Alors que la sortie de la version de Windows Server 2016 devrait bientôt être annoncée, nous allons dans cet article présenté une des nouveautés d'Active Directory. Cette nouvelle fonctionnalité permet d'ajouter un membre dans un groupe pour une durée déterminée. Comme pour la corbeille Active Directory, il s'agit d'une option qui n'est pas activée par défaut.

En ce qui concerne les prérequis il faudra augmenter le niveau fonctionnel de la forêt à Windows 2016. Pour le moment il s'agit du niveau « Windows Server Technical Preview » en attendant la sortie officielle du produit.

Microsoft a publié un article expliquant les modifications concernant la diffusion des mises à jour de Windows à partir du mois d'octobre. A partir d'octobre il y aura une mise à jour cumulative plutôt qu'un ensemble de mises à jour. Ce changement devrait faciliter la gestion des mises à jour. Chaque mois une nouvelle mise à jour cumulative sera proposée. La mise à jour de novembre comprendra également celle d'octobre et ainsi de suite.

Dans cet article nous allons voir comment utiliser des variables systèmes dans les préférences de stratégie de groupe. Pour votre information l'environnement utilisé pour cette présentation contient deux machines virtuelles HyperV. La première 2012dc1 est un contrôleur de domaine du domaine « labo.lan » sous Windows 2012 R2. La deuxième machine virtuelle est un poste client sous Windows 8.1.

Dans l'exemple ci-dessous nous allons voir comment utiliser PowerShell pour vérifier la réplication de l'annuaire Active Directory.

Dans cette exemple nous utilisons 3 contrôleurs de domaine : le premier en 2008r2, le second en 2012r2 et le dernier en Windows 2016 Technical Preview 5.

Le script ci-dessous recherche l'ensemble des contrôleurs de domaine du domaine et retourne un fichier csv indiquant pour chaque contrôleur de domaine, le partenaire de réplication, le résultat de la dernière réplication et la date de la dernière réplication correcte.

Vous avez pu lire dans l'article précédent quelle est l'ordre de priorité pour les stratégies de groupe :

Dans cet article nous allons voir les stratégies réellement appliqués et dans quel ordre. Nous avions définit l'ordre de priorité des stratégies et vous avez pu remarquer que j'ai présenté l'ordre du moins prioritaire au plus prioritaire :

Dans les étapes précédentes nous avons vu comment préparer et installer les services de synchronisations Active Directory avec Azure (Azure Active Directory Connect ). Nous avions installé les services sur un serveur membre du domaine. Sur ce serveur nous allons voir :

• Comment afficher ou modifier la configuration actuelle
• Comment vérifier si la synchronisation fonctionne

Après avoir installé et configuré Azure Active Directory Connect vous trouverez entre autre les applications suivantes :

A l'étape précédente nous avons configuré Azure pour la synchronisation des comptes depuis un AD local. Nous allons dans cette étape :

Azure offre une solution pour surveiller vos serveurs en entreprise mais également dans le cloud. Lancé au mois de mai 2015 la solution Operation Management Suite rappelle évidement System Center Operation Manager. L'utilisation d'Operation Management Suite nécessite la création d'un compte Azure. Il permet la surveillance de serveur Windows et Linux qu'il soit hébergé dans votre entreprise ou sur le cloud. L'outil OMS se gère via le navigateur. Si vous souhaitez tester vous pouvez créer un compte Azure et ajouter un Workspace.

Dans cet article nous allons voir comment stocké et récupérer les clés privées et les certificats en les archivant les clés dans l'annuaire AD.

La première étape consiste à ajouter le modèle « agent de récupération de clé » dans la liste des modèles délivrés. Pour cela ouvrez la console de l'autorité de certification et clic droit sur « modèle de certificat » puis « nouveau » et « modèle de certificat à délivrer ».

Dans cet article nous allons créer un nouveau modèle de certificat pour les ordinateurs et gérer l'inscription automatique par les stratégies de groupe. L'utilisation de l'inscription automatique n'est valable que pour une autorité de certification d'entreprise donc intégré à Active Directory. Les clients demandeur doivent être des ordinateurs ou des utilisateurs du domaine. Dans cet exemple nous déploierons un certificat automatiquement sur des ordinateurs, mais il est possible de faire la même chose pour des comptes utilisateurs.

Nous allons voir comment installer les services Active Directory Certificate Services à l'aide de l'assistant « ajout/suppression de rôle ».

Avant de commencer nous disposons :

• un domaine « phil.lan »
• un contrôleur de domaine « DC1.phil.lan »
• un serveur membre « CA.phil.lan » disposant d'une adresse IP Fixe.

Sur le serveur « CA.phil.lan » depuis une session sur un compte administrateur du domaine nous allons exécuter l'assistant « Ajouter des rôles et fonctionnalités ».

IMPORTANT : cette documentation explique comment supprimer un domaine lorsqu'il n'y a plus de contrôleur de domaine disponible. En cas d'erreur la seule option disponible est la restauration de l'ensemble de la forêt à l'aide des sauvegardes de l'état du système. L'opération n'étant pas anodine je vous conseille de lire l'ensemble de l'article avant de vous lancer sur le sujet.

Dans notre exemple nous disposons d’un domaine racine « lab1.lan » et d’un domaine enfant « lab2.lab1.lan » et d’un troisième « lab4.lan ».

Dans l’exemple suivant nous allons désactiver l’accès à Windows Store dans un domaine Active Directory depuis les stratégies de groupe. L’environnement présenté est composé de contrôleurs de domaine en Windows 2012 R2.

Par défaut lorsque vous essayer de créer une nouvelle stratégie de groupe depuis la console de gestion des stratégie de groupe (GPMC.msc), il est possible que vous ne retrouviez pas les paramètres « Windows Store » dans « Stratégie \ modèles d’administration \Composants Windows ».