Windows 2016

[Hyper-V] Copie de fichiers de l’hôte vers la VM

 

Depuis Windows Server 2012, il est possible de copier directement des fichiers depuis l'hôte Hyper-V vers une machine virtuelle avec PowerShell.

Pour cela les services d'invité doivent être activé sur la machine virtuelle. Il est possible de le faire depuis les paramètres :

 

Vous pouvez utiliser la commande PowerShell suivante pour lister les VMs, sur lesquels les services d'invités sont activés :

[PowerShell Script] Mise à jour Vhd

J'ai publié un script PowerShell permettant d'appliquer des mises à jour contenu dans un dossier à un disque virtuel offline. Dans mon exemple, il applique des mises à jour à mon image de base Windows Server 2016 « sysprepé », que j'utilises dans mes articles.

Vous pouvez le télécharger librement à l'adresse :

https://gallery.technet.microsoft.com/Apply-Update-in-VHD-File-e6fdf23c?redir=0

 

La commande a exécuté est la suivante :

[Azure AD Connect] Désactiver la synchronisation

 

Si vous avez mis en place la synchronisation d'annuaire entre votre annuaire AD sur site et Azure Active Directory à l'aide de l'outil Azure AD Connect, il est possible de désactiver la synchronisation avec le module PowerShell d'Azure.

Pour installer le module, consulter l'article :

http://www.pbarth.fr/node/235

Une fois le module installé et après vous êtes connecté sur votre Tenant office, vous pouvez consulter l'état de la synchronisation avec la commande :

[AD DS] Réinitialiser le mot de passe de restauration d’annuaire (DSRM)

 

Le mot de passe de restauration d'annuaire est particulier. Il est utile dans les situations d'urgence et est rarement utilisé. Il n'est pas identique au mot de passe de l'administrateur du domaine et il peut être différent entre les contrôleurs de domaine. Il est important de mettre ce mot de passe en lieu sûr.

Si vous ne le connaissez pas, vous pouvez utiliser la procédure suivante pour le réinitialiser.

Ouvrez une invite de commande DOS (en tant qu'administrateur si la version est égale ou supérieure à Windows 2008) :

Tags: 

[eBook /Book] Active Directory 2016 – Conception, Déploiement et Administration en Entreprise – 2ème édition

 

Cette seconde édition du livre sur les services de domaines Active Directory comme la première édition est organisée afin de permettre à chaque lecteur de mettre en œuvre les différents éléments au fil de la lecture.

Si le principe n'a pas changé, la deuxième édition présente les services de domaines sur Windows Server 2016 et a été enrichi d'exemples supplémentaires comme par exemple :

Tags: 

[Azure AD Connect] : Passer d’un compte Cloud vers un compte synchronisé

Dans cet article, nous allons voir comment passer de compte Office 365 crée dans le cloud à un compte synchronisé, sans perdre l'accès à la boite aux lettres et aux documents OneDrive et autres applicatifs.

Dans l'exemple, nous créons un nouveau compte sur le portail Office 365, dans la partie gestion des utilisateurs. Nous attribuons une licence à notre utilisateur.

Tags: 

[Azure AD Connect] Mise à jour de schéma

Lorsque vous modifier le schéma de votre annuaire Active Directory local (On Premise), vous devez mettre à jour l'outil de synchronisation Azure AD Connect, pour qu'il prenne en compte les modifications. C'est le cas par exemple, lorsque vous faites une extension de schéma pour installer un serveur Microsoft Exchange ou lorsque vous souhaitez installer un contrôleur de domaine plus récent.

Tags: 

Azure AD Connect : outil IdFix

Dans les articles précédents, j'avais présenté la synchronisation des comptes d'un domaine AD local à l'entreprise (On Premise) vers Azure Active Directory à l'aide de l'outil Azure AD Connect.

Si vous ne connaissez pas l'outil ou si vous vous n'êtes pas lu les articles précédents, je vous renvoie sur ce lien :

Azure AD Connect

Tags: 

Limite Active Directory : nombre de SID

Il existe des limitations sur Active Directory, comme la longueur du nom complet d'un objet, le nombre d'identificateur de sécurité (SID). Généralement, ces limites sont suffisamment importantes pour ne concerner qu'un nombre très restreint d'entreprise. Vous trouverez dans le lien suivant le détail des limites d'Active Directory Services :

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc756101(v=ws.10)

Tags: 

[PowerShell Script] Sauvegarder vos GPO

Si vous êtes amenés à modifier régulièrement vos stratégies de groupe, il peut être intéressant de conserver des sauvegardes à intervalles réguliers. Il est possible d'automatiser la sauvegarde en utilisant PowerShell.

La commande suivante permet par exemple de sauvegarde l'ensemble des GPO du domaine sur un partage réseau :

Backup-Gpo -All -Path \\2016DC1\Backup\Gpo

[PowerShell AD DS] Création des utilisateurs

Dans ce nouvel article, qui est un peu la suite des précédents sur PowerShell, nous allons nous intéresser à la gestion des utilisateurs. PowerShell est un outil très puissant qui vous permettra d'automatiser la gestion complète des utilisateurs. Vous pouvez consulter mon article de l'année dernière pour vous faire une idée des possibilités d'automatisation : http://pbarth.fr/node/231.

Les commandes suivantes, vous donneront la liste des CmdLet présenté dans cet article :

Modifier les OUs par défaut pour les comptes utilisateurs et ordinateurs

 

Lorsque vous ajoutez un compte autrement que par la console « Utilisateurs et Ordinateurs Active Directory », les comptes sont créés respectivement dans les conteneurs « Users » pour les utilisateurs et « Computer » pour les ordinateurs.

Il est possible de modifier le conteneur par défaut pour les objets ordinateurs et utilisateurs. Pour cela vous pouvez utiliser les lignes de commandes suivantes.

Pour modifier le conteneur par défaut pour les utilisateurs :

[PowerShell AD] Search-ADAccount

 

Dans cet article nous allons voir comment utiliser la commande « Search-ADAccount », pour rechercher des comptes avec un état spécifique dans l'AD.

La commande permet de rechercher des comptes d'utilisateurs ou d'ordinateurs. Il existe des options permettant de sélectionner des états spécifiques comme par exemple, les comptes désactivés « -AccountDisabled ». La commande suivante liste les comptes du domaine qui sont désactivés. Le « select » ne renvoie que l'identifiant LDAP (distinguishedname) ainsi que le type d'objet afin de limiter les colonnes.

Tags: 

Informations sur les GPO et les liens dans l’annuaire AD

Dans cet article nous allons voir plus en détail, comment sont enregistrées les informations des stratégies de groupe avec Active Directory Domain Services.

Lorsque vous créez une stratégie de groupe, il y a plusieurs emplacements où les informations sont enregistrées.

Le premier, sans doute le plus connu, est le dossier contenant les paramètres de la stratégie. Ils se trouvent dans un dossier partagé spécifique « Sysvol ». Chaque stratégie est représentée par un sous-dossier contenant des paramètres utilisateurs et des paramètres machines.

Tags: 

[PowerShell AD] Nouvelle forêt / domaine

 

Si vous avez déjà créé une nouvelle forêt/domaine avec PowerShell, vous avez pu constater qu'il est possible de définir le niveau fonctionnel de la forêt / du domaine avec l'option « -ForestMode » ou « -DomainMode ». Il suffisait d'indiquer la valeur, comme par exemple pour Windows 2012 : « Win2012 ». Par déduction pour Windows 2016 il faudrait utiliser « Win2016 » et cela donnera par exemple :

Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath "D:\NTDS" `

[PowerShell AD DS] OU : protection contre la suppression accidentelle

 

Nous avons vu dans l'article précédent les commandes PowerShell liées au OU. Nous avons pu également constater que certaine OU sont protégés contre la suppression :

La commande suivante permet de vérifier si une OU est protégée. Dans ce cas la propriété « ProtectedFromAccidentalDeletion » vaut « True » :

Tags: 

[PowerShell AD DS] Création et modification des OUs

Dans cet article, nous allons voir comment créer, modifier et supprimer des OU avec les commandes PowerShell.

La commande suivante permet de lister les commandes PowerShell liées aux unités d'organisations :

Get-Command *-adorg*

 

Pour lister l'ensemble des OUs, vous pouvez utiliser la commande ci-dessous :

Get-ADOrganizationalUnit -Filter *

Tags: 

[News] Projet Honolulu

 

Depuis quelques jours Microsoft a mis à disposition son nouvel outil pour la gestion des serveurs. Il offre les mêmes services qu'un certain nombre de consoles comme le gestionnaire de serveur par exemple. L'accès se fait à travers un navigateur Web (Edge ou Chrome). Il est mis à disposition en Technical Preview et s'installe à partir d'un « .msi » téléchargeable ici : https://aka.ms/HonoluluDownload

Tags: 

[AD] Exemples de problèmes d’ouverture de session

 

Dans cet article, nous allons voir un certain nombre de messages d'erreur lors de l'ouverture session et son origine.

Une des premières sources de problèmes est la synchronisation des horloges entre PC Client et serveur. Vous pouvez consulter l'article suivant afin de configurer la synchronisation des horloges dans votre forêt Active Directory :

http://pbarth.fr/node/87

Un autre problème fréquent est l'impossibilité de joindre un contrôleur de domaine :

[GPO] Stratégie de verrouillage des comptes

Dans cet article nous allons voir comment utiliser les stratégies de verrouillage de compte.

Le verrouillage des comptes permet de bloquer un compte pendant un certain temps si un nombre définit de tentatives de connexion n'ont pas réussi pendant une certaine période.

Le paramètre n'est pas une nouveauté et il est compatible avec l'ensemble des versions de contrôleurs de domaine.

Tags: 

[PowerShell AD : les modules]

Pour ceux d'entre vous qui avez déjà eu une première expérience avec PowerShell, mais qui ne connaissez pas les modules propres à Active Directory, nous allons les découvrir dans une série d'articles.

Ces modules sont disponibles par défaut sur les contrôleurs de domaines, il est possible de les installer sur des serveurs membres en activant les outils d'administration de serveurs distants (RSAT). Sur les postes clients vous devez au préalable télécharger les RSAT pour la version du système d'exploitation dont vous disposez.

[PowerShell AD DS] Comparer les membres de deux groupes

Dans ce nouvel article je vais vous présenter un script que j'ai mis à disposition sur les galléries Technet à l'adresse suivante :

https://gallery.technet.microsoft.com/Compare-Members-of-two-2d6d3e02

Le script permet renvoie un tableau avec le « DistinguishedName » (identifiant LDAP) de l'objet ainsi que sa présence dans le premier groupe, le second groupe ou les deux.

Tags: 

Liste des groupes hérités d’un utilisateur

Dans cet article je vais vous présenter un script disponible sur les galléries Technet, que j'ai réalisé.

Le but de ce script est de déterminer les groupes auxquels appartient un utilisateur qu'il soit membre directement du groupe ou que l'appartenance soit héritée.

Pour commencer nous avons un utilisateur dont le nom d'ouverture de session est « pbarth ». Cet utilisateur a été ajouté dans le groupe « SG-Service-Informatique ».

Tags: 

Privileged Access Management Feature

Alors que la sortie de la version de Windows Server 2016 devrait bientôt être annoncée, nous allons dans cet article présenté une des nouveautés d'Active Directory. Cette nouvelle fonctionnalité permet d'ajouter un membre dans un groupe pour une durée déterminée. Comme pour la corbeille Active Directory, il s'agit d'une option qui n'est pas activée par défaut.

En ce qui concerne les prérequis il faudra augmenter le niveau fonctionnel de la forêt à Windows 2016. Pour le moment il s'agit du niveau « Windows Server Technical Preview » en attendant la sortie officielle du produit.

Tags: 

Pages

S'abonner à RSS - Windows 2016