Active Directory

[AD DS] Attributs utilisateur dans le catalogue global

Si vous utilisez une forêt multi-domaines vous comprendrez sans doute l'intérêt d'interroger le catalogue global. Lorsque vous exécutez une commande comme « Get-ADUser » en spécifiant un contrôleur de domaine mais sans préciser le port de destination, vous allez interroger le port ldap par défaut (389). Il est possible d'interroger le catalogue global en précisant le port « 3268 ». Dans l'exemple, ci-dessous nous recherchons un compte d'abord sur la partition d'annuaire ensuite dans le catalogue global. Nous sélectionnons deux attributs distincts (SamAccountName et AccountExpirest).

[AD DS] Attributs non répliqués

Il existe des attributs Active Directory qui ne sont pas répliqués entre les contrôleurs de domaine. Pour les objets utilisateurs, on retrouve notamment les attributs suivants :

  • badPasswordTime
  • badPwdCount
  • DistinguishedName
  • dSCorePropagationData
  • lastLogoff
  • lastLogon
  • logonCount
  • ObjectGUID
  • uSNChanged
  • uSNCreated
  • whenChanged

     

[AD DS : Migration] Scénarios possibles

En lisant un article sur internet, j'ai lu que pour migrer les contrôleurs de domaine de Windows 2003 vers Windows 2016, il fallait effectuer une migration intermédiaire, car le scénario n'est pas supporté. Effectivement la migration des contrôleurs de domaine Windows 2003 vers Windows 2016 n'est pas supportée, d'ailleurs le système d'exploitation Windows 2003 n'est plus supporté.

[AD DS] Créer un domaine dans une nouvelle forêt avec Windows server 2019

Si vous débutez avec Active Directory, ce tutoriel vous aidera sans doute à installer votre premier contrôleur de domaine sous Windows Server 2019. Si vous êtes un habitué vous constaterez qu'il n'y a pas beaucoup de changements.

[AD DS / Azure AD / Azure AD DS] Comprendre les différences

Cloud

Vous ne serez sans doute pas surpris d'apprendre que de plus en plus, les services que nous fournissons sont orientés vers le Cloud. Que l'on parle de produits comme Office 365 ou d'ensemble de services, comme des applications Web, des machines virtuelles, des outils de gestion identités (Azure AD) etc. …

[Azure AD] Password protection for Windows Server Active Directory

 

Une nouvelle fonctionnalité est disponible en preview dans Azure permettant d'améliorer la sécurité des mots de passe de votre environnement local.

Le principe est de valider les nouveaux mots de passe par rapport à une liste globale et/ou une liste personnalisée de mot de passe.

La fonctionnalité de validation de mot de passe est disponible, pour les mots de passe gérés par Azure gratuitement pour la liste globale et pour les listes personnalisées il faut la version basique.

Tags: 

[AD DS] Sites et optimisation de la topologie de réplication

Il y a quelques jours j'ai reçu une demande par mail concernant l'optimisation des liens de réplications entre les contrôleurs de domaine dans un environnement multisite.

La question était de comprendre pourquoi les liens de réplications créés par le vérificateur de cohérence de la topologie (KCC), n'était pas optimale par rapport à l'environnement géographique.

Tags: 

[Echange 2013 – DC 2016] objet endommagé

Lors de l'ajout du premier contrôleur de domaine Windows Serveur 2016 vous risquez de rencontrer le message d'erreur :

« L'objet xxxx a été endommagé et est dans un état incohérent. Les erreurs de validation suivantes se sont produites :

L'entrée de contrôle d'accès définit l'ObjectType '9b026da6-0d3c-465c-8bee-5199d7165cba' qui ne peut être résolue. »

Avec le message d'erreur en anglais, il est assez facile de retrouver des informations, plus difficiles avec le message en français :

Tags: 

[AD DS] Réinitialiser le mot de passe de restauration d’annuaire (DSRM)

 

Le mot de passe de restauration d'annuaire est particulier. Il est utile dans les situations d'urgence et est rarement utilisé. Il n'est pas identique au mot de passe de l'administrateur du domaine et il peut être différent entre les contrôleurs de domaine. Il est important de mettre ce mot de passe en lieu sûr.

Si vous ne le connaissez pas, vous pouvez utiliser la procédure suivante pour le réinitialiser.

Ouvrez une invite de commande DOS (en tant qu'administrateur si la version est égale ou supérieure à Windows 2008) :

Tags: 

[eBook /Book] Active Directory 2016 – Conception, Déploiement et Administration en Entreprise – 2ème édition

 

Cette seconde édition du livre sur les services de domaines Active Directory comme la première édition est organisée afin de permettre à chaque lecteur de mettre en œuvre les différents éléments au fil de la lecture.

Si le principe n'a pas changé, la deuxième édition présente les services de domaines sur Windows Server 2016 et a été enrichi d'exemples supplémentaires comme par exemple :

Tags: 

Limite Active Directory : nombre de SID

Il existe des limitations sur Active Directory, comme la longueur du nom complet d'un objet, le nombre d'identificateur de sécurité (SID). Généralement, ces limites sont suffisamment importantes pour ne concerner qu'un nombre très restreint d'entreprise. Vous trouverez dans le lien suivant le détail des limites d'Active Directory Services :

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc756101(v=ws.10)

Tags: 

[PowerShell AD] : Voir la stratégie de mot de passe affinée pour un utilisateur

Si vous utilisez les stratégies de mots de passe affinée appliquée à des groupes de sécurité, afin d'appliquer des stratégies différentes pour certains groupes d'utilisateurs :

Il est possible de vérifier les paramètres pour un utilisateur spécifique à l'aide de la commande :

Get-ADUserResultantPasswordPolicy pbarth

 

Modifier les OUs par défaut pour les comptes utilisateurs et ordinateurs

 

Lorsque vous ajoutez un compte autrement que par la console « Utilisateurs et Ordinateurs Active Directory », les comptes sont créés respectivement dans les conteneurs « Users » pour les utilisateurs et « Computer » pour les ordinateurs.

Il est possible de modifier le conteneur par défaut pour les objets ordinateurs et utilisateurs. Pour cela vous pouvez utiliser les lignes de commandes suivantes.

Pour modifier le conteneur par défaut pour les utilisateurs :

[PowerShell AD] Search-ADAccount

 

Dans cet article nous allons voir comment utiliser la commande « Search-ADAccount », pour rechercher des comptes avec un état spécifique dans l'AD.

La commande permet de rechercher des comptes d'utilisateurs ou d'ordinateurs. Il existe des options permettant de sélectionner des états spécifiques comme par exemple, les comptes désactivés « -AccountDisabled ». La commande suivante liste les comptes du domaine qui sont désactivés. Le « select » ne renvoie que l'identifiant LDAP (distinguishedname) ainsi que le type d'objet afin de limiter les colonnes.

Tags: 

[AD] Exemples de problèmes d’ouverture de session

 

Dans cet article, nous allons voir un certain nombre de messages d'erreur lors de l'ouverture session et son origine.

Une des premières sources de problèmes est la synchronisation des horloges entre PC Client et serveur. Vous pouvez consulter l'article suivant afin de configurer la synchronisation des horloges dans votre forêt Active Directory :

http://pbarth.fr/node/87

Un autre problème fréquent est l'impossibilité de joindre un contrôleur de domaine :

Suis-je prêt à restaurer mon AD ?

 

Dans certaines discussions, je me suis rendu compte que la restauration d'un annuaire AD DS n'est pas forcément bien comprise par certains administrateurs. Il faut dire que si l'opération de sauvegarde est relativement simple à comprendre, pour la restauration, les choix et certaines étapes particulières ne sont pas évidents.

Tags: 

Sauvegarde et restauration de GPO depuis la console GPMC

 

Les stratégies de groupe sont incluses dans les sauvegardes de l'état du système du contrôleur de domaine. Néanmoins il est possible de réaliser des sauvegardes spécifiques afin de faciliter la restauration des GPO en cas d'erreur de configuration.

Pour sauvegarder l'ensemble des GPOs depuis la console « Gestion des stratégies de groupe » (gpmc.msc), faites un clic droit sur « Objets de stratégie de groupe », puis dans le menu déroulant sélectionner « Sauvegarder tout…».

 

De quoi est composé Active Directory ?

 

Pour comprendre les mécanismes de sauvegarde d'un annuaire Active Directory, il est nécessaire de connaître sa composition. Une forêt AD DS est un ensemble cohérent d'exemplaire d'informations stockées sur un ou plusieurs contrôleurs de domaines. Une forêt peut contenir un ou plusieurs domaines.

Dans notre exemple, l'environnement contient une forêt Active Directory avec deux domaines. « BecomeITExpert.lan » est le domaine racine de la forêt.

 

[eBook /Book] Active Directory Sauvegarde et Restauration

Pour mon 3ème livre sur Active Directory Domain Services, j'ai souhaité faire un guide pour vous aider à écrire votre propre scénario de reprise d'activité. Dans beaucoup d'entreprises les plans de sauvegarde AD répondent à des critères communs aux autres sauvegardes mais ils nécessitent une réflexion et une préparation particulière. La première raison est qu'ils jouent un rôle central dans l'activité de l'entreprise et beaucoup d'éléments en dépendent.

Server Performance Advisor

Un des derniers articles que j'ai écrits concerne la planification des ressources pour les contrôleurs de domaine. Généralement dans les petites structures les contrôleurs de domaine, s'ils n'hébergent pas d'autre rôle ne sont pas les serveurs les plus chargés. Dans des environnements physiques leurs ressources sont souvent surestimées afin de garantir la pérennité sur toute la durée de vie du serveur. Dans des environnements virtuels il est plus simple de n'allouer que sur les besoins.

Dimensionnement des DCs

 En lisant certains blogs, je suis tombé sur des valeurs un peu excessives au niveau du dimensionnement des contrôleurs de domaine, surtout pour des PME. Je me souviens par exemple d'un site qui préconise 8 Go de RAM minimum sur les DCs avec Windows 2012 R2, sans trop justifier cette valeur. Active Directory n'est pas un service très exigeant au niveau des performances en comparaison d'un serveur Exchange ou d'une base de données SQL Server.

Vérifier l’état de son domaine Active Directory

Il est important, avant de démarrer une migration des contrôleurs de domaine, de vérifier l'état de santé de son environnement. Les outils standards comme « DCDiag.exe » et « Repadmin.exe » sont présents par défaut à partir de Windows Server 2008. Dans les versions précédentes il faut installer les outils de support.

Préparer la migration AD vers Windows Server 2012 R2

Lors de la migration d'un environnement Active Directory vous risquez de rencontrer des difficultés avec les éléments qui dépendent de votre annuaire. Citons par exemple Microsoft Exchange dont les services sont très dépendants du catalogue global. Ces difficultés sont liées en général à des oublis lors de la mise à niveau, surtout dans de grandes entreprises, où la personne en charge de la migration, n'a pas forcément conscience de l'ensemble des applicatifs s'appuyant sur l'AD.

Scénario de migration vers un annuaire AD 2012

 

Selon la version de vos contrôleurs de domaine, la migration de vos DC vers Windows Server 2012 R2 peut être plus ou moins complexe. Pour l'installation d'un contrôleur de domaine en Windows Server 2012 ou Windows Server 2012 R2, le premier prérequis est que le niveau fonctionnel de la forêt doit être au minimum sur Windows Server 2003.

 

[eBook /Book] Planifier et migrer son infrastructure AD vers Windows Server 2012R2

Mon 2ème livre sur BecomeITExpert est disponible. Il vous guidera dans vos migrations des services de domaine Active Directory vers Windows 2012 R2.

La mise à niveau d'un annuaire vers des contrôleurs de domaine Windows 2012 / 2012 R2 est une opération qui peut s'avérer délicate sans expérience. L'activité des utilisateurs peut être impactée. Les risques d'indisponibilité des applications ne sont pas sans conséquence. La préparation et l'organisation du déroulement sont des facteurs de réussite importants.

Pages

S'abonner à RSS - Active Directory