TuxWin - Active Directory

Installation de Windows 2008 Server en tant que controleur de domaine

Pierre — Thu, 31 Jul 2008 15:24:00 +0200

Suite à l’article « migration d’active directory 2003 2008 » nous allons voir comment installer un contrôleur de domaine en Windows 2008 Server.

Pré requis :
Pour l’installation du contrôleur de domaine 2008 il faut bien sur que ce soit un serveur membre du domaine.

Installation :
Ensuite il faut le promouvoir en tant que DC avec cette commande :

  dcpromo

On va utiliser le mode avancé et ensuite on clique sur suivant

On clique sur suivant

Donc là on veut ajouter un contrôleur de domaine à un domaine existant et on fait suivant. Au passage on voit de nouvelle options qui apparaissent (Ceci est du au mode avancée du dcpromo).

Donc la on tape le nom de domaine sur lequel on veut rajouter le DC et on fait suivant

Là on choisit le bon domaine et on clique sur suivant

On sélectionne son site et on clique sur suivant

Donc là on coche Serveur DNS et Catalogue Global et ensuite on clique sur suivant. Ici on voit que l’installation d’un RODC n’est pas possible tant qu’aucun Server 2008 n’est installé …

Donc n’ayant pas de problème de bande passante ou de problématique de sites éloignés je choisis de répliquer les données sur le réseau mais vous pouvez tout à fait répliquer à partir d’une sauvegarde comme ça il n’y aura qu’une réplication incrémentielle des données.

Ensuite on a le choix de sélectionner le DC à partir duquel les donnés vont être répliqué et ensuite on clique sur suivant

On va laisser par défaut et on clique sur suivant

Entrer le mode de passe de restauration des services d’annuaires et cliquer sur suivant

On remarque que l’on peut importer un fichier texte qui contient tous les paramètres de l’installation ce qui est pratique quand on veut faire par la suite des installations automatisés

Et donc voilà maintenant il ne vous reste plus qu’à désinstaller les DC en 2003 Server pour tous les migrer vers 2008 …. Bien sur avant de désinstaller les DC 2003 penser à transférer les rôles FSMO sur les DC 2008.

Migration d'Active directory 2003 vers 2008

Pierre — Tue, 29 Jul 2008 11:57:00 +0200

Voici une procédure pour migrer un domaine Active directory 2003 en 2008.

Tout d’abord il est conseillé d’avoir des systèmes à jour lors de la migration et d’être en mode natif sur vos 2003 Server. Moi je suis parti d’une version 31 (2003 R2) du schéma pour la mettre à jour en 44 (2008 Server). La migration en elle-même est assez simple car il n’y a pas de nouveautés majeures par rapport aux anciennes méthodes de migration.

1ère Étape :

Il faut tout d’abord commencer par migrer le schéma Active directory, pour cela il faut se mettre sur le contrôleur de domaine qui a le rôle contrôleur de schéma. Pour plus d’informations sur les rôles c’est ici. Il faut bien penser à arrêter les réplications Active directory pendant la mise à jour.
Ensuite il faut exécuter la commande suivante :

  Adprep.exe /forestprep

Une fois la mise à jour effectuée redémarrer les réplications pour que la mise à jour du schéma se propage et vérifier que les modifs sont bien répliqués sur les autres contrôleurs (Replmon dans les support tools).

2ème Étape :

Il faut ensuite migrer les domaines en se mettant sur le contrôleur de domaine qui à le rôle maitre d’infrastructure.
Il faut exécuter la commande suivante :

  Adprep.exe /domainprep

Ensuite on va mettre à jour les stratégies de groupe pour profiter des nouvelles fonctionnalités (stratégie de mot de passe …) avec la commande suivante :

  Adprep.exe /domainprep /gpprep

Ensuite si vous voulez intégrer par la suite des RODC (Contrôleur de domaine en lecture seule) Il faut executer la commande suivante :

  Adprep /domainprep /rodcprep

Et voilà nous voilà avec une version de schéma en 44 (Windows 2008 Server) donc maintenant il ne manque que des contrôleurs de domaine en Windows 2008 Server …. (Vérification de la version)

Restauration d'un utilisateur AD

Pierre — Fri, 25 Jul 2008 16:10:00 +0200

Voici un petit tuto pour la restauration d'un utilisateur. Cette méthode peut être utilisée pour d'autres objets AD bien sur ...

La restauration dans ce cas comporte deux étapes :

1ère Étape : La restauration de System State

Pour cela il faut redémarrer le contrôleur de domaine en mode restauration d'active directory (F8 au démarrage)
Ensuite il faut se logguer avec le compte de restauration qui a été définis lors de la promotion du serveur.
Ensuite on lance NTBACKUP par exemple et ensuite il faut remonter la sauvegarde la plus récente ou l'utilisateur existe.
Attention pas de sauvegarde de plus de 60 jours (Table tombstone)
Une fois la restauration terminée vérifier bien les logs de restauration pour voir qu'il n'y a pas eu de problème.

2ème Étape : La restauration Authoritative de l'objet

Cette restauration est obligatoire si on ne veut pas que l'utilisateur soit supprimé par un autre DC lors de la réplication au redémarrage des services AD.
Pour faire cette restauration on va utiliser dans une invite de commande :

  NTDSUTIL

Dans ntdsutil on tape :

  Authoritative restore

Ensuite il faut taper le chemin complet pour restaurer l'objet Utilisateurs :

  Restore object "CN=bart simpson,OU=Utilisateurs,DC=tuxwin,DC=net"

Donc là on va voir que l'objet a bien été incrémentée dans la base donc il sera répliqué vers les autres DC et non écrasés. Rebootez et vérifier les réplications (repadmin et replmon)

Défragmentation de base Active directory

Pierre — Fri, 25 Jul 2008 09:17:00 +0200

La défragmentation d'une base de données active directory doit se faire de temps en temps car lors d'important changement de l'AD comme des modifications massives d'utilisateurs ou de création ou suppression d'utilisateurs la base se fragmente et l'on perd en temps d'accès et en espace disque pour les grosses bases AD.

Il existe deux types de défragmentation :

La défrag Online
La défrag Offline

La défrag Online s'effectue toutes les 12 heures automatiquement. c'est une valeur par défaut. Elle sert à optimiser la table tombstone mais sa taille reste la même.

La défrag Offline s'effectue manuellement et nécessite une interruption de service. Elle sert à optimiser la table tombstone et à la compacter.

Mise en application de la défrag Offline

Tout d'abord une petite sauvegarde de l'AD serait pas du luxe ...
Donc il faut démarrer le contrôleur de domaine en Mode restauration Active Directory(F8 au boot)
Ensuite lancer une invite et tapez :

Donc là on voit le processus de défragmentation

Donc là on a compacté la base NTDS.DIT dans C:/temp donc maintenant il faut le remettre à sa place :

Ensuite il faut rebooter le serveur en mode normal ....

Note : Il faut effectuer cette défragmentation sur tous les contrôleurs de domaines existants car il n'y a pas de réplication de la défrag.

Activer dhcp en VBS

Pierre — Fri, 20 Jun 2008 08:22:00 +0200

Voici un petit script VBS qui permet d'activer le dhcp sur un poste (192.168.8.56) :

 strComputer = "192.168.8.56"
 Set objWMIService = GetObject("winmgmts:" _
 & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
 Set colNetAdapters = objWMIService.ExecQuery _
 ("Select * from Win32_NetworkAdapterConfiguration where IPEnabled=TRUE")
 For Each objNetAdapter In colNetAdapters
 errEnable = objNetAdapter.EnableDHCP()
 Next

Connection imprimante en VBS

Pierre — Thu, 19 Jun 2008 15:53:00 +0200

Voici un petit script qui permet de connecter des imprimantes et de les définir par défaut :

 Dim net
 Set net = CreateObject("WScript.Network")
 net.AddWindowsPrinterConnection "\\serv\Printer"
 net.SetDefaultPrinter "\\serv\Printer"

GPO pour rajouter ses sites intranet

Pierre — Wed, 28 May 2008 08:02:00 +0200

Pour pouvoir rajouter ses sites intranet dans la configuration d'IE il faut se rendre dans GPMC, ouvrir la configuration utilisateur, ensuite modèles d'administration, composants windows, internet explorer, panneau de configuration internet, Onglet sécurité et là il y a une GPO qui s'appelle Liste des attributions de sites aux zones. Pour rajouter des adresses intranet il suffit de cliquer sur ajouter de mettre l'adresse et d'entrez la valeur correspondant à la zone (1,2,3,4).

Les différentes zones :

1 : zone intranet
2 : zone sites approuvés
3 : zone internet
4 : zone sites sensibles

Par exemple si vous voulez rajouter votre réseau local dans la zone intranet vous pouvez mettre dans le nom de l'élément à ajouter : *.domaine.com et dans la valeur de l'élément à ajouter : 1 pour zone intranet (Vous pouvez tout aussi bien entrer une adresse IP)

Note : Attention à ne pas appliquer cette GPO au serveur qui eux ont la sécurité renforcée d'internet explorer activé ce qui va poser quelques problèmes.

Version du schéma AD

Pierre — Wed, 14 May 2008 13:57:00 +0200

Comment voir la version du schéma Active directory et quelles sont les changements entre les versions

Pour vérifier la version du schéma il faut aller dans le registre :

La clé schéma Version se trouve dans :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

Ou on peux consulter la version du schéma en vérifiant la valeur de l'attribut objectVersion de cn=Schema,cn=Configuration,dc=X dans votre Active Directory en utilisant un outil tel qu'ADSIEdit

Les valeurs du schéma sont :

13=Microsoft Windows 2000
30=Version d'origine de Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
31=Microsoft Windows Server 2003 R2
44=Microsoft windows Server 2008

Pour info voici les ajouts d'attributs depuis 2003 server :

Windows Server 2003 avec 208 attributs ajoutés par rapport 2000 et 49 classes ajoutées
Windows Server 2003 R2 avec 81 attributs ajoutés par rapport 2003 et 29 classes ajoutées
Windows Server 2008 avec 136 attributs ajoutés par rapport 2003 R2 et 10 classes ajoutées

note : la version de l'outil ADPrep.exe appropriée pour Windows Server 2003 R2 est 5.2.3790.2075.

Sauvegarde et restauration d'AD

Pierre — Tue, 13 Nov 2007 11:24:00 +0100

Sauvegarder et restaurer un Active directory

La sauvegarde

Sous Windows 2000 et 2003 Server, la sauvegarde de l'annuaire est relativement simple à mettre en œuvre. Elle consiste principalement à sauvegarder l'Etat du système (System State), qui contient la copie d’Active Directory sur le contrôleur de domaine, ainsi que les données réparties dans la base de registre et le répertoire SYSVOL (contenant notamment la partie fichier des GPOs ainsi que les divers scripts de connexions).On peux prendre NT Backup qui le fait très bien

La restauration

Il existe deux modes de restauration de Active Directory : restauration non-forcée (non-authoritative restore) ou forcée (authoritative restore). La restauration non-forcée n'offre que très peu d'intérêt car elle ne constitue pas une solution de restauration des objets, ceux-ci étant écrasés lors de la réplication. La restauration forcée, en revanche, permet que les objets restaurés prennent le dessus sur leur image dans l'Active Directory en production. Par conséquent, dans le cas de suppression d’objets, c’est LA solution à mettre en œuvre car elle permet de revenir en arrière.
Toutefois, sous Windows 2000, la restauration forcée entraîne une interruption de service car le contrôleur de domaine doit être redémarré dans un mode spécifique. En outre, cette opération prend plusieurs heures et est délicate.

Windows Server 2003

Windows Server 2003 offre désormais la possibilité de restaurer des objets supprimés en ligne. En effet, bien que Windows Server 2003 n’offre pas de fonctionnalité de type « Corbeille » comme le fait l’explorateur Windows, les objets supprimés ne sont pas véritablement effacés d’Active Directory. Afin de garantir, notamment, que la synchronisation de l’ordre d’effacement de l’objet soit transmise à tous les contrôleurs de domaine, Windows Server 2003 positionne l’objet en cours de suppression dans un container particulier, change certains attributs et marque l’objet comme étant en cours de suppression. Puis, l’ensemble des objets ainsi en cours de suppression (ou Tombstoned) sont conservés en l’état pendant 60 jours par défaut. Après cette période, les objets sont réellement supprimés d’Active Directory.
En outre, Windows Server 2003 dispose désormais d’appels de fonctions documentés et supportés pour accéder à ce container des objets supprimés mais également d’une fonction pour réactiver les objets, appelée Tombstone Reanimation. L’ensemble de ces opérations peut être effectué en ligne, sans arrêter le serveur.
Cette solution est idéale pour gérer les cas de récupération d’urgence des suppressions ou modifications malencontreuses. Toutefois, les risques d'erreurs humaines sont nombreux et la restauration d'un sous-arbre demeure délicate. Par exemple, pour une OU, l'interface étant en ligne de commande, il faudra connaître le chemin exact de l'OU à restaurer. Pour la restauration de quelques objets supprimés, l'opération s'avère encore plus délicate car il faudra connaître le chemin complet de tous les objets à restaurer. Mais le plus important est peut-être que certains attributs sont perdus lors de la mise en pierre tombale (container) des objets. En effet, Active Directory conserve notamment le SID, le GUID, ainsi que le dernière OU d’appartenance. Or, si ces informations sont suffisantes pour les activités de synchronisation de l’ordre de suppression, elles sont insuffisantes pour réactiver l’objet et le réanimer dans Active Directory.

A vous de voir !!

Install DC Supplémentaire

Pierre — Tue, 13 Nov 2007 10:44:00 +0100

Me confrontant aujourd'hui à l'install d'un DC supplémentaire dans mon domine AD existant voici une petite procédure

Etapes préliminaires :

•Vérifier la connectivité, ping …..
•Vérifier la résolution de noms, nslookup ….
•Installer le nouveau serveur en tant que serveur membre du domaine

Vif du sujet :

•Promouvoir le serveur membre en tant que contrôleur de domaine supplémentaire, pour cela aller dans « démarrer », « exécuter » et lancer la commande dcpromo et ensuite il faut suivre les étapes une par une

Le compte Administrateur du domaine fera l'affaire !

Cliquer sur parcourir pour rechercher le nom du domaine (plus sûr)

Moi je laisse par défaut, à votre guise de modifier

Pareil je laisse par défaut

Et voilà après quelques minutes ou quelques heures suivant la taille de votre base AD un nouveau controleur de domaine est présent sur votre réseau, après reste à vous de voir quels roles il aura (Explication des roles)

•Ensuite redémarrer le DC en vérifiant bien que les réplications avec les autres DC se sont bien passés dans « sites et services Active Directory », au pire il faut forcer la réplication en faisant « répliquer maintenant » sur le DC qui vient d’être promu. Si les réplications ne se passent pas bien alors vérifier un élément essentiel c’est le pare-feu en ouvrant des ports pour la réplication (vous pouvez choisir ces ports TCP en modifiant une clé de la base de registre.

•Exemples :
Vous pouvez choisir deux nombres (par exemple 53211 et 53212) qui ne sont pas utilisés sur aucun contrôleurs de domaine. Vous pouvez utiliser tout numéro entre 49152 et 65535. Le netstat -a -o -n de commande répertoriera les tous ports ouverts actuellement. Sur tous contrôleurs de domaine de la forêt il faut ajouter les valeurs de Registre suivantes:
Port HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\TCP/IP
DWORD contenant le nombre TCP sélectionné pour la réplication (53211 cfdb (hex) par exemple) Active Directory Affectation HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\ Parameters\RPC TCP/IP de ports
DWORD contenant le nombre TCP sélectionné pour FRS (53212 cfdc (hex) par exemple)

Microsoft Active Directory Topology Diagrammer (ADTD.exe)

Pierre — Tue, 16 Oct 2007 17:20:00 +0200

Petit logiciel pour créer rapidement une synthèse de votre topologie Active Directory

Bien sur en ayant les droits administrateurs du domaine pour permettre à ce logiciel de créer des fichiers .VSD (Visio) de la topologie de vos sites, de vos relations d'approbations ......

Il y a bien sur de nombreuses options pour affiner les recherches sur sa topologie (requetes sur les Users, Groupes, ....)

Voici une capture d'écrans pour avoir une petite idée de ce logiciel assez sympas et pratiques

Bonne utilisation ...

Outils de Gestion AD

Pierre — Tue, 28 Aug 2007 17:24:00 +0200

Voici quelques outils pratiques pour manipuler l'AD

Adprep

Cette commande permet de préparer le schéma et les domaines d’une foret active Directory Windows 2000 à la mise a jour vers l’Active Directory de Windows 2003. Il se trouve sur le CD Rom d’installation de Windows 2003 Server, dans le répertoire I386 Cette commande dispose de deux commutateurs familiers au administrateurs Exchange :

/forestprep : permet de préparer le schéma Active Directory (le met a jour et le passe en version 30). Cette commande doit être lancée depuis le DC qui a le rôle de maître du Schéma pour le domaine via un compte membre des groupes Administrateurs du Schéma et Administrateurs de l’entreprise. En outre, ce même DC doit avoir au minimum le SP2 d’installer.
/domainprep : permet de préparer un domaine à la mise a jour vers Windows 2003. (Comme pour Exchange, beaucoup moins long qu’avec /forestprep).Cette commande doit etre lancée depuis le DC qui a le rôle de maître d’infrastructure pour le domaine avec un compte membre du groupe administrateurs de l’entreprise ou Admis du domaine du domaine concerné.

Dsadd.exe

Cet outil permet d’ajouter un objet (utilisateur, contact, groupe, ordinateur ou Unité d’organisation) dans AD. Par exemple, pour créer l’OU Qualite dans test.lan, nous utiliserons :

Dsadd ou OU=Qualite, DC=test, DC=LAN –desc « Personnel du pole qualité »

Pour créer un utilisateur dans l’OU Recherche, nous utiliserons :

Dsadd user «CN= toto SKY, OU=Recherche, DC=test, DC=LAN » -samid tsky –upn=toto.sky@test.lan –fn toto –mi ts –ln SKY –desc « Responsable Pole Recherche » –pwd 1234567

Dsmod.exe

Cet outil permet de modifier les propriétés d’un objet (utilisateur, contact, groupe, ordinateur ou Unité d’organisation) présent dans AD. Pour ajouter un utilisateur au groupe « Labo-admins (localisé dans l’OU Security-Groups) »:

Dsmod group « cn=Labo-Admins, OU=Security-Groups, DC=test, DC=LAN » -addmr « CN= toto sky, OU=Recherche, DC=test, DC=LAN »

Pour que le contrôleur de domaine LABO-DC1 devienne Catalogue global (taper cette commande est bien moins long que d’aller dans la console Site et Services Active Directory…):

Dsmod server «CN=labo-dc1,CN=Servers,CN=Premier_site_par_defaut,CN=Sites,CN=Configuration,DC=test,Dc=lan» -isgc yes

Pour désactiver un compte d’utilisateur, on pourra taper :

Dsmod user « CN= toto SKY, OU=Recherche, DC=test, DC=LAN » -disabled yes

Dsquery.exe

Cet outil permet de faire des recherches d’objets dans la base AD. Le premier paramètre de dsquery est le type d’objet que vous recherchez. Cela peut etre : Computer, Contact, Group, OU, Site, Server, User, Quota, Partition, * Par exemple, pour rechercher tous les objets contenus dans l’OU Formation, nous devons taper :

Dsquery * ou=formation, dc=test, dc=lan

Dsget.exe

Cet outil permet d’afficher les attributs d’un objet AD (utilisateur, contact, groupe, ordinateur ou Unité d’organisation). Apres un DSQUERY, on peut avoir besoin d’afficher les propriété d’un des objets retournés. Le premier parametre est ici aussi le type d’objet (ils different de ceux de dsquery) : Computer, Contact, Group, OU, Site, Server, User, Subnet Par exemple, la liste des groupes dont il est membre, on pourra taper :

Dsget user cn=toto SKY2, ou=formation, dc=test, dc=lan –memberof

Dsmove.exe

Cet outil permet de déplacer un objet (utilisateur, contact, groupe, ordinateur ou Unité d’organisation) d’un conteneur à un autre ou de renommer un objet. Pour déplacer le compte de toto SKY2 depuis l’OU Recherche vers l’OU Formation, nous taperons :

Dsmove « CN= toto SKY2, OU=Recherche, DC=test, DC=LAN » -newparent OU=Recherche, DC=labo-microsoft, DC=LAN

Pour renommer l’OU qualite en « Qualité », on tapera :

Dsmove « OU=qualite, DC=test, DC=LAN » -newname OU=Qualité

Dsrm.exe

Permet de supprimer des objets dans la base AD. Pour supprimer le compte de toto SKY , nous pourrons taper :

Dsrm « CN= toto SKY, OU=Recherche, DC=test, DC=LAN »

Pour vider le contenu de l’OU Formation (tous les objets et toutes les OU qu’elle peut contenir) sans la supprimer et sans qu’il y ai de message d’avertissement, on tapera :

Dsrm « OU=Formation, DC=test, DC=LAN » -subtree –exclude –noprompt

(le parametre –exclude ne peut etre utilisé qu’en combinaison avec –subtree et permet de concerver l’OU formation. Si on l’avait omis, l’OU Formation aurait également été supprimée)

DNSLint

DNSLint. L’utilitaire DNSLint de Support Tools est un outil peu connu qui permet de diagnostiquer des problèmes DNS courants liés à une délégation incorrecte ou à des enregistrements DNS incorrects ou manquants pour un domaine. Si vous le choisissez ainsi, DNSLint peut traverser tout le domaine et tous les serveurs DNS qu’il contient, pour traquer des erreurs dans la structure DNS. Comme la plupart des utilitaires mentionnés dans cet article, DNSLint offre des options uniques. Dans de nombreux cas où l’on a un domaine de test (ou domaine interne), vous pourrez utiliser l’option /s DNS server IP address parce qu’elle contourne une consultation du domaine par Internet. DNSLint crée un report HTML de sortie appelé dnslint.htm. Si vous voulez une sortie sous forme de texte au lieu du format HTML par défaut (peut-être parce que vous envisagez d’utiliser un script pour traiter la sortie), vous pouvez spécifier les options /t et /no_open.

Cependant, DNSLint donne toute sa mesure quand on utilise l’option /ad pour conduire des tests AD DNS. L’option /ad lance une batterie de requêtes liées à l’AD, à propos des inscriptions (registrations) GUID appropriées pour les DC de la forêt, les enregistrements Start of Authority (SOA) et Name Server (NS) et l’inscription (registration) des enregistrements SRV. Cette option doit s’accompagner de l’adresse IP d’un DC ayant autorité sur le domaine racine de la forêt. Il faut aussi utiliser l’option /s pour contourner InterNIClookup – généralement, on utilisera la même adresse IP que celle du serveur que l’on utilise pour l’option /ad, de sorte que la commande se présentera ainsi :

dnslint /ad 192.168.1.51 /s 192.168.1.51

L’option vérifie aussi la présence d’enregistrements « glue » DNS qui sont des enregistrements A dans le domaine racine qui localisent les serveurs DNS ayant autorité sur les domaines enfants. Si vous voulez personnaliser DNSLint en spécifiant certains serveurs DNS et certains tests, vous pouvez utiliser l’option /ql. Si vous ajoutez autocreate après /ql, DNSLint créera un fichier d’entrée modèle nommé in-dnslint.txt sur lequel vous pourrez construire.

Dsrevoke

Peut-être avez-vous déjà accordé des permissions à un utilisateur ou à un groupe (disons avec le wizard Active Directory Delegation of Control) quelque part dans un domaine. Mais, maintenant, vous devez révoquer ces permissions. Il serait fastidieux de rechercher dans le domaine et de supprimer les principaux de sécurité. Pour l’essentiel, Dsrevoke « défait » les actions du wizard Delegation of Control ou de son équivalent. Vous pouvez utiliser :

dsrevoke /report <security principal>

pour générer un rapport des ACE (access control entries) qui ont été définies sur tous les objets de domaine et d’OU sous la racine du domaine. Supposons que l’utilisatrice Barbara Seville ait été autorisée à créer, gérer et supprimer des comptes utilisateur dans l’OU Staff.Pour supprimer ses permissions, il suffit de changer l’option /report en /remove. Dsrevoke affichera ses permissions, comme avec /report, puis confirmera la suppression. Entrez Y pour Yes pour supprimer ses ACE.

A noter que, comme le Delegation of Control Wizard, cet outil ne vaut que pour les permissions accordées sur l’OU ; si vous avez accordé des permissions explicitement à des objets ou à des conteneurs (comme Computers) au lieu de laisser les objets hériter des permissions de l’OU, vous devrez supprimer les permissions vous-mêmes.

DCGPOFix et Recreatedefpol

En cas de problèmes sérieux avec les GPO (Group Policy Objects) par défaut dans votre domaine – la stratégie de domaine par défaut et la stratégie des contrôleurs de domaine par défaut – vous pouvez utiliser DCGPOFix de Windows 2003 ou Recreatedefpol de Win2K pour restaurer leur état par défaut. DCGPOFix peut restaurer la stratégie de domaine par défaut (/target: domain), la stratégie de contrôleurs de domaine par défaut (/target:DC) ou les deux (/target:both).

Si vous êtes contraints d’utiliser l’option /target:both, il est probable que ces seuls outils ne suffiront pas pour redresser la situation. Pour vous préparer à une situation délicate où vous auriez perdu un ou plusieurs GPO, tirez parti d’un petit avantage de GPMC (Group Policy Management Console) de Microsoft, qui offre un bel ensemble de scripts ligne de commande et la possibilité d’écrire les vôtres en supplément. Sans travail supplémentaire, vous pouvez sauvegarder et restaurer des GPO individuels ou tous les GPO du domaine, copier les GPO individuels et générer des rapports sur un GPO ou sur tous ceux d’un domaine, dans le format settings bien connu de GPMC. Vous pouvez même sauvegarder tout l’environnement des stratégies de groupe – GPO, paramètres, liens, permissions – dans un fichier XML avec un script modèle et le restaurer avec un autre script.

Repadmin

Repadmin est un pilier de Microsoft PPS (Product Support Services). C’est la base des outils de dépannage de la réplication. Il contient tellement de commandes (59), d’options et de commutateurs, qu’il lui faut pas moins de trois niveaux d’aide. Le commutateur /oldhelp affiche la syntaxe et les options d’origine, dont certaines ont été remplacées par des commandes plus récentes décrites dans le fichier /help. (Les anciennes fonctionnent encore.) Si vous n’approfondissez pas la syntaxe, vous risquez d’utiliser une version moins utile sans jamais le savoir. Par exemple, chaque utilisateur de Repadmin semble découvrir pour la première fois la présence du commutateur /showreps. Il se trouve encore dans Windows 2003, mais une version plus récente - /showrepl – possède une option /errorsonly commode qui dispense de feuilleter des pages d’information sur l’objet-connexion pour trouver des erreurs. Le commutateur /experthelp permet d’accéder aux options Repadmin avancées, non documentées, dangereuses par leur puissance. En fait, le commutateur /experthelp lui-même est non documenté. Les sécurités étant désactivées, vous ne devez tenter ces opérations que dans une forêt de test, tant que vous ne les maîtriserez pas vraiment. (Aucune boîte de dialogue de confirmation ne vous demandera, « Voulez-vous vraiment supprimer ce contexte de nommage ?».) /options est une commande /experthelp particulièrement utile. Elle permet de créer un serveur GC (Global Catalog) par la simple commande:

repadmin /options <dcname> +is_gc

En remplaçant le signe plus (+) par un signe moins (-), on peut inverser l’opération. On peut désactiver la réplication vers un DC par la commande :

repadmin /options <dcname> +disable_inbound_replication

et à partir d’un DC, par la commande :

repadmin /options <dcname> +disable_outbound_replication

On peut aussi utiliser le commutateur /options pour examiner l’état de l’une quelconque de ces opérations, comme suit :

repadmin /options <dcname>

/replsummary est une nouvelle commande Repadmin particulièrement intéressante pour Windows 2003. Cette commande fournit un résumé rapide de l’état de santé de la réplication de tous les DC de votre forêt, dans un format de type table. L’exécution est rapide même dans de grandes forêts et l’on peut ajouter l’option /errorsonly pour limiter la sortie aux seuls DC malades. L’option /bridgeheads donne des détails sur les serveurs bridgeheads. (Sans aucune option, la commande /replsummary fait un compte-rendu sur tous les bridgeheads de la forêt.) L’option /querysites permet de déterminer le coût du lien entre deux sites ou plus dans la forêt. C’est très intéressant pour déterminer la route la moins coûteuse dans une topologie de sites compliquée. Beaucoup d’autres commandes Repadmin vous attendent et le temps que vous passerez à les étudier sera bien employé.

AGDLP

Pierre — Wed, 22 Aug 2007 18:12:00 +0200

Comment organiser l'infrastructure de son Active Directory avec un principe simpliste

Il existe trois types de groupes, chacun pouvant être de sécurité ou de distribution.

En l’absence de BDC NT4, il est possible et conseillé de basculer le domaine en mode natif. Ce basculement irréversible permet d’exploiter totalement les avantages d’Active Directory par rapport aux anciens domaines, en offrant notamment de nouvelles possibilités concernant les groupes dans le domaine.

Groupes Universels

Les groupes universels d’un domaine en mode natif contiennent des comptes d’utilisateur et des groupes globaux provenant de n’importe quel domaine, ainsi que des groupes universels issus d’un domaine de la forêt.

Les groupes universels de type sécurité, appelés groupes de sécurité universels (USG, Universal Security Groups), sont utilisés exclusivement dans les domaines en mode natif ; les groupes universels de type distribution, appelés groupes de distribution universels (UDG, Universal Distribution Groups ), sont utilisés dans les domaines en mode mixte et en mode natif.

Vous pouvez accorder des autorisations aux groupes universels pour tous les domaines de la forêt, indépendamment de l’emplacement du groupe universel.

Les groupes universels ne peuvent pas être convertis dans une autre étendue de groupe.

Les utilisateurs de Microsoft Outlook de n’importe quel domaine voient l’appartenance complète.

L’appartenance ne doit jamais être récupérée des contrôleurs de domaine distants.

Les modifications d’appartenance génèrent la réplication vers d’autres serveurs du catalogue global.

Groupes Globaux

Les groupes globaux des domaines en mode natif contiennent des comptes d’utilisateur et des groupes globaux provenant du même domaine.

Les groupes globaux des domaines en mode mixte contiennent des comptes d’utilisateur provenant du même domaine.

Vous pouvez accorder des autorisations aux groupes globaux de tous les domaines de la forêt, indépendamment de l’emplacement du groupe global.

Un groupe global d’un domaine en mode natif peut être converti en groupe universel s’il n’appartient pas à un autre groupe global.

Les groupes globaux contiennent uniquement des objets destinataires provenant du même domaine.

L’objet groupe figure dans le catalogue global, contrairement à l’appartenance au groupe.

Les utilisateurs de Microsoft Outlook d’autres domaines ne peuvent pas afficher l’appartenance complète.

L’appartenance au groupe doit être récupérée sur demande si l’extension a lieu dans un domaine distant.

Groupes Locaux

Dans un domaine en mode natif, les groupes contiennent des comptes d’utilisateur, des groupes globaux et des groupes universels issus de n’importe quel domaine de la forêt, ainsi que des groupes de domaine locaux issus du même domaine.

Dans un domaine en mode mixte, les groupes contiennent des comptes d’utilisateur et des groupes globaux issus de n’importe quel domaine.

Vous pouvez attribuer des autorisations aux groupes de domaine locaux, uniquement sur les objets du domaine dans lequel le groupe de domaine local existe. Vous ne pouvez pas accorder d’autorisations aux ressources du réseau ou aux dossiers publics d’autres domaines.

Vous pouvez convertir un groupe en groupe universel lorsque celui-ci existe dans un domaine en mode natif, étant entendu qu’il n’existe pas d’autre groupe de domaine local imbriqué.

L’objet groupe figure dans le catalogue global, contrairement à l’appartenance au groupe.

Les utilisateurs Microsoft Outlook® des autres domaines ne peuvent pas afficher l’appartenance complète.

L’appartenance au groupe doit être récupérée sur demande si l’extension a lieu dans un domaine distant.

Permissions

Pour attribuer des permissions à des utilisateurs sur une ressource, vous devrez respecter des règles de gestion qui simplifient les tâches d’administration, particulièrement lorsqu’il existe un grand nombre d’utilisateurs, de groupes et de permissions.

Pour donner des permissions sur une ressource donnée, il est recommandé de suivre exactement cet ordre :

1) Placer d’abord les utilisateurs de chaque domaine dans un groupe global appartenant à leur domaine.

2) Placer ces groupes globaux dans un ou plusieurs groupes de domaine local appartenant à la ressource.

3) Attribuer les permissions à ce ou ces groupes de domaine local.

Vous devez privilégier cette procédure même dans le cas d’un domaine unique.

Cette Procédure s’appelle AGDLP

A : Account

G : Groupe Global

DL : Groupe de domaine local

P : Permissions

FSMO rôles des serveurs dans AD

Pierre — Sun, 12 Aug 2007 18:42:00 +0200

Petit rappel sur les rôles serveurs au sein d'une infrastructure AD et mini tuto pour le transfert des rôles

Dans un environnement de domaine Windows Server 2003, les contrôleurs de domaine contiennent une réplique de la base de données Active Directory. Ce système de réplication est dit multimaitre car chaque contrôleur de domaine a la possibilité de modifier cette base de données et de transmettre ces modifications aux autres contrôleurs de domaine afin que tous possèdent la même base de données Active Directory.

Mais que se passerait-il si deux personnes changent la même donnée au même moment à des endroits différents ?

Bien sûr, Microsoft a implémenté dans ses systèmes un certain nombre de règles pour éviter les conflits de réplication dans Active Directory, mais certaines mises à jour sont trop importantes pour être résolues avec ces règles, comme par exemple la modification du schéma Active Directory. C’ est pourquoi Microsoft a créé depuis Windows 2000 Server les Flexible Single Master Operation (FSMO). Ce sont en fait des rôles attribués à différent serveurs de manière à ce que seuls certains serveurs permettent de modifier des aspects interne à Active Directory. Dans un domaine Windows 2000 server et Windows Server 2003, il existe 5 rôles FSMO. Ces rôles n’existaient pas sous Windows NT4 car les domaines NT4 disposaient d’une structure de mise à jour hiérarchique. Ces 5 rôles sont nécessaires au bon fonctionnement de vos domaines/forêts. Chacun de ces rôles ne peut être hébergé que par des contrôleurs de domaine et non par des serveurs membres. Ils ont également des étendues différentes et des domaines de réplication différents. On distingue parmi les 5 rôles:

Maître d’attribution de noms de domaines : Unique au sein de la forêt
Controleur de schéma : Unique au sein de la forêt
Maitre RID : Unique au sein d’un domaine
Maitre d’infrastructure : Unique au sein d’un domaine
Emulateur CPD : Unique au sein d’un domaine

Maître d’attribution de noms de domaines

Le détenteur du rôle FSMO Maître d’attribution de noms de domaine est le contrôleur de domaine chargé d’apporter des modifications à l’espace de noms des domaines de niveau forêt de l’annuaire (c’est-à-dire le contexte de nommage Partitions\Configuration ou LDAP://CN=Partitions, CN=Configuration, DC=). Ce contrôleur de domaine est le seul à pouvoir ajouter ou supprimer un domaine de l’annuaire. Il peut également ajouter ou supprimer des références croisées aux domaines dans des annuaires externes.

Controleur de schéma

Le détenteur du rôle FSMO Contrôleur de schéma est le contrôleur de domaine chargé d’effectuer les mises à jour vers le schéma d’annuaire (c’est-à-dire, du contexte de nommage du schéma ou LDAP://cn=schema,cn=configuration,dc=). Ce contrôleur de domaine est le seul à pouvoir traiter les mises à jour vers le schéma de l’annuaire. Une fois la mise à jour du schéma terminée, elle est répliquée du contrôleur de schéma sur tous les autres contrôleurs de domaine de l’annuaire. Il existe un seul contrôleur de schéma par annuaire.

Maître RID

Le détenteur du rôle FSMO Maître RID est le seul contrôleur de domaine chargé du traitement des demandes de pools de RID émanant de tous les contrôleurs de domaine d’un domaine donné. Il est également chargé de supprimer un objet de son domaine et de le mettre dans un autre domaine au cours d’un déplacement d’objet.

Lorsqu’un contrôleur de domaine crée un objet entité de sécurité tel qu’un utilisateur ou un groupe, il joint à l’objet un ID de sécurité (SID) unique. Ce SID est constitué d’un SID de domaine (le même pour tous les SID créés dans un domaine) et d’un ID relatif (RID), unique pour chaque SID d’entité de sécurité créé dans un domaine.

Chaque contrôleur de domaine Windows 2000 d’un domaine se voit allouer un pool de RID qu’il peut attribuer aux entités de sécurité qu’il crée. Lorsque le pool de RID d’un contrôleur de domaine tombe en deçà d’un certain seuil, le contrôleur de domaine demande des RID supplémentaires au maître RID du domaine. Le maître RID répond à la demande en récupérant des RID du pool de RID non alloués du domaine et les attribue au pool du contrôleur de domaine demandeur. Il existe un maître RID par domaine d’un annuaire.

Maître d’infrastructure

Lorsqu’un objet d’un domaine est référencé par un autre objet dans un autre domaine, il représente la référence par le GUID, le SID (pour les références aux entités de sécurité) et le nom unique (DN) de l’objet qui est référencé. Le détenteur du rôle FSMO Infrastructure est le contrôleur de domaine chargé de mettre à jour le SID et le nom unique d’un objet dans une référence d’objet interdomaine.

Emulateur CPD

L’émulateur PDC est nécessaire pour synchroniser l’heure dans une entreprise. Windows 2000 inclut l’outil de service de temps W32Time (Windows Time) requis par le protocole d’authentification Kerberos. Tous les ordinateurs Windows 2000 d’une entreprise utilisent une heure commune. L’objectif du service de temps est de garantir que le service Windows Time utilise une relation hiérarchique qui contrôle l’autorité et interdit les boucles afin de garantir une utilisation appropriée du temps commun.

L’émulateur PDC d’un domaine fait autorité pour le domaine. L’émulateur PDC situé à la racine de la forêt acquiert l’autorité pour l’entreprise et doit être configuré de façon à percevoir l’heure d’une source externe. Tous les détenteurs de rôle FSMO PDC suivent la hiérarchie des domaines pour la sélection de leur partenaire de temps entrant.

Dans un domaine Windows 2000, le détenteur du rôle Émulateur PDC conserve les fonctions suivantes :

Les modifications de mot de passe exécutées par d’autres contrôleurs de domaine du domaine sont répliquées de préférence sur l’émulateur PDC.
Les échecs d’authentification qui se produisent en raison d’un mot de passe inexact sur un contrôleur donné dans un domaine sont transférés à l’émulateur PDC avant que l’échec ne soit signalé à l’utilisateur dans un message.
Le verrouillage de compte est traité sur l’émulateur PDC.
L’émulateur PDC exécute toutes les fonctionnalités qu’un contrôleur de domaine principal de serveur Microsoft Windows NT 4.0 ou antérieur exécute pour les clients Windows NT 4.0 ou antérieurs.

Cette partie du rôle d’émulateur PDC devient inutile lorsque toutes les stations de travail, serveurs membres et contrôleurs de domaine exécutant Windows NT 4.0 ou antérieur sont mis à niveau vers Windows 2000. L’émulateur PDC continue d’exécuter les autres fonctions décrites dans un environnement Windows 2000.

Les informations suivantes décrivent les modifications survenant lors du processus de mise à niveau :

Les clients Windows 2000 (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués n’effectuent pas les écritures d’annuaire (comme les changements de mots de passe) de préférence sur le contrôleur de domaine qui s’est autoproclamé contrôleur principal de domaine ; ils utilisent n’importe quel contrôleur du domaine.
Une fois les contrôleurs secondaires de domaine des domaines de bas niveau mis à niveau vers Windows 2000, l’émulateur PDC ne reçoit pas de demandes de réplica de niveau inférieur.
Les clients Windows 2000 (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués utilisent l’annuaire Active Directory pour localiser des ressources réseau. Ils n’ont pas besoin du service Explorateur d’ordinateur de Windows NT

Transfert des rôles

Transfert de rôles spécifiques à des domaines : RID, PDC et maître d’infrastructure

Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
Cliquez avec le bouton droit sur l’icône en regard de Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au contrôleur de domaine. Dans la boîte de dialogue Modifier le maître d’opérations, cliquez sur l’onglet approprié (RID, PDC ou Infrastructure) pour choisir le rôle à transférer.

Transfert du rôle de maître d’attribution de noms de domaine

Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis cliquez sur Domaines et approbations Active Directory.
Cliquez avec le bouton droit sur l’icône Domaines et approbations Active Directory, puis cliquez sur Se connecter au contrôleur de domaine, puis cliquez sur Maître d’opération.

Transfert du rôle de contrôleur de schéma

Inscription de l’outil de schéma

Cliquez sur Démarrer, puis sur Exécuter.
Tapez regsvr32 schmmgmt.dll, puis cliquez sur OK. Un message s’affiche indiquant que l’inscription a réussi.

Transfert du rôle de contrôleur de schéma

Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
Dans le menu Console, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
Cliquez sur Ajouter.
Cliquez sur Schéma Active Directory.
Cliquez sur Ajouter
Cliquez sur Fermer pour fermer la boîte de dialogue Ajout d’un composant logiciel enfichable autonome.
Cliquez sur OK pour ajouter le composant logiciel enfichable à la console.
Cliquez avec le bouton droit sur l’icône Schéma Active Directory, puis cliquez sur Maitres d’opérations.
Dans la boîte de dialogue Changer le contrôleur de schéma, cliquez sur Modifier

Vitesse de lien intersites

Pierre — Sun, 05 Aug 2007 10:34:00 +0200

Voilà un petit calcul rapide pour vérifier si une liaison intersites est suffisament "puissante" pour la réplication et le déploiement de GPO

Pour vérifier la liaison nous allons nous servir d'un outils réseau de base mais indispensable dans la vie de tous les jours. Nous allons faire un Ping -l 2048 du controleur de domaine sur un site distant ensuite il faut notez la valeur moyenne des stats du PING (tout en bas à droite)

Voilà le calcul est très simple :

Vitesse de lien (en Kbp/s) = 16000 /moyenne des ping

Microsoft estime qu'en dessous de 500 Kbps la liaison est considérée comme liaison lente.

Lorsque une stratégie est appliqué à un utilisateur ou à un ordinateur, la détection de lien lent est toujours utilisé. Certains types de GPO ne sont pas appliquées si une liaison lente est détecté comme le déploiement d'application, les scripts, les redirections de dossiers, les quotas de disque ...

Mais on peut contourner ce problème à l'aide d'une stratégie de groupe pour définir le seuil de vitesse d'une liaison. Cette GPO est dans Configuration Ordinateur > Modéles d'administration > Système >Stratégie de groupe >Détection d'une liaison lente de stratégie de groupe.

DSADD

Pierre — Fri, 03 Aug 2007 10:31:00 +0200

Petit script permettant l'ajout d'un utilisateur sur un domaine Active Directory

Copier le script ci-dessous dans le bloc-notes et enregistrez le en .bat.

Plus en détail ce sript permet de spécifier toutes les variables avec le set pour la création d'un utilisateur

@echo off

@echo ************ DEBUT DU SCRIPT ******************************

set /p DN=Entrez le DN (Distinguish Name) de l'utilisateur:

set /p Nom=Entrez le nom du compte:

set /p Prenom=Entrez le prenom du compte:

set /p Initial=Entrez les initiales du compte:

set /p DisplayName=Entrez le nom affiche du compte:

set /p PWD=Entrez le Mot de passe utilisateur:

set /p Description=Entrez la description du compte:

set /p email=Entrez l Email du compte:

set /p SamID=Entrez le samid du compte:

set /p upn=Entrez le nom UPN du compte:

set /p mustchpwd=Chgtment de PWD à la 1er ouverture de session (yes/no):

set /p Canchpwd=Autorisation de changer le PWD (yes/no):

set /p disabled=Specifie si le compte est desactivé (yes/no):

@echo ***** Lancement de la commande pour la creation du compte *********

dsadd user "%DN%" -samid %SamID% -pwd %PWD% -mustchpwd %mustchpwd% -display "%DisplayName%" -fn "%Prenom%" -ln %Nom% -upn %upn% -mi %Initial% -desc "%Description%" -email %email% -canchpwd %Canchpwd% -disabled %disabled%

REM **************** FIN DU SCRIPT **************************************

Bien sur vous pouvez enlever des variables ou en ajouter tout dépend de ce que vous voulez mettre comme paramètres pour l'utilisateur.