Windows 2016

[AD DS Securité] Gérer les administrateurs des postes avec GPP

Il y a quelques années j'avais écrit sur un article sur la gestion des utilisateurs et groupe locaux à l'aide des GPO. Je vous présente ici, une autre méthode qui existe depuis 2008 et qui utilise les préférences dans les stratégies de groupes. L'objectif est d'ajouter un groupe spécifique en tant qu'administrateurs des postes de travail, afin d'éviter d'utiliser des mots de passe de comptes administrateurs du domaine sur les postes.

[Azure AD Connect] Ajouter un agent d’authentification

Dans un article précédent, j'avais présenté l'option d'authentification unique (SSO) ainsi que l'option d'authentification directe qui évite la synchronisation du mot de passe dans Azure (Pass Through Authentication) de Azure AD Connect. Si vous utilisez l'option d'authentification directe, un connecteur est installé sur le serveur ou se trouve Azure AD Connect et ce dernier va faire le lien. En cas de panne de ce service, les utilisateurs ne pourront plus s'authentifier dans Azure et Office 365.

[AD DS Securité] Désactiver SMB 1.0 (partie 3)

Si votre parc ne dispose pas d'OS antérieur à Windows Vista/ Windows Server 2008, vous pouvez envisager de désactiver SMB 1.0. Nous avons vu dans l'article précédent comment activer l'audit des demandes de connexions avec SMB 1.0, ce qui vous permettra de vérifier si des postes utilisent encore ce protocole obsolète. Dans cet article nous allons voir, comment modifier la configuration sur un ou l'ensemble de vos serveurs pour ne plus accepter de connexion SMB1.0.

[AD DS Sécurité] Auditer l’utilisation de SMB V1 (Partie 2)

Si vous n'avez pas lu l'article précédent sur SMB et le partage des fichiers, je vous renvoie sur le lien suivant.

Si vous souhaitez désactiver SMB 1 et si vous ne savez pas s'il est encore utilisé dans votre environnement, il est possible d'activer un audit de de ce protocole avant d'essayer de le désactiver.

Pour rappel, vous pouvez vérifier depuis un poste client les connexions et la version du protocole utilisé avec la commande : « Get-SMBConnection ». Dans l'image ci-dessous « 3.1.1 ».

[AD DS Securité] Partage de fichier et protocole SMB (Partie 1 )

À la suite de questions sur la compatibilité entre les OS anciens et récent dans un domaine AD, je vais essayer de résumer quelques informations utiles sur les protocoles de partage de fichiers (SMB). Dans un domaine Active Directory nous avons aux minimums deux partages présents sur tous les contrôleurs de domaine (en bonne santé) : « NetLogon » et « Sysvol ». Ces partages mettent à disposition des postes membres du domaine, les scripts et les paramètres de stratégie de groupes. Les protocoles d'accès aux partages de fichiers chez Microsoft sont assez anciens et ont évolué avec le temps.

[PowerShell] Obtenir des informations sur un ordinateur à distance

Dans l'article précédent nous avions vu comment activer la gestion à distance de Windows (WinRM) à l'aide des stratégies de groupe. Cette option vous permet entre autres d'exécuter à distance des commandes PowerShell sur des ordinateurs spécifiques. Une commande PowerShell intéressante est « Get-ComputerInfo ».

[GPO] Activer la gestion à distance (WinRM)

Il est possible que vous souhaitiez gérer et exécuter des commandes PowerShell à distance sur des postes de travail ou des serveurs membres. Les commandes PowerShell Invoke-Command et Enter-PSSession peuvent vous aider à condition que les postes cibles acceptent la gestion à distance.

Pour cela il est possible d'utiliser une stratégie de groupe, afin de configurer et démarrer le service WinRM (Windows Remote Management). Dans cette stratégie vous devrez configurer les éléments suivants.

[AD DS Sécurité] BitLocker et stockage des clés de récupération dans l’AD

 

Il est possible d'utiliser le cryptage BitLocker pour protéger par exemple, les postes nomades. Cela limite le risque de vol de données en cas de perte ou de vol du matériel.

Par défaut, BitLocker voudra utiliser un module sécurisé (TPM), sinon l'option ne sera pas disponible, comme dans l'image ci-dessous. Il est possible de modifier cette limitation avec les stratégies de l'ordinateur.

 

[RSAT] Outil d’administration de serveur distant pour Windows 10

L'article suivant http://www.pbarth.fr/node/100, expliqué comment installer les outils d'administration à distance de serveurs (RSAT). Il fallait télécharger le programme d'installation correspondant à votre version, avec par exemple le lien suivant https://www.microsoft.com/fr-FR/download/details.aspx?id=45520. Vous constaterez que les outils s'arrêtent à la version Windows 10 1803. A partir de la version 1809 la méthode d'installation est différente.

[AD DS Sécurité] Principe de l’authentification Kerberos

 

Dans un article précédent, nous avons expliqué de manière simplifiée le principe de l'authentification NTLm . Nous allons dans cet article tenté d'expliquer le principe de fonctionnement de Kerberos. L'authentification Kerberos est assurée par le centre de distribution de clés (KDC) des contrôleurs de domaine Active Directory.

Tags: 

[AD DS Sécurité] NTLM et niveau d’authentification Lan Manager

Dans un environnement Windows, il existe deux familles de protocoles d'authentifications natives permettant de gérer l'accès aux ressources. Les protocoles Lan Manager, NTLM et Kerberos. L'apparition du protocole LanManager remonte aux années 80, il y a presque 40 ans. Il est très ancien et très vulnérable. NTLM son successeur est apparu quelque temps après et la version actuel NTLMv2 date de Windows NT4 SP4. Kerberos est le protocole par défaut dans les domaines Active Directory.

[AD DS Sécurité] Le groupe « Protected User »

Avec Windows Server 2012 R2, un nouveau groupe a été rajouté dans Active Directory : « Protected Users ».

 

Le groupe « Protected User » permet de réduire les risques liés aux comptes d'administration. L'ajout d'un compte dans ce groupe va modifier certains comportements. Dans cet exemple, nous verrons quelques éléments de protection liés à ce groupe.

Tags: 

[AD DS Sécurité] L’objet « AdminSDHolder»

Dans un domaine Active Directory il existe un objet particulier qui sert de référence pour protéger les informations de sécurité de certains comptes à fort privilège. L'objet en question est « AdminSDHolder » et il est présent dans chaque domaine dans le conteneur « System ».

L'objet « AdminSDHolder » permet de protéger les informations de sécurité des comptes membres des groupes suivants :

[AD DS Sécurité] Introduction

 

À la suite de différents échanges et demande par mail ou autres, j'ai décidé d'ajouter une nouvelle rubrique concernant la sécurité et les bonnes pratiques sur l'administration d'un environnement Active Directory.

C'est un des deux sujets, que je souhaite élargir dans les prochains mois, avec la partie Azure.

[eBook /Book] Gérer Active Directory 2016/2019 au quotidien

 

Ce nouveau livre sur les services de domaine Active Directory, vous permettra de vous familiariser avec le module PowerShell sur les opérations que nous effectuons régulièrement.

Le contenu du livre vous permettra de tester les différentes commandes et scripts proposés au fil de la lecture.

Jusqu'au chapitre 5, vous apprendrez à utiliser des commandes PowerShell simple. A partir du chapitre 6, les commandes que vous allez découvrir sont proposés sous forme de fonction ou de script, afin de vous familiariser avec l'automatisation de tâche avec PowerShell.

[Windows Server] Utiliser PowerShell pour déverrouiller des fichiers

 

Il peut arriver que l'on se retrouve avec des fichiers partagés verrouillés par certains utilisateurs après que le document se soit mal refermé.

Il est possible de voir les fichiers ouverts depuis la console « Gestion de l'ordinateur ». Néanmoins la liste peut être longue et il peut être difficile de retrouver un élément précis.

La commande PowerShell « Get-SmbOpenFile », permet de lister les fichiers ouverts. LA commande ci-dessous listera tous les fichiers ouverts par des utilisateurs dont le nom contient les lettres « pba ».

[Windows Server] Installer des packs de langues

 

 

Il est possible d'installer des packs de langue supplémentaire dans Windows et de modifier l'affichage par défaut. Vous avez sans doute déjà ajouté un clavier supplémentaire ? Si vous utilisez une machine virtuelle sur Azure, comme dans cet exemple, la langue par défaut est l'anglais. Il est possible d'afficher l'ensemble des menus et de l'environnement dans une autre langue, comme par exemple le français.

Dans les propriétés de langue après avoir ajouté le clavier français, cliquez sur « options » à droite.

[AD DS] Attributs utilisateur dans le catalogue global

Si vous utilisez une forêt multi-domaines vous comprendrez sans doute l'intérêt d'interroger le catalogue global. Lorsque vous exécutez une commande comme « Get-ADUser » en spécifiant un contrôleur de domaine mais sans préciser le port de destination, vous allez interroger le port ldap par défaut (389). Il est possible d'interroger le catalogue global en précisant le port « 3268 ». Dans l'exemple, ci-dessous nous recherchons un compte d'abord sur la partition d'annuaire ensuite dans le catalogue global. Nous sélectionnons deux attributs distincts (SamAccountName et AccountExpirest).

[AD DS] Attributs non répliqués

Il existe des attributs Active Directory qui ne sont pas répliqués entre les contrôleurs de domaine. Pour les objets utilisateurs, on retrouve notamment les attributs suivants :

  • badPasswordTime
  • badPwdCount
  • DistinguishedName
  • dSCorePropagationData
  • lastLogoff
  • lastLogon
  • logonCount
  • ObjectGUID
  • uSNChanged
  • uSNCreated
  • whenChanged

     

[Windows Server 2016] Activation KMS

Si vous utilisez de nombreux postes et serveurs, le processus d'activation de la licence Windows peut être contraignant. Si vous disposez de licence en volume vous pouvez utiliser les services d'activation en volume et une clé KMS. Il existe deux méthodes pour l'utilisation de ce type de clé de licence. La première date de Windows Server 2008 et de Windows Vista. Elle consiste à installer un serveur de licence KMS (KMS : clé d'activation multiple). Les postes clients trouvent le serveur de licence en utilisant la résolution DNS et envoient une demande d'activation.

Tags: 

[PowerShell] Taille des dossiers et sous dossiers : Get-FolderSize

 

À la suite d'une question sur les forums Technet, j'ai ressorti un de mes scripts pour l'améliorer et le mettre à disposition sur les Gallery :

https://gallery.technet.microsoft.com/Get-FolderSizeps1-036f331a?redir=0

Je pense que nous utilisons tous des outils comme Treesize ou WindirStat. Ces outils sont bien pratiques rapide et facile d'emploi.

[AD DS] Sites et optimisation de la topologie de réplication

Il y a quelques jours j'ai reçu une demande par mail concernant l'optimisation des liens de réplications entre les contrôleurs de domaine dans un environnement multisite.

La question était de comprendre pourquoi les liens de réplications créés par le vérificateur de cohérence de la topologie (KCC), n'était pas optimale par rapport à l'environnement géographique.

Tags: 

[PowerShell] Gestion des permissions sur les fichiers (2)

 

Dans cette deuxième partie, nous allons voir la gestion des permissions NTFS (ACL).

Nous verrons comment récupérer les informations, modifier les permissions ou supprimer l'héritage.

Les permissions NTFS, ainsi que les informations d'audit sont enregistrées dans les propriétés des fichiers ou des dossiers. La manipulation n'est pas forcément simple à comprendre au début.

Tags: 

[PowerShell] Gestion des fichiers (1)

Dans cet article nous allons voir quelques commandes PowerShell liées à la gestion des fichiers, des dossiers et des droits(ACL).

La première commande que nous allons voire est : Get-ChildItem . Elle permet de rechercher des fichiers et/ou des dossiers. Elle se différencie de la commande Get-Item qui récupère les informations sur un objet. Get-ChildItem comme son nom l'indique recherche les objets enfants.

[Azure AD] Mise à jour AD Connect

Si vous utilisez l'outil « Azure AD Connect » pour synchroniser vos comptes vous avez peut-être lu que l'outil est en mesure de se mettre à jour automatiquement. Vous pouvez suivre l'état en consultant le journal d'application et en filtrant sur « Azure AD Connect Upgrade » et les évènements 300 à 399.

Tags: 

[Echange 2013 – DC 2016] objet endommagé

Lors de l'ajout du premier contrôleur de domaine Windows Serveur 2016 vous risquez de rencontrer le message d'erreur :

« L'objet xxxx a été endommagé et est dans un état incohérent. Les erreurs de validation suivantes se sont produites :

L'entrée de contrôle d'accès définit l'ObjectType '9b026da6-0d3c-465c-8bee-5199d7165cba' qui ne peut être résolue. »

Avec le message d'erreur en anglais, il est assez facile de retrouver des informations, plus difficiles avec le message en français :

Tags: 

Pages

S'abonner à RSS - Windows 2016