Afin de protéger son environnement, il est utile d'installer un antivirus y compris sur vos contrôleurs de domaine. Il est déconseillé de naviguer sur internet depuis les contrôleurs de domaine. Néanmoins certains fichiers doivent être exclus. Les dossiers ci-dessous en font partis :
Mon premier livre sur Active Directory est maintenant disponible sur BecomeITExpert.
Ce livre numérique vous permet de découvrir l'installation et la gestion des domaines Active Directory au quotidien. Il vous propose de découvrir Active Directory avec une approche progressive qui vous permettra de réaliser un environnement de test que vous pourrez faire vivre tout au long de votre lecture. Il est disponible sur BecomeITExpert en utilisant le lien ci-dessous :
Le compte « krbtgt » dans Active Directory est un compte du domaine particulier qui est désactivé par défaut. Le mot de passe de ce compte est utilisé pour générer les tickets pour l'authentification Kerberos. Il ne faut donc surtout pas le supprimer. Néanmoins son mot de passe est lié à la sécurité et en plus il ne change jamais. Ce compte conserve par défaut les 2 derniers mots de passe dans son historique, donc si vous le modifiez les tickets générés avec l'ancien mot de passe restent valide, les nouveaux tickets utilisant le nouveau mot de passe.
Dans cet article nous allons voir comment utilisé les autorisations sélectives dans les relations d'approbation entre deux environnements Active Directory. Pour cela nous allons utiliser 2 forêts Active Directory « lab1.lan » et « lab2.lan ». Le domaine « lab1.lan » utilise la plage d'adresse « 172.21.x.x » et le domaine « lab2.lan » la plage « 172.22.x.x ». Les deux sous réseaux sont reliés par un routeur et il n'y a pas de filtrage. Si vous voulez sécuriser les liens entre les réseaux vous pouvez utiliser le lient suivant afin de filtrer les ports :
Dans cet article nous allons voir un problème de réplication du dossier Sysvol. Nous disposons de 2 Contrôleurs de domaine « LAB1dc1.lab1.lan » et « LAB1dc2.lab1.lan ». Les 2 contrôleurs de domaines sont en Windows 2012 R2. Les 2 serveurs n'ont pas répliqués depuis une période assez longue.
Comme pour la réplication de l'annuaire Active Directory, la réplication du dossier Sysvol avec les services DFS-R peut générer une erreur lorsque le contrôleur de domaine n'a pas pu répliquer le contenu du dossier Sysvol depuis un certain temps.
Dans cet article nous allons voir un problème de réplication Active Directory. Nous disposons de 2 Contrôleurs de domaine « LAB1dc1.lab1.lan » et « LAB1dc2.lab1.lan ». Les 2 contrôleurs de domaines sont en Windows 2012 R2. Les 2 serveurs n'ont pas répliqués depuis une période assez longue et supérieur au « TimeTombStoneLifeTime ».
Alors que la sortie de la version de Windows Server 2016 devrait bientôt être annoncée, nous allons dans cet article présenté une des nouveautés d'Active Directory. Cette nouvelle fonctionnalité permet d'ajouter un membre dans un groupe pour une durée déterminée. Comme pour la corbeille Active Directory, il s'agit d'une option qui n'est pas activée par défaut.
En ce qui concerne les prérequis il faudra augmenter le niveau fonctionnel de la forêt à Windows 2016. Pour le moment il s'agit du niveau « Windows Server Technical Preview » en attendant la sortie officielle du produit.
Dans l'exemple ci-dessous nous allons voir comment utiliser PowerShell pour vérifier la réplication de l'annuaire Active Directory.
Dans cette exemple nous utilisons 3 contrôleurs de domaine : le premier en 2008r2, le second en 2012r2 et le dernier en Windows 2016 Technical Preview 5.
Le script ci-dessous recherche l'ensemble des contrôleurs de domaine du domaine et retourne un fichier csv indiquant pour chaque contrôleur de domaine, le partenaire de réplication, le résultat de la dernière réplication et la date de la dernière réplication correcte.
Dans les étapes précédentes nous avons vu comment préparer et installer les services de synchronisations Active Directory avec Azure (Azure Active Directory Connect ). Nous avions installé les services sur un serveur membre du domaine. Sur ce serveur nous allons voir :
Comment afficher ou modifier la configuration actuelle
Comment vérifier si la synchronisation fonctionne
Après avoir installé et configuré Azure Active Directory Connect vous trouverez entre autre les applications suivantes :
Dans ce nouveau tutoriel nous allons voir comment ajouter un attribut dans le catalogue global. Le catalogue global est une fonctionnalité importante des services de domaines Active Directory. Nous pouvons citer par exemple la messagerie Exchange qui ne peut fonctionner correctement si le serveur de messagerie ne peut joindre un catalogue global. Son importance est encore plus grande dans une forêt contenant plusieurs domaines Active Directory. Le catalogue global est une sorte de base de données « d’index » qui recense l’ensemble des objets de la forêt.
IMPORTANT : cette documentation explique comment supprimer un domaine lorsqu'il n'y a plus de contrôleur de domaine disponible. En cas d'erreur la seule option disponible est la restauration de l'ensemble de la forêt à l'aide des sauvegardes de l'état du système. L'opération n'étant pas anodine je vous conseille de lire l'ensemble de l'article avant de vous lancer sur le sujet.
Dans notre exemple nous disposons d’un domaine racine « lab1.lan » et d’un domaine enfant « lab2.lab1.lan » et d’un troisième « lab4.lan ».
Utilisateurs et Ordinateurs Active Directory : utiliser les requêtes enregistrées
Dans cet article nous allons voir comment utiliser les requêtes enregistrées de la console « utilisateurs et ordinateurs Active Directory ». La recherche simple permet de retrouver un utilisateur rapide par son nom ou son prénom ou une partie d’un de ses éléments. Par exemple dans l’image ci-dessous en utilisant « lem » on retrouve « Bruno Lemur »
Dans cet article nous allons voir comment utiliser la commande « get-aduser » pour rechercher des comptes ou réaliser un export personnalisé en csv.
La première commande permet de retrouver le compte dont le login est « pdupont ». Il peut y avoir aucune ou une réponse mais il ne peut y avoir plusieurs utilisateurs avec le même login.
Dans l’article précédent nous avions vu qu’il n’y a qu’une stratégie de groupe qui va fixer les stratégies de mot de passe pour l’ensemble du domaine. Néanmoins depuis Windows 2008, si vous souhaitez appliquer une stratégie de mot de passe différente pour des utilisateurs ou des groupes d’utilisateurs il est possible de créer des stratégies de mots de passe affinées. A la différence de la stratégie par défaut du domaine elle n’est pas configurée dans les stratégies de groupes mais directement dans l’annuaire Active Directory dans la partition du domaine.
Pour ce nouvel article nous allons nous intéresser à gestion de la stratégie de mot de passe dans un domaine Active Directory. L’environnement utilisé pour réaliser cet article est composé d’une forêt mono-domaine Active Directory : « AD1.local ». L’environnement est géré par 2 contrôleurs de domaines en Windows 2012 R2 : « W2012R2DC1 » et « W2012R2DC2 ».
Dans cet article nous allons voir la mise à jour d’un schéma Active Directory dans un environnement à plusieurs sites. Nous parlerons des problèmes liés à la latence de réplication ainsi que de quelques bonnes pratiques.
Je vous conseille de suivre le Webcast ci-dessous présenté lors des Tehdays 2014 à Paris :
Dans cete article nous allons présenter l’outil « Active Directory Replication Status Tool ».
Il est téléchargeable à l’adresse « http://www.microsoft.com/en-us/download/details.aspx?id=30005». Il peut s’installer sur un poste client, il n’est pas nécessaire de l’installer directement sur le contrôleur de domaine. Si vous souhaitez installer en plus les outils de gestion de serveurs vous pouvez suivre le lien http://pbarth.fr/node/100 .
Dans cet article je vais vous parler de l’audit Windows et de l’intérêt de sa mise en œuvre dans un domaine Active Directory. L’audit est un élément complexe à appréhender et rarement configuré dans les PME. Les paramètres appliqués sont souvent les paramètres par défaut. Le premier élément à prendre en compte est qu’il n’est pas évident de déterminer le profit que l’on peut en retirer. Le deuxième élément est que le sujet n’est pas simple à préparer. En effet au moment de sa mise en place il est difficile d’estimer quels éléments on souhaitera retrouver.
Dans la partie restauration d’Active Directory ( http://pbarth.fr/node/68 ), j’expliquais comment effectuer une restauration Authoritaire Sysvol pour les domaines ayant été créé avec un niveau fonctionnel inférieur à 2008 (réplication NTFRS). L’opération consistait à modifier une valeur de registre « Burflags » et ensuite à redémarrer le service « NTFRS », comme décrit dans cet article : http://support.microsoft.com/kb/290762/fr.
Par défaut sur Windows 2008 et supérieur, lorsque vous créez et modifier une stratégie de groupe, le serveur utilise les modèles d’administration définie dans le dossier « c:\windows\PolicyDefinitions » du contrôleur de domaine.
Pour ceux d’entre vous qui ont connu les domaines NT4, vous vous rappeler sans doute qu’il existait un contrôleur de domaine primaire (en lecture-écriture) et des contrôleurs de domaines secondaires en lecture. Depuis le passage à Active Directory il reste toujours le rôle FSMO d’émulateur PDC qui permettait à un contrôleur de domaine Active Directory de coexister avec des contrôleurs secondaires NT4. De ce fait la première fois que vous avez entendue parler des RODC (apparu avec Windows 2008), vous vous êtes sans doute poser la question si ce n’est pas une forme de retour en arrière.
Dans cet article nous allons voir comment créer un site Active Directory et lui associer un sous-réseau. La notion de site permet de gérer la situation géographique d’un domaine Active Directory.
Nous définirons donc un site comme un ensemble de sous réseau connecté avec des liaisons rapides. Certains domaines peuvent exister sur plusieurs sites et certains sites peuvent contenir plusieurs domaines.
ADMT permet également de migrer des ordinateurs vers le nouveau domaine. Vous me direz sans doute que vous pouvez sortir l’ordinateur de l’ancien domaine pour l’intégrer dans le nouveau.
Dans ce cas-là un certain nombre d’éléments ne seront pas repris. Par exemple si votre ordinateur contient des partages de Fichier, ADMT va automatiquement remplacer les permissions NTFS (ACL) par les SID des objets du nouveau domaine. De même les profils sont migrés par ADMT.
Afin de pouvoir migrer les mots de passe lors de la migration ADMT, il nous faut installer un outil sur le contrôleur de domaine de l’ancien domaine permettant d’exporter de manière sécurisé les mots de passe et de les transmettre à l’outil ADMT. Pour protéger ces communications il est nécessaire de créer une clé sur le serveur ADMT destinataire de l’information et de réutiliser cette clé sur le serveur source où nous installerons PES.
Pour cela nous ouvrons une « invite de commande » en mode administrateur sur le serveur ADMT.
Il arrive que l’on rencontre des situations où il est nécessaire de revoir l’ensemble de l’organisation. C’est le cas par exemple lors de la fusion ou de la scission d’une entreprise. Il s’agit d’une opération de migration des objets Active Directory d’un domaine vers un autre.
L’outil de migration Active Directory Migration Tool permet d’effectuer cette opération.
Dans cet article nous verrons comment déployer un contrôleur de domaine sur un site distant, avec une bande passante faible en créant un support d’installation pour l’Annuaire AD évitant la copie de l’annuaire par le réseau lors de la promotion du DC.