Services de Domaine Active Directory

Services de domaine Active Directory :
ADDS (Active Directory Domain

Services)
Active Directory est service d'annuaire créé par Microsoft en 1996 pour les systèmes d'exploitation
Windows. Sa base de données centralise l'identité des utilisateurs (nom, téléphone, poste occupé...) et
celles des ordinateurs et autres équipements informatiques de son réseau. Elle centralise également
les informations d'authentification (mots de passe et droits d'accès).
Donc Active Directory stocke des informations relatives aux objets d’un réseau et les met à la
disposition des utilisateurs et des administrateurs réseaux afin qu’ils puissent les trouver et les
utiliser rapidement.
Active Directory utilise un magasin de données appelé annuaire structuré comme la base de son
organisation hiérarchique et logique des informations de répertoire. C’est ce magasin qui
contient des informations sur les objets Active Directory.
I. Prise en main des services AD DS
La sécurité est intégrée à Active Directory via l’authentification d’ouverture de session et le

contrôle d’accès aux objets dans l’annuaire. Avec une simple ouverture de session réseau, les
administrateurs peuvent gérer les données et l’organisation de l’annuaire au sein de leur réseau,
et les utilisateurs du réseau autorisés peuvent accéder aux ressources n’importe où sur le réseau.
L’administration basée sur des stratégies facilite même la gestion des réseaux les plus
complexes.
Active Directory inclut également les éléments suivants :
• Le schéma qui est un ensemble de règles qui définit les classes d’objets et
d’attributs contenus dans le répertoire, les contraintes et les limites sur les
instances de ces objets et le format de leurs noms.
• Catalogue global qui contient des informations sur chaque objet du répertoire.
Cela permet aux utilisateurs et aux administrateurs de rechercher des informations
d’annuaire, quel que soit le domaine dans l’annuaire qui contient réellement les
données.
• Mécanisme de requête et d’index, afin que les objets et leurs propriétés puissent
être publiés et trouvés par des utilisateurs ou des applications réseau.
• Service de réplication qui distribue les données d’annuaire sur un réseau. Tous
les contrôleurs de domaine d’un domaine participent à la réplication et
contiennent une copie complète de toutes les informations d’annuaire pour leur
domaine. Toute modification des données d’annuaire est répliquée sur tous les
contrôleurs de domaine inclus dans le domaine.
a. Schéma
La console Schéma Active Directory n’est pas disponible nativement, il est nécessaire de
l’enregistrer afin d’y accéder.
Cette console est à utiliser avec beaucoup de précaution, car une mauvaise manipulation peut
mettre en erreur l’ensemble de la forêt Active Directory.
Cette console permet d’accéder au rôle FSMO (Flexible Single Master Opération) maitre du
schéma.
1. Ouvrir une invite de commande en Administrateur sur un contrôleur de domaine et entrer la
commande suivante et confirmer l’enregistrement de la DLL.
regsvr32 schmmgmt.dll
2. Ouvrir une console MMC vierge.
mmc.exe
3. Cliquer sur Fichier puis sur Ajouter/Supprimer un composant logiciel enfichable.
4. Sélectionner la console Schéma Active Directory, cliquer sur Ajouter et cliquer OK pour
accéder à la console.
5. Il est maintenant possible d’agir sur le schéma Active Directory.
b. Catalogue global
Dans un environnement monodomaine, la recommandation est de laisser tous les contrôleurs

de domaine avec l’option Catalogue global.
Un domaine exécuté par services de domaine Active Directory peut comporter de nombreuses
partitions ou contextes d’affectation de noms. Le nom unique (DN) d’un objet inclut
suffisamment d’informations pour localiser un réplica de la partition qui contient l’objet permet
aux utilisateurs et aux applications de rechercher des objets dans une arborescence de domaine
Active Directory, en fonction d’un ou plusieurs attributs de l’objet cible. Les attributs du GC
sont ceux les plus fréquemment utilisés dans les opérations de recherche (tels que les noms et
prénom d’utilisateur ou de connexion) et ceux requis pour localiser un réplica complet de
l’objet.
Le catalogue global est généré automatiquement par le système de réplication services de
domaine Active Directory.
II. Centre d'administration Active Directory
Le Centre d’administration Active Directory dans Windows Server comprend des

fonctionnalités d’amélioration de l’expérience de gestion. Ces fonctionnalités allègent la charge
de gestion administrative des services de domaine Active Directory (AD DS).
Le Centre d’administration Active Directory dans Windows Server inclut les fonctionnalités de
gestion suivantes :
a. Corbeille Active Directory
La suppression accidentelle des objets Active Directory est un élément qui affecte souvent les
utilisateurs des services de domaine Active Directory (AD DS) et des services AD LDS (Active
Directory Lightweight Directory Services). Dans les versions antérieures de Windows Server,
avant Windows Server 2008 R2, on pouvait récupérer des objets supprimés accidentellement
dans Active Directory, mais les solutions ont eu leurs inconvénients.
Dans Windows Server 2008, vous pouviez utiliser la fonctionnalité Sauvegarde Windows
Server et la commande de restauration faisant autorité ntdsutil pour marquer des objets comme
faisant autorité, afin de garantir que les données restaurées soient répliquées sur l’ensemble du
domaine. L’inconvénient de la solution de restauration faisant autorité était qu’elle devait être
effectuée en mode de restauration des services d’annuaire. Dans ce mode, le contrôleur de
domaine en cours de restauration devait rester hors connexion. Il n’était dès lors pas en mesure
de traiter les demandes des clients.
Dans Active Directory sous Windows Server 2003 et dans les services AD DS sous Windows
Server 2008, il était possible de récupérer les objets Active Directory supprimés par le biais de
la réanimation des désactivations. Toutefois, les attributs à valeur liée des objets réanimés (par
exemple, les appartenances de groupe des comptes d’utilisateur) qui étaient supprimés
physiquement et les attributs à valeur non liée qui étaient supprimés n’étaient pas récupérés Par
conséquent, les administrateurs ne pouvaient pas se fier à la réanimation des désactivations
comme solution suprême à la suppression accidentelle d’objets.
La corbeille Active Directory, introduite pour la première fois dans Windows Server 2008 R2,
s’appuie sur l’infrastructure existante de réanimation des désactivations et améliore votre
capacité à préserver et récupérer les objets Active Directory accidentellement supprimés.
Lorsque vous activez la corbeille Active Directory, tous les attributs à valeur liée et à valeur
non liée des objets Active Directory supprimés sont préservés et les objets sont restaurés dans
leur intégralité dans le même état logique et cohérent qu’ils avaient juste avant la suppression.
Par exemple, les comptes d’utilisateurs restaurés retrouvent automatiquement toutes les
appartenances aux groupes et les droits d’accès correspondants dont ils disposaient juste avant
la suppression, dans et entre les domaines. La corbeille Active Directory fonctionne pour les
environnements AD DS et AD LDS.
Dans Windows Server 2012 et les versions ultérieures, la fonctionnalité De corbeille Active
Directory est améliorée avec une nouvelle interface utilisateur graphique pour les utilisateurs
afin de gérer et de restaurer des objets supprimés. Les utilisateurs peuvent à présent localiser
visuellement une liste d’objets supprimés et les restaurer à leur emplacement d’origine ou à un
emplacement souhaité.
Si vous envisagez d’activer la corbeille Active Directory dans Windows Server, tenez compte
des éléments suivants :
• Par défaut, la corbeille Active Directory est désactivée. Pour l’activer, vous devez
d’abord augmenter le niveau fonctionnel de forêt de votre environnement AD DS
ou AD LDS pour Windows Server 2008 R2 ou version ultérieure. Cela nécessite
à son tour que tous les contrôleurs de domaine dans la forêt ou tous les serveurs
qui hébergent des instances de configuration AD LDS s’exécutent Windows
Server 2008 R2 ou version ultérieure.
• Le processus d’activation de la corbeille Active Directory est irréversible. Après
avoir activé la corbeille Active Directory dans votre environnement, vous ne
pouvez plus la désactiver.
• Pour gérer la fonctionnalité Corbeille via une interface utilisateur, vous devez
installer la version du Centre d’administration Active Directory dans Windows
Server 2012.
Pour activer la corbeille, vous devez d’abord élever le niveau fonctionnel sur la forêt cible pour
qu’elle soit Windows Server 2008 R2 au minimum avant d’activer la corbeille Active Directory.
Pour augmenter le niveau fonctionnel sur la forêt cible
1. Cliquez avec le bouton droit sur l’icône Windows PowerShell, cliquez
sur Exécuter en tant qu’administrateur et tapez dsac.exe pour ouvrir ADAC.
2. Cliquez sur Gérer, sur Ajouter des nœuds de navigation, puis sélectionnez le
domaine cible approprié dans la boîte de dialogue Ajouter des nœuds de
navigation et cliquez sur OK.
3. Cliquez sur le domaine cible dans le volet de navigation gauche et, dans le
volet Tâches, cliquez sur Augmenter le niveau fonctionnel de la forêt.
Sélectionnez un niveau fonctionnel de forêt qui est au moins Windows Server
2008 R2 ou version ultérieure, puis cliquez sur OK.
L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même

fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne,
même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de
contraintes de mise en forme.
Set-ADForestMode -Identity sr3a.local -ForestMode Windows2008R2Forest -Confirm:$false
Pour activer la corbeille Active Directory dans le Centre d’administration Active Directory du
domaine cible
3. Dans le volet Tâches, cliquez sur Activer la Corbeille... dans le volet Tâches,
cliquez sur OK dans la boîte de message d’avertissement, puis cliquez
sur OK dans le message d’actualisation du Centre d’administration Active
Directory.
4. Appuyez sur F5 pour actualiser le Centre d’administration Active Directory.
Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional

Features,CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration,
DC=sr3a, DC=local' -Scope ForestOrConfigurationSet -Target 'sr3a.local'
Pour créer les utilisateurs test

3. Dans le volet Tâches, cliquez sur Nouveau, puis sur Utilisateur.
4. Entrez les informations suivantes sous Compte, puis cliquez sur OK :

o Nom complet : test1
o Ouverture de session SamAccountName de l’utilisateur : test1
o Mot de passe : p@ssword1
o Confirmer le mot de passe : p@ssword1
5. Répétez les étapes précédentes pour créer un second utilisateur, test2.
Pour créer un groupe test et lui ajouter les utilisateurs

3. Dans le volet Tâches, cliquez sur Nouveau, puis sur Groupe.
4. Entrez les informations suivantes sous Groupe, puis cliquez sur OK :
o Nom du groupe:group1
5. Cliquez sur group1, puis, sous le volet Tâches, cliquez sur Propriétés.
6. Cliquez sur Membres et sur Ajouter, tapez test1;test2, puis cliquez sur OK.
Add-ADGroupMember -Identity group1 -Member test1
Pour créer une unité d’organisation

2. Cliquez sur Gérer, cliquez sur Ajouter des nœuds de navigation et sélectionnez
le domaine cible approprié dans la boîte de dialogue Ajouter des nœuds de
navigation , puis cliquez sur **OK
3. Dans le volet Tâches, cliquez sur Nouveau, puis sur Unité d’organisation.
4. Entrez les informations suivantes sous Unité d’organisation, puis cliquez
sur OK :
o NameOU1

1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -Path
"DC=fabrikam,DC=local" -AccountPassword (ConvertTo-SecureString -AsPlainText
"p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -
GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"
Pour restaurer des objets supprimés à leur emplacement d’origine

3. Sélectionnez les utilisateurs test1 et test2, cliquez sur Supprimer dans le
volet Tâches, puis cliquez sur Oui pour confirmer la suppression.
Get-ADUser -Filter 'Name -Like "*test*"'|Remove-ADUser -Confirm:$false
4. Accédez au conteneur Deleted Objects, sélectionnez test2 et test1, puis cliquez

sur Restaurer dans le volet Tâches.
5. Pour confirmer que les objets ont été restaurés à leur emplacement d’origine, accédez
au domaine cible et vérifiez que les comptes d’utilisateurs sont répertoriés.
b. Stratégie de mot de passe affinée
Le système d’exploitation Windows Server 2008 fournit aux organisations une méthode pour
définir des stratégies de mot de passe et de verrouillage de compte différentes pour des
ensembles d’utilisateurs différents dans un domaine. Dans les domaines Active Directory
antérieurs à Windows Server 2008, une seule stratégie de mot de passe et stratégie de
verrouillage de compte pouvait être appliquée à tous les utilisateurs dans le domaine. Ces
stratégies étaient spécifiées dans la stratégie de domaine par défaut pour le domaine. Par
conséquent, les organisations qui voulaient des paramètres différents de mot de passe et de
verrouillage de compte pour des ensembles d’utilisateurs différents devaient créer un filtre de
mot de passe ou déployer plusieurs domaines. Ces deux options sont onéreuses.
Vous pouvez utiliser des stratégies de mot de passe affinées pour spécifier plusieurs stratégies
de mot de passe au sein d’un même domaine et appliquer des restrictions différentes pour les
stratégies de mot de passe et de verrouillage de compte à des ensembles d’utilisateurs différents
dans un domaine. Par exemple, vous pouvez appliquer des paramètres plus stricts à des comptes
privilégiés et des paramètres moins stricts aux comptes des autres utilisateurs.
Dans d’autres cas, vous pouvez appliquer une stratégie de mot de passe spéciale pour les
comptes dont les mots de passe sont synchronisés avec d’autres sources de données.
Nouveautés
Dans Windows Server 2012 et versions ultérieures, la gestion des stratégies de mot de passe
affinée est facilitée et plus visuelle en fournissant une interface utilisateur aux administrateurs
AD DS pour les gérer dans ADAC. Les administrateurs peuvent désormais afficher la stratégie
résultante d’un utilisateur donné, afficher et trier toutes les stratégies de mot de passe au sein
d’un domaine donné et gérer visuellement les stratégies de mot de passe individuelles.
Si vous envisagez d’utiliser des stratégies de mot de passe affinées dans Windows Server 2012,
tenez compte des éléments suivants :
• Les stratégies de mot de passe affinées s’appliquent uniquement aux groupes de
sécurité globaux et aux objets utilisateur (ou aux objets inetOrgPerson s’ils sont
utilisés au lieu d’objets utilisateur). Par défaut, seuls les membres du groupe
Admins du domaine peuvent définir des stratégies de mot de passe affinées.
Toutefois, vous pouvez également déléguer la capacité à définir de telles stratégies
à d’autres utilisateurs. Le niveau fonctionnel du domaine doit correspondre à
Windows Server 2008 ou version supérieure.
• Vous devez utiliser la Windows Server 2012 ou une version plus récente du
Centre d’administration Active Directory pour administrer des stratégies de mot
de passe affinées via une interface utilisateur graphique.
créer une nouvelle stratégie de mot de passe affinée :

Dans la procédure décrite ci-dessous, vous allez créer une nouvelle stratégie de mot de passe
affinée à l’aide de l’interface utilisateur du Centre d’administration Active Directory.
Pour créer une nouvelle stratégie de mot de passe affinée
3. Dans le volet de navigation du Centre d’administration Active Directory, ouvrez
le conteneur System, puis cliquez sur Password Settings Container.
4. Dans le volet Tâches, cliquez sur Nouveau, puis sur Paramètres de mot de
passe.
Remplissez ou modifiez les champs de la page de propriétés pour créer un nouvel
objet Paramètres de mot de passe. Les champs Nom et Priorité sont requis.
5. Sous S’applique directement à, sur Ajouter, tapez group1, puis cliquez
sur OK.
Cela associe l’objet Stratégie de mot de passe aux membres du groupe global que
vous avez créé pour l’environnement de test.
6. Cliquez sur OK pour soumettre la création.

New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -

LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -
LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -
MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -
ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1
c. Visionneuse de l’historique de Windows PowerShell
Le Centre d’administration Active Directory est un outil d’interface utilisateur construit par-
dessus Windows PowerShell. Dans Windows Server 2012 et versions ultérieures, les
administrateurs informatiques peuvent tirer parti d’ADAC pour apprendre Windows
PowerShell pour les applets de commande Active Directory à l’aide de la visionneuse
d’historique Windows PowerShell. Lorsque des actions sont exécutées dans l’interface
utilisateur, la commande Windows PowerShell équivalente est indiquée à l’utilisateur dans la
Visionneuse de l’historique de Windows PowerShell. Cela permet aux administrateurs de créer
des scripts automatisés et de réduire les tâches répétitives, ce qui a pour effet d’augmenter la
productivité informatique. En outre, cette fonctionnalité réduit le temps d’apprendre Windows
PowerShell pour Active Directory et augmente la confiance des utilisateurs dans l’exactitude
de leurs scripts d’automatisation.
Lorsque vous utilisez la visionneuse d’historique Windows PowerShell dans Windows Server
2012 ou une version ultérieure, tenez compte des éléments suivants :
• Pour utiliser Windows PowerShell Visionneuse de scripts, vous devez utiliser la
Windows Server 2012 ou une version plus récente d’ADAC
Pour élaborer un script à l’aide de la Visionneuse de l’historique de PowerShell

3. Développez le volet Historique de Windows PowerShell en bas de l’écran du
Centre d’administration Active Directory.
4. Sélectionnez l’utilisateur test1.
5. Cliquez sur Ajouter au groupe... dans le volet Tâches .
6. Accédez à group1 et cliquez sur OK dans la boîte de dialogue.
7. Accédez au volet Historique de Windows PowerShell et localisez la commande
qui vient d’être générée.
8. Copiez cette commande et collez-la dans l’éditeur de votre choix pour élaborer
votre script.
Par exemple, vous pouvez modifier la commande pour ajouter un autre utilisateur
dans group1 ou pour ajouter test1 dans un autre groupe.
III. Service de temps Windows
Le service de temps Windows, également appelé W32Time, synchronise la date et l’heure de

tous les ordinateurs s’exécutant dans un domaine AD DS. La synchronisation de l’heure est
essentielle au bon fonctionnement de nombreux services Windows et applications métier. Le
service de temps Windows utilise le protocole NTP (Network Time Protocol) pour synchroniser
les horloges des ordinateurs du réseau de sorte qu’une valeur d’horloge exacte, ou horodatage,
puisse être affectée aux demandes de validation réseau et aux demandes d’accès aux ressources.
Le service intègre NTP et des fournisseurs de temps, ce qui en fait un service de temps fiable
et scalable pour les administrateurs d’entreprise.
~~Voir TP~~
IV. Utilistation de Widows PowerShell
1. Installez les services de domaine Active Directory.
# install AD DS with admin tools

PS C:\Users\Administrator> Install-WindowsFeature -name AD-Domain-Services -
IncludeManagementTools
2. Configurez le nouveau DC (contrôleur de domaine).

Sur la configuration CUI, exécutez les commandes comme suit.
[1] Par exemple, configurez le nouveau DC avec le nom de domaine racine comme [sr3a.local].
Une fois les commandes terminées, l'ordinateur redémarrera automatiquement.
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.
# set forest/domain functional level as Windows Server 2016 = [WinThreshold]

# other available levels : [Win2008], [Win2008R2], [Win2012], [Win2012R2]
# for [-DomainNetbiosName], set any NetBIOS name
# for [-SafeModeAdministratorPassword], set any password for SafeMode
PS C:\Users\Administrator> Install-ADDSForest -DomainName "srv.world" `
-ForestMode WinThreshold `
-DomainMode WinThreshold `
-DomainNetbiosName FD3S01 `
-SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText "P@ssw0rd01" -
Force) `
-InstallDNS
The target server will be configured as a domain controller and restarted when this operation is
complete.
Do you want to continue with this operation?
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): Y
WARNING: Windows Server 2022 domain controllers have a default for the security setting
named "Allow cryptography algorithms
compatible with Windows NT 4.0" that prevents weaker cryptography algorithms when
establishing security channel sessions.
WARNING: A delegation for this DNS server cannot be created because the authoritative
parent zone cannot be found or it does
not run Windows DNS server. If you are integrating with an existing DNS infrastructure, you
should manually create a delegation
to this DNS server in the parent zone to ensure reliable name resolution from outside the
domain "srv.world". Otherwise, no
action is required.
Message Context RebootRequired Status

------- ------- -------------- ------
Operation completed successfully DCPromo.General.3 False Success
# after finishing configuration, computer restarts automatically
d. Joignez-vous au domaine Active Directory à partir d'autres

ordinateurs clients Windows.
Cet exemple est basé sur Windows 11.
Windows PowerShell
# display network interfaces

PS C:\Users\serverworld> Get-NetIPInterface -AddressFamily IPv4
ifIndex InterfaceAlias AddressFamily NlMtu(Bytes) InterfaceMetric Dhcp

ConnectionState PolicyStore
------- -------------- ------------- ------------ --------------- ---- --------------- -----------
3 Ethernet0 IPv4 1500 25 Enabled Connected ActiveStore
1 Loopback Pseudo-Interface 1 IPv4 4294967295 75 Disabled Connected
ActiveStore
# change DNS setting to refer to AD DS

PS C:\Users\serverworld> Set-DnsClientServerAddress -InterfaceIndex 3 -ServerAddresses
"10.0.0.100" -PassThru
InterfaceAlias Interface Address ServerAddresses

Index Family
-------------- --------- ------- ---------------
Ethernet0 3 IPv4 {10.0.0.100}
Ethernet0 3 IPv6 {}
PS C:\Users\serverworld> ipconfig /all | Select-String -Pattern "DNS"
Primary Dns Suffix . . . . . . . :

DNS Suffix Search List. . . . . . : srv.world
Connection-specific DNS Suffix . : srv.world
DNS Servers . . . . . . . . . . . : 10.0.0.100
# join in domaon
# for [Serverworld] word, it's a domain user, replace to yours
# for [UserP@ssw0rd01] word, it's the password of the user specified above
PS C:\Users\serverworld> Add-Computer -DomainName srv.world -Credential (New-Object
PSCredential("Serverworld", (ConvertTo-SecureString -AsPlainText "UserP@ssw0rd01" -
Force)))
WARNING: The changes will take effect after you restart the computer RX-78-3.
# restart computer
PS C:\Users\serverworld> Restart-Computer -Force
# after restarting, verify to logon as a domain user

PS C:\Users\Serverworld.FD3S01> whoami
fd3s01\serverworld
# make sure domain info (the command needs local administrative privilege)
PS C:\Users\Serverworld.FD3S01> Get-WmiObject Win32_NTDomain
ClientSiteName :
DcSiteName :
Description : RX-78-3
DnsForestName :
DomainControllerAddress :
DomainControllerName :
DomainName :
Roles :
Status : Unknown
ClientSiteName : Default-First-Site-Name
DcSiteName : Default-First-Site-Name
Description : FD3S01
DnsForestName : srv.world
DomainControllerAddress : \\10.0.0.100
DomainControllerName : \\FD3S
DomainName : FD3S01
Roles :
Status : OK
e. Ajouter des comptes d'utilisateurs sur Active Directory.
Windows PowerShell
# show current user list

PS C:\Users\Administrator> Get-ADUser -Filter * | Format-Table DistinguishedName
DistinguishedName
-----------------
CN=Administrator,CN=Users,DC=srv,DC=world
CN=Guest,CN=Users,DC=srv,DC=world
CN=krbtgt,CN=Users,DC=srv,DC=world
CN=Server World,CN=Users,DC=srv,DC=world
# for example, add [ADUser01] user

PS C:\Users\Administrator> New-ADUser ADUser01 `
-Surname ADUser01 `
-GivenName ADUser01 `
-DisplayName "AD User01" `
-EmailAddress "ADUser01@srv.world" `
-AccountPassword (ConvertTo-SecureString -AsPlainText "P@ssw0rd01" -Force) `
-ChangePasswordAtLogon $true `
-Enabled $true
# verify
PS C:\Users\Administrator> Get-ADUser -Identity ADUser01
DistinguishedName : CN=ADUser01,CN=Users,DC=srv,DC=world
Enabled : True
GivenName : ADUser01
Name : ADUser01
ObjectClass : user
ObjectGUID : 3317faca-ccea-4ff8-8bc4-ab2e7e54c878
SamAccountName : ADUser01
SID : S-1-5-21-220755274-1434786659-4133053638-1106
Surname : ADUser01
UserPrincipalName :
# with specify [OU], run like follows

-Path "OU=Hiroshima,DC=srv,DC=world" `
-Surname ADUser02 `
-Enabled $true
# to reset existing user's password, run like follows

PS C:\Users\Administrator> Set-ADAccountPassword -Identity ADUser02 `
-NewPassword (ConvertTo-SecureString -AsPlainText "UserP@ssw0rd02" -Force) `
-Reset
# to delete a user, run like follows

PS C:\Users\Administrator> Remove-ADUser -Identity
"CN=Redstone,CN=Users,DC=srv,DC=world"
Confirm
Are you sure you want to perform this action?
Performing the operation "Remove" on target "CN=Redstone,CN=Users,DC=srv,DC=world".
f. Ajoutez des attributs UNIX aux comptes d'utilisateurs.
Les comptes d'utilisateurs dotés d'attributs UNIX peuvent s'authentifier auprès des hôtes
UNIX/Linux dotés du rôle de client LDAP.
Windows PowerShell
# add an user [ADUser02] with UNIX attributes

# specify minimum requirement attributes with [-OtherAttributes] option
-Surname ADUser02 `
-Enabled $true `
-OtherAttributes @{uidNumber="5001"; gidNumber="100"; loginShell="/bin/bash";
unixHomeDirectory="/home/ADUser02"}
# verify
PS C:\Users\Administrator> Get-ADUser -Identity ADUser02 -Properties * | Out-String -
Stream | Select-String "uidNumber","gidNumber","loginShell","unixHomeDirectory"
gidNumber : 100
loginShell : /bin/bash
uidNumber : 5001
unixHomeDirectory : /home/ADUser02
# add UNIX attributes to an existing user [ADUser01]

PS C:\Users\Administrator> Get-ADUser -Identity ADUser01
DistinguishedName : CN=AD User01,CN=Users,DC=srv,DC=world

Enabled : True
GivenName : User01
Name : AD User01
ObjectClass : user
ObjectGUID : 457aa6c8-8c5d-4c00-92c0-14b5d43de16b
SamAccountName : ADUser01
SID : S-1-5-21-1322887480-1777281493-1913265488-1104
Surname : AD
UserPrincipalName : ADUser01@srv.world
# specify minimum requirement attributes with [-Add] option
PS C:\Users\Administrator> Set-ADUser -identity "CN=AD
User01,CN=Users,DC=srv,DC=world" `
-Add @{uidNumber="5000"; gidNumber="100"; loginShell="/bin/bash";
unixHomeDirectory="/home/ADUser01"}
PS C:\Users\Administrator> Get-ADUser -Identity ADUser01 -Properties * | Out-String -

Stream | Select-String "uidNumber","gidNumber","loginShell","unixHomeDirectory"
gidNumber : 100
loginShell : /bin/bash
uidNumber : 5000
unixHomeDirectory : /home/ADUser01
g. Ajouter des comptes de groupe sur Active Directory.
# show current group list

PS C:\Users\Administrator> Get-ADGroup -Filter * | Format-Table DistinguishedName
DistinguishedName
-----------------
CN=Administrators,CN=Builtin,DC=srv,DC=world
CN=Users,CN=Builtin,DC=srv,DC=world
CN=Guests,CN=Builtin,DC=srv,DC=world
CN=Print Operators,CN=Builtin,DC=srv,DC=world
CN=Backup Operators,CN=Builtin,DC=srv,DC=world
.....
.....
# for example, add [Development01] group

PS C:\Users\Administrator> New-ADGroup Development01 `
-GroupScope Global `
-GroupCategory Security `
-Description "Database Admin Group"
# verify
PS C:\Users\Administrator> Get-ADGroup -Identity Development01
DistinguishedName : CN=Development01,CN=Users,DC=srv,DC=world
GroupCategory : Security
GroupScope : Global
Name : Development01
ObjectClass : group
ObjectGUID : 0c353afe-37d9-49ba-ac4f-ba1295a78e8e
SamAccountName : Development01
SID : S-1-5-21-220755274-1434786659-4133053638-1108
# to add a member to a group, run like follows

PS C:\Users\Administrator> Add-ADGroupMember -Identity Development01 -Members
Serverworld
# verify
PS C:\Users\Administrator> Get-ADGroupMember -Identity Development01
distinguishedName : CN=Server World,CN=Users,DC=srv,DC=world

name : Server World
objectClass : user
objectGUID : 5224b6a8-c9e7-4561-aabd-285c376a1012
SamAccountName : Serverworld
SID : S-1-5-21-220755274-1434786659-4133053638-1103
# to delete a member from a group, run like follows

PS C:\Users\Administrator> Remove-ADGroupMember -Identity Development01 -Members
Serverworld
Confirm
Performing the operation "Set" on target
"CN=Development01,CN=Users,DC=srv,DC=world".
# to delete a group, run like follows

PS C:\Users\Administrator> Remove-ADGroup -Identity Development01
Confirm
Performing the operation "Remove" on target
"CN=Development01,CN=Users,DC=srv,DC=world".
h. Ajouter une unité organisationnelle sur Active Directory.
# show current Organizational Unit list

PS C:\Users\Administrator> Get-ADOrganizationalUnit -Filter * | Format-Table
DistinguishedName
DistinguishedName
-----------------
OU=Domain Controllers,DC=srv,DC=world
OU=Hiroshima,DC=srv,DC=world
# for example, add [Development01] under the [Hiroshima]

PS C:\Users\Administrator> New-ADOrganizationalUnit Development01 `
-Path "OU=Hiroshima,DC=srv,DC=world" `
-ProtectedFromAccidentalDeletion $True
# verify
PS C:\Users\Administrator> Get-ADOrganizationalUnit -Filter * | Format-Table
DistinguishedName
DistinguishedName
-----------------
OU=Domain Controllers,DC=srv,DC=world
OU=Hiroshima,DC=srv,DC=world
OU=Development01,OU=Hiroshima,DC=srv,DC=world
# to delete OU,
# disable [ProtectedFromAccidentalDeletion $True] option first
# = protected option from accidental deletetion
PS C:\Users\Administrator> Set-ADOrganizationalUnit `
-Identity "OU=Development01,OU=Hiroshima,DC=srv,DC=world" `
-ProtectedFromAccidentalDeletion $false
PS C:\Users\Administrator> Remove-ADOrganizationalUnit -Identity

"OU=Development01,OU=Hiroshima,DC=srv,DC=world"
Confirm
Performing the operation "Remove" on target
"OU=Development01,OU=Hiroshima,DC=srv,DC=world".
i. Ajouter des comptes d'ordinateur sur
Active Directory.
Par défaut, si vous n'ajoutez pas de comptes d'ordinateurs par vous-même sur AD, les
ordinateurs peuvent rejoindre le domaine avec tous les droits d'utilisateurs communs qui n'ont
pas de privilèges d'administrateur.
Donc, si vous souhaitez limiter les utilisateurs d'authentification lorsque les ordinateurs se
joignent au domaine, ajoutez des comptes d'ordinateurs au préalable.
Si vous ajoutez des comptes d'ordinateurs au préalable, par défaut, seuls les utilisateurs du
groupe [Domain Admins] peuvent s'authentifier lorsque des ordinateurs se joignent au domaine.
# show current computer list

PS C:\Users\Administrator> Get-ADComputer -Filter * | Format-Table DistinguishedName
DistinguishedName
-----------------
CN=FD3S,OU=Domain Controllers,DC=srv,DC=world
# for example, add a computer [RX-0]

PS C:\Users\Administrator> New-ADComputer -Name RX-0
# verify
PS C:\Users\Administrator> Get-ADComputer -Filter * | Format-Table DistinguishedName
DistinguishedName
-----------------
CN=FD3S,OU=Domain Controllers,DC=srv,DC=world
CN=RX-0,CN=Computers,DC=srv,DC=world
# to specify OU, run like follows
PS C:\Users\Administrator> New-ADComputer -Name RX-7 `
-Path "OU=Computers,OU=Hiroshima,DC=srv,DC=world"
# if you'd like to add a specific user who can authenticate to AD when computer joins, set like
follows
PS C:\Users\Administrator> dsacls "CN=RX-0,CN=Computers,DC=srv,DC=world" /G
FD3S01\Serverworld:CALCGRSDDTRC;
# to delete computer accounts, run like follows

PS C:\Users\Administrator> Remove-ADComputer -Identity "CN=RX-
9,CN=Computers,DC=srv,DC=world"
Confirm
Performing the operation "Remove" on target "CN=RX-
9,CN=Computers,DC=srv,DC=world".

Services de Domaine Active Directory

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Services de Domaine Active Directory

Transféré par

Droits d'auteur :

Formats disponibles

Services de domaine Active Directory :

ADDS (Active Directory Domain

I. Prise en main des services AD DS

La sécurité est intégrée à Active Directory via l’authentification d’ouverture de session et le

Dans un environnement monodomaine, la recommandation est de laisser tous les contrôleurs

II. Centre d'administration Active Directory

Le Centre d’administration Active Directory dans Windows Server comprend des

L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même

Set-ADForestMode -Identity sr3a.local -ForestMode Windows2008R2Forest -Confirm:$false

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional

Pour créer les utilisateurs test

4. Entrez les informations suivantes sous Compte, puis cliquez sur OK :

Pour créer un groupe test et lui ajouter les utilisateurs

Add-ADGroupMember -Identity group1 -Member test1

Pour créer une unité d’organisation

L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même

Pour restaurer des objets supprimés à leur emplacement d’origine

4. Accédez au conteneur Deleted Objects, sélectionnez test2 et test1, puis cliquez

créer une nouvelle stratégie de mot de passe affinée :

L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même

New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -

Pour élaborer un script à l’aide de la Visionneuse de l’historique de PowerShell

III. Service de temps Windows

Le service de temps Windows, également appelé W32Time, synchronise la date et l’heure de

IV. Utilistation de Widows PowerShell

1. Installez les services de domaine Active Directory.

# install AD DS with admin tools

2. Configurez le nouveau DC (contrôleur de domaine).

# set forest/domain functional level as Windows Server 2016 = [WinThreshold]

Message Context RebootRequired Status

# after finishing configuration, computer restarts automatically

d. Joignez-vous au domaine Active Directory à partir d'autres

Cet exemple est basé sur Windows 11.

# display network interfaces

ifIndex InterfaceAlias AddressFamily NlMtu(Bytes) InterfaceMetric Dhcp

# change DNS setting to refer to AD DS

InterfaceAlias Interface Address ServerAddresses

PS C:\Users\serverworld> ipconfig /all | Select-String -Pattern "DNS"

Primary Dns Suffix . . . . . . . :

# after restarting, verify to logon as a domain user

e. Ajouter des comptes d'utilisateurs sur Active Directory.

# show current user list

# for example, add [ADUser01] user

# with specify [OU], run like follows

# to reset existing user's password, run like follows

# to delete a user, run like follows

f. Ajoutez des attributs UNIX aux comptes d'utilisateurs.

# add an user [ADUser02] with UNIX attributes

# add UNIX attributes to an existing user [ADUser01]

DistinguishedName : CN=AD User01,CN=Users,DC=srv,DC=world

PS C:\Users\Administrator> Get-ADUser -Identity ADUser01 -Properties * | Out-String -

g. Ajouter des comptes de groupe sur Active Directory.

# show current group list

# for example, add [Development01] group

# to add a member to a group, run like follows

distinguishedName : CN=Server World,CN=Users,DC=srv,DC=world

# to delete a member from a group, run like follows

# to delete a group, run like follows

h. Ajouter une unité organisationnelle sur Active Directory.

# show current Organizational Unit list

# for example, add [Development01] under the [Hiroshima]

PS C:\Users\Administrator> Remove-ADOrganizationalUnit -Identity

# show current computer list