Lorsque vous ajoutez un compte autrement que par la console « Utilisateurs et Ordinateurs Active Directory », les comptes sont créés respectivement dans les conteneurs « Users » pour les utilisateurs et « Computer » pour les ordinateurs.

Il est possible de modifier le conteneur par défaut pour les objets ordinateurs et utilisateurs. Pour cela vous pouvez utiliser les lignes de commandes suivantes.

Pour modifier le conteneur par défaut pour les utilisateurs :

Dans cet article, nous allons voir un certain nombre de messages d'erreur lors de l'ouverture session et son origine.

Une des premières sources de problèmes est la synchronisation des horloges entre PC Client et serveur. Vous pouvez consulter l'article suivant afin de configurer la synchronisation des horloges dans votre forêt Active Directory :

http://pbarth.fr/node/87

Un autre problème fréquent est l'impossibilité de joindre un contrôleur de domaine :

Dans certaines discussions, je me suis rendu compte que la restauration d'un annuaire AD DS n'est pas forcément bien comprise par certains administrateurs. Il faut dire que si l'opération de sauvegarde est relativement simple à comprendre, pour la restauration, les choix et certaines étapes particulières ne sont pas évidents.

Pour comprendre les mécanismes de sauvegarde d'un annuaire Active Directory, il est nécessaire de connaître sa composition. Une forêt AD DS est un ensemble cohérent d'exemplaire d'informations stockées sur un ou plusieurs contrôleurs de domaines. Une forêt peut contenir un ou plusieurs domaines.

Dans notre exemple, l'environnement contient une forêt Active Directory avec deux domaines. « BecomeITExpert.lan » est le domaine racine de la forêt.

Un des derniers articles que j'ai écrits concerne la planification des ressources pour les contrôleurs de domaine. Généralement dans les petites structures les contrôleurs de domaine, s'ils n'hébergent pas d'autre rôle ne sont pas les serveurs les plus chargés. Dans des environnements physiques leurs ressources sont souvent surestimées afin de garantir la pérennité sur toute la durée de vie du serveur. Dans des environnements virtuels il est plus simple de n'allouer que sur les besoins.

Il est important, avant de démarrer une migration des contrôleurs de domaine, de vérifier l'état de santé de son environnement. Les outils standards comme « DCDiag.exe » et « Repadmin.exe » sont présents par défaut à partir de Windows Server 2008. Dans les versions précédentes il faut installer les outils de support.

Selon la version de vos contrôleurs de domaine, la migration de vos DC vers Windows Server 2012 R2 peut être plus ou moins complexe. Pour l'installation d'un contrôleur de domaine en Windows Server 2012 ou Windows Server 2012 R2, le premier prérequis est que le niveau fonctionnel de la forêt doit être au minimum sur Windows Server 2003.

Afin de protéger son environnement, il est utile d'installer un antivirus y compris sur vos contrôleurs de domaine. Il est déconseillé de naviguer sur internet depuis les contrôleurs de domaine. Néanmoins certains fichiers doivent être exclus. Les dossiers ci-dessous en font partis :

Le compte « krbtgt » dans Active Directory est un compte du domaine particulier qui est désactivé par défaut. Le mot de passe de ce compte est utilisé pour générer les tickets pour l'authentification Kerberos. Il ne faut donc surtout pas le supprimer. Néanmoins son mot de passe est lié à la sécurité et en plus il ne change jamais. Ce compte conserve par défaut les 2 derniers mots de passe dans son historique, donc si vous le modifiez les tickets générés avec l'ancien mot de passe restent valide, les nouveaux tickets utilisant le nouveau mot de passe.

Dans cet article nous allons voir un problème de réplication du dossier Sysvol. Nous disposons de 2 Contrôleurs de domaine  « LAB1dc1.lab1.lan » et « LAB1dc2.lab1.lan ». Les 2 contrôleurs de domaines sont en Windows 2012 R2. Les 2 serveurs n'ont pas répliqués depuis une période assez longue.

Comme pour la réplication de l'annuaire Active Directory, la réplication du dossier Sysvol avec les services DFS-R peut générer une erreur lorsque le contrôleur de domaine n'a pas pu répliquer le contenu du dossier Sysvol depuis un certain temps.

Alors que la sortie de la version de Windows Server 2016 devrait bientôt être annoncée, nous allons dans cet article présenté une des nouveautés d'Active Directory. Cette nouvelle fonctionnalité permet d'ajouter un membre dans un groupe pour une durée déterminée. Comme pour la corbeille Active Directory, il s'agit d'une option qui n'est pas activée par défaut.

En ce qui concerne les prérequis il faudra augmenter le niveau fonctionnel de la forêt à Windows 2016. Pour le moment il s'agit du niveau « Windows Server Technical Preview » en attendant la sortie officielle du produit.

Dans les étapes précédentes nous avons vu comment préparer et installer les services de synchronisations Active Directory avec Azure (Azure Active Directory Connect ). Nous avions installé les services sur un serveur membre du domaine. Sur ce serveur nous allons voir :

• Comment afficher ou modifier la configuration actuelle
• Comment vérifier si la synchronisation fonctionne

Après avoir installé et configuré Azure Active Directory Connect vous trouverez entre autre les applications suivantes :

IMPORTANT : cette documentation explique comment supprimer un domaine lorsqu'il n'y a plus de contrôleur de domaine disponible. En cas d'erreur la seule option disponible est la restauration de l'ensemble de la forêt à l'aide des sauvegardes de l'état du système. L'opération n'étant pas anodine je vous conseille de lire l'ensemble de l'article avant de vous lancer sur le sujet.

Dans notre exemple nous disposons d’un domaine racine « lab1.lan » et d’un domaine enfant « lab2.lab1.lan » et d’un troisième « lab4.lan ».

Utilisateurs et Ordinateurs Active Directory : utiliser les requêtes enregistrées

Dans cet article nous allons voir comment utiliser les requêtes enregistrées de la console « utilisateurs et ordinateurs Active Directory ».  La recherche simple permet de retrouver un utilisateur rapide par son nom ou son prénom ou une partie d’un de ses éléments. Par exemple dans l’image ci-dessous en utilisant « lem » on retrouve « Bruno Lemur »

Dans l’article précédent nous avions vu qu’il n’y a qu’une stratégie de groupe qui va fixer les stratégies de mot de passe pour l’ensemble du domaine. Néanmoins depuis Windows 2008, si vous souhaitez appliquer une stratégie de mot de passe différente pour des utilisateurs ou des groupes d’utilisateurs il est possible de créer des stratégies de mots de passe affinées. A la différence de la stratégie par défaut du domaine elle n’est pas configurée dans les stratégies de groupes mais directement dans l’annuaire Active Directory dans la partition du domaine.