Vous êtes sur la page 1sur 11

Administration 

du rôle AD DS à l’aide de PowerShell
La plateforme PowerShell est un langage de script plus simple à utiliser. Elle inclut les cmdlets nécessaires pour la 
gestion de l’annuaire Active Directory. 

1. Gestion des comptes utilisateurs avec PowerShell

Les  cmdlets  PowerShell  permettent  de  créer,  modifier  et  supprimer  un  compte  utilisateur.  Il  est  possible 
d’exécuter les différentes instructions directement dans la console PowerShell ou en exécutant un script. 

Les opérations effectuées de manière graphique peuvent être faites à l’aide d’instruction PowerShell.  

Différentes cmdlets sont utilisables, chacune ayant une fonction bien définie :  

● Création d’un compte utilisateur : New­ADUser 

● Modifier une propriété du compte : Set­ADUser 

● Supprimer un utilisateur : Remove­ADUser 

● Réinitialiser un mot de passe : Set­ADAccountPassword 

● Modification de la date d’expiration : Set­ADAccountExpiration 

● Déverrouiller un compte utilisateur : Unlock­ADAccount 

● Activer un compte utilisateur : Enable­ADAccount 

● Désactiver un compte utilisateur : Disable­ADAccount 

Lors de l’utilisation de la cmdlet New­ADUser pour créer un nouvel utilisateur, il est possible d’indiquer toutes les 
propriétés souhaitées. Le mot de passe peut également être inclus dans la commande. 

En cas de création d’un objet utilisateur sans mot de passe (paramètre ­AccountPassword), celui­ci est désactivé. 
Il est nécessaire d’utiliser le paramètre ­Enabled positionné à true pour l’activer. 

Avec la cmdlet New­ADUser, il est possible d’utiliser différents paramètres : 

● AccountExpirationDate : permet de définir la date d’expiration d’un compte utilisateur. 

● AccountPassword : fournit le mot de passe à configurer pour l’utilisateur. 

● ChangePasswordAtLogon  :  active  l’option  qui  oblige  le  changement  du  mot  de  passe  lors  de  la 
première ouverture de session. 

● Enabled : le paramètre permet de définir si le compte est activé ou supprimé. 

● HomeDrive : définit la lettre à utiliser ainsi que le chemin du dossier de base de l’utilisateur. 

● GivenName : utilisé pour l’attribut Prénom du compte. 

● Surname : paramètre à configurer pour le nom de l’utilisateur. 

● Path : chemin où est créé l’utilisateur. 

© ENI Editions - All rights reserved - Pierre-Anderson ELLO - 1-


Prenons  un  exemple  concret,  l’utilisateur  Jean  BAK  est  un  nouveau  formateur.  Il  est  nécessaire  de  créer  son 
compte. 

Voilà les propriétés du compte :  

● Nom : BAK 

● Prénom : Jean 

● Nom d’ouverture de session : jbak 

● Mot de passe : Pa$$w0rd  

● Conteneur de l’objet : OU Form 

Le mot de passe doit être changé lors de la première ouverture de session et le compte doit être activé.  

Si  le  module  Active  Directory  n’a  pas  été  déjà  importé,  saisissez  Import­Module  ActiveDirectory.  Ceci  afin  de 
pouvoir utiliser les différentes cmdlets d’Active Directory. 

La commande PowerShell à utiliser pour effectuer cette opération est la suivante : 

New-ADUser -Name "Jean BAK" -ChangePasswordAtLogon $True


-DisplayName "Jean BAK" -Enabled $True -Path
"OU=Form,DC=Formation,DC=local" -SamAccountName jbak
-Surname Bak -UserPrincipalName jbak -AccountPassword (Read-Host
-AsSecureString "Password") -GivenName Jean

Les scripts peuvent être téléchargés sur la page Informations générales. 

Le paramètre ­AccountPassword (Read­Host ­AsSecureString "Password") permet la saisie du mot de passe 
de manière sécurisée. Celui­ci doit être saisi manuellement. 

- 2- © ENI Editions - All rights reserved - Pierre-Anderson ELLO


Il  est  temps  maintenant  de  vérifier  le  résultat  de  la  commande.  Le  compte  est  bien  présent  dans  l’unité 
d’organisation Form et le nom d’affichage est bien Jean BAK. 

Le  nom  d’ouverture  de  session  de  l’utilisateur  est  bien  jbak,  pour  l’UPN  (User  Principal  Name)  ou  le 
SamAccountName (nom d’ouverture de session antérieure à Windows 2000). 

L’option indiquant un changement lors de la prochaine ouverture de session est bien activée. 

© ENI Editions - All rights reserved - Pierre-Anderson ELLO - 3-


Les champs Nom et Prénom ont également bien été configurés. 

- 4- © ENI Editions - All rights reserved - Pierre-Anderson ELLO


Tous les paramètres dans le script ont bien été pris en compte. 

2. Gestion des groupes avec PowerShell

Comme  pour  les  utilisateurs,  la  création  et  la  gestion  des  groupes  peuvent  se  faire  à  l’aide  de  commandes 
PowerShell. 

Il est ainsi possible de trouver plusieurs cmdlets pour la gestion des groupes :  

● Création d’un nouveau groupe : New­ADGroup 

● Modifier les propriétés : Set­ADGroup 

● Afficher les propriétés : Get­ADGroup 

● Supprimer un groupe : Remove­ADGroup 

● Ajout d’un membre : Add­ADGroupMember 

● Afficher les membres d’un groupe : Get­ADGroupMember 

● Supprimer un membre : Remove­ADGroupMember 

L’utilisateur Jean BAK étant créé, il est nécessaire maintenant de le rajouter dans le groupe Formateurs. Par la 
suite un nouveau groupe appelé Stagiaires doit être créé. 

La  gestion  des  membres  d’un  groupe  peut  être  effectuée  à  l’aide  de  la  cmdlet  Add­ADGroupMember.  Si  nous 
souhaitons ajouter Jean BAK au groupe Formateurs, il est nécessaire de saisir la syntaxe ci­dessous :  

© ENI Editions - All rights reserved - Pierre-Anderson ELLO - 5-


Add-ADGroupMember Formateurs -Members "CN=Jean BAK,OU=Form,DC=Formation,DC=Local"

Vérifions maintenant que l’ajout a bien été effectué. Pour cela, il est nécessaire d’utiliser Get­ADGroupMember. 

Get-ADGroupMember Formateurs

Occupons­nous  maintenant  de  la  création  du  groupe.  Pour  cela,  la  cmdlet  New­ADGroup  doit  être  utilisée. 
Plusieurs paramètres la composent afin de configurer les différents attributs d’un groupe. 

● Name : indique le nom du groupe qu’il est nécessaire d’utiliser. 

● GroupScope  :  définit  l’étendue  du  groupe  (DomainLocal,  Global  ou  Universal).  Ce  paramètre  est 
obligatoire. 

● GroupCategory  :  spécifie  si  le  groupe  est  de  type  sécurité  ou  distribution.  Si  ce  paramètre  n’est  pas 
spécifié, un groupe de sécurité est créé. 

● ManagedBy: indique l’utilisateur ou le groupe qui peut le gérer. 

● Path : donne le conteneur qui va stocker l’objet. 

● SamAccountName : spécifie le nom de groupe antérieur à Windows 2000. 

Ainsi,  pour  créer  le  groupe  Stagiaires  (groupe  de  sécurité  ayant  une  étendue  globale),  il  convient  d’utiliser la 
commande suivante :  

New-ADGroup -Name Stagiaires -GroupScope Global -GroupCategory


Security -ManagedBy Formateurs -Path "OU=Form, DC=Formation,
DC=local" -SamAccountName Stagiaires

- 6- © ENI Editions - All rights reserved - Pierre-Anderson ELLO


Vérifions maintenant le résultat. Ce dernier peut être visualisé de manière graphique ou en ligne de commande. 

Get-ADGroup Stagiaires

La commande retourne également le SID du groupe. 

Les scripts peuvent être téléchargés sur la page Informations générales. 

3. Gestion des comptes ordinateurs avec PowerShell

Des cmdlets existent également pour effectuer la gestion des comptes ordinateurs. 

● Création d’un compte ordinateur : New­ADComputer 

● Modification des propriétés : Set­ADComputer 

● Affichage des propriétés du compte : Get­ADComputer 

● Suppression du compte : Remove­ADComputer 

● Vérification  de  la  relation  d’approbation  entre  le  contrôleur  de  domaine  et  le  poste  :  Test­
ComputerSecureChannel 

● Réinitialisation  du  mot  de  passe  du  compte  ordinateur  afin  de  réparer  le  canal  sécurisé  :  Reset­
ComputerMachinePassword 

Nous allons réinitialiser un canal sécurisé rompu puis créer un nouvel ordinateur à l’aide des différentes cmdlets. 

La première opération à effectuer est donc de réinitialiser le compte ordinateur de CL8­01. Le canal sécurisé s’en 
trouve rompu. 

© ENI Editions - All rights reserved - Pierre-Anderson ELLO - 7-


Il est nécessaire de se connecter en tant qu’administrateur local afin de pouvoir remédier au problème.  

L’utilisation de la cmdlet Test­ComputerSecureChannel nous confirme bien que le canal sécurisé est rompu.  

Il est maintenant temps de réparer la relation d’approbation entre le poste et son contrôleur de domaine. 

Il  est  très  important  d’exécuter  la  console  PowerShell  en  tant  qu’administrateur,  sans  quoi  la  commande nous 
retourne une erreur de permission insuffisante. 

Reset-ComputerMachinePassword -Server AD1 -Credential


administrateur@formation.local

Le  paramètre  Server  permet  d’indiquer  quel  contrôleur  de  domaine  contacter,  Credential  indique  le  nom 
d’utilisateur qui possède des droits d’administration sur le compte ordinateur. 

Le mot de passe du compte utilisé doit être saisi afin de pouvoir valider l’authentification. 

- 8- © ENI Editions - All rights reserved - Pierre-Anderson ELLO


Le poste client peut maintenant être authentifié par son contrôleur de domaine.  

Pour  effectuer  la  création  d’un compte ordinateur, la cmdlet New­ADComputer doit être utilisée. Cette dernière 


possède trois arguments :  

● Name : nom du compte. 

● Path : chemin du conteneur qui héberge le compte. 

● Enabled : configure l’état de la machine (Actif ou Inactif). 

Par défaut, le compte est activé et un mot de passe aléatoire est généré. 

Si la commande ci­dessous est exécutée sur le contrôleur de domaine, le compte nommé CL8­03 est créé. 

New-ADComputer -Name CL8-03 -Path


"CN=Computers,DC=Formation,DC=local" -Enabled $True

Le compte ordinateur est bien créé dans le dossier système Computers. 

Les scripts peuvent être téléchargés sur la page Informations générales. 

4. Gestion des unités d’organisation avec PowerShell

Il est important de créer des unités d’organisation, ceci afin de regrouper un ensemble d’objets à qui on applique 
une stratégie de groupe. Il est également possible de mettre en place une délégation sur ce type d’objet. 

Il est possible d’utiliser quatre cmdlets :  

● New­ADOrganizationalUnit : effectue la création d’une unité d’organisation. 

● Set­ADOrganizationalUnit : modifie les différentes propriétés qui composent l’objet. 

© ENI Editions - All rights reserved - Pierre-Anderson ELLO - 9-


● Get­ADOrganizationalUnit : affiche les propriétés de l’unité d’organisation. 

● Remove­ADOrganizationalUnit : permet la suppression d’une OU. 

Afin de mettre en pratique la gestion des unités d’organisation, nous allons à l’aide de PowerShell supprimer la 
protection contre la suppression accidentelle et créer un nouveau conteneur appelé Ordinateurs. 

Depuis  Windows  Server  2008,  il  est  possible  d’activer  la  protection  contre  la  suppression  accidentelle,  cette 
dernière est activée par défaut lors de la création. 

Il est possible de désactiver cette option à l’aide de la commande PowerShell ci­dessous :  

Set-ADOrganizationalUnit "OU=Form,DC=Formation,DC=Local"
-ProtectedFromAccidentalDeletion $False

L’option est maintenant décochée. 

Nous  pouvons  maintenant  passer  à  l’étape  de  création  d’une  unité  d’organisation.  Comme  il  a  été  vu 
précédemment, la cmdlet à utiliser pour effectuer cette opération est New­ADOrganizationalUnit. Cette dernière 
contient plusieurs paramètres dont : 

● Name : définit le nom à utiliser. 

● Path : chemin où est stocké le nouvel objet. 

● ProtectedFromAccidentalDeletion : donne l’état de l’attribut protection contre la suppression. 

L’unité  d’organisation  Ordinateurs  est  un  conteneur  enfant  de  l’unité  d’organisation  Form.  La  commande  ci­
dessous permet d’effectuer cette opération :  

New-ADOrganizationalUnit -Name Ordinateurs -Path

- 10 - © ENI Editions - All rights reserved - Pierre-Anderson ELLO


"OU=Form,DC=Formation,DC=local"
-ProtectedFromAccidentalDeletion $True

L’unité d’organisation est bien présente dans l’OU Form. 

Les scripts peuvent être téléchargés sur la page Informations générales. 

© ENI Editions - All rights reserved - Pierre-Anderson ELLO - 11 -

Vous aimerez peut-être aussi