Je vous laisse installer ces serveurs par vous m\u00eame, vous trouverez facilement des tutoriels sur internet comme par exemple : installation d’un serveur Windows avec la mise en place d’un nom de domaine<\/a>.<\/p>\n\n\n\n L’objectif est de d\u00e9ployer Ansible pour qu’il communique en SSH avec vos serveurs Windows, via une cl\u00e9 d’authentification. <\/p>\n\n\n\n Depuis l’implantation d’OpenSSH dans Windows<\/a>, ce protocole est devenu la nouvelle norme recommand\u00e9e par Microsoft. Bien qu’il soit facile \u00e0 mettre en \u0153uvre, il offre une connexion tr\u00e8s s\u00e9curis\u00e9e.<\/p>\n\n\n\n Pour aller plus loin dans le volet de la s\u00e9curit\u00e9, j’ai rajout\u00e9 \u00e0 cette configuration un compte de Service GMSA<\/a>, ce dernier va permettre de lancer les scripts ansibles en administrateur local sur le serveur Cible.<\/p>\n\n\n\n Depuis Windows 2012, il existe 2 nouveaux type de compte s\u00e9curis\u00e9s qui permettent de g\u00e9rer des services dans un domaine Active Directory (AD). L’un \u00e0 usage unique et l’autre pour un usage multiserveurs. C’est ce dernier qui nous int\u00e9resse.<\/p>\n\n\n\n Nous lancerons la plupart des commandes via un terminal PowerShell, (clique droit : ex\u00e9cut\u00e9 en Administrateur) : <\/em> >><\/mark> Cr\u00e9ation du compte gMSA : on v\u00e9rifie d’abord la pr\u00e9sence de la cl\u00e9 de distribution sinon suivez le tuto de Microsoft<\/a><\/strong><\/p>\n\n\n\n On retrouve le compte dans son UO par d\u00e9faut :<\/mark><\/p>\n\n\n\n <\/p>\n<\/div>\n\n\n\n page suivante<\/a> -><\/p>\n<\/div>\n<\/div>\n<\/blockquote>\n\n\n\n\n\n\n\n >><\/mark> Installation de Openssh-Serveur via les fonctionnalit\u00e9s facultatives ou en PowerShell.<\/strong> <\/p>\n\n\n\n Attention si les mises \u00e0 jour de votre serveur cible sont g\u00e9r\u00e9es par un serveur WSUS, vous ne pourrez pas installer les fonctionnalit\u00e9s facultatives. <\/em><\/p>\n<\/blockquote>\n\n\n\n Ci-dessus la fen\u00eatre des fonctions facultatives . <\/em><\/p>\n<\/div>\n\n\n\n Comme vous devrez cependant configurer la fonctionnalit\u00e9, je vous conseil plut\u00f4t de suivre les lignes de commandes que d’essayer de passer par les interfaces Windows.<\/p>\n<\/blockquote>\n\n\n\n >><\/mark> Implantation du compte de service<\/strong><\/p>\n\n\n\n >><\/mark><\/strong> Pour finir on ajoute la compte de Service au groupe Administrateur local sur serveur SRV-TEST, pour changer, je vous le fait via l’interface utilisateur. <\/p>\n\n\n\n <- page pr\u00e9cedente<\/a><\/p>\n<\/div>\n\n\n\n page suivante<\/a> -><\/p>\n<\/div>\n<\/div>\n\n\n\n\n\n\n\n A ce stade, je suppose que votre serveur Linux Debian a \u00e9t\u00e9 install\u00e9 et est pleinement op\u00e9rationnel. Nous allons donc ouvrir un session distance via le mode SSH de Putty<\/a>. Pour ma part, lors de l’installation, j’ai configurer un compte non root avec un pseudo (slicy).<\/p>\n\n\n\n >><\/mark> Installation et Configuration de Ansible :<\/strong><\/p>\n\n\n\n C’est fait au plus simple. Le compte de connexion \u00e9tant un comte de service, il est normal qu’il finisse par un $. Cependant vous devriez lire documentation officielle<\/a> qui explique plus en d\u00e9tails les configurations.<\/p>\n\n\n\n >> <\/mark>Configuration de la connexion s\u00e9curis\u00e9e SSH<\/strong><\/p>\n\n\n\n On commence par la cr\u00e9ation des Paires de cl\u00e9 priv\u00e9 et cl\u00e9 public pour l’authentification s\u00e9curis\u00e9e. >><\/mark> Export de la cl\u00e9 publique sur le serveur Windows SRV-TEST<\/strong><\/p>\n\n\n\n Toujours depuis votre session PuTTY, lancer la commande suivante pour afficher le contenu de la cl\u00e9 publique :<\/p>\n\n\n\n F\u00e9licitation !<\/mark> En Bonus pour \u00eatre arriv\u00e9 \u00e0 ce point de la lecture de l’article, je vous donne un exemple de script PowerShell de d\u00e9ploiement rapide d’OpenSSH-Server avec ses fichiers de configuration.<\/strong><\/p>\n\n\n\n <- page pr\u00e9cedente<\/a><\/p>\n<\/div>\n\n\n\n page suivante<\/a> -><\/p>\n<\/div>\n<\/div>\n\n\n\n\n\n\n\n Au final nous allons pouvoir tester l’installation avec des exemples simples comme un un test de ping et ajouter un \u00ab\u00a0playbook\u00a0\u00bb pour lancer nos premi\u00e8res fonctions avanc\u00e9es. <\/p>\n\n\n\n Il possible \u00e9galement de r\u00e9aliser des op\u00e9rations plus complexes par la cr\u00e9ation d’un \u00ab\u00a0R\u00f4le\u00a0\u00bb qui inclus en ensemble de playbook qui seront lanc\u00e9s dans un ordre d\u00e9termin\u00e9. L’objectif de cette article n’\u00e9tant pas de d\u00e9crire le d\u00e9tail des usages, je vous renvois \u00e0 la documentation officielle :SRV-AD01, Cr\u00e9ation du Compte de Service Ansible<\/h2>\n\n\n\n
Pensez \u00e0 adapter les chemins des scripts des commandes \u00e0 votre environnement.<\/mark><\/em>
>><\/mark> Pour commencer, on cr\u00e9e un groupe de s\u00e9curit\u00e9, puis on y ajoute les serveurs membres qui recevront le compte de service<\/strong> :<\/p>\n\n\n\nCr\u00e9ation du Groupe :<\/mark>\n\nNew-ADGroup -Name \"Ansible_GMSA_Grp_Servers\" -Path \"OU=Server Groups,OU=Groups,OU=HQ Corporate,DC=ad,DC=fjmlab,DC=com\" -GroupScope Global -Description \"Groupe de Serveur\"<\/code><\/pre>\n\n\n\nAjout des Membres,<\/mark> en l'occurrence pour cette exemple un seul Membre.<\/em> \n\nAdd-ADGroupMember -Identity Ansible_GMSA_Grp_Servers -Members SRV-TEST$\n\nNe pas oublier le $ pour signifier que l'objet membre est un ordinateur.<\/em><\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2026\/01\/image-1.png\")
<\/figure>\n\n\n\nPuis, on cr\u00e9e le compte avec les param\u00e8tres suivants : <\/mark>\n\nNew-ADServiceAccount ansible -DNSHostName ansible.ad.fjmlab.com -PrincipalsAllowedToRetrieveManagedPassword Ansible_GMSA_Grp_Servers -KerberosEncryptionType AES256 -ManagedPasswordIntervalInDays 30 -Description \"Compte de service pour Ansible\" -SamAccountName ansible -Enabled $true<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2026\/01\/image-2-1024x451.png\")
<\/figure>\n\n\n\n\n
SRV-TEST, Configuration Openssh et ajout du compte de service <\/h2>\n\n\n\n
\n
Pour ce faire voici l'astuce qui vous permettra de d\u00e9sactiver temporairement les mise \u00e0 jour WSUS :<\/em>\n\nEn passe la valeur de la cl\u00e9 du registre suivante \u00e0 \"0\" :<\/mark>\n <\/em>\nSet-ItemProperty -Path \"HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU\" -Name \"UseWUServer\" -Value<\/em> 0\n\nPuis on red\u00e9marre le service Windows Update :<\/mark>\n\nGet-service wuauserv | Restart-Service\n\n(Pour r\u00e9activer, il suffit de refaire avec la valeur du la cl\u00e9 de registre \u00e0 \"1\")<\/em><\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2026\/01\/image-4.png\")
<\/figure>\n\n\n\nAjout de la fonctionnalit\u00e9 :<\/mark>\n\nAdd-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0\n\nConfiguration du service :<\/mark>\n\nStart-Service sshd\nSet-Service -Name sshd -StartupType 'Automatic'\n\nAjout d'une r\u00e8gle d'acc\u00e8s au pare-feu :<\/mark>\n\nNew-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22\n\nConfiguration du shell par d\u00e9faut :<\/mark>\n\nNew-ItemProperty -Path \"HKLM:\\SOFTWARE\\OpenSSH\" -Name DefaultShell -Value \"C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe\" -PropertyType String -Force\n\nPour finir, on red\u00e9marre le service<\/mark> \n\nRestart-Service sshd<\/code><\/pre>\n<\/div>\n<\/div>\n\n\n\n\n
Ajout de la fonction Powershell pour Active Directory:<\/mark>\nInstall-WindowsFeature RSAT-AD-Powershell\n\nAjout du compte de Service :<\/mark>\nInstall-ADServiceAccount -Identity ansible\n\nTest de pr\u00e9sence du compte :<\/mark> \nTest-AdServiceAccount -Identity ansible<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2026\/01\/image-5-1024x281.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2026\/01\/image-6-1024x705.png\")
<\/figure>\n\n\n\nSRV-ANSIBLE, installation du packages et configuration ssh.<\/h2>\n\n\n\n
![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2026\/01\/image-8.png\")
<\/figure>\n\n\n\nInstallation du packages :<\/mark>\n\napt -y install ansible-core<\/mark>\n\nV\u00e9rification de la version :<\/mark> \n\nansible --version<\/mark><\/code><\/pre>\n\n\n\nVous devriez obtenir en retour la version 2.9 :<\/mark>\n\nansible --versionansible [core 2.19.4]\nconfig file = \/etc\/ansible\/ansible.cfg\nconfigured module search path = ['\/home\/slicy\/.ansible\/plugins\/modules', '\/usr\/share\/ansible\/plugins\/modules']\nansible python module location = \/usr\/lib\/python3\/dist-packages\/ansible\nansible collection location = \/home\/slicy\/.ansible\/collections:\/usr\/share\/ansible\/collections\nexecutable location = \/usr\/bin\/ansible\npython version = 3.13.5 (main, Jun 25 2025, 18:55:22) GCC 14.2.0<\/a>\njinja version = 3.1.6\npyyaml version = 6.0.2 (with libyaml v0.2.5)<\/code><\/pre>\n\n\n\nOn ajoute le r\u00e9pertoire manquant dans \/etc :<\/mark>\n\nmkdir \/etc\/ansible<\/mark>\n\nOn cr\u00e9e le fichier Hosts contenant la configuration de bases :<\/mark>\n\nsudo nano \/etc\/ansible\/hosts<\/mark>\n\nOn ajoute la configuration de base :<\/mark>\n\n[Windows]<\/mark>\nSRV-TEST.ad.fjmlab.com\n\n[all:vars]<\/mark>\nansible_connection = ssh\nansible_shell_type = powershell\nansible_user = ansible$\n<\/code><\/pre>\n\n\n\n
Plus d’information dans la documentation de Microsoft : Authentification bas\u00e9e sur des cl\u00e9s dans OpenSSH pour Windows<\/a>.<\/p>\n\n\n\nOn g\u00e9n\u00e8re les cl\u00e9s en 4096 Bits<\/mark>, l'algorithme par d\u00e9faut est ed25519. Pendant le processus, il vous sera demander un mot de passe pour la double authentification. Pour ma part j'ai laiss\u00e9 vide mais je vous conseil fortement de mettre une phrase pass en production. <\/em>\n\nssh-keygen -b 4096<\/mark>\n\nSur l'\u00e9cran, vous devriez voir quelque chose ressemblant \u00e0 cela :<\/em>\n\nEnter passphrase (empty for no passphrase):\nEnter same passphrase again:\nYour identification has been saved in ~.ssh\/id_ed25519\nYour public key has been saved in ~.ssh\/id_ed2551.pub\nThe key fingerprint is:\nSHA256:OIzc1yE7joL2Bzy8!gS0j8eGK7bYaH1FmF3sDuMeSj8 username@LOCAL-HOSTNAME\n\nThe key's randomart image is:\n+--[id25519]--+\n| . |\n| o |\n| . + + . |\n| o B * = . |\n| o= B S . |\n| .=B O o |\n| + =+% o |\n| *oo.O.E |\n|+.o+=o. . |\n+----[SHA256]-----+\n\nLes 2 cl\u00e9s sont ajout\u00e9es dans le r\u00e9pertoire cach\u00e9 .ssh<\/mark>\n\nls .ssh<\/mark>\n\nid_ed25519 id_ed25519.pub known_hosts known_hosts.old\n\n- La cl\u00e9 priv\u00e9 est sans extension, vous devez la conserver dans un endroit s\u00fbr.\n- La cl\u00e9 publique *.pub est celle que vous aller export\u00e9 sur vos serveur cible (SRV-TEST)<\/em>\n\nEnfin, on rajoute la cl\u00e9 priv\u00e9e \u00e0 l'agent ssh avec les 2 commandes suivantes :<\/mark>\n\nssh-agent bash<\/mark>\n\nssh-add ~\/.ssh\/id_ed25519<\/mark><\/code><\/pre>\n\n\n\ncat .ssh\/id_ed25519.pub<\/mark>\n\nCopi\u00e9 avec la sourie par s\u00e9lection et clique droit :<\/mark>\n\nssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIKczi+TlofWkMJD7HLVBNedSmSpVct2RgmVBw+bD4Os7 slicy@ansible<\/mark><\/code><\/pre>\n\n\n\n\n
\n
\n
![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2026\/01\/image-9-1024x646.png\")
<\/figure>\n\n\n\n\n
PubkeyAuthentication yes\nPasswordAuthentication no\nStrictModes no\nMatch Group administrators\n AuthorizedKeysFile __PROGRAMDATA__\/ssh\/administrators_authorized_keys<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2026\/01\/image-10.png\")
<\/figure>\n\n\n\n\n
# Variables de Configuration --------------------------------------------------\n\n$UseWUServer = Get-ItemPropertyValue -Path \"HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU\" -Name \"UseWUServer\"\n$PackageName = Get-WindowsPackage -Online | where { $_.PackageName -like \"*OpenSSH-Serveur*\"}\n$ConfigFileSource = \"\\\\srv-file01\\d$\\Logiciels\\OpenSSH-Server\\ConfigFiles\\*\"\n$ConfigFileDestination = \"C:\\ProgramData\\ssh\"\n$ConfigFireWall= New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22\n$ConfigOpenSSHPowershell = New-ItemProperty -Path \"HKLM:\\SOFTWARE\\OpenSSH\" -Name DefaultShell -Value \"C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe\" -PropertyType String -Force\n\n# Main -----------------------------------------------------------------------\n\nif (!($PackageName)) {\n\t\n\t#D\u00e9sactivation de WSUS\n\tIf ($UseWUServer -eq \"1\") {\n \tSet-ItemProperty -Path \"HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU\" -Name \"UseWUServer\" -Value 0\n \tGet-service wuauserv | Restart-Service\n\t}\n\n\t# Installation de la fonctionnalit\u00e9 \n\tAdd-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0\n\t\n\t# Configuration du Service\n\tCopy-item -Path $ConfigFileSource -Destination $ConfigFileDestination -Recurse\n\t$ConfigFireWall\n\t$ConfigOpenSSHPowershell\n\tSet-Service -Name sshd -StartupType 'Automatic'\n\tRestart-Service sshd\n\t\n\t# R\u00e9activation de WSUS\n\tIf ($UseWUServer -eq \"1\") {\n \tSet-ItemProperty -Path \"HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU\" -Name \"UseWUServer\" -Value 1\n \tGet-service wuauserv | Restart-Service\n\t}\n}<\/code><\/pre>\n\n\n\nSRV-ANSIBLE, mise en pratique<\/h2>\n\n\n\n
https:\/\/docs.ansible.com\/projects\/ansible\/latest\/index.html<\/a><\/p>\n\n\n\n\n
ansible all -m ansible.windows.win_ping<\/mark>\n\nSRV-TEST.ad.fjmlab.com | SUCCESS => {\n \"changed\": false,\n \"ping\": \"pong\"<\/mark>\n<\/code><\/pre>\n\n\n\n\n
sudo nano \/etc\/ansible\/playbook_Powershell_Check.yml<\/mark>\n\n- hosts<\/mark>: Windows\n gather_facts<\/mark>: no<\/mark>\n tasks<\/mark>:\n - name<\/mark>: test powershell\n win_shell<\/mark>: $host.version\n register<\/mark>: result_get_host\n\n - name<\/mark>: display result_get_host\n debug<\/mark>:\n var<\/mark>: result_get_host\n<\/code><\/pre>\n\n\n\n\n
ansible-playbook \/etc\/ansible\/playbook_Powershell_Check.yml<\/mark>\n<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.fjmlab.com\/blog\/wp-content\/uploads\/2026\/01\/image-11-1024x559.png\")
<\/figure>\n\n\n\n