Stratégies de mot de passe affinées

 

Dans l’article précédent nous avions vu qu’il n’y a qu’une stratégie de groupe qui va fixer les stratégies de mot de passe pour l’ensemble du domaine. Néanmoins depuis Windows 2008, si vous souhaitez appliquer une stratégie de mot de passe différente pour des utilisateurs ou des groupes d’utilisateurs il est possible de créer des stratégies de mots de passe affinées. A la différence de la stratégie par défaut du domaine elle n’est pas configurée dans les stratégies de groupes mais directement dans l’annuaire Active Directory dans la partition du domaine.

Stratégie de mot de passe dans un domaine Active Directory

Pour ce nouvel article nous allons nous intéresser à gestion de la stratégie de mot de passe dans un domaine Active Directory. L’environnement utilisé pour réaliser cet article est composé d’une forêt mono-domaine Active Directory : « AD1.local ». L’environnement est géré par 2 contrôleurs de domaines en Windows 2012 R2 : «  W2012R2DC1 » et « W2012R2DC2 ».

Mise à jour du schéma Active Directory et latence de réplication

Dans cet article nous allons voir la mise à jour d’un schéma Active Directory dans un environnement à plusieurs sites. Nous parlerons des problèmes liés à la latence de réplication ainsi que de quelques bonnes pratiques.

Je vous conseille de suivre le Webcast ci-dessous présenté lors des Tehdays 2014 à Paris :

Tags: 

Active Directory Replication Status Tool

Dans cete article nous allons présenter l’outil « Active Directory Replication Status Tool ».

Il est téléchargeable à l’adresse « http://www.microsoft.com/en-us/download/details.aspx?id=30005». Il peut s’installer sur un poste client, il n’est pas nécessaire de l’installer directement sur le contrôleur de domaine. Si vous souhaitez installer en plus les outils de gestion de serveurs vous pouvez suivre le lien http://pbarth.fr/node/100 .

Audit

Dans cet article je vais vous parler de l’audit Windows et de l’intérêt de sa mise en œuvre dans un domaine Active Directory. L’audit est un élément complexe à appréhender et rarement configuré dans les PME. Les paramètres appliqués sont souvent les paramètres par défaut. Le premier élément à prendre en compte est qu’il n’est pas évident de déterminer le profit que l’on peut en retirer. Le deuxième élément est que le sujet n’est pas simple à préparer. En effet au moment de sa mise en place il est difficile d’estimer quels éléments on souhaitera retrouver.

Problème de réplication « Sysvol » avec « DFS-R ».

Dans la partie restauration d’Active Directory ( http://pbarth.fr/node/68 ), j’expliquais comment effectuer une restauration Authoritaire Sysvol pour les domaines ayant été créé avec un niveau fonctionnel inférieur à 2008 (réplication NTFRS). L’opération consistait à modifier une valeur de registre « Burflags »  et ensuite à redémarrer le service « NTFRS », comme décrit dans cet article : http://support.microsoft.com/kb/290762/fr.

Les contrôleurs de domaines en lecture seule (RODC).

Pour ceux d’entre vous qui ont connu les domaines NT4, vous vous rappeler sans doute qu’il existait un contrôleur de domaine primaire (en lecture-écriture) et des contrôleurs de domaines secondaires en lecture. Depuis le passage à Active Directory il reste toujours le rôle FSMO d’émulateur PDC qui permettait à un contrôleur de domaine Active Directory de coexister avec des contrôleurs secondaires NT4. De ce fait la première fois que vous avez entendue parler des RODC (apparu avec Windows 2008), vous vous êtes sans doute poser la question si ce n’est pas une forme de retour en arrière.

Tags: 

Création de site et de sous-réseau AD

Dans cet article nous allons voir comment créer un site Active Directory et lui associer un sous-réseau. La notion de site permet de gérer la situation géographique d’un domaine Active Directory.

Nous définirons donc un site comme un ensemble de sous réseau connecté avec des liaisons rapides. Certains domaines peuvent exister sur plusieurs sites et certains sites peuvent contenir plusieurs domaines.

Les avantages liés à la gestion des sites :

Tags: 

Installer WSUS sur Windows 2012

Dans cet article nous allons installer le rôle WSUS permettant de gérer la diffusion des mises à jour pour l’ensemble des postes. Nous partons sur le principe que les mises à jour de sécurité et les mises à jour critiques sont appliquées après le2ème mardi du mois (publication des mises à jour Windows) sur un nombre limité de postes « valideur ». Si aucune anomalie n’est signalée, les mises à jour seront appliquées aux autres postes.

 

Avant installer le rôle WSUS sur notre serveur Windows 2012, il nous faut déjà tenir compte des 2 prérequis indispensables aux rapports :

Tags: 

Windows 2008 R2 : correctif qui ne sont pas diffusés par Windows Update

Un article concernant une liste de correctifs au 30 juillet 2014 pour Windows 2008 R2 qui ne sont pas diffusés par Windows Update...
Ces correctifs sont a appliqué si vous constatez les problèmes correspondants.

http://social.technet.microsoft.com/wiki/contents/articles/25052.windows...

ADMT (Active Directory Migration Tool)

 

Présentation

Il arrive que l’on rencontre des situations où il est nécessaire de revoir l’ensemble de l’organisation. C’est le cas par exemple lors de la fusion ou de la scission d’une entreprise.  Il s’agit d’une opération de migration des objets Active Directory d’un domaine vers un autre.

L’outil de migration Active Directory Migration Tool permet d’effectuer cette opération.

Tags: 

Outil de configuration d’un serveur en mode « core » : sconfig

Dans cette présentation nous allons voir l’outil intégré en ligne de commande « sconfig ». Lors de l’installation d’un serveur en mode « core », il est possible de le configurer avec Powershell. Néanmoins pour ceux qui ne sont pas familiarisés avec Powershell, il existe un outil en ligne de commande permettant de configurer le réseau, le nom d’ordinateur, de mettre à jour le serveur etc …

Pour notre exemple nous avons installé un serveur Windows 2012 R2 en mode « core » depuis le CD d’installation.

Tags: 

Question : peut-on virtualiser les contrôleurs de domaines ?

Oui, il est possible de virtualiser les contrôleurs de domaine, mais attention un des attraits de la virtualisation est l’utilisation des « snapshots » et donc la possibilité de retour en arrière. Un retour en arrière peut entraîner un USNRollback et corrompre Active Directory entrainant des refus de répliquer avec les autres DC, voir un problème d'intégrité de l'annuaire. 

Pour la restauration d’Active Directory je vous renvoie sur le lien :

Délégation de contrôle Active Directory

Dans certaines organisations, il arrive que le besoin de déléguer certaines opérations à des personnes ne faisant pas partie de l’IT ou de séparer les rôles de l’IT se présente. En général il s’agit de déléguer une opération spécifique de l’administration d’un environnement, comme :

-          réinitialiser un mot de passe, par exemple pour les chefs de service

-          ajouter des postes à un domaine, pour l’équipe qui gère le déploiement des postes.

Installation des outils d’administration de serveurs distants sur un poste client

Il faut télécharger et installer les outils d’administration de serveurs distants correspondant à sa version d’OS :

Pour W7 : http://www.microsoft.com/fr-fr/download/details.aspx?id=7887

Pour W8 : http://www.microsoft.com/fr-fr/download/details.aspx?id=28972

Pour W8.1 : http://www.microsoft.com/fr-fr/download/details.aspx?id=39296

 

Tags: 

Traitement par boucle de rappel de la stratégie utilisateur

 

Par défaut lorsque l’on configure la partie  « configuration utilisateur », elle ne s’applique que si la GPO est liée à une OU contenant des utilisateurs. De la même manière, la partie « configuration ordinateur » ne s’applique que si la GPO est liée à une OU contenant l’ordinateur en question.

Il existe cependant un moyen d'appliquer des paramètres utilisateurs spécifiques pour des postes précis. Par exemple sur des ordinateurs en libre-service ou des serveurs de bureau à distance (TS). Il s'agit du traitement par boucle de rappel.

Tags: 

Gestion des lecteurs connectés et des imprimantes partagées par les GPP (Group Policy Préférence).

La méthode la plus utilisée pour gérer  les connexions aux lecteurs partagés et aux imprimantes est de passer par les scripts d’ouverture de session.

Depuis Windows 2008 et Windows Vista il est possible de le gérer directement par les stratégies de groupe via GPP (Group Policy Preference). Sur Windows XP il est nécessaire d’installer une mise à jour : http://www.microsoft.com/fr-fr/download/details.aspx?id=3628.

Rétrograder un ancien DC (suite migration)

Nous allons voir dans cet article comment supprimer un ancien contrôleur de domaine.  Dans notre exemple nous avons migré l’AD avec 2 anciens contrôleurs de domaine en w2003 vers des DC en 2008 R2.

Après la migration, les rôles FSMO ont été transférés, les zones DHCP ont été modifiées pour utiliser les nouveaux DC en tant que DNS primaire et secondaire, ainsi que sur les postes et serveurs en IP fixes. Les contrôleurs de domaine utilisent également les nouvelles IP pour les DNS primaire et secondaire.

Suppression d’un DC HS

Nous allons voir dans cet article comment supprimer un contrôleur de domaine HS.

Dans notre exemple nous allons utiliser 3 anciens contrôleurs de domaine en Windows 2003. Le principe reste identique pour les versions récentes.

Nous verrons 2 méthodes, la première avec l’outil « ntdsutil » et l’option « meta data cleanup », la 2ème par l’assistant graphique.

Comme le montre l’image ci-dessous nous disposons de 3 DC en Windows 2003R2 nommé « W2k3-DC1 », « W2k3-DC2 », « W2K3-DC3 ».

Pages

S'abonner à Philippe BARTH RSS