Dans les articles précédents, j'avais présenté la synchronisation des comptes d'un domaine AD local à l'entreprise (On Premise) vers Azure Active Directory à l'aide de l'outil Azure AD Connect.

Si vous ne connaissez pas l'outil ou si vous vous n'êtes pas lu les articles précédents, je vous renvoie sur ce lien :

Azure AD Connect

Suite à des mises à jour appliquées sur Windows client, vous pouvez rencontrer le message d'erreur en ouvrant des sessions de bureau à distance  ; « Une erreur d'authentification s'est produite … Le problème peut être dû à une correction de l'oracle de chiffrement CredSSP ».

Il renvoie au lien :

https://go.microsoft.com/fwlink/?linkid=866660

Si vous êtes amenés à modifier régulièrement vos stratégies de groupe, il peut être intéressant de conserver des sauvegardes à intervalles réguliers. Il est possible d'automatiser la sauvegarde en utilisant PowerShell.

La commande suivante permet par exemple de sauvegarde l'ensemble des GPO du domaine sur un partage réseau :

Backup-Gpo -All -Path \\2016DC1\Backup\Gpo

Dans ce nouvel article, qui est un peu la suite des précédents sur PowerShell, nous allons nous intéresser à la gestion des utilisateurs. PowerShell est un outil très puissant qui vous permettra d'automatiser la gestion complète des utilisateurs. Vous pouvez consulter mon article de l'année dernière pour vous faire une idée des possibilités d'automatisation : http://pbarth.fr/node/231.

Les commandes suivantes, vous donneront la liste des CmdLet présenté dans cet article :

Lorsque vous ajoutez un compte autrement que par la console « Utilisateurs et Ordinateurs Active Directory », les comptes sont créés respectivement dans les conteneurs « Users » pour les utilisateurs et « Computer » pour les ordinateurs.

Il est possible de modifier le conteneur par défaut pour les objets ordinateurs et utilisateurs. Pour cela vous pouvez utiliser les lignes de commandes suivantes.

Pour modifier le conteneur par défaut pour les utilisateurs :

Dans cet article nous allons voir comment utiliser la commande « Search-ADAccount », pour rechercher des comptes avec un état spécifique dans l'AD.

La commande permet de rechercher des comptes d'utilisateurs ou d'ordinateurs. Il existe des options permettant de sélectionner des états spécifiques comme par exemple, les comptes désactivés « -AccountDisabled ». La commande suivante liste les comptes du domaine qui sont désactivés. Le « select » ne renvoie que l'identifiant LDAP (distinguishedname) ainsi que le type d'objet afin de limiter les colonnes.

Dans cet article nous allons voir plus en détail, comment sont enregistrées les informations des stratégies de groupe avec Active Directory Domain Services.

Lorsque vous créez une stratégie de groupe, il y a plusieurs emplacements où les informations sont enregistrées.

Le premier, sans doute le plus connu, est le dossier contenant les paramètres de la stratégie. Ils se trouvent dans un dossier partagé spécifique « Sysvol ». Chaque stratégie est représentée par un sous-dossier contenant des paramètres utilisateurs et des paramètres machines.

Nous avons vu dans l'article précédent les commandes PowerShell liées au OU. Nous avons pu également constater que certaine OU sont protégés contre la suppression :

La commande suivante permet de vérifier si une OU est protégée. Dans ce cas la propriété « ProtectedFromAccidentalDeletion » vaut « True » :

Depuis quelques jours Microsoft a mis à disposition son nouvel outil pour la gestion des serveurs. Il offre les mêmes services qu'un certain nombre de consoles comme le gestionnaire de serveur par exemple. L'accès se fait à travers un navigateur Web (Edge ou Chrome). Il est mis à disposition en Technical Preview et s'installe à partir d'un « .msi » téléchargeable ici : https://aka.ms/HonoluluDownload

Dans cet article nous allons voir les commandes PowerShell permettant de gérer les groupes dans Active Directory Domain Services.

Dans cet article nous allons voir comment utiliser les stratégies de verrouillage de compte.

Le verrouillage des comptes permet de bloquer un compte pendant un certain temps si un nombre définit de tentatives de connexion n'ont pas réussi pendant une certaine période.

Le paramètre n'est pas une nouveauté et il est compatible avec l'ensemble des versions de contrôleurs de domaine.

Lorsqu'un de vos contrôleurs de domaine est corrompu ou n'arrive plus à répliquer et que vous disposez d'autres contrôleurs de domaine encore viables dans le même domaine, il est recommandé de reconstruire le DC plutôt que de le restaurer. Pour reconstruire un DC, vous devez l'arrêter, nettoyer les métadonnées Active Directory sur un des DCs restant puis réinstaller le serveur en tant que DC.

Néanmoins, si votre DC détient également d'autres rôles dont des rôles applicatifs, l'opération de réinstallation des applications peut créer des problèmes supplémentaires.

Dans l'article précédent nous avons vu comment se connecter à Office Online avec PowerShell :

[Office 365 ] : Installer les outils PowerShell

Dans cet article nous allons voir déterminer le nombre de licences dans votre abonnement.

Pour cela nous allons utiliser la commande PowerShell suivante :

Dans certaines discussions, je me suis rendu compte que la restauration d'un annuaire AD DS n'est pas forcément bien comprise par certains administrateurs. Il faut dire que si l'opération de sauvegarde est relativement simple à comprendre, pour la restauration, les choix et certaines étapes particulières ne sont pas évidents.

Pour ceux d'entre vous qui avez déjà eu une première expérience avec PowerShell, mais qui ne connaissez pas les modules propres à Active Directory, nous allons les découvrir dans une série d'articles.

Ces modules sont disponibles par défaut sur les contrôleurs de domaines, il est possible de les installer sur des serveurs membres en activant les outils d'administration de serveurs distants (RSAT). Sur les postes clients vous devez au préalable télécharger les RSAT pour la version du système d'exploitation dont vous disposez.