Nous avons vu dans les articles précédents, comment créer un environnement Azure Domain Services, qui permet de disposer d'un domaine Active Directory classique :
[Azure Domain Services] Partie 1 : création du domaine
[Azure Domain Services] Partie 2 : serveur d'administration
Dans cette troisième partie, nous allons découvrir un peu plus loin le contenu de l'annuaire que nous avons créé. Pour commencer, nous ouvrons une session RDP sur le serveur d'administration que nous venons de créer. Vous devez pour cela utiliser un compte de Azure Active Directory membre du groupe « AAD DC Administrators ».
Une fois la session ouverte, le premier élément que nous pouvons constater avec la commande « WhoAmI /Groups », nous ne faisons pas partie des groupes :
- Administrateurs (présent sur les contrôleurs de domaine)
- Admins du domaine
- Admins du schéma
- Admin de l'entreprise.
En effet, sur ce type d'environnement Platform As A Service, vous n'administrez ni les OS serveurs l'évolution de vos contrôleurs de domaine. En revanche, des délégations sont créés pour le groupe « AAD DC Administrators », qui vous permettent de gérer certains objets et container dans l'annuaire.
Dans la console « Utilisateurs et Ordinateurs Active Directory », vous retrouverez 3 unités d'organisation spécifique :
AADDC Computers : contient les ordinateurs membres du domaine. Vous ne pouvez d'ailleurs créer que des comptes d'ordinateurs dans cette unité.
AADDC Users : contient les utilisateurs et les groupes synchronisés depuis Azure Active Directory. Si vous créez un nouvel utilisateur sur Azure Active Directory, et que vous avez sélectionné l'option « tout » dans l'étape 4 concernant la synchronisation (voir article 1),il apparaitra dans cette OU (idem pour les groupes). Vous ne pouvez créer aucun objet utilisateurs directement dans cette unité d'organisation.
AADDSDomainAdmin : cette OU contient un groupe spécifique « AADDSDomAdmGrp ». Vous ne pourrez pas créer d'autres objets dans cette OU.
Néanmoins vous avez la possibilité de créer une autre unité d'organisation à la racine du domaine.
Vous serez libre de créer les objets enfants que vous souhaitez.
Vous avez la possibilité d'administrer votre domaine avec PowerShell et le module Active Directory :
Vous pouvez gérer vos stratégies de groupe personnalisées depuis la console « gpmc.msc », néanmoins vous ne pouvez modifier les stratégies par défaut.