Limite Active Directory : nombre de SID

Il existe des limitations sur Active Directory, comme la longueur du nom complet d'un objet, le nombre d'identificateur de sécurité (SID). Généralement, ces limites sont suffisamment importantes pour ne concerner qu'un nombre très restreint d'entreprise. Vous trouverez dans le lien suivant le détail des limites d'Active Directory Services :

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc756101(v=ws.10)

Tags: 

[PowerShell Script] Sauvegarder vos GPO

Si vous êtes amenés à modifier régulièrement vos stratégies de groupe, il peut être intéressant de conserver des sauvegardes à intervalles réguliers. Il est possible d'automatiser la sauvegarde en utilisant PowerShell.

La commande suivante permet par exemple de sauvegarde l'ensemble des GPO du domaine sur un partage réseau :

Backup-Gpo -All -Path \\2016DC1\Backup\Gpo

[PowerShell AD] : Voir la stratégie de mot de passe affinée pour un utilisateur

Si vous utilisez les stratégies de mots de passe affinée appliquée à des groupes de sécurité, afin d'appliquer des stratégies différentes pour certains groupes d'utilisateurs :

Il est possible de vérifier les paramètres pour un utilisateur spécifique à l'aide de la commande :

Get-ADUserResultantPasswordPolicy pbarth

 

[PowerShell AD DS] Création des utilisateurs

Dans ce nouvel article, qui est un peu la suite des précédents sur PowerShell, nous allons nous intéresser à la gestion des utilisateurs. PowerShell est un outil très puissant qui vous permettra d'automatiser la gestion complète des utilisateurs. Vous pouvez consulter mon article de l'année dernière pour vous faire une idée des possibilités d'automatisation : http://pbarth.fr/node/231.

Les commandes suivantes, vous donneront la liste des CmdLet présenté dans cet article :

Modifier les OUs par défaut pour les comptes utilisateurs et ordinateurs

 

Lorsque vous ajoutez un compte autrement que par la console « Utilisateurs et Ordinateurs Active Directory », les comptes sont créés respectivement dans les conteneurs « Users » pour les utilisateurs et « Computer » pour les ordinateurs.

Il est possible de modifier le conteneur par défaut pour les objets ordinateurs et utilisateurs. Pour cela vous pouvez utiliser les lignes de commandes suivantes.

Pour modifier le conteneur par défaut pour les utilisateurs :

[PowerShell AD] Search-ADAccount

 

Dans cet article nous allons voir comment utiliser la commande « Search-ADAccount », pour rechercher des comptes avec un état spécifique dans l'AD.

La commande permet de rechercher des comptes d'utilisateurs ou d'ordinateurs. Il existe des options permettant de sélectionner des états spécifiques comme par exemple, les comptes désactivés « -AccountDisabled ». La commande suivante liste les comptes du domaine qui sont désactivés. Le « select » ne renvoie que l'identifiant LDAP (distinguishedname) ainsi que le type d'objet afin de limiter les colonnes.

Tags: 

Informations sur les GPO et les liens dans l’annuaire AD

Dans cet article nous allons voir plus en détail, comment sont enregistrées les informations des stratégies de groupe avec Active Directory Domain Services.

Lorsque vous créez une stratégie de groupe, il y a plusieurs emplacements où les informations sont enregistrées.

Le premier, sans doute le plus connu, est le dossier contenant les paramètres de la stratégie. Ils se trouvent dans un dossier partagé spécifique « Sysvol ». Chaque stratégie est représentée par un sous-dossier contenant des paramètres utilisateurs et des paramètres machines.

Tags: 

[PowerShell AD] Nouvelle forêt / domaine

 

Si vous avez déjà créé une nouvelle forêt/domaine avec PowerShell, vous avez pu constater qu'il est possible de définir le niveau fonctionnel de la forêt / du domaine avec l'option « -ForestMode » ou « -DomainMode ». Il suffisait d'indiquer la valeur, comme par exemple pour Windows 2012 : « Win2012 ». Par déduction pour Windows 2016 il faudrait utiliser « Win2016 » et cela donnera par exemple :

Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath "D:\NTDS" `

[PowerShell AD DS] OU : protection contre la suppression accidentelle

 

Nous avons vu dans l'article précédent les commandes PowerShell liées au OU. Nous avons pu également constater que certaine OU sont protégés contre la suppression :

La commande suivante permet de vérifier si une OU est protégée. Dans ce cas la propriété « ProtectedFromAccidentalDeletion » vaut « True » :

Tags: 

[PowerShell AD DS] Création et modification des OUs

Dans cet article, nous allons voir comment créer, modifier et supprimer des OU avec les commandes PowerShell.

La commande suivante permet de lister les commandes PowerShell liées aux unités d'organisations :

Get-Command *-adorg*

 

Pour lister l'ensemble des OUs, vous pouvez utiliser la commande ci-dessous :

Get-ADOrganizationalUnit -Filter *

Tags: 

[News] Projet Honolulu

 

Depuis quelques jours Microsoft a mis à disposition son nouvel outil pour la gestion des serveurs. Il offre les mêmes services qu'un certain nombre de consoles comme le gestionnaire de serveur par exemple. L'accès se fait à travers un navigateur Web (Edge ou Chrome). Il est mis à disposition en Technical Preview et s'installe à partir d'un « .msi » téléchargeable ici : https://aka.ms/HonoluluDownload

Tags: 

[AD] Exemples de problèmes d’ouverture de session

 

Dans cet article, nous allons voir un certain nombre de messages d'erreur lors de l'ouverture session et son origine.

Une des premières sources de problèmes est la synchronisation des horloges entre PC Client et serveur. Vous pouvez consulter l'article suivant afin de configurer la synchronisation des horloges dans votre forêt Active Directory :

http://pbarth.fr/node/87

Un autre problème fréquent est l'impossibilité de joindre un contrôleur de domaine :

[GPO] Stratégie de verrouillage des comptes

Dans cet article nous allons voir comment utiliser les stratégies de verrouillage de compte.

Le verrouillage des comptes permet de bloquer un compte pendant un certain temps si un nombre définit de tentatives de connexion n'ont pas réussi pendant une certaine période.

Le paramètre n'est pas une nouveauté et il est compatible avec l'ensemble des versions de contrôleurs de domaine.

Tags: 

[Office365 PowerShell] Attribué une licence à un utilisateur

 

Dans cet article nous allons voir comment attribué ou enlevé une licence Office 365pour un utilisateur avec le module PowerShell MSOnline.

Pour installer le module PowerShell vous pouvez consulter l'article suivant : [Office 365 ] : Installer les outils PowerShell

Dans le premier exemple nous allons lister les utilisateurs qui disposent d'une licence ou non. La commande Get-MsolUser permet de lister les utilisateurs. La propriété « IsLicensed » permet de voir si une licence est attribuée à l'utilisateur.

Quand restaurer un DC ?

 

Lorsqu'un de vos contrôleurs de domaine est corrompu ou n'arrive plus à répliquer et que vous disposez d'autres contrôleurs de domaine encore viables dans le même domaine, il est recommandé de reconstruire le DC plutôt que de le restaurer. Pour reconstruire un DC, vous devez l'arrêter, nettoyer les métadonnées Active Directory sur un des DCs restant puis réinstaller le serveur en tant que DC.

Néanmoins, si votre DC détient également d'autres rôles dont des rôles applicatifs, l'opération de réinstallation des applications peut créer des problèmes supplémentaires.

[Office365 PowerShell] Nombre de licences disponibles

Dans l'article précédent nous avons vu comment se connecter à Office Online avec PowerShell :

[Office 365 ] : Installer les outils PowerShell

 

Dans cet article nous allons voir déterminer le nombre de licences dans votre abonnement.

Pour cela nous allons utiliser la commande PowerShell suivante :

Tags: 

[Office 365 ] : Installer les outils PowerShell

Dans cet article nous allons voir comment se connecter avec PowerShell sur le portail MSOnline d'Office 365.

La première étape consiste à installer « l'assistant de connexion MSOnline » disponible avec le lien suivant :

https://www.microsoft.com/fr-fr/download/details.aspx?id=28177

Ensuite vous devrez installer le module Azure PowerShell disponible avec le lien suivant :

Tags: 

Suis-je prêt à restaurer mon AD ?

 

Dans certaines discussions, je me suis rendu compte que la restauration d'un annuaire AD DS n'est pas forcément bien comprise par certains administrateurs. Il faut dire que si l'opération de sauvegarde est relativement simple à comprendre, pour la restauration, les choix et certaines étapes particulières ne sont pas évidents.

Tags: 

[PowerShell AD : les modules]

Pour ceux d'entre vous qui avez déjà eu une première expérience avec PowerShell, mais qui ne connaissez pas les modules propres à Active Directory, nous allons les découvrir dans une série d'articles.

Ces modules sont disponibles par défaut sur les contrôleurs de domaines, il est possible de les installer sur des serveurs membres en activant les outils d'administration de serveurs distants (RSAT). Sur les postes clients vous devez au préalable télécharger les RSAT pour la version du système d'exploitation dont vous disposez.

[PowerShell] No limit !

 

Comme vous pouvez le voir si vous avez parcouru mon site, j'ai fait un certain nombre d'articles techniques sur Active Directory.

Pour une fois je vais parler juste de mon expérience, afin de vous faire découvrir une partie de ce que vous pourriez réaliser avec PowerShell.

[PowerShell AD DS] Comparer les membres de deux groupes

Dans ce nouvel article je vais vous présenter un script que j'ai mis à disposition sur les galléries Technet à l'adresse suivante :

https://gallery.technet.microsoft.com/Compare-Members-of-two-2d6d3e02

Le script permet renvoie un tableau avec le « DistinguishedName » (identifiant LDAP) de l'objet ainsi que sa présence dans le premier groupe, le second groupe ou les deux.

Tags: 

Sauvegarde et restauration de GPO depuis la console GPMC

 

Les stratégies de groupe sont incluses dans les sauvegardes de l'état du système du contrôleur de domaine. Néanmoins il est possible de réaliser des sauvegardes spécifiques afin de faciliter la restauration des GPO en cas d'erreur de configuration.

Pour sauvegarder l'ensemble des GPOs depuis la console « Gestion des stratégies de groupe » (gpmc.msc), faites un clic droit sur « Objets de stratégie de groupe », puis dans le menu déroulant sélectionner « Sauvegarder tout…».

 

De quoi est composé Active Directory ?

 

Pour comprendre les mécanismes de sauvegarde d'un annuaire Active Directory, il est nécessaire de connaître sa composition. Une forêt AD DS est un ensemble cohérent d'exemplaire d'informations stockées sur un ou plusieurs contrôleurs de domaines. Une forêt peut contenir un ou plusieurs domaines.

Dans notre exemple, l'environnement contient une forêt Active Directory avec deux domaines. « BecomeITExpert.lan » est le domaine racine de la forêt.

 

Pages

S'abonner à Philippe BARTH RSS