2017

Informations sur les GPO et les liens dans l’annuaire AD

Dans cet article nous allons voir plus en détail, comment sont enregistrées les informations des stratégies de groupe avec Active Directory Domain Services.

Lorsque vous créez une stratégie de groupe, il y a plusieurs emplacements où les informations sont enregistrées.

Le premier, sans doute le plus connu, est le dossier contenant les paramètres de la stratégie. Ils se trouvent dans un dossier partagé spécifique « Sysvol ». Chaque stratégie est représentée par un sous-dossier contenant des paramètres utilisateurs et des paramètres machines.

Tags: 

[PowerShell AD] Nouvelle forêt / domaine

 

Si vous avez déjà créé une nouvelle forêt/domaine avec PowerShell, vous avez pu constater qu'il est possible de définir le niveau fonctionnel de la forêt / du domaine avec l'option « -ForestMode » ou « -DomainMode ». Il suffisait d'indiquer la valeur, comme par exemple pour Windows 2012 : « Win2012 ». Par déduction pour Windows 2016 il faudrait utiliser « Win2016 » et cela donnera par exemple :

Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath "D:\NTDS" `

[PowerShell AD DS] OU : protection contre la suppression accidentelle

 

Nous avons vu dans l'article précédent les commandes PowerShell liées au OU. Nous avons pu également constater que certaine OU sont protégés contre la suppression :

La commande suivante permet de vérifier si une OU est protégée. Dans ce cas la propriété « ProtectedFromAccidentalDeletion » vaut « True » :

Tags: 

[PowerShell AD DS] Création et modification des OUs

Dans cet article, nous allons voir comment créer, modifier et supprimer des OU avec les commandes PowerShell.

La commande suivante permet de lister les commandes PowerShell liées aux unités d'organisations :

Get-Command *-adorg*

 

Pour lister l'ensemble des OUs, vous pouvez utiliser la commande ci-dessous :

Get-ADOrganizationalUnit -Filter *

Tags: 

[News] Projet Honolulu

 

Depuis quelques jours Microsoft a mis à disposition son nouvel outil pour la gestion des serveurs. Il offre les mêmes services qu'un certain nombre de consoles comme le gestionnaire de serveur par exemple. L'accès se fait à travers un navigateur Web (Edge ou Chrome). Il est mis à disposition en Technical Preview et s'installe à partir d'un « .msi » téléchargeable ici : https://aka.ms/HonoluluDownload

Tags: 

[AD] Exemples de problèmes d’ouverture de session

 

Dans cet article, nous allons voir un certain nombre de messages d'erreur lors de l'ouverture session et son origine.

Une des premières sources de problèmes est la synchronisation des horloges entre PC Client et serveur. Vous pouvez consulter l'article suivant afin de configurer la synchronisation des horloges dans votre forêt Active Directory :

http://pbarth.fr/node/87

Un autre problème fréquent est l'impossibilité de joindre un contrôleur de domaine :

[GPO] Stratégie de verrouillage des comptes

Dans cet article nous allons voir comment utiliser les stratégies de verrouillage de compte.

Le verrouillage des comptes permet de bloquer un compte pendant un certain temps si un nombre définit de tentatives de connexion n'ont pas réussi pendant une certaine période.

Le paramètre n'est pas une nouveauté et il est compatible avec l'ensemble des versions de contrôleurs de domaine.

Tags: 

[Office365 PowerShell] Attribué une licence à un utilisateur

 

Dans cet article nous allons voir comment attribué ou enlevé une licence Office 365pour un utilisateur avec le module PowerShell MSOnline.

Pour installer le module PowerShell vous pouvez consulter l'article suivant : [Office 365 ] : Installer les outils PowerShell

Dans le premier exemple nous allons lister les utilisateurs qui disposent d'une licence ou non. La commande Get-MsolUser permet de lister les utilisateurs. La propriété « IsLicensed » permet de voir si une licence est attribuée à l'utilisateur.

[Office365 PowerShell] Nombre de licences disponibles

Dans l'article précédent nous avons vu comment se connecter à Office Online avec PowerShell :

[Office 365 ] : Installer les outils PowerShell

 

Dans cet article nous allons voir déterminer le nombre de licences dans votre abonnement.

Pour cela nous allons utiliser la commande PowerShell suivante :

Tags: 

[Office 365 ] : Installer les outils PowerShell

Dans cet article nous allons voir comment se connecter avec PowerShell sur le portail MSOnline d'Office 365.

La première étape consiste à installer « l'assistant de connexion MSOnline » disponible avec le lien suivant :

https://www.microsoft.com/fr-fr/download/details.aspx?id=28177

Ensuite vous devrez installer le module Azure PowerShell disponible avec le lien suivant :

Tags: 

Suis-je prêt à restaurer mon AD ?

 

Dans certaines discussions, je me suis rendu compte que la restauration d'un annuaire AD DS n'est pas forcément bien comprise par certains administrateurs. Il faut dire que si l'opération de sauvegarde est relativement simple à comprendre, pour la restauration, les choix et certaines étapes particulières ne sont pas évidents.

Tags: 

[PowerShell AD : les modules]

Pour ceux d'entre vous qui avez déjà eu une première expérience avec PowerShell, mais qui ne connaissez pas les modules propres à Active Directory, nous allons les découvrir dans une série d'articles.

Ces modules sont disponibles par défaut sur les contrôleurs de domaines, il est possible de les installer sur des serveurs membres en activant les outils d'administration de serveurs distants (RSAT). Sur les postes clients vous devez au préalable télécharger les RSAT pour la version du système d'exploitation dont vous disposez.

[PowerShell] No limit !

 

Comme vous pouvez le voir si vous avez parcouru mon site, j'ai fait un certain nombre d'articles techniques sur Active Directory.

Pour une fois je vais parler juste de mon expérience, afin de vous faire découvrir une partie de ce que vous pourriez réaliser avec PowerShell.

[PowerShell AD DS] Comparer les membres de deux groupes

Dans ce nouvel article je vais vous présenter un script que j'ai mis à disposition sur les galléries Technet à l'adresse suivante :

https://gallery.technet.microsoft.com/Compare-Members-of-two-2d6d3e02

Le script permet renvoie un tableau avec le « DistinguishedName » (identifiant LDAP) de l'objet ainsi que sa présence dans le premier groupe, le second groupe ou les deux.

Tags: 

Sauvegarde et restauration de GPO depuis la console GPMC

 

Les stratégies de groupe sont incluses dans les sauvegardes de l'état du système du contrôleur de domaine. Néanmoins il est possible de réaliser des sauvegardes spécifiques afin de faciliter la restauration des GPO en cas d'erreur de configuration.

Pour sauvegarder l'ensemble des GPOs depuis la console « Gestion des stratégies de groupe » (gpmc.msc), faites un clic droit sur « Objets de stratégie de groupe », puis dans le menu déroulant sélectionner « Sauvegarder tout…».

 

De quoi est composé Active Directory ?

 

Pour comprendre les mécanismes de sauvegarde d'un annuaire Active Directory, il est nécessaire de connaître sa composition. Une forêt AD DS est un ensemble cohérent d'exemplaire d'informations stockées sur un ou plusieurs contrôleurs de domaines. Une forêt peut contenir un ou plusieurs domaines.

Dans notre exemple, l'environnement contient une forêt Active Directory avec deux domaines. « BecomeITExpert.lan » est le domaine racine de la forêt.

 

[eBook /Book] Active Directory Sauvegarde et Restauration

Pour mon 3ème livre sur Active Directory Domain Services, j'ai souhaité faire un guide pour vous aider à écrire votre propre scénario de reprise d'activité. Dans beaucoup d'entreprises les plans de sauvegarde AD répondent à des critères communs aux autres sauvegardes mais ils nécessitent une réflexion et une préparation particulière. La première raison est qu'ils jouent un rôle central dans l'activité de l'entreprise et beaucoup d'éléments en dépendent.

Liste des groupes hérités d’un utilisateur

Dans cet article je vais vous présenter un script disponible sur les galléries Technet, que j'ai réalisé.

Le but de ce script est de déterminer les groupes auxquels appartient un utilisateur qu'il soit membre directement du groupe ou que l'appartenance soit héritée.

Pour commencer nous avons un utilisateur dont le nom d'ouverture de session est « pbarth ». Cet utilisateur a été ajouté dans le groupe « SG-Service-Informatique ».

Tags: 

Server Performance Advisor

Un des derniers articles que j'ai écrits concerne la planification des ressources pour les contrôleurs de domaine. Généralement dans les petites structures les contrôleurs de domaine, s'ils n'hébergent pas d'autre rôle ne sont pas les serveurs les plus chargés. Dans des environnements physiques leurs ressources sont souvent surestimées afin de garantir la pérennité sur toute la durée de vie du serveur. Dans des environnements virtuels il est plus simple de n'allouer que sur les besoins.

Dimensionnement des DCs

 En lisant certains blogs, je suis tombé sur des valeurs un peu excessives au niveau du dimensionnement des contrôleurs de domaine, surtout pour des PME. Je me souviens par exemple d'un site qui préconise 8 Go de RAM minimum sur les DCs avec Windows 2012 R2, sans trop justifier cette valeur. Active Directory n'est pas un service très exigeant au niveau des performances en comparaison d'un serveur Exchange ou d'une base de données SQL Server.

Vérifier l’état de son domaine Active Directory

Il est important, avant de démarrer une migration des contrôleurs de domaine, de vérifier l'état de santé de son environnement. Les outils standards comme « DCDiag.exe » et « Repadmin.exe » sont présents par défaut à partir de Windows Server 2008. Dans les versions précédentes il faut installer les outils de support.

Gérer les produits MDOP avec les GPO App-V, MBAM, and UE-V

Microsoft a publié les fichiers admx pour gérer les produits suivants avec les stratégies de groupes :
• Microsoft Application Virtualization
• Microsoft BitLocker Administration and Monitoring
• Microsoft User Experience Virtualization

Vous pouvez télécharger les modèles avec le lien suivant :
https://www.microsoft.com/en-US/download/details.aspx?id=54957

[DHCP] Déploiement PXE BIOS&UEFI sur le même LAN

Dans cet article nous allons comment utiliser les options DHCP pour utiliser le PXE afin d'installer un système d'exploitation par le réseau. Pour l'installation de Windows, Microsoft fournit deux solutions afin de réaliser ce type d'installation. La première option utilise le service WDS et l'outil MDT afin de réaliser des installations « LiteTouch ». Le produit SCCM, payant et plus complet.

Tags: 

Modifier DNS primaire et secondaire par script

Vous souhaitez mettre à jour les adresses IP des DNS primaire et secondaire sur un ensemble des postes utilisant des adresses IP fixes.

Je vous propose un exemple de script minimaliste utilisant un fichier texte contenant la liste des serveurs (compatible avec les anciennes versions de Windows). L'exécution du script se fera depuis un serveur Windows 2008R2 ou supérieur et nécessite des droits d'administrations sur les serveurs cibles.

Préparer la migration AD vers Windows Server 2012 R2

Lors de la migration d'un environnement Active Directory vous risquez de rencontrer des difficultés avec les éléments qui dépendent de votre annuaire. Citons par exemple Microsoft Exchange dont les services sont très dépendants du catalogue global. Ces difficultés sont liées en général à des oublis lors de la mise à niveau, surtout dans de grandes entreprises, où la personne en charge de la migration, n'a pas forcément conscience de l'ensemble des applicatifs s'appuyant sur l'AD.

Scénario de migration vers un annuaire AD 2012

 

Selon la version de vos contrôleurs de domaine, la migration de vos DC vers Windows Server 2012 R2 peut être plus ou moins complexe. Pour l'installation d'un contrôleur de domaine en Windows Server 2012 ou Windows Server 2012 R2, le premier prérequis est que le niveau fonctionnel de la forêt doit être au minimum sur Windows Server 2003.

 

Pages

S'abonner à RSS - 2017