Dans un domaine Active Directory il existe un objet particulier qui sert de référence pour protéger les informations de sécurité de certains comptes à fort privilège. L'objet en question est « AdminSDHolder » et il est présent dans chaque domaine dans le conteneur « System ».

L'objet « AdminSDHolder » permet de protéger les informations de sécurité des comptes membres des groupes suivants :

Ce nouveau livre sur les services de domaine Active Directory, vous permettra de vous familiariser avec le module PowerShell sur les opérations que nous effectuons régulièrement.

Le contenu du livre vous permettra de tester les différentes commandes et scripts proposés au fil de la lecture.

Jusqu'au chapitre 5, vous apprendrez à utiliser des commandes PowerShell simple. A partir du chapitre 6, les commandes que vous allez découvrir sont proposés sous forme de fonction ou de script, afin de vous familiariser avec l'automatisation de tâche avec PowerShell.

Avant de déployer votre forêt Active Directory, je vous conseille de réfléchir aux points suivants :

Il existe des attributs Active Directory qui ne sont pas répliqués entre les contrôleurs de domaine. Pour les objets utilisateurs, on retrouve notamment les attributs suivants :

• badPasswordTime
• badPwdCount
• DistinguishedName
• dSCorePropagationData
• lastLogoff
• lastLogon
• logonCount
• ObjectGUID
• uSNChanged
• uSNCreated
• whenChanged

   

Si vous débutez avec Active Directory, ce tutoriel vous aidera sans doute à installer votre premier contrôleur de domaine sous Windows Server 2019. Si vous êtes un habitué vous constaterez qu'il n'y a pas beaucoup de changements.

Si l'on compare par rapport à Windows 2016, les nouveautés fonctionnelles ou technique sont très peu visibles.

Une nouvelle fonctionnalité est disponible en preview dans Azure permettant d'améliorer la sécurité des mots de passe de votre environnement local.

Le principe est de valider les nouveaux mots de passe par rapport à une liste globale et/ou une liste personnalisée de mot de passe.

La fonctionnalité de validation de mot de passe est disponible, pour les mots de passe gérés par Azure gratuitement pour la liste globale et pour les listes personnalisées il faut la version basique.

Il y a quelques jours j'ai reçu une demande par mail concernant l'optimisation des liens de réplications entre les contrôleurs de domaine dans un environnement multisite.

La question était de comprendre pourquoi les liens de réplications créés par le vérificateur de cohérence de la topologie (KCC), n'était pas optimale par rapport à l'environnement géographique.

Le mot de passe de restauration d'annuaire est particulier. Il est utile dans les situations d'urgence et est rarement utilisé. Il n'est pas identique au mot de passe de l'administrateur du domaine et il peut être différent entre les contrôleurs de domaine. Il est important de mettre ce mot de passe en lieu sûr.

Si vous ne le connaissez pas, vous pouvez utiliser la procédure suivante pour le réinitialiser.

Ouvrez une invite de commande DOS (en tant qu'administrateur si la version est égale ou supérieure à Windows 2008) :

Cette seconde édition du livre sur les services de domaines Active Directory comme la première édition est organisée afin de permettre à chaque lecteur de mettre en œuvre les différents éléments au fil de la lecture.

Si le principe n'a pas changé, la deuxième édition présente les services de domaines sur Windows Server 2016 et a été enrichi d'exemples supplémentaires comme par exemple :

Si vous utilisez les stratégies de mots de passe affinée appliquée à des groupes de sécurité, afin d'appliquer des stratégies différentes pour certains groupes d'utilisateurs :

Il est possible de vérifier les paramètres pour un utilisateur spécifique à l'aide de la commande :

Get-ADUserResultantPasswordPolicy pbarth

Dans cet article nous allons voir comment utiliser la commande « Search-ADAccount », pour rechercher des comptes avec un état spécifique dans l'AD.

La commande permet de rechercher des comptes d'utilisateurs ou d'ordinateurs. Il existe des options permettant de sélectionner des états spécifiques comme par exemple, les comptes désactivés « -AccountDisabled ». La commande suivante liste les comptes du domaine qui sont désactivés. Le « select » ne renvoie que l'identifiant LDAP (distinguishedname) ainsi que le type d'objet afin de limiter les colonnes.

Le tableau ci-dessous vous indique un certain nombre de contrôles à réaliser après l'ajout d'un contrôleur de domaine

Les stratégies de groupe sont incluses dans les sauvegardes de l'état du système du contrôleur de domaine. Néanmoins il est possible de réaliser des sauvegardes spécifiques afin de faciliter la restauration des GPO en cas d'erreur de configuration.

Pour sauvegarder l'ensemble des GPOs depuis la console « Gestion des stratégies de groupe » (gpmc.msc), faites un clic droit sur « Objets de stratégie de groupe », puis dans le menu déroulant sélectionner « Sauvegarder tout…».

Pour mon 3^ème livre sur Active Directory Domain Services, j'ai souhaité faire un guide pour vous aider à écrire votre propre scénario de reprise d'activité. Dans beaucoup d'entreprises les plans de sauvegarde AD répondent à des critères communs aux autres sauvegardes mais ils nécessitent une réflexion et une préparation particulière. La première raison est qu'ils jouent un rôle central dans l'activité de l'entreprise et beaucoup d'éléments en dépendent.