Dans la partie restauration d’Active Directory ( http://pbarth.fr/node/68 ), j’expliquais comment effectuer une restauration Authoritaire Sysvol pour les domaines ayant été créé avec un niveau fonctionnel inférieur à 2008 (réplication NTFRS). L’opération consistait à modifier une valeur de registre « Burflags »  et ensuite à redémarrer le service « NTFRS », comme décrit dans cet article : http://support.microsoft.com/kb/290762/fr.

Par défaut sur Windows 2008 et supérieur, lorsque vous créez et modifier une stratégie de groupe, le serveur utilise les modèles d’administration définie dans le dossier « c:\windows\PolicyDefinitions » du contrôleur de domaine. 

Pour ceux d’entre vous qui ont connu les domaines NT4, vous vous rappeler sans doute qu’il existait un contrôleur de domaine primaire (en lecture-écriture) et des contrôleurs de domaines secondaires en lecture. Depuis le passage à Active Directory il reste toujours le rôle FSMO d’émulateur PDC qui permettait à un contrôleur de domaine Active Directory de coexister avec des contrôleurs secondaires NT4. De ce fait la première fois que vous avez entendue parler des RODC (apparu avec Windows 2008), vous vous êtes sans doute poser la question si ce n’est pas une forme de retour en arrière.

Dans cet article nous allons voir comment créer un site Active Directory et lui associer un sous-réseau. La notion de site permet de gérer la situation géographique d’un domaine Active Directory.

Nous définirons donc un site comme un ensemble de sous réseau connecté avec des liaisons rapides. Certains domaines peuvent exister sur plusieurs sites et certains sites peuvent contenir plusieurs domaines.

Les avantages liés à la gestion des sites :

Lorsque vous essayez d’installer les fonctionnalités de .Net Framework 3.5 sur un serveur Windows 2012, vous risquez de rencontrer un message d’erreur indiquant que les fichiers sources sont introuvables :

Dans cet article nous verrons comment déployer un contrôleur de domaine sur un site distant, avec une bande passante faible en créant un support d’installation pour l’Annuaire AD évitant la copie de l’annuaire par le réseau lors de la promotion du DC.

Dans certaines organisations, il arrive que le besoin de déléguer certaines opérations à des personnes ne faisant pas partie de l’IT ou de séparer les rôles de l’IT se présente. En général il s’agit de déléguer une opération spécifique de l’administration d’un environnement, comme :

-          réinitialiser un mot de passe, par exemple pour les chefs de service

-          ajouter des postes à un domaine, pour l’équipe qui gère le déploiement des postes.

Par défaut lorsque l’on configure la partie  « configuration utilisateur », elle ne s’applique que si la GPO est liée à une OU contenant des utilisateurs. De la même manière, la partie « configuration ordinateur » ne s’applique que si la GPO est liée à une OU contenant l’ordinateur en question.

Il existe cependant un moyen d'appliquer des paramètres utilisateurs spécifiques pour des postes précis. Par exemple sur des ordinateurs en libre-service ou des serveurs de bureau à distance (TS). Il s'agit du traitement par boucle de rappel.

La méthode la plus utilisée pour gérer  les connexions aux lecteurs partagés et aux imprimantes est de passer par les scripts d’ouverture de session.

Depuis Windows 2008 et Windows Vista il est possible de le gérer directement par les stratégies de groupe via GPP (Group Policy Preference). Sur Windows XP il est nécessaire d’installer une mise à jour : http://www.microsoft.com/fr-fr/download/details.aspx?id=3628.

Nous allons voir dans cet article comment supprimer un contrôleur de domaine HS.

Dans notre exemple nous allons utiliser 3 anciens contrôleurs de domaine en Windows 2003. Le principe reste identique pour les versions récentes.

Nous verrons 2 méthodes, la première avec l’outil « ntdsutil » et l’option « meta data cleanup », la 2^ème par l’assistant graphique.

Comme le montre l’image ci-dessous nous disposons de 3 DC en Windows 2003R2 nommé « W2k3-DC1 », « W2k3-DC2 », « W2K3-DC3 ».

Dans cette petite démonstration nous disposons de 2 serveurs Windows 2012 qui sont tous les 2 contrôleurs de domaines.

Le serveur W12S1 est installé de manière traditionnelle avec la console graphique, le serveur W12S2 est installé en mode « server core »

Après avoir ajouté le serveur 2 dans la console du « gestionnaire de serveur ».

Quelques mots sur la migration des contrôleurs de domaine Active Directory sous Windows 2012 Server.

 Si l’apparence a pas mal évolué,  le principe de migration de l’AD vers des contrôleurs de domaine en Windows 2012 reste dans les grandes lignes identiques à 2008.

 Pour plus de détail sur les étapes de la migration d’un domaine Active Directory avec 2008 :

http://pbarth.fr/node/8.

Dans ce petit tutoriel nous allons voir comment utiliser W32Time pour synchroniser les horloges dans un domaine AD.

Le premier élément à prendre en compte est que dans un domaine Active Directory, les postes se synchronisent normalement tout seul avec un contrôleur de domaine. Les contrôleurs de domaine se synchronisent vers le DC qui dispose du rôle de maître d'opération "Emulateur PDC". Il y en a un par domaine.

Dans une forêt multi domaine chaque "Emulateur PDC" se synchronise automatiquement par rapport au domaine racine de la forêt.