Académique Documents
Professionnel Documents
Culture Documents
Active Directory est service d'annuaire créé par Microsoft en 1996 pour les systèmes d'exploitation
Windows. Sa base de données centralise l'identité des utilisateurs (nom, téléphone, poste occupé...) et
celles des ordinateurs et autres équipements informatiques de son réseau. Elle centralise également
les informations d'authentification (mots de passe et droits d'accès).
Donc Active Directory stocke des informations relatives aux objets d’un réseau et les met à la
disposition des utilisateurs et des administrateurs réseaux afin qu’ils puissent les trouver et les
utiliser rapidement.
Active Directory utilise un magasin de données appelé annuaire structuré comme la base de son
organisation hiérarchique et logique des informations de répertoire. C’est ce magasin qui
contient des informations sur les objets Active Directory.
a. Schéma
La console Schéma Active Directory n’est pas disponible nativement, il est nécessaire de
l’enregistrer afin d’y accéder.
Cette console est à utiliser avec beaucoup de précaution, car une mauvaise manipulation peut
mettre en erreur l’ensemble de la forêt Active Directory.
Cette console permet d’accéder au rôle FSMO (Flexible Single Master Opération) maitre du
schéma.
1. Ouvrir une invite de commande en Administrateur sur un contrôleur de domaine et entrer la
commande suivante et confirmer l’enregistrement de la DLL.
regsvr32 schmmgmt.dll
2. Ouvrir une console MMC vierge.
mmc.exe
3. Cliquer sur Fichier puis sur Ajouter/Supprimer un composant logiciel enfichable.
4. Sélectionner la console Schéma Active Directory, cliquer sur Ajouter et cliquer OK pour
accéder à la console.
5. Il est maintenant possible d’agir sur le schéma Active Directory.
b. Catalogue global
La suppression accidentelle des objets Active Directory est un élément qui affecte souvent les
utilisateurs des services de domaine Active Directory (AD DS) et des services AD LDS (Active
Directory Lightweight Directory Services). Dans les versions antérieures de Windows Server,
avant Windows Server 2008 R2, on pouvait récupérer des objets supprimés accidentellement
dans Active Directory, mais les solutions ont eu leurs inconvénients.
Dans Windows Server 2008, vous pouviez utiliser la fonctionnalité Sauvegarde Windows
Server et la commande de restauration faisant autorité ntdsutil pour marquer des objets comme
faisant autorité, afin de garantir que les données restaurées soient répliquées sur l’ensemble du
domaine. L’inconvénient de la solution de restauration faisant autorité était qu’elle devait être
effectuée en mode de restauration des services d’annuaire. Dans ce mode, le contrôleur de
domaine en cours de restauration devait rester hors connexion. Il n’était dès lors pas en mesure
de traiter les demandes des clients.
Dans Active Directory sous Windows Server 2003 et dans les services AD DS sous Windows
Server 2008, il était possible de récupérer les objets Active Directory supprimés par le biais de
la réanimation des désactivations. Toutefois, les attributs à valeur liée des objets réanimés (par
exemple, les appartenances de groupe des comptes d’utilisateur) qui étaient supprimés
physiquement et les attributs à valeur non liée qui étaient supprimés n’étaient pas récupérés Par
conséquent, les administrateurs ne pouvaient pas se fier à la réanimation des désactivations
comme solution suprême à la suppression accidentelle d’objets.
La corbeille Active Directory, introduite pour la première fois dans Windows Server 2008 R2,
s’appuie sur l’infrastructure existante de réanimation des désactivations et améliore votre
capacité à préserver et récupérer les objets Active Directory accidentellement supprimés.
Lorsque vous activez la corbeille Active Directory, tous les attributs à valeur liée et à valeur
non liée des objets Active Directory supprimés sont préservés et les objets sont restaurés dans
leur intégralité dans le même état logique et cohérent qu’ils avaient juste avant la suppression.
Par exemple, les comptes d’utilisateurs restaurés retrouvent automatiquement toutes les
appartenances aux groupes et les droits d’accès correspondants dont ils disposaient juste avant
la suppression, dans et entre les domaines. La corbeille Active Directory fonctionne pour les
environnements AD DS et AD LDS.
Dans Windows Server 2012 et les versions ultérieures, la fonctionnalité De corbeille Active
Directory est améliorée avec une nouvelle interface utilisateur graphique pour les utilisateurs
afin de gérer et de restaurer des objets supprimés. Les utilisateurs peuvent à présent localiser
visuellement une liste d’objets supprimés et les restaurer à leur emplacement d’origine ou à un
emplacement souhaité.
Si vous envisagez d’activer la corbeille Active Directory dans Windows Server, tenez compte
des éléments suivants :
• Par défaut, la corbeille Active Directory est désactivée. Pour l’activer, vous devez
d’abord augmenter le niveau fonctionnel de forêt de votre environnement AD DS
ou AD LDS pour Windows Server 2008 R2 ou version ultérieure. Cela nécessite
à son tour que tous les contrôleurs de domaine dans la forêt ou tous les serveurs
qui hébergent des instances de configuration AD LDS s’exécutent Windows
Server 2008 R2 ou version ultérieure.
• Le processus d’activation de la corbeille Active Directory est irréversible. Après
avoir activé la corbeille Active Directory dans votre environnement, vous ne
pouvez plus la désactiver.
• Pour gérer la fonctionnalité Corbeille via une interface utilisateur, vous devez
installer la version du Centre d’administration Active Directory dans Windows
Server 2012.
Pour activer la corbeille, vous devez d’abord élever le niveau fonctionnel sur la forêt cible pour
qu’elle soit Windows Server 2008 R2 au minimum avant d’activer la corbeille Active Directory.
Pour augmenter le niveau fonctionnel sur la forêt cible
1. Cliquez avec le bouton droit sur l’icône Windows PowerShell, cliquez
sur Exécuter en tant qu’administrateur et tapez dsac.exe pour ouvrir ADAC.
2. Cliquez sur Gérer, sur Ajouter des nœuds de navigation, puis sélectionnez le
domaine cible approprié dans la boîte de dialogue Ajouter des nœuds de
navigation et cliquez sur OK.
3. Cliquez sur le domaine cible dans le volet de navigation gauche et, dans le
volet Tâches, cliquez sur Augmenter le niveau fonctionnel de la forêt.
Sélectionnez un niveau fonctionnel de forêt qui est au moins Windows Server
2008 R2 ou version ultérieure, puis cliquez sur OK.
Pour activer la corbeille Active Directory dans le Centre d’administration Active Directory du
domaine cible
1. Cliquez avec le bouton droit sur l’icône Windows PowerShell, cliquez
sur Exécuter en tant qu’administrateur et tapez dsac.exe pour ouvrir ADAC.
2. Cliquez sur Gérer, sur Ajouter des nœuds de navigation, puis sélectionnez le
domaine cible approprié dans la boîte de dialogue Ajouter des nœuds de
navigation et cliquez sur OK.
3. Dans le volet Tâches, cliquez sur Activer la Corbeille... dans le volet Tâches,
cliquez sur OK dans la boîte de message d’avertissement, puis cliquez
sur OK dans le message d’actualisation du Centre d’administration Active
Directory.
4. Appuyez sur F5 pour actualiser le Centre d’administration Active Directory.
L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même
fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne,
même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de
contraintes de mise en forme.
Le système d’exploitation Windows Server 2008 fournit aux organisations une méthode pour
définir des stratégies de mot de passe et de verrouillage de compte différentes pour des
ensembles d’utilisateurs différents dans un domaine. Dans les domaines Active Directory
antérieurs à Windows Server 2008, une seule stratégie de mot de passe et stratégie de
verrouillage de compte pouvait être appliquée à tous les utilisateurs dans le domaine. Ces
stratégies étaient spécifiées dans la stratégie de domaine par défaut pour le domaine. Par
conséquent, les organisations qui voulaient des paramètres différents de mot de passe et de
verrouillage de compte pour des ensembles d’utilisateurs différents devaient créer un filtre de
mot de passe ou déployer plusieurs domaines. Ces deux options sont onéreuses.
Vous pouvez utiliser des stratégies de mot de passe affinées pour spécifier plusieurs stratégies
de mot de passe au sein d’un même domaine et appliquer des restrictions différentes pour les
stratégies de mot de passe et de verrouillage de compte à des ensembles d’utilisateurs différents
dans un domaine. Par exemple, vous pouvez appliquer des paramètres plus stricts à des comptes
privilégiés et des paramètres moins stricts aux comptes des autres utilisateurs.
Dans d’autres cas, vous pouvez appliquer une stratégie de mot de passe spéciale pour les
comptes dont les mots de passe sont synchronisés avec d’autres sources de données.
Nouveautés
Dans Windows Server 2012 et versions ultérieures, la gestion des stratégies de mot de passe
affinée est facilitée et plus visuelle en fournissant une interface utilisateur aux administrateurs
AD DS pour les gérer dans ADAC. Les administrateurs peuvent désormais afficher la stratégie
résultante d’un utilisateur donné, afficher et trier toutes les stratégies de mot de passe au sein
d’un domaine donné et gérer visuellement les stratégies de mot de passe individuelles.
Si vous envisagez d’utiliser des stratégies de mot de passe affinées dans Windows Server 2012,
tenez compte des éléments suivants :
• Les stratégies de mot de passe affinées s’appliquent uniquement aux groupes de
sécurité globaux et aux objets utilisateur (ou aux objets inetOrgPerson s’ils sont
utilisés au lieu d’objets utilisateur). Par défaut, seuls les membres du groupe
Admins du domaine peuvent définir des stratégies de mot de passe affinées.
Toutefois, vous pouvez également déléguer la capacité à définir de telles stratégies
à d’autres utilisateurs. Le niveau fonctionnel du domaine doit correspondre à
Windows Server 2008 ou version supérieure.
• Vous devez utiliser la Windows Server 2012 ou une version plus récente du
Centre d’administration Active Directory pour administrer des stratégies de mot
de passe affinées via une interface utilisateur graphique.
Le Centre d’administration Active Directory est un outil d’interface utilisateur construit par-
dessus Windows PowerShell. Dans Windows Server 2012 et versions ultérieures, les
administrateurs informatiques peuvent tirer parti d’ADAC pour apprendre Windows
PowerShell pour les applets de commande Active Directory à l’aide de la visionneuse
d’historique Windows PowerShell. Lorsque des actions sont exécutées dans l’interface
utilisateur, la commande Windows PowerShell équivalente est indiquée à l’utilisateur dans la
Visionneuse de l’historique de Windows PowerShell. Cela permet aux administrateurs de créer
des scripts automatisés et de réduire les tâches répétitives, ce qui a pour effet d’augmenter la
productivité informatique. En outre, cette fonctionnalité réduit le temps d’apprendre Windows
PowerShell pour Active Directory et augmente la confiance des utilisateurs dans l’exactitude
de leurs scripts d’automatisation.
Lorsque vous utilisez la visionneuse d’historique Windows PowerShell dans Windows Server
2012 ou une version ultérieure, tenez compte des éléments suivants :
• Pour utiliser Windows PowerShell Visionneuse de scripts, vous devez utiliser la
Windows Server 2012 ou une version plus récente d’ADAC
~~Voir TP~~
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.
The target server will be configured as a domain controller and restarted when this operation is
complete.
Do you want to continue with this operation?
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): Y
WARNING: Windows Server 2022 domain controllers have a default for the security setting
named "Allow cryptography algorithms
compatible with Windows NT 4.0" that prevents weaker cryptography algorithms when
establishing security channel sessions.
WARNING: A delegation for this DNS server cannot be created because the authoritative
parent zone cannot be found or it does
not run Windows DNS server. If you are integrating with an existing DNS infrastructure, you
should manually create a delegation
to this DNS server in the parent zone to ensure reliable name resolution from outside the
domain "srv.world". Otherwise, no
action is required.
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.
# join in domaon
# for [Serverworld] word, it's a domain user, replace to yours
# for [UserP@ssw0rd01] word, it's the password of the user specified above
PS C:\Users\serverworld> Add-Computer -DomainName srv.world -Credential (New-Object
PSCredential("Serverworld", (ConvertTo-SecureString -AsPlainText "UserP@ssw0rd01" -
Force)))
WARNING: The changes will take effect after you restart the computer RX-78-3.
# restart computer
PS C:\Users\serverworld> Restart-Computer -Force
# make sure domain info (the command needs local administrative privilege)
PS C:\Users\Serverworld.FD3S01> Get-WmiObject Win32_NTDomain
ClientSiteName :
DcSiteName :
Description : RX-78-3
DnsForestName :
DomainControllerAddress :
DomainControllerName :
DomainName :
Roles :
Status : Unknown
ClientSiteName : Default-First-Site-Name
DcSiteName : Default-First-Site-Name
Description : FD3S01
DnsForestName : srv.world
DomainControllerAddress : \\10.0.0.100
DomainControllerName : \\FD3S
DomainName : FD3S01
Roles :
Status : OK
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.
DistinguishedName
-----------------
CN=Administrator,CN=Users,DC=srv,DC=world
CN=Guest,CN=Users,DC=srv,DC=world
CN=krbtgt,CN=Users,DC=srv,DC=world
CN=Server World,CN=Users,DC=srv,DC=world
# verify
PS C:\Users\Administrator> Get-ADUser -Identity ADUser01
DistinguishedName : CN=ADUser01,CN=Users,DC=srv,DC=world
Enabled : True
GivenName : ADUser01
Name : ADUser01
ObjectClass : user
ObjectGUID : 3317faca-ccea-4ff8-8bc4-ab2e7e54c878
SamAccountName : ADUser01
SID : S-1-5-21-220755274-1434786659-4133053638-1106
Surname : ADUser01
UserPrincipalName :
Confirm
Are you sure you want to perform this action?
Performing the operation "Remove" on target "CN=Redstone,CN=Users,DC=srv,DC=world".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): Y
Les comptes d'utilisateurs dotés d'attributs UNIX peuvent s'authentifier auprès des hôtes
UNIX/Linux dotés du rôle de client LDAP.
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.
# verify
PS C:\Users\Administrator> Get-ADUser -Identity ADUser02 -Properties * | Out-String -
Stream | Select-String "uidNumber","gidNumber","loginShell","unixHomeDirectory"
gidNumber : 100
loginShell : /bin/bash
uidNumber : 5001
unixHomeDirectory : /home/ADUser02
gidNumber : 100
loginShell : /bin/bash
uidNumber : 5000
unixHomeDirectory : /home/ADUser01
DistinguishedName
-----------------
CN=Administrators,CN=Builtin,DC=srv,DC=world
CN=Users,CN=Builtin,DC=srv,DC=world
CN=Guests,CN=Builtin,DC=srv,DC=world
CN=Print Operators,CN=Builtin,DC=srv,DC=world
CN=Backup Operators,CN=Builtin,DC=srv,DC=world
.....
.....
# verify
PS C:\Users\Administrator> Get-ADGroup -Identity Development01
DistinguishedName : CN=Development01,CN=Users,DC=srv,DC=world
GroupCategory : Security
GroupScope : Global
Name : Development01
ObjectClass : group
ObjectGUID : 0c353afe-37d9-49ba-ac4f-ba1295a78e8e
SamAccountName : Development01
SID : S-1-5-21-220755274-1434786659-4133053638-1108
# verify
PS C:\Users\Administrator> Get-ADGroupMember -Identity Development01
Confirm
Are you sure you want to perform this action?
Performing the operation "Set" on target
"CN=Development01,CN=Users,DC=srv,DC=world".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): Y
Confirm
Are you sure you want to perform this action?
Performing the operation "Remove" on target
"CN=Development01,CN=Users,DC=srv,DC=world".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): Y
DistinguishedName
-----------------
OU=Domain Controllers,DC=srv,DC=world
OU=Hiroshima,DC=srv,DC=world
# verify
PS C:\Users\Administrator> Get-ADOrganizationalUnit -Filter * | Format-Table
DistinguishedName
DistinguishedName
-----------------
OU=Domain Controllers,DC=srv,DC=world
OU=Hiroshima,DC=srv,DC=world
OU=Development01,OU=Hiroshima,DC=srv,DC=world
# to delete OU,
# disable [ProtectedFromAccidentalDeletion $True] option first
# = protected option from accidental deletetion
PS C:\Users\Administrator> Set-ADOrganizationalUnit `
-Identity "OU=Development01,OU=Hiroshima,DC=srv,DC=world" `
-ProtectedFromAccidentalDeletion $false
Confirm
Are you sure you want to perform this action?
Performing the operation "Remove" on target
"OU=Development01,OU=Hiroshima,DC=srv,DC=world".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): Y
i. Ajouter des comptes d'ordinateur sur
Active Directory.
Par défaut, si vous n'ajoutez pas de comptes d'ordinateurs par vous-même sur AD, les
ordinateurs peuvent rejoindre le domaine avec tous les droits d'utilisateurs communs qui n'ont
pas de privilèges d'administrateur.
Donc, si vous souhaitez limiter les utilisateurs d'authentification lorsque les ordinateurs se
joignent au domaine, ajoutez des comptes d'ordinateurs au préalable.
Si vous ajoutez des comptes d'ordinateurs au préalable, par défaut, seuls les utilisateurs du
groupe [Domain Admins] peuvent s'authentifier lorsque des ordinateurs se joignent au domaine.
DistinguishedName
-----------------
CN=FD3S,OU=Domain Controllers,DC=srv,DC=world
# verify
PS C:\Users\Administrator> Get-ADComputer -Filter * | Format-Table DistinguishedName
DistinguishedName
-----------------
CN=FD3S,OU=Domain Controllers,DC=srv,DC=world
CN=RX-0,CN=Computers,DC=srv,DC=world
# to specify OU, run like follows
PS C:\Users\Administrator> New-ADComputer -Name RX-7 `
-Path "OU=Computers,OU=Hiroshima,DC=srv,DC=world"
# if you'd like to add a specific user who can authenticate to AD when computer joins, set like
follows
PS C:\Users\Administrator> dsacls "CN=RX-0,CN=Computers,DC=srv,DC=world" /G
FD3S01\Serverworld:CALCGRSDDTRC;
Confirm
Are you sure you want to perform this action?
Performing the operation "Remove" on target "CN=RX-
9,CN=Computers,DC=srv,DC=world".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): Y