Académique Documents
Professionnel Documents
Culture Documents
La plateforme PowerShell est un langage de script plus simple à utiliser. Elle inclut les cmdlets nécessaires pour la
gestion de l’annuaire Active Directory.
Les cmdlets PowerShell permettent de créer, modifier et supprimer un compte utilisateur. Il est possible d’exécuter
les différentes instructions directement dans la console PowerShell ou en exécutant un script.
Les opérations effectuées de manière graphique peuvent être faites à l’aide d’instruction PowerShell.
Différentes cmdlets sont utilisables, chacune ayant une fonction bien définie :
Lors de l’utilisation de la cmdlet NewADUser pour créer un nouvel utilisateur, il est possible d’indiquer toutes les
propriétés souhaitées. Le mot de passe peut également être inclus dans la commande.
En cas de création d’un objet utilisateur sans mot de passe (paramètre AccountPassword), celuici est désactivé. Il
est nécessaire d’utiliser le paramètre Enabled positionné à true pour l’activer.
l ChangePasswordAtLogon : active l’option qui oblige le changement du mot de passe lors de la première ouverture
de session.
l HomeDrive : définit la lettre à utiliser ainsi que le chemin du dossier de base de l’utilisateur.
l Nom : BAK
l Prénom : Jean
Le mot de passe doit être changé lors de la première ouverture de session et le compte doit être activé.
Si le module Active Directory n’a pas été déjà importé, saisissez ImportModule ActiveDirectory. Ceci afin de
pouvoir utiliser les différentes cmdlets d’Active Directory.
Le nom d’ouverture de session de l’utilisateur est bien jbak, pour l’UPN (User Principal Name) ou le
SamAccountName (nom d’ouverture de session antérieure à Windows 2000).
L’option indiquant un changement lors de la prochaine ouverture de session est bien activée.
Comme pour les utilisateurs, la création et la gestion des groupes peuvent se faire à l’aide de commandes
PowerShell.
Il est ainsi possible de trouver plusieurs cmdlets pour la gestion des groupes :
L’utilisateur Jean BAK étant créé, il est nécessaire maintenant de le rajouter dans le groupe Formateurs. Par la suite
un nouveau groupe appelé Stagiaires doit être créé.
La gestion des membres d’un groupe peut être effectuée à l’aide de la cmdlet AddADGroupMember. Si nous
Vérifions maintenant que l’ajout a bien été effectué. Pour cela, il est nécessaire d’utiliser GetADGroupMember.
Get-ADGroupMember Formateurs
Occuponsnous maintenant de la création du groupe. Pour cela, la cmdlet NewADGroup doit être utilisée.
Plusieurs paramètres la composent afin de configurer les différents attributs d’un groupe.
l GroupScope : définit l’étendue du groupe (DomainLocal, Global ou Universal). Ce paramètre est obligatoire.
l GroupCategory : spécifie si le groupe est de type sécurité ou distribution. Si ce paramètre n’est pas spécifié, un
groupe de sécurité est créé.
Ainsi, pour créer le groupe Stagiaires (groupe de sécurité ayant une étendue globale), il convient d’utiliser la
commande suivante :
Get-ADGroup Stagiaires
Des cmdlets existent également pour effectuer la gestion des comptes ordinateurs.
l Réinitialisation du mot de passe du compte ordinateur afin de réparer le canal sécurisé : Reset
ComputerMachinePassword
Nous allons réinitialiser un canal sécurisé rompu puis créer un nouvel ordinateur à l’aide des différentes cmdlets.
La première opération à effectuer est donc de réinitialiser le compte ordinateur de CL801. Le canal sécurisé s’en
trouve rompu.
L’utilisation de la cmdlet TestComputerSecureChannel nous confirme bien que le canal sécurisé est rompu.
Il est maintenant temps de réparer la relation d’approbation entre le poste et son contrôleur de domaine.
Il est très important d’exécuter la console PowerShell en tant qu ’administrateur, sans quoi la commande nous
retourne une erreur de permission insuffisante.
Le paramètre Server permet d’indiquer quel contrôleur de domaine contacter, Credential indique le nom d’utilisateur
qui possède des droits d’administration sur le compte ordinateur.
Le mot de passe du compte utilisé doit être saisi afin de pouvoir valider l’authentification.
Pour effectuer la création d’un compte ordinateur, la cmdlet NewADComputer doit être utilisée. Cette dernière
possède trois arguments :
Par défaut, le compte est activé et un mot de passe aléatoire est généré.
Si la commande cidessous est exécutée sur le contrôleur de domaine, le compte nommé CL803 est créé.
Il est important de créer des unités d’organisation, ceci afin de regrouper un ensemble d’objets à qui on applique
une stratégie de groupe. Il est également possible de mettre en place une délégation sur ce type d’objet.
Afin de mettre en pratique la gestion des unités d’organisation, nous allons à l’aide de PowerShell supprimer la
protection contre la suppression accidentelle et créer un nouveau conteneur appelé Ordinateurs.
Depuis Windows Server 2008, il est possible d’activer la protection contre la suppression accidentelle, cette dernière
est activée par défaut lors de la création.
Set-ADOrganizationalUnit "OU=Form,DC=Formation,DC=Local"
-ProtectedFromAccidentalDeletion $False
Nous pouvons maintenant passer à l’étape de création d’une unité d’organisation. Comme il a été vu
précédemment, la cmdlet à utiliser pour effectuer cette opération est NewADOrganizationalUnit. Cette dernière
contient plusieurs paramètres dont :