Information de la CA d’entreprise stocké dans l'annuaire AD

 

Dans cet article nous allons présenter les éléments d'une autorité de certificat d'entreprise (intégré à Active Directory Domain Services). Dans les propriétés de l'autorité de certification, dans la partie stockage, il est possible de vérifier que l'autorité est bien liée à Active Directory. Dans les autorités de certificats d'entreprise la configuration est stockée dans l'annuaire dans la partition de configuration unique dans l'ensemble de la forêt.

Tags: 

Certificat et auto inscription

Dans cet article nous allons créer un nouveau modèle de certificat pour les ordinateurs et gérer l'inscription automatique par les stratégies de groupe. L'utilisation de l'inscription automatique n'est valable que pour une autorité de certification d'entreprise donc intégré à Active Directory. Les clients demandeur doivent être des ordinateurs ou des utilisateurs du domaine. Dans cet exemple nous déploierons un certificat automatiquement sur des ordinateurs, mais il est possible de faire la même chose pour des comptes utilisateurs.

Tags: 

Ajouter la publication de la CRL en http

*Dans cet article nous allons voir à travers un exemple comment géré la publication de la liste de révocations des certificats (CRL). Il existe plusieurs possibilités pour diffuser la CRL dont entre autre dans Active Directory, sur un partage de fichier et dans un lien internet (http).

Tags: 

Installation d’une autorité racine d’entreprise

 

Nous allons voir comment installer les services Active Directory Certificate Services à l'aide de l'assistant « ajout/suppression de rôle ».

Avant de commencer nous disposons :

  • un domaine « phil.lan »
  • un contrôleur de domaine « DC1.phil.lan »
  • un serveur membre « CA.phil.lan » disposant d'une adresse IP Fixe.

Sur le serveur « CA.phil.lan » depuis une session sur un compte administrateur du domaine nous allons exécuter l'assistant « Ajouter des rôles et fonctionnalités ».

 

Tags: 

Service de certificat et dépréciation du SHA1

L'utilisation des signatures SHA1 dans les certificats est déjà remise en cause depuis quelques temps. Que ce soit Microsoft, Google ou autre les signatures utilisant le SHA1 ne seront bientôt plus approuvées. Un calendrier définissant la fin de ce type de certificat pour le 01/01/2017 avait déjà été annoncé. Néanmoins les choses pourraient s'accélérer. La date du 01/06/16 est de plus en plus mise en avant, comme par exemple dans le lien suivant :

Bonne année 2016 !

Un petit mot pour vous souhaiter une bonne année 2016 !

Une année qui commence pour ma part avec la nomination de MVP Microsoft pour la 3ème année consécutive.

D'après les statistiques de Google Analytics vous avez consulté 102314 pages sur ce site en 2015 !
N'hésitez pas à laisser un commentaire !

À bientôt pour de nouveaux articles ...

Ajouter un attribut dans le catalogue global

Dans ce nouveau tutoriel nous allons voir comment ajouter un attribut dans le catalogue global. Le catalogue global est une fonctionnalité importante des services de domaines Active Directory. Nous pouvons citer par exemple la messagerie Exchange qui ne peut fonctionner correctement si le serveur de messagerie ne peut joindre un catalogue global.  Son importance est encore plus grande dans une forêt contenant plusieurs domaines Active Directory. Le catalogue global est une sorte de base de données « d’index » qui recense l’ensemble des objets de la forêt.

Suppression d’un domaine orphelin.

IMPORTANT : cette documentation explique comment supprimer un domaine lorsqu'il n'y a plus de contrôleur de domaine disponible. En cas d'erreur la seule option disponible est la restauration de l'ensemble de la forêt à l'aide des sauvegardes de l'état du système. L'opération n'étant pas anodine je vous conseille de lire l'ensemble de l'article avant de vous lancer sur le sujet.

Dans notre exemple nous disposons d’un domaine racine « lab1.lan » et d’un domaine enfant « lab2.lab1.lan » et d’un troisième « lab4.lan ».

Tags: 

Gérer les services par les stratégies de groupes

 

Dans ce nouvel article nous allons voir comment vous pouvez modifier les paramètres de démarrage et l’état des services sur vos postes clients par l’intermédiaire des préférences des stratégies de groupe.

Dans notre exemple nous souhaitons démarrer le service « carte à puce », sur les postes clients de l’unité d’organisation « test ».

Tags: 

[Windows 8,8.1,10 Enterprise] Désactiver Windows store

Dans l’exemple suivant nous allons désactiver l’accès à Windows Store dans un domaine Active Directory depuis les stratégies de groupe. L’environnement présenté est composé de contrôleurs de domaine en Windows 2012 R2.

Par défaut lorsque vous essayer de créer une nouvelle stratégie de groupe depuis la console de gestion des stratégie de groupe (GPMC.msc), il est possible que vous ne retrouviez pas les paramètres « Windows Store » dans « Stratégie \ modèles d’administration \Composants Windows ».

Tags: 

Installation d'un contrôleur de domaine 2012 avec Powershell

 

Cet article reprend quelques commandes Powershell permettant l’installation de contrôleur de domaine sur des serveurs Windows 2012.

La première commande correspond à l’assistant « ajout / suppression de rôle » et permet d’ajouter le rôle « Active Directory Domain Service » :

Install-windowsfeature -name AD-Domain-Services –IncludeManagementTools

Une fois le rôle AD DS installé vous pouvez utiliser une des commandes suivantes afin de configurer votre serveur en tant que contrôleur de domaine.

 

Tags: 

Console "dsa.msc" utiliser les requêtes enregistrées

Utilisateurs et Ordinateurs Active Directory : utiliser les requêtes enregistrées

 

Dans cet article nous allons voir comment utiliser les requêtes enregistrées de la console « utilisateurs et ordinateurs Active Directory ».  La recherche simple permet de retrouver un utilisateur rapide par son nom ou son prénom ou une partie d’un de ses éléments. Par exemple dans l’image ci-dessous en utilisant « lem » on retrouve « Bruno Lemur »

 

 

En attendant 2016 ...

Pour ceux d'entre vous qui ont téléchargé et installé la Preview2 de Windows Server 2016, vous avez sans doute constaté que dans les options d'installations il n'y avait que le mode Core (sans interface Graphique) avec ou sans outils d'administration (comme le gestionnaire de serveur) :

Après l'installation nous avions donc cette simple fenêtre noire, comme sur les versions précédentes :

Rechercher et exporter des utilsateurs AD avec Powershell

Dans cet article nous allons voir comment utiliser la commande « get-aduser » pour rechercher des comptes ou réaliser un export personnalisé en csv.

La première commande permet de retrouver le compte dont le login est « pdupont ». Il peut y avoir aucune ou une réponse mais il ne peut y avoir plusieurs utilisateurs avec le même login.

Get-aduser –identity "pdupont" 

Stratégies de mot de passe affinées

 

Dans l’article précédent nous avions vu qu’il n’y a qu’une stratégie de groupe qui va fixer les stratégies de mot de passe pour l’ensemble du domaine. Néanmoins depuis Windows 2008, si vous souhaitez appliquer une stratégie de mot de passe différente pour des utilisateurs ou des groupes d’utilisateurs il est possible de créer des stratégies de mots de passe affinées. A la différence de la stratégie par défaut du domaine elle n’est pas configurée dans les stratégies de groupes mais directement dans l’annuaire Active Directory dans la partition du domaine.

Stratégie de mot de passe dans un domaine Active Directory

Pour ce nouvel article nous allons nous intéresser à gestion de la stratégie de mot de passe dans un domaine Active Directory. L’environnement utilisé pour réaliser cet article est composé d’une forêt mono-domaine Active Directory : « AD1.local ». L’environnement est géré par 2 contrôleurs de domaines en Windows 2012 R2 : «  W2012R2DC1 » et « W2012R2DC2 ».

Mise à jour du schéma Active Directory et latence de réplication

Dans cet article nous allons voir la mise à jour d’un schéma Active Directory dans un environnement à plusieurs sites. Nous parlerons des problèmes liés à la latence de réplication ainsi que de quelques bonnes pratiques.

Je vous conseille de suivre le Webcast ci-dessous présenté lors des Tehdays 2014 à Paris :

Tags: 

Active Directory Replication Status Tool

Dans cete article nous allons présenter l’outil « Active Directory Replication Status Tool ».

Il est téléchargeable à l’adresse « http://www.microsoft.com/en-us/download/details.aspx?id=30005». Il peut s’installer sur un poste client, il n’est pas nécessaire de l’installer directement sur le contrôleur de domaine. Si vous souhaitez installer en plus les outils de gestion de serveurs vous pouvez suivre le lien http://pbarth.fr/node/100 .

Audit

Dans cet article je vais vous parler de l’audit Windows et de l’intérêt de sa mise en œuvre dans un domaine Active Directory. L’audit est un élément complexe à appréhender et rarement configuré dans les PME. Les paramètres appliqués sont souvent les paramètres par défaut. Le premier élément à prendre en compte est qu’il n’est pas évident de déterminer le profit que l’on peut en retirer. Le deuxième élément est que le sujet n’est pas simple à préparer. En effet au moment de sa mise en place il est difficile d’estimer quels éléments on souhaitera retrouver.

Problème de réplication « Sysvol » avec « DFS-R ».

Dans la partie restauration d’Active Directory ( http://pbarth.fr/node/68 ), j’expliquais comment effectuer une restauration Authoritaire Sysvol pour les domaines ayant été créé avec un niveau fonctionnel inférieur à 2008 (réplication NTFRS). L’opération consistait à modifier une valeur de registre « Burflags »  et ensuite à redémarrer le service « NTFRS », comme décrit dans cet article : http://support.microsoft.com/kb/290762/fr.

Les contrôleurs de domaines en lecture seule (RODC).

Pour ceux d’entre vous qui ont connu les domaines NT4, vous vous rappeler sans doute qu’il existait un contrôleur de domaine primaire (en lecture-écriture) et des contrôleurs de domaines secondaires en lecture. Depuis le passage à Active Directory il reste toujours le rôle FSMO d’émulateur PDC qui permettait à un contrôleur de domaine Active Directory de coexister avec des contrôleurs secondaires NT4. De ce fait la première fois que vous avez entendue parler des RODC (apparu avec Windows 2008), vous vous êtes sans doute poser la question si ce n’est pas une forme de retour en arrière.

Tags: 

Pages

S'abonner à Philippe BARTH RSS