Windows 2012

[Azure AD] Password protection for Windows Server Active Directory

 

Une nouvelle fonctionnalité est disponible en preview dans Azure permettant d'améliorer la sécurité des mots de passe de votre environnement local.

Le principe est de valider les nouveaux mots de passe par rapport à une liste globale et/ou une liste personnalisée de mot de passe.

La fonctionnalité de validation de mot de passe est disponible, pour les mots de passe gérés par Azure gratuitement pour la liste globale et pour les listes personnalisées il faut la version basique.

Tags: 

[PowerShell AD] : Voir la stratégie de mot de passe affinée pour un utilisateur

Si vous utilisez les stratégies de mots de passe affinée appliquée à des groupes de sécurité, afin d'appliquer des stratégies différentes pour certains groupes d'utilisateurs :

Il est possible de vérifier les paramètres pour un utilisateur spécifique à l'aide de la commande :

Get-ADUserResultantPasswordPolicy pbarth

 

Suis-je prêt à restaurer mon AD ?

 

Dans certaines discussions, je me suis rendu compte que la restauration d'un annuaire AD DS n'est pas forcément bien comprise par certains administrateurs. Il faut dire que si l'opération de sauvegarde est relativement simple à comprendre, pour la restauration, les choix et certaines étapes particulières ne sont pas évidents.

Tags: 

Sauvegarde et restauration de GPO depuis la console GPMC

 

Les stratégies de groupe sont incluses dans les sauvegardes de l'état du système du contrôleur de domaine. Néanmoins il est possible de réaliser des sauvegardes spécifiques afin de faciliter la restauration des GPO en cas d'erreur de configuration.

Pour sauvegarder l'ensemble des GPOs depuis la console « Gestion des stratégies de groupe » (gpmc.msc), faites un clic droit sur « Objets de stratégie de groupe », puis dans le menu déroulant sélectionner « Sauvegarder tout…».

 

De quoi est composé Active Directory ?

 

Pour comprendre les mécanismes de sauvegarde d'un annuaire Active Directory, il est nécessaire de connaître sa composition. Une forêt AD DS est un ensemble cohérent d'exemplaire d'informations stockées sur un ou plusieurs contrôleurs de domaines. Une forêt peut contenir un ou plusieurs domaines.

Dans notre exemple, l'environnement contient une forêt Active Directory avec deux domaines. « BecomeITExpert.lan » est le domaine racine de la forêt.

 

[eBook /Book] Active Directory Sauvegarde et Restauration

Pour mon 3ème livre sur Active Directory Domain Services, j'ai souhaité faire un guide pour vous aider à écrire votre propre scénario de reprise d'activité. Dans beaucoup d'entreprises les plans de sauvegarde AD répondent à des critères communs aux autres sauvegardes mais ils nécessitent une réflexion et une préparation particulière. La première raison est qu'ils jouent un rôle central dans l'activité de l'entreprise et beaucoup d'éléments en dépendent.

Server Performance Advisor

Un des derniers articles que j'ai écrits concerne la planification des ressources pour les contrôleurs de domaine. Généralement dans les petites structures les contrôleurs de domaine, s'ils n'hébergent pas d'autre rôle ne sont pas les serveurs les plus chargés. Dans des environnements physiques leurs ressources sont souvent surestimées afin de garantir la pérennité sur toute la durée de vie du serveur. Dans des environnements virtuels il est plus simple de n'allouer que sur les besoins.

Dimensionnement des DCs

 En lisant certains blogs, je suis tombé sur des valeurs un peu excessives au niveau du dimensionnement des contrôleurs de domaine, surtout pour des PME. Je me souviens par exemple d'un site qui préconise 8 Go de RAM minimum sur les DCs avec Windows 2012 R2, sans trop justifier cette valeur. Active Directory n'est pas un service très exigeant au niveau des performances en comparaison d'un serveur Exchange ou d'une base de données SQL Server.

Vérifier l’état de son domaine Active Directory

Il est important, avant de démarrer une migration des contrôleurs de domaine, de vérifier l'état de santé de son environnement. Les outils standards comme « DCDiag.exe » et « Repadmin.exe » sont présents par défaut à partir de Windows Server 2008. Dans les versions précédentes il faut installer les outils de support.

Préparer la migration AD vers Windows Server 2012 R2

Lors de la migration d'un environnement Active Directory vous risquez de rencontrer des difficultés avec les éléments qui dépendent de votre annuaire. Citons par exemple Microsoft Exchange dont les services sont très dépendants du catalogue global. Ces difficultés sont liées en général à des oublis lors de la mise à niveau, surtout dans de grandes entreprises, où la personne en charge de la migration, n'a pas forcément conscience de l'ensemble des applicatifs s'appuyant sur l'AD.

Scénario de migration vers un annuaire AD 2012

 

Selon la version de vos contrôleurs de domaine, la migration de vos DC vers Windows Server 2012 R2 peut être plus ou moins complexe. Pour l'installation d'un contrôleur de domaine en Windows Server 2012 ou Windows Server 2012 R2, le premier prérequis est que le niveau fonctionnel de la forêt doit être au minimum sur Windows Server 2003.

 

[eBook /Book] Planifier et migrer son infrastructure AD vers Windows Server 2012R2

Mon 2ème livre sur BecomeITExpert est disponible. Il vous guidera dans vos migrations des services de domaine Active Directory vers Windows 2012 R2.

La mise à niveau d'un annuaire vers des contrôleurs de domaine Windows 2012 / 2012 R2 est une opération qui peut s'avérer délicate sans expérience. L'activité des utilisateurs peut être impactée. Les risques d'indisponibilité des applications ne sont pas sans conséquence. La préparation et l'organisation du déroulement sont des facteurs de réussite importants.

GPResult

 

La commande « gpresult » disponible nativement sur Windows permet de générer un rapport concernant l'application des stratégies de groupe. Elle est exécutée depuis le poste client dans une fenêtre de commande en tant qu'administrateur. La commande « gpresult /R /user « lab1\pte » permet d'afficher le résultat pour l'utilisateur « lab1\pte ». Si vous souhaitez rediriger le résultat dans un fichier texte, il suffit d'utiliser le redirecteur « > ».

Recommandation sur les exclusions de l’antivirus sur les DCs

 

Afin de protéger son environnement, il est utile d'installer un antivirus y compris sur vos contrôleurs de domaine. Il est déconseillé de naviguer sur internet depuis les contrôleurs de domaine. Néanmoins certains fichiers doivent être exclus. Les dossiers ci-dessous en font partis :

[eBook /Book] Active Directory 2012 R2 – Conception, Déploiement et Administration en Entreprise

 

Mon premier livre sur Active Directory est maintenant disponible sur BecomeITExpert.

Ce livre numérique vous permet de découvrir l'installation et la gestion des domaines Active Directory au quotidien. Il vous propose de découvrir Active Directory avec une approche progressive qui vous permettra de réaliser un environnement de test que vous pourrez faire vivre tout au long de votre lecture. Il est disponible sur BecomeITExpert en utilisant le lien ci-dessous :

Filtrage WMI dans les stratégies de groupe

 

Windows Management Instrumentation (WMI) est la mise en œuvre du standard Web-Based Enterprise Management (WBEM) crée par Distributed Management Task Force (DMTF). Il prend en charge le modèle de données CIM (Common Information Model) qui permet d'interroger le système. En résumé il s'agit d'un système permettant de créer des requêtes ressemblant à du SQL pour identifier certain paramètre du système. Il est possible de déterminer le modèle de carte mère, de cibler la version du système d'exploitation, de déterminer les partitions de disque du système etc …

AD : Approbation avec Authentification sélective

Dans cet article nous allons voir comment utilisé les autorisations sélectives dans les relations d'approbation entre deux environnements Active Directory. Pour cela nous allons utiliser 2 forêts Active Directory « lab1.lan » et « lab2.lan ». Le domaine « lab1.lan » utilise la plage d'adresse « 172.21.x.x » et le domaine « lab2.lan » la plage « 172.22.x.x ». Les deux sous réseaux sont reliés par un routeur et il n'y a pas de filtrage. Si vous voulez sécuriser les liens entre les réseaux vous pouvez utiliser le lient suivant afin de filtrer les ports :

Tags: 

Activation de Windows (et Office) en entreprise

L'activation des produits Microsoft peut être une activité contraignante dans une entreprise si vous utilisez des licences OEM fournit avec le matériel. Par contre si vous utilisez des licences en volumes plusieurs méthodes sont à votre disposition afin de faciliter les opérations.

Vous avez sans doute déjà entendu parler de clé MAK et clé KMS ?

Tags: 

Installer DHCP avec Powershell

 

Dans cet article nous allons voir comment rapidement installer un serveur DHCP à l'aide de PowerShell. Pour notre exemple nous avons utilisé un serveur Windows 2012R2 dans un domaine AD. Le compte utilisé est administrateur du domaine.

La première étape consiste à installer le rôle DHCP :

Install-WindowsFeature -Name DHCP -IncludeManagementTools

Tags: 

Utilisez des variables dans les préférences des stratégies de groupe

Dans cet article nous allons voir comment utiliser des variables systèmes dans les préférences de stratégie de groupe. Pour votre information l'environnement utilisé pour cette présentation contient deux machines virtuelles HyperV. La première 2012dc1 est un contrôleur de domaine du domaine « labo.lan » sous Windows 2012 R2. La deuxième machine virtuelle est un poste client sous Windows 8.1.

 

Tags: 

Vérifier la réplication AD avec PowerShell

 

Dans l'exemple ci-dessous nous allons voir comment utiliser PowerShell pour vérifier la réplication de l'annuaire Active Directory.

Dans cette exemple nous utilisons 3 contrôleurs de domaine : le premier en 2008r2, le second en 2012r2 et le dernier en Windows 2016 Technical Preview 5.

Le script ci-dessous recherche l'ensemble des contrôleurs de domaine du domaine et retourne un fichier csv indiquant pour chaque contrôleur de domaine, le partenaire de réplication, le résultat de la dernière réplication et la date de la dernière réplication correcte.

Tags: 

Astuce : afficher les performances disques dans le gestionnaire de tâches

 

Si vous souhaitez afficher les performances disques dans le gestionnaire de tâche alors qu'ils n'apparaissent pas :

 

Il suffit de :

  • Fermer le gestionnaire de tâche
  • Ouvrir une fenêtre en invite de commande
  • Exécuter « diskperf –Y »

     

 

Analyser l’ordre d’application des stratégies de groupe

 

Vous avez pu lire dans l'article précédent quelle est l'ordre de priorité pour les stratégies de groupe :

Dans cet article nous allons voir les stratégies réellement appliqués et dans quel ordre. Nous avions définit l'ordre de priorité des stratégies et vous avez pu remarquer que j'ai présenté l'ordre du moins prioritaire au plus prioritaire :

Tags: 

Priorité des stratégies de groupes ?

 

Dans cet article nous allons parler des priorités des stratégies de groupe. C'est un peu étonnant mais pendant que je préparai cet article, une question sur le même sujet a été posée sur les forums Microsoft, ce qui me conforte dans l'idée de son utilité.

Nous allons partir du principe que vous êtes déjà familier avec la structure d'Active Directory et les unités d'organisations. Avant d'expliquer l'ordre d'application des stratégies de groupe, faisons un rappel sur les différents éléments sur lesquels des paramètres peuvent être appliqués.

Tags: 

Synchroniser AD avec Azure Active Directory (Etape 4)

Dans les étapes précédentes nous avons vu comment préparer et installer les services de synchronisations Active Directory avec Azure (Azure Active Directory Connect ). Nous avions installé les services sur un serveur membre du domaine. Sur ce serveur nous allons voir :

  • Comment afficher ou modifier la configuration actuelle
  • Comment vérifier si la synchronisation fonctionne

 

Après avoir installé et configuré Azure Active Directory Connect vous trouverez entre autre les applications suivantes :

Synchroniser AD avec Azure Active Directory (Etape 3)

Nous ouvrons une session sur le serveur Windows 2012 R2, membre du domaine, prévue pour héberger « AAD Connect ». Nous allons utiliser une session administrateur du domaine pour installer les services.

Vous pouvez télécharger le msi de « AAD connect » sur le lien : https://www.microsoft.com/en-us/download/details.aspx?id=47594

 

Une fois le téléchargement terminé, nous exécutons l'installation :

Pages

S'abonner à RSS - Windows 2012