WINDOWS SERVER 2019

Automatisation de l’administration
Active Directory
1.Utilisation des outils en ligne de commande

} Avantages de l'utilisation des outils en ligne

de commande pour l'administration d'AD DS
} Qu'est-ce que les commandes DS ?
} Qu'est-ce que Csvde ?
} Qu'est-ce que Ldifde ?

2 OUZAOUIT
1.Utilisation des outils en ligne de commande

Les outils en ligne de commande vous permettent

d'automatiser l'administration d'AD DS

Avantage des outils en ligne de commande

} Implémentation plus rapide des opérations en bloc par
exemple vous pouvez créer un ensemble des comptes
utilisateurs à la fois.
} Administration d'AD DS dans une installation minimale.

3 OUZAOUIT
1.Utilisation des outils en ligne de commande

Qu’est ce que les commandes DS?

Windows Server 2019 inclut des outils en ligne de commande, appelés
commandes DS, qui sont appropriées pour une utilisation dans les
scripts. Vous pouvez utiliser les outils en ligne de commande DS pour créer,
afficher, modifier et supprimer des objets AD DS.
Le tableau suivant décrit les outils en ligne de commande DS.

4 OUZAOUIT
1.Utilisation des outils en ligne de commande
Par exemple, la commande dsadd user a plusieurs options:

dsadd user <UserDN> -fn <FirstName> -ln <LastName> -upn <UPN>

-pwd {Password | *} -desc <Description> -memberof <GroupDN>
-office <Office> -tel <PhoneNumber> -email <Email> -hometel
<HomePhoneNumber> -dept <Department> -company <société> -mgr
<ManagerDN> -mustchpwd {yes|no} -canchpwd {yes|no}
–pwdneverexpires {yes|no} –disabled {yes|no}

Ø pwd { Password | * }: pour assigner un mot de passe pour le compte ou

* pour demander après l’exécution du dsadd de saisir le password en
cachant ses caractères.
Ø mustchpwd: obligation de changer le mot de passe pendant la première
ouverture de la session, par défaut no.
Ø canchpwd: possibilité de changer mot de passe, par défaut yes.
Ø Pwdneverexpires: mot de passe n’expire jamais, par défaut no.
Ø Disabled: le compte est désactivé, par défaut yes.
5 OUZAOUIT
1.Utilisation des outils en ligne de commande
Exemples
• création d’un utilisateur ahmed dans l’unité d’organisation Users sur le domaine ofppt.org,
avec un password Azerty1, tel 0624678930 et activer le compte.

Dsadd user "cn=ahmed,cn=Users,dc=ofppt,dc=org" –pwd Azerty1 –tel 0624678930

-disabled no

• modifier le compte en ajoutant une description: Personnel.

Dsmod user "cn=ahmed, cn=Users,dc=ofppt,dc=org" –desc Personnel

• afficher le courrier électronique du compte d'utilisateur:

Dsget user "cn=ahmed, cn=Users,dc=ofppt,dc=org" -email

• supprimer le compte ahmed:

Dsrm "cn=ahmed, cn=Users,dc=ofppt,dc=org"

6 OUZAOUIT
1.Utilisation des outils en ligne de commande
• Ajouter une unité d’organisation appelée tri pour le domaine ofppt.org qui a une description
Marketing: dsadd ou "ou=tri, dc=ofppt, dc=org" -desc Marketing

• Créer un groupe GRP de type sécurité d’étendue global dans l’unité d’organisation tri

Dsadd group "cn=GRP,ou=tri,dc=ofppt,dc=org" –secgrp yes –scope g

–memberof "cn=GRP2,ou=tri,dc=ofppt,dc=org" -members "cn=Ali,ou=tri, dc=ofppt,
dc=org"

-Secgrp: type de groupe, yes: sécurité, no: distribution

-Scope: étendue de groupe: gàglobal, làlocal, uàuniversel

• Ajouter un utilisateur ahmed au groupe GRP:

Dsmod group "cn=GRP,ou=tri,dc=ofppt,dc=org" –addmbr "cn=ahmed,
ou=tri,dc=ofppt, dc=org"

• Supprimer le groupe GRP: Dsrm "cn=GRP, ou=tri, dc=ofppt, dc=org"

7 OUZAOUIT
1.Utilisation des outils en ligne de commande
Qu’est ce que Csvde? Exporter

csvde.exe

filename.csv Importer AD DS
} Csvde est un outil en ligne de commande qui exporte ou
importe des objets Active Directory dans ou à partir d'un
fichier de valeurs séparées par une virgule (.csv).
} La principale limite de csvde est qu'il ne peut pas modifier les
objets Active Directory existants. Il ne peut que créer de
nouveaux objets. Par exemple, vous pouvez utiliser csvde pour
créer un ensemble de nouveaux comptes d'utilisateurs, mais
vous ne pouvez pas l'utiliser pour modifier les propriétés de
comptes d'utilisateurs après leur création.
8 OUZAOUIT
1.Utilisation des outils en ligne de commande
} Pour exporter des objets à l'aide de csvde, vous devez, au minimum, spécifier le
nom du fichier .csv vers lequel les données seront exportées. Avec uniquement le
nom de fichier spécifié, tous les objets du domaine seront exportés.
} La syntaxe de base permettant d'utiliser csvde pour l'exportation est la suivante :
csvde -f filename
} Les autres options que vous pouvez utiliser avec csvde sont:
-d RootDN: Spécifie le nom unique du conteneur à partir duquel l'exportation
commencera. La valeur par défaut est le domaine.
-r Filter: Limite les objets retournés à ceux qui correspondent au filtre.
-l ListOfAtrributes: Spécifie les attributs à exporter séparés par une virgule.
Exemples:
• csvde –f export.csv: exportation complète dans le fichier export.csv
• csvde –d ’’ou=tri,dc=ofppt,dc=ma’’ –f export.csv : exportation dans le fichier tous
les objet qui se trouve dans l’unité tri.
• csvde –f export.csv –r objectclass=user: exportation seulement les comptes
utilisateurs dans le fichier export.csv
9 OUZAOUIT
1.Utilisation des outils en ligne de commande
} Pour créer des comptes à l’aide de l’outil de ligne de commande Csvde,
effectuez les tâches suivantes :
1. Créez le fichier Csvde (.csv) à importer. Formatez le fichier de sorte qu’il
contienne les informations suivantes :
• La ligne d’attribut. Il s’agit de la première ligne du fichier. Elle précise le nom
de chaque attribut que vous souhaitez définir pour les nouveaux comptes
d’utilisateurs. Vous pouvez placer les attributs dans n’importe quel ordre, ils
doivent être séparés par des virgules. Le code suivant est un exemple de
ligne d’attribut :
DN,objectClass,sAMAccountName,userPrincipalName,TelephoneNumber,userAcc
ountControl
DN : Nom absolument unique de l’objet
ObjectClass : Identifie le type d’objet à importer dans l’active Directory.
UserPrincipalName : Le nom LDAP complet, c'est-à-dire login@domain
SamAccountName:Le login
UserAccountControl : Compte activé (512) ou désactivé (514).
10 OUZAOUIT
1.Utilisation des outils en ligne de commande
} Lignes de comptes. Pour chaque compte que vous créez, le fichier d’importation
contient une ligne qui précise la valeur de chaque attribut de la ligne d’attribut. Les
règles suivantes s’appliquent aux valeurs contenues dans une ligne de compte
d’utilisateur :
• les valeurs doivent suivre l’ordre de la ligne d’attribut ;
• s’il manque une valeur pour un attribut, laissez-la vierge, mais insérez toutes les
virgules ;
• si une valeur contient des virgules, mettez-la entre guillemets.
Le code suivant est un exemple de ligne du compte d’utilisateur :
"cn=Ahmed Ali,ou=HumanResources,dc=ofppt,dc=ma",user,Ahmed,
Ahmed@ofppt.ma,0660678945,514

} 2. Exécutez la commande csvde en tapant la commande suivante à l’invite de

commandes : csvde -i -f nom_fichier -k
i: pour activer l’importation K: pour ignorer les messages d’erreur

11 OUZAOUIT
1.Utilisation des outils en ligne de commande
Qu’est ce que ldifde?
} Ldifde est un outil en ligne de commande que vous pouvez utiliser
pour exporter, créer, modifier ou supprimer des objets AD DS.
Comme csvde, ldifde utilise les données enregistrées dans un fichier.
Le fichier doit être au format LDIF (LDAP Data Interchange
Format).
} Un fichier LDIF est un fichier texte qui contient des blocs de lignes
composant une opération unique telle la création ou la modification
d'un objet utilisateur.
} Chaque ligne de l'opération spécifie quelque chose au sujet de
l'opération, par exemple un attribut ou le type d'opération. Une
ligne vierge sépare plusieurs opérations du fichier LDIF.
} La syntaxe de base pour l'exportation des objets à l'aide de LDIFE
est la suivante : ldifde -f filename
} On peut utiliser les mêmes options comme csvde

12 OUZAOUIT
1.Utilisation des outils en ligne de commande

} Procédez comme suit pour créer des objets à l’aide de l’outil de

ligne de commande Ldifde :

1. Créez un fichier d’entrée. L’exemple suivant montre le format du

fichier :

dn: cn=Ali,ou=TRI,dc=ofppt,dc=org
changetype: add
objectClass: user

} Changetype détermine le type d’opération effectuée sur l’objet

Active Directory: add, modify (replace, add, delete), delete.
} ObjectClass spécifie la classe de l’objet Active Directory.

13 OUZAOUIT
1.Utilisation des outils en ligne de commande

} 2. Exécutez Ldifde en entrant la commande suivante :

ldifde -i -k -f import.ldf

Où :
} • -i spécifie le mode d’importation. Si celui-ci n’est pas spécifié,
le mode par défaut est exportation.
} • -k permet de ne pas tenir compte des erreurs durant une
opération d’importation et de poursuivre le traitement.
} • -f spécifie le nom du fichier d’importation ou d’exportation.

14 OUZAOUIT
2.Utilisation de Windows PowerShell

Utilisation des applets de commande Windows

PowerShell pour gérer:
} les comptes d'utilisateurs
} les groupes
} les comptes d'ordinateurs
} les unités d'organisation

15 OUZAOUIT
2.Utilisation de Windows PowerShell
Les comptes utilisateurs
Applet de commande Description
New-ADUser Crée des comptes d'utilisateurs
Set-ADUser Modifie les propriétés des comptes d'utilisateurs
Remove-ADUser Supprime des comptes d'utilisateurs
Set-ADAccountPassword Réinitialise le mot de passe d'un compte d'utilisateur

Set-ADAccountExpiration Modifie la date d'expiration d'un compte d'utilisateur

Unlock-ADAccount Déverrouille un compte d'utilisateur après qu'il soit

devenu verrouillé après que trop de tentatives
incorrectes d'ouverture de session
Enable-ADAccount Active un compte d'utilisateur
Disable-ADAccount Désactive un compte d'utilisateur
16 OUZAOUIT
2.Utilisation de Windows PowerShell
Certains paramètres couramment utilisés pour l'applet de commande New-ADUser
sont répertoriés dans le tableau suivant:

Paramètre Description
AccountExpirationDate Définit la date d'expiration du compte d'utilisateur.
AccountPassword Définit le mot de passe du compte d'utilisateur.
ChangePasswordAtLogon Requiert le compte d'utilisateur pour modifier les
mots de passe à la prochaine connexion.
Enabled Définit si le compte d'utilisateur est activé ou
désactivé
GivenName Définit le prénom d'un compte d'utilisateur.

Surname Définit le nom d'un compte d'utilisateur.

Path Définit l'unité d'organisation ou le conteneur dans

lequel le compte d'utilisateur est créé.
New-ADUser Personnel –AccountPassword (ConvertTo-SecureString -AsPlainText
”Azerty1” –force) -Department IT –enabled $true
17 OUZAOUIT
 2.Utilisation de Windows PowerShell
Les comptes groupe

Applet de commande Description

New-ADGroup Crée des groupes
Set-ADGroup Modifie les propriétés des groupes
Get-ADGroup Affiche les propriétés des groupes
Remove-ADGroup Supprime des groupes
Add-ADGroupMember Ajoute des membres aux groupes
Get-ADGroupMember Affiche l'appartenance des groupes
Remove-ADGroupMember Supprime des membres des groupes
Add-ADPrincipalGroupMembership Ajoute l'appartenance au groupe aux objets
Get-ADPrincipalGroupMembership Affiche l'appartenance au groupe des objets
Remove-ADPrincipalGroupMembership Supprime l'appartenance au groupe d'un
objet

18 OUZAOUIT
2.Utilisation de Windows PowerShell
lorsque vous créez des groupes à l'aide de l'applet de commande New-ADGroup,
vous devez utiliser le paramètre GroupScope en plus du nom de groupe.
Le tableau suivant répertorie les paramètres couramment utilisés pour New-
ADGroup.

Paramètre Description
Name Définit le nom du groupe.
GroupScope Définit l'étendue du groupe comme DomainLocal,
Global ou Universal. Vous devez fournir ce
paramètre.
GroupCategory Définit s'il s'agit d'un groupe de sécurité ou d'un
groupe de distribution. Si vous n'en spécifiez aucun,
un groupe de sécurité est créé.
ManagedBy Définit un utilisateur ou un groupe qui peut gérer le
groupe.
Path Définit l'unité d'organisation ou le conteneur dans
laquelle ou lequel le groupe est créé.
19 OUZAOUIT
2.Utilisation de Windows PowerShell

• La commande suivante est un exemple de ce que vous pouvez taper à une

invite Windows PowerShell pour créer un groupe :

New-ADGroup -Name "CustomerManagement" -Path

"ou=managers,dc=ofppt,dc=ma" -GroupScope Global
-GroupCategory Security

• un exemple de commande à utiliser pour ajouter un membre à un groupe :

Add-ADGroupMember CustomerManagement -Members "Ali"

ou
Add-
ADPrincipalGroupMembership "cn=Ali,ou=managers,dc=ofppt,dc=ma "
–memberof " CustomerManagement "

20 OUZAOUIT
 2.Utilisation de Windows PowerShell
Les comptes ordinateur

Applet de commande Description

New-ADComputer Crée des comptes d'ordinateurs
Set-ADComputer Modifie les propriétés des comptes
d'ordinateurs
Get-ADComputer Affiche les propriétés des comptes d'ordinateurs
Remove-ADComputer Supprime des comptes d'ordinateurs
Reset-ComputerMachinePassword Réinitialise le mot de passe d'un compte
d'ordinateur
Test-ComputerSecureChannel Vérifie ou répare la relation d'approbation entre
un ordinateur et le domaine.

• New-ADComputer -Name PC7 -Path "ou=marketing,dc=ofppt,dc=ma"

-Enabled $true
• Test-ComputerSecureChannel -Repair
21 OUZAOUIT
 2.Utilisation de Windows PowerShell
Les unités d’organisation

Applet de commande Description

New-ADOrganizationalUnit
Set-ADOrganizationalUnit
Get-ADOrganizationalUnit
Remove-ADOrganizationalUnit
Crée des unités d'organisation
Modifie les propriétés des unités
d'organisation
Affiche les propriétés des unités
d'organisation
Supprime des unités d'organisation

New-ADOrganizationalUnit –Name Sales –Path “ou=marketing,dc=ofppt,dc=ma”

-ProtectedFromAccidentalDeletion $true

22 OUZAOUIT
3.Exécution des opérations en bloc avec
PowerShell

Ø Que sont les opérations en bloc ?

Ø Interrogation d'objets avec Windows PowerShell
Ø Modification d'objets avec Windows PowerShell
Ø Utilisation des fichiers CSV

23 OUZAOUIT
3.Exécution des opérations en bloc avec
PowerShell
Que sont les opérations en bloc?

• Une opération en bloc est une action unique qui modifie

plusieurs objets.
• Processus permettant d'effectuer une opération en bloc:
1. Définir une requête
2. Modifier les objets définis par la requête
• Vous pouvez exécuter des opérations en bloc en utilisant:

• Des outils graphiques

• Outils en ligne de commande

24 OUZAOUIT
3.Exécution des opérations en bloc avec
PowerShell
} Dans Windows PowerShell, vous utilisez les applets de commande
Get-* pour obtenir des listes d'objets, tels que des comptes
d'utilisateurs. Vous pouvez également utiliser ces applets de
commande pour générer des requêtes pour des objets sur lesquels
vous pouvez exécuter des opérations en bloc.
} Le tableau suivant répertorie les paramètres couramment utilisés
avec les applets de commande Get-AD*.
Paramètre Description

SearchBase Définit le chemin d'accès AD DS où commencer à rechercher

SearchScope Définit le niveau inférieur à SearchBase auquel une recherche doit être effectuée.
Vous pouvez choisir de rechercher uniquement dans la base, un niveau en
dessous ou dans l'ensemble de la sous-arborescence.
ResultSetSize Définit le nombre d'objets à retourner en réponse à une requête

Properties Définit les propriétés d'objet à retourner et à afficher

25 OUZAOUIT
3.Exécution des opérations en bloc avec
PowerShell
Créer une requête
Vous pouvez utiliser le paramètre Filter pour créer des requêtes pour les
objets avec les applets de commande Get-AD*.
Le tableau suivant répertorie les opérateurs couramment utilisés que vous
pouvez utiliser dans Windows PowerShell:

Opérateur Description
-eq Égal à
-ne Différent de
-lt Inférieur à
-le Inférieur ou égal à
-gt Supérieur à
-ge Supérieur ou égal à
-like Utilise des caractères génériques pour les critères spéciaux

26 OUZAOUIT
3.Exécution des opérations en bloc avec
PowerShell
ü Vous pouvez utiliser la commande suivante pour afficher toutes les propriétés d'un
compte d'utilisateur :
Get-ADUser Administrateur -Properties *

ü Vous pouvez utiliser la commande suivante pour retourner tous les comptes
d'utilisateurs dans l'unité d'organisation Marketing et toutes ses unités d'organisation
enfants :
Get-ADUser -Filter * -SearchBase "ou=Marketing,dc=ofppt,dc=ma"
-SearchScope subtree

ü Vous pouvez utiliser la commande suivante pour afficher tous les comptes
d'utilisateurs avec une adresse mail :
Get-ADUser -Filter {EmailAddress -like " * "}

ü Vous pouvez utiliser la commande suivante pour afficher tous les comptes
d'utilisateurs du service Marketing qui ont une adresse Email:
Get-ADUser -Filter {(EmailAddress -like " * "} -and (department -eq "Marketing")}

27 OUZAOUIT
3.Exécution des opérations en bloc avec
PowerShell
Modification d'objets
§ Vous utilisez les applets de commande Set-AD* pour modifier les objets.

§ Pour passer la liste des objets interrogés à une autre applet de commande en vue
d'un traitement ultérieur, vous utilisez le caractère de barre verticale |.

§Exemples:
ü Vous pouvez utiliser la commande suivante pour ces comptes dont l'attribut
Company n'est pas défini. Elle génèrera une liste de comptes d'utilisateurs et
donnera à l'attribut Company la valeur OFPPT.
Get-ADUser –Filter {company -notlike "*"} | Set-ADUser -Company "OFPPT"

ü Vous pouvez utiliser la commande suivante pour générer une liste de comptes
d'utilisateurs qui n'ont pas ouvert de session depuis une date spécifique, puis les
désactiver :
Get-ADUser -Filter {(lastlogondate -lt "Mars 29, 2017") -and (department -eq
"Marketing")} | Disable-ADAccount
28 OUZAOUIT