Active Directory

[eBook /Book] Gérer Active Directory 2016/2019 au quotidien

 

Ce nouveau livre sur les services de domaine Active Directory, vous permettra de vous familiariser avec le module PowerShell sur les opérations que nous effectuons régulièrement.

Le contenu du livre vous permettra de tester les différentes commandes et scripts proposés au fil de la lecture.

Jusqu'au chapitre 5, vous apprendrez à utiliser des commandes PowerShell simple. A partir du chapitre 6, les commandes que vous allez découvrir sont proposés sous forme de fonction ou de script, afin de vous familiariser avec l'automatisation de tâche avec PowerShell.

[AD DS Sécurité] L’objet « AdminSDHolder»

Dans un domaine Active Directory il existe un objet particulier qui sert de référence pour protéger les informations de sécurité de certains comptes à fort privilège. L'objet en question est « AdminSDHolder » et il est présent dans chaque domaine dans le conteneur « System ».

L'objet « AdminSDHolder » permet de protéger les informations de sécurité des comptes membres des groupes suivants :

[AD DS Sécurité] Introduction

 

À la suite de différents échanges et demande par mail ou autres, j'ai décidé d'ajouter une nouvelle rubrique concernant la sécurité et les bonnes pratiques sur l'administration d'un environnement Active Directory.

C'est un des deux sujets, que je souhaite élargir dans les prochains mois, avec la partie Azure.

[AD DS] Privilège nécessaire à l’installation d’un DC

Lors de l'installation d'un contrôleur de domaine dans un environnement existant ou dans une nouvelle forêt vous devez disposer de droits spécifiques en fonction de votre déploiement. Le tableau suivant, décrit les droits minimums requis pour effectuer l'opération.

[AD DS] Attributs utilisateur dans le catalogue global

Si vous utilisez une forêt multi-domaines vous comprendrez sans doute l'intérêt d'interroger le catalogue global. Lorsque vous exécutez une commande comme « Get-ADUser » en spécifiant un contrôleur de domaine mais sans préciser le port de destination, vous allez interroger le port ldap par défaut (389). Il est possible d'interroger le catalogue global en précisant le port « 3268 ». Dans l'exemple, ci-dessous nous recherchons un compte d'abord sur la partition d'annuaire ensuite dans le catalogue global. Nous sélectionnons deux attributs distincts (SamAccountName et AccountExpirest).

[AD DS] Attributs non répliqués

Il existe des attributs Active Directory qui ne sont pas répliqués entre les contrôleurs de domaine. Pour les objets utilisateurs, on retrouve notamment les attributs suivants :

  • badPasswordTime
  • badPwdCount
  • DistinguishedName
  • dSCorePropagationData
  • lastLogoff
  • lastLogon
  • logonCount
  • ObjectGUID
  • uSNChanged
  • uSNCreated
  • whenChanged

     

[AD DS : Migration] Scénarios possibles

En lisant un article sur internet, j'ai lu que pour migrer les contrôleurs de domaine de Windows 2003 vers Windows 2016, il fallait effectuer une migration intermédiaire, car le scénario n'est pas supporté. Effectivement la migration des contrôleurs de domaine Windows 2003 vers Windows 2016 n'est pas supportée, d'ailleurs le système d'exploitation Windows 2003 n'est plus supporté.

[AD DS] Créer un domaine dans une nouvelle forêt avec Windows server 2019

Si vous débutez avec Active Directory, ce tutoriel vous aidera sans doute à installer votre premier contrôleur de domaine sous Windows Server 2019. Si vous êtes un habitué vous constaterez qu'il n'y a pas beaucoup de changements.

[AD DS / Azure AD / Azure AD DS] Comprendre les différences

Cloud

Vous ne serez sans doute pas surpris d'apprendre que de plus en plus, les services que nous fournissons sont orientés vers le Cloud. Que l'on parle de produits comme Office 365 ou d'ensemble de services, comme des applications Web, des machines virtuelles, des outils de gestion identités (Azure AD) etc. …

[Azure AD] Password protection for Windows Server Active Directory

 

Une nouvelle fonctionnalité est disponible en preview dans Azure permettant d'améliorer la sécurité des mots de passe de votre environnement local.

Le principe est de valider les nouveaux mots de passe par rapport à une liste globale et/ou une liste personnalisée de mot de passe.

La fonctionnalité de validation de mot de passe est disponible, pour les mots de passe gérés par Azure gratuitement pour la liste globale et pour les listes personnalisées il faut la version basique.

Tags: 

[AD DS] Sites et optimisation de la topologie de réplication

Il y a quelques jours j'ai reçu une demande par mail concernant l'optimisation des liens de réplications entre les contrôleurs de domaine dans un environnement multisite.

La question était de comprendre pourquoi les liens de réplications créés par le vérificateur de cohérence de la topologie (KCC), n'était pas optimale par rapport à l'environnement géographique.

Tags: 

[Echange 2013 – DC 2016] objet endommagé

Lors de l'ajout du premier contrôleur de domaine Windows Serveur 2016 vous risquez de rencontrer le message d'erreur :

« L'objet xxxx a été endommagé et est dans un état incohérent. Les erreurs de validation suivantes se sont produites :

L'entrée de contrôle d'accès définit l'ObjectType '9b026da6-0d3c-465c-8bee-5199d7165cba' qui ne peut être résolue. »

Avec le message d'erreur en anglais, il est assez facile de retrouver des informations, plus difficiles avec le message en français :

Tags: 

[AD DS] Réinitialiser le mot de passe de restauration d’annuaire (DSRM)

 

Le mot de passe de restauration d'annuaire est particulier. Il est utile dans les situations d'urgence et est rarement utilisé. Il n'est pas identique au mot de passe de l'administrateur du domaine et il peut être différent entre les contrôleurs de domaine. Il est important de mettre ce mot de passe en lieu sûr.

Si vous ne le connaissez pas, vous pouvez utiliser la procédure suivante pour le réinitialiser.

Ouvrez une invite de commande DOS (en tant qu'administrateur si la version est égale ou supérieure à Windows 2008) :

Tags: 

[eBook /Book] Active Directory 2016 – Conception, Déploiement et Administration en Entreprise – 2ème édition

 

Cette seconde édition du livre sur les services de domaines Active Directory comme la première édition est organisée afin de permettre à chaque lecteur de mettre en œuvre les différents éléments au fil de la lecture.

Si le principe n'a pas changé, la deuxième édition présente les services de domaines sur Windows Server 2016 et a été enrichi d'exemples supplémentaires comme par exemple :

Tags: 

Limite Active Directory : nombre de SID

Il existe des limitations sur Active Directory, comme la longueur du nom complet d'un objet, le nombre d'identificateur de sécurité (SID). Généralement, ces limites sont suffisamment importantes pour ne concerner qu'un nombre très restreint d'entreprise. Vous trouverez dans le lien suivant le détail des limites d'Active Directory Services :

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc756101(v=ws.10)

Tags: 

[PowerShell AD] : Voir la stratégie de mot de passe affinée pour un utilisateur

Si vous utilisez les stratégies de mots de passe affinée appliquée à des groupes de sécurité, afin d'appliquer des stratégies différentes pour certains groupes d'utilisateurs :

Il est possible de vérifier les paramètres pour un utilisateur spécifique à l'aide de la commande :

Get-ADUserResultantPasswordPolicy pbarth

 

Modifier les OUs par défaut pour les comptes utilisateurs et ordinateurs

 

Lorsque vous ajoutez un compte autrement que par la console « Utilisateurs et Ordinateurs Active Directory », les comptes sont créés respectivement dans les conteneurs « Users » pour les utilisateurs et « Computer » pour les ordinateurs.

Il est possible de modifier le conteneur par défaut pour les objets ordinateurs et utilisateurs. Pour cela vous pouvez utiliser les lignes de commandes suivantes.

Pour modifier le conteneur par défaut pour les utilisateurs :

[PowerShell AD] Search-ADAccount

 

Dans cet article nous allons voir comment utiliser la commande « Search-ADAccount », pour rechercher des comptes avec un état spécifique dans l'AD.

La commande permet de rechercher des comptes d'utilisateurs ou d'ordinateurs. Il existe des options permettant de sélectionner des états spécifiques comme par exemple, les comptes désactivés « -AccountDisabled ». La commande suivante liste les comptes du domaine qui sont désactivés. Le « select » ne renvoie que l'identifiant LDAP (distinguishedname) ainsi que le type d'objet afin de limiter les colonnes.

Tags: 

[AD] Exemples de problèmes d’ouverture de session

 

Dans cet article, nous allons voir un certain nombre de messages d'erreur lors de l'ouverture session et son origine.

Une des premières sources de problèmes est la synchronisation des horloges entre PC Client et serveur. Vous pouvez consulter l'article suivant afin de configurer la synchronisation des horloges dans votre forêt Active Directory :

http://pbarth.fr/node/87

Un autre problème fréquent est l'impossibilité de joindre un contrôleur de domaine :

Suis-je prêt à restaurer mon AD ?

 

Dans certaines discussions, je me suis rendu compte que la restauration d'un annuaire AD DS n'est pas forcément bien comprise par certains administrateurs. Il faut dire que si l'opération de sauvegarde est relativement simple à comprendre, pour la restauration, les choix et certaines étapes particulières ne sont pas évidents.

Tags: 

Sauvegarde et restauration de GPO depuis la console GPMC

 

Les stratégies de groupe sont incluses dans les sauvegardes de l'état du système du contrôleur de domaine. Néanmoins il est possible de réaliser des sauvegardes spécifiques afin de faciliter la restauration des GPO en cas d'erreur de configuration.

Pour sauvegarder l'ensemble des GPOs depuis la console « Gestion des stratégies de groupe » (gpmc.msc), faites un clic droit sur « Objets de stratégie de groupe », puis dans le menu déroulant sélectionner « Sauvegarder tout…».

 

De quoi est composé Active Directory ?

 

Pour comprendre les mécanismes de sauvegarde d'un annuaire Active Directory, il est nécessaire de connaître sa composition. Une forêt AD DS est un ensemble cohérent d'exemplaire d'informations stockées sur un ou plusieurs contrôleurs de domaines. Une forêt peut contenir un ou plusieurs domaines.

Dans notre exemple, l'environnement contient une forêt Active Directory avec deux domaines. « BecomeITExpert.lan » est le domaine racine de la forêt.

 

[eBook /Book] Active Directory Sauvegarde et Restauration

Pour mon 3ème livre sur Active Directory Domain Services, j'ai souhaité faire un guide pour vous aider à écrire votre propre scénario de reprise d'activité. Dans beaucoup d'entreprises les plans de sauvegarde AD répondent à des critères communs aux autres sauvegardes mais ils nécessitent une réflexion et une préparation particulière. La première raison est qu'ils jouent un rôle central dans l'activité de l'entreprise et beaucoup d'éléments en dépendent.

Server Performance Advisor

Un des derniers articles que j'ai écrits concerne la planification des ressources pour les contrôleurs de domaine. Généralement dans les petites structures les contrôleurs de domaine, s'ils n'hébergent pas d'autre rôle ne sont pas les serveurs les plus chargés. Dans des environnements physiques leurs ressources sont souvent surestimées afin de garantir la pérennité sur toute la durée de vie du serveur. Dans des environnements virtuels il est plus simple de n'allouer que sur les besoins.

Pages

S'abonner à RSS - Active Directory