-dessous installe et configure une brique précise, dans l’ordre logique de déploiement :

• Installer Windows Server 2025 et préparer le rôle AD DS — partitionnement, mises à jour, durcissement de base.
• Promouvoir le premier contrôleur de domaine Active Directory — Install-ADDSForest, choix du nom DNS, mot de passe DSRM.
• Concevoir le schéma d’OU, comptes et groupes pour une PME — modèle AGDLP, conventions de nommage, délégations.
• Configurer DNS intégré à AD — zones primaires, reverse lookup, scavenging, forwarders.
• Déployer un serveur DHCP Windows avec failover — étendues, réservations, options de scope.
• Joindre des postes Windows 11 au domaine et automatiser le déploiement — Sysprep, MDT, scripts PowerShell.
• GPO essentielles pour PME — sécurité, complexité mot de passe, mappage des lecteurs, restrictions applicatives.
• Déployer un second contrôleur de domaine et gérer les rôles FSMO — réplication, transfert FSMO, monitoring repadmin.
• Sauvegarder et restaurer AD — System State, restauration autoritaire, mode DSRM.
• WSUS — centraliser et automatiser le patching Windows — installation, groupes d’ordinateurs, approbations.
• Auditer Active Directory — journaux 4624/4625/4768, alerting, détection de mouvements latéraux.

5. Choisir l’édition et l’hébergement

Pour 90 % des PME, Windows Server 2025 Standard couvre tous les besoins. Datacenter ne se justifie que si l’entreprise virtualise massivement (au-delà de deux VM Windows par hôte Hyper-V) et veut bénéficier des droits illimités de VM Windows ou de Storage Spaces Direct. Le licensing Standard est par cœur, avec un minimum de 16 cœurs par serveur physique, plus des CAL (Client Access License) par utilisateur ou par appareil.

Côté hébergement, plusieurs options coexistent :

• Serveur physique sur site — un hôte Hyper-V hébergeant deux VM DC, plus un fichier et un WSUS. Investissement initial 2 000 à 5 000 €, dépendance à la qualité électrique et à la climatisation. Adapté aux PME qui ont déjà un local technique sain.
• VPS dédié chez un hébergeur — OVHcloud et Scaleway proposent des VPS Windows : OVH facture la licence Windows Server à environ 0,039 € par vCore par heure en plus du VPS, ce qui revient à 25-40 € HT/mois pour 4 vCPU 8 Go selon l’offre. Pour deux DC en redondance, compter 50 à 80 € HT/mois. Hetzner Cloud, à l’inverse, ne propose pas officiellement d’image Windows Server et n’inclut pas la licence — ce provider reste réservé aux DC Linux ou à l’hébergement Hyper-V/Proxmox tiers. Avantage général VPS : pas de matériel à gérer, sauvegarde de l’hyperviseur incluse. Limite : la licence Windows Server à apporter (license mobility) ou à louer via le SPLA chez le prestataire.
• Azure avec Azure Virtual Desktop — solution premium, intéressante si l’entreprise a déjà du Microsoft 365 et veut tout fédérer. Coût significatif (à partir de 150 € HT/mois pour deux DC + AVD basique).

La pratique courante pour les PME 10–100 postes : un hôte Hyper-V on-premises pour les DC, le fichier et le DHCP (latence locale faible), couplé à Microsoft 365 en cloud pour la messagerie et la collaboration, avec fédération Entra ID Connect.

6. L’apport concret de Windows Server 2025

Les nouveautés AD de Windows Server 2025 ne sont pas cosmétiques. Cinq mérite d’être connues avant tout déploiement :

Niveau fonctionnel forêt et domaine 10

Pour la première fois depuis 2016, Microsoft introduit un nouveau niveau fonctionnel. Il débloque la base AD à pages 32 Ko (multiplie par 4 la capacité par enregistrement), supporte 64 bits pour les identifiants de valeurs longues et permet enfin de gérer des attributs multivalués allant jusqu’à environ 3 200 valeurs (contre ~1 200 avant). Important : il faut que tous les DC soient en 2025 avant de basculer en niveau 10, et le basculement est irréversible.

LDAP channel binding « When supported » par défaut

Sur les nouvelles installations 2025, le paramètre LdapEnforceChannelBinding est positionné à 1 (When supported). Les clients capables de fournir un token de canal le doivent ; les autres continuent à fonctionner sans. C’est un pas vers le mode « Always » qui finira par s’imposer.

Kerberos PKINIT avec algorithmes modernes

L’authentification Kerberos par certificat supporte désormais des algorithmes plus modernes (cryptographic agility), ce qui prépare la sortie progressive de RC4 et des suites obsolètes.

Comptes machine aléatoires par défaut

Le compte ordinateur ne peut plus prendre par défaut un mot de passe identique au nom de machine — un vecteur d’attaque exploité historiquement. Les nouveaux DC 2025 refusent ce comportement.

Hyper-V boosté

Hyper-V dans Windows Server 2025 améliore la mémoire dynamique, le live storage migration et la résilience des clusters Failover. Pour la virtualisation des DC sur site, c’est un argument fort en faveur de 2025 plutôt que 2022.

7. Erreurs fréquentes à éviter

8. Sécurité : la base à respecter dès l’installation

AD est une cible privilégiée des attaquants car compromettre un DC, c’est compromettre toute l’entreprise. Quatre garde-fous non négociables :

• Tier 0 — Les comptes administrateurs de domaine et les DC eux-mêmes ne se connectent jamais à des postes utilisateur ou des serveurs applicatifs. Microsoft formalise ce modèle sous le nom Privileged Access Workstation.
• LAPS — Le mot de passe administrateur local de chaque poste est unique, géré et tourné automatiquement par Local Administrator Password Solution. Sur Windows 11, LAPS est intégré au système et se configure par GPO. Voir notre tutoriel dédié Durcissement Windows : GPO, BitLocker, Defender, AppLocker et LAPS.
• Mot de passe long — Le NIST recommande au moins 8 caractères, l’ANSSI 12, et les bonnes pratiques 14 minimum pour les utilisateurs et 25 pour les comptes admin. La complexité forcée a moins de valeur que la longueur.
• Désactivation des protocoles obsolètes — NTLMv1, SMBv1, RC4 Kerberos. Audit avant désactivation, puis blocage progressif.

9. Plan de déploiement type pour une PME

L’ordre suivant minimise les risques et permet un retour en arrière à chaque étape. Ce plan correspond à l’enchaînement des tutoriels de la série.

1. Préparer les VM ou serveurs physiques — Windows Server 2025 Standard, partitionnement (OS + base AD séparés idéalement), mises à jour à jour.
2. Configurer le réseau — IP statiques pour les DC, DNS pointant vers le futur DC lui-même (127.0.0.1 après promotion) puis vers le second DC.
3. Installer le rôle AD DS sur le premier serveur, puis le promouvoir comme premier contrôleur d’une nouvelle forêt.
4. Mettre en place le DNS — vérifier la zone créée automatiquement, ajouter la zone reverse, activer le scavenging.
5. Promouvoir le second DC — vérifier la réplication avec repadmin /showrepl.
6. Concevoir l’OU et créer les groupes selon le modèle AGDLP, déléguer le help-desk.
7. Déployer le DHCP — installer le rôle sur les deux DC, configurer le failover en Hot Standby.
8. Créer les GPO de base — politique de mot de passe, baseline sécurité, mappage des lecteurs.
9. Joindre les premiers postes pilotes — vérifier les GPO, le scripts d’ouverture, le mappage.
10. Installer WSUS — synchronisation des produits Windows, approbations en groupes pilote/production.
11. Mettre en place la sauvegarde — System State quotidien, test de restauration sur un DC de lab.
12. Activer l’audit — politique d’audit avancé, collecte des événements sur un serveur dédié.

Compter 3 à 5 jours-homme pour une PME de 30 postes en partant de zéro, jusqu’à 10 jours-homme pour 200 postes avec scripts de provisionnement utilisateurs.

10. Coexistence avec Microsoft 365 et Entra ID

La plupart des PME modernes ont déjà Microsoft 365. AD on-premises et Microsoft Entra ID ne s’opposent pas, ils se fédèrent via Entra ID Connect (anciennement Azure AD Connect). Un seul utilisateur, un seul mot de passe, deux annuaires synchronisés.

Trois modes coexistent :

• Password Hash Sync (PHS) — le hash du hash du mot de passe AD est répliqué vers Entra. Mode le plus simple, le plus robuste, recommandé pour la majorité des PME.
• Pass-through Authentication (PTA) — l’authentification cloud est validée par un agent on-prem qui interroge AD en temps réel. Aucun hash ne quitte le LAN. Convient aux entreprises soumises à des contraintes de souveraineté.
• ADFS — la fédération historique, encore présente mais que Microsoft décourage activement au profit des deux modes ci-dessus.

Pour les nouvelles entreprises 100 % cloud, Microsoft pousse le scénario Entra-only avec Intune pour les postes. AD on-prem reste justifié dès qu’il y a un applicatif legacy, un partage de fichiers locaux, des imprimantes réseau Windows, ou une exigence forte de SSO sur des outils non-SaaS.

11. FAQ Active Directory en PME

Combien de cœurs et de RAM pour un DC ?
Pour une PME jusqu’à 200 utilisateurs, 4 vCPU et 8 Go de RAM suffisent largement par DC. Le service AD est modérément gourmand ; l’essentiel est de garantir des disques rapides (SSD) et une latence réseau faible entre DC.

Faut-il choisir Server Core ou Desktop Experience ?
Server Core (sans interface graphique) est plus léger, expose moins de surface d’attaque et reçoit moins de mises à jour à appliquer. Mais l’administration locale est plus difficile. Pour une PME sans expertise PowerShell forte, Desktop Experience reste le choix raisonnable.

Quelle différence entre un groupe global et un groupe universel ?
Le groupe global ne contient que des comptes du même domaine et peut être utilisé pour donner des permissions n’importe où dans la forêt. Le groupe universel peut contenir des comptes de tous les domaines de la forêt et sa composition est répliquée dans le catalogue global. En forêt mono-domaine, la différence pratique est faible.

Peut-on installer AD sur Windows Server Essentials ?
Windows Server 2019 Essentials a été la dernière édition Essentials disponible en standalone. Depuis Windows Server 2022, l’édition Essentials existe uniquement comme variante de licensing OEM de Windows Server Standard, sans les fonctionnalités historiques Essentials (Remote Web Access, Dashboard, intégration Office 365). Pour une PME jusqu’à 25 utilisateurs, on utilise donc Windows Server 2025 Standard avec deux CAL packs ou on se tourne vers Microsoft 365 Business Premium en cloud-first.

Faut-il activer le 32 Ko page size dès la première installation ?
Sur une forêt neuve composée uniquement de DC Windows Server 2025, oui. Sur une forêt existante en cours de migration, attendre que tous les DC soient en 2025 et que le niveau fonctionnel forêt soit monté à 10 avant d’activer la fonctionnalité optionnelle.

Un DC peut-il être virtualisé sans risque ?
Oui, Hyper-V supporte explicitement la virtualisation des DC. Deux précautions classiques : ne pas utiliser de snapshots Hyper-V comme méthode de sauvegarde de l’AD (USN rollback), et privilégier la fonctionnalité VM-GenerationID qui détecte les rollbacks.

Comment migrer d’un AD 2012/2016 vers 2025 ?
Le chemin est en place : promouvoir des DC 2025 dans l’existant, transférer les FSMO, déprommouvoir les anciens DC, monter les niveaux fonctionnels. La migration in-place du DC lui-même est officiellement supportée mais déconseillée — on préfère ajouter/retirer.

12. Pour aller plus loin

La documentation officielle reste la première source de vérité. Trois points d’entrée valent d’être épinglés :

• What’s new in Windows Server 2025 — Microsoft Learn
• Active Directory Domain Services Overview — Microsoft Learn
• Install Active Directory Domain Services (Level 100) — Microsoft Learn

Pour aller plus loin sur la sécurisation côté postes, le tutoriel Durcissement Windows : GPO, BitLocker, Defender, AppLocker et LAPS complète directement ce guide en montrant l’application concrète des stratégies de sécurité.

L’ordre conseillé pour démarrer : commencer par l’installation de Windows Server 2025 et la promotion du premier DC, puis enchaîner sur le DNS et le DHCP avant de joindre les premiers postes. Les autres briques (GPO, second DC, sauvegarde, WSUS, audit) viennent ensuite une fois les fondations stables.