Administration du rôle AD DS à l’aide de PowerShell

La plateforme PowerShell est un langage de script plus simple à utiliser. Elle inclut les cmdlets nécessaires pour la
gestion de l’annuaire Active Directory.

1. Gestion des comptes utilisateurs avec PowerShell

Les cmdlets PowerShell permettent de créer, modifier et supprimer un compte utilisateur. Il est possible d’exécuter
les différentes instructions directement dans la console PowerShell ou en exécutant un script.

Les opérations effectuées de manière graphique peuvent être faites à l’aide d’instruction PowerShell.

Différentes cmdlets sont utilisables, chacune ayant une fonction bien définie :

l Création d’un compte utilisateur : New­ADUser

l Modifier une propriété du compte : Set­ADUser

l Supprimer un utilisateur : Remove­ADUser

l Réinitialiser un mot de passe : Set­ADAccountPassword

l Modification de la date d’expiration : Set­ADAccountExpiration

l Déverrouiller un compte utilisateur : Unlock­ADAccount

l Activer un compte utilisateur : Enable­ADAccount

l Désactiver un compte utilisateur : Disable­ADAccount

Lors de l’utilisation de la cmdlet New­ADUser pour créer un nouvel utilisateur, il est possible d’indiquer toutes les
propriétés souhaitées. Le mot de passe peut également être inclus dans la commande.

En cas de création d’un objet utilisateur sans mot de passe (paramètre ­AccountPassword), celui­ci est désactivé. Il
est nécessaire d’utiliser le paramètre ­Enabled positionné à true pour l’activer.

Avec la cmdlet New­ADUser, il est possible d’utiliser différents paramètres :

l AccountExpirationDate : permet de définir la date d’expiration d’un compte utilisateur.

l AccountPassword : fournit le mot de passe à configurer pour l’utilisateur.

l ChangePasswordAtLogon : active l’option qui oblige le changement du mot de passe lors de la première ouverture
de session.

l Enabled : le paramètre permet de définir si le compte est activé ou supprimé.

l HomeDrive : définit la lettre à utiliser ainsi que le chemin du dossier de base de l’utilisateur.

l GivenName : utilisé pour l’attribut Prénom du compte.

l Surname : paramètre à configurer pour le nom de l’utilisateur.

l Path : chemin où est créé l’utilisateur.

© Editions ENI – Tous droits réservés – Copie personnelle de meheza PAGABA - 1-

 Prenons un exemple concret, l’utilisateur Jean BAK est un nouveau formateur. Il est nécessaire de créer son compte.

Voilà les propriétés du compte :

l Nom : BAK

l Prénom : Jean

l Nom d’ouverture de session : jbak

l Mot de passe : Pa$$w0rd

l Conteneur de l’objet : OU Form

Le mot de passe doit être changé lors de la première ouverture de session et le compte doit être activé.

Si le module Active Directory n’a pas été déjà importé, saisissez Import­Module ActiveDirectory. Ceci afin de
pouvoir utiliser les différentes cmdlets d’Active Directory.

La commande PowerShell à utiliser pour effectuer cette opération est la suivante :

New-ADUser -Name "Jean BAK" -ChangePasswordAtLogon $True

-DisplayName "Jean BAK" -Enabled $True -Path
"OU=Form,DC=Formation,DC=local" -SamAccountName jbak
-Surname Bak -UserPrincipalName jbak -AccountPassword (Read-Host
-AsSecureString "Password") -GivenName Jean

Les scripts peuvent être téléchargés sur la page Informations générales.

Le paramètre ­AccountPassword (Read­Host ­AsSecureString "Password") permet la saisie du mot de passe de

manière sécurisée. Celui­ci doit être saisi manuellement.

- 2- © Editions ENI – Tous droits réservés – Copie personnelle de meheza PAGABA

Il est temps maintenant de vérifier le résultat de la commande. Le compte est bien présent dans l’unité
d’organisation Form et le nom d’affichage est bien Jean BAK.

Le nom d’ouverture de session de l’utilisateur est bien jbak, pour l’UPN (User Principal Name) ou le
SamAccountName (nom d’ouverture de session antérieure à Windows 2000).

L’option indiquant un changement lors de la prochaine ouverture de session est bien activée.

© Editions ENI – Tous droits réservés – Copie personnelle de meheza PAGABA - 3-

 Les champs Nom et Prénom ont également bien été configurés.

- 4- © Editions ENI – Tous droits réservés – Copie personnelle de meheza PAGABA

 Tous les paramètres dans le script ont bien été pris en compte.

2. Gestion des groupes avec PowerShell

Comme pour les utilisateurs, la création et la gestion des groupes peuvent se faire à l’aide de commandes
PowerShell.

Il est ainsi possible de trouver plusieurs cmdlets pour la gestion des groupes :

l Création d’un nouveau groupe : New­ADGroup

l Modifier les propriétés : Set­ADGroup

l Afficher les propriétés : Get­ADGroup

l Supprimer un groupe : Remove­ADGroup

l Ajout d’un membre : Add­ADGroupMember

l Afficher les membres d’un groupe : Get­ADGroupMember

l Supprimer un membre : Remove­ADGroupMember

L’utilisateur Jean BAK étant créé, il est nécessaire maintenant de le rajouter dans le groupe Formateurs. Par la suite
un nouveau groupe appelé Stagiaires doit être créé.

La gestion des membres d’un groupe peut être effectuée à l’aide de la cmdlet Add­ADGroupMember. Si nous

© Editions ENI – Tous droits réservés – Copie personnelle de meheza PAGABA - 5-

 souhaitons ajouter Jean BAK au groupe Formateurs, il est nécessaire de saisir la syntaxe ci­dessous :

Add-ADGroupMember Formateurs -Members "CN=Jean BAK,OU=Form,DC=Formation,DC=Local"

Vérifions maintenant que l’ajout a bien été effectué. Pour cela, il est nécessaire d’utiliser Get­ADGroupMember.

Get-ADGroupMember Formateurs

Occupons­nous maintenant de la création du groupe. Pour cela, la cmdlet New­ADGroup doit être utilisée.
Plusieurs paramètres la composent afin de configurer les différents attributs d’un groupe.

l Name : indique le nom du groupe qu’il est nécessaire d’utiliser.

l GroupScope : définit l’étendue du groupe (DomainLocal, Global ou Universal). Ce paramètre est obligatoire.

l GroupCategory : spécifie si le groupe est de type sécurité ou distribution. Si ce paramètre n’est pas spécifié, un
groupe de sécurité est créé.

l ManagedBy: indique l’utilisateur ou le groupe qui peut le gérer.

l Path : donne le conteneur qui va stocker l’objet.

l SamAccountName : spécifie le nom de groupe antérieur à Windows 2000.

Ainsi, pour créer le groupe Stagiaires (groupe de sécurité ayant une étendue globale), il convient d’utiliser la
commande suivante :

New-ADGroup -Name Stagiaires -GroupScope Global -GroupCategory

Security -ManagedBy Formateurs -Path "OU=Form, DC=Formation,
DC=local" -SamAccountName Stagiaires

- 6- © Editions ENI – Tous droits réservés – Copie personnelle de meheza PAGABA

 Vérifions maintenant le résultat. Ce dernier peut être visualisé de manière graphique ou en ligne de commande.

Get-ADGroup Stagiaires

La commande retourne également le SID du groupe.

Les scripts peuvent être téléchargés sur la page Informations générales.

3. Gestion des comptes ordinateurs avec PowerShell

Des cmdlets existent également pour effectuer la gestion des comptes ordinateurs.

l Création d’un compte ordinateur : New­ADComputer

l Modification des propriétés : Set­ADComputer

l Affichage des propriétés du compte : Get­ADComputer

l Suppression du compte : Remove­ADComputer

l Vérification de la relation d’approbation entre le contrôleur de domaine et le poste : Test­

ComputerSecureChannel

l Réinitialisation du mot de passe du compte ordinateur afin de réparer le canal sécurisé : Reset­
ComputerMachinePassword

Nous allons réinitialiser un canal sécurisé rompu puis créer un nouvel ordinateur à l’aide des différentes cmdlets.

La première opération à effectuer est donc de réinitialiser le compte ordinateur de CL8­01. Le canal sécurisé s’en
trouve rompu.

© Editions ENI – Tous droits réservés – Copie personnelle de meheza PAGABA - 7-

 Il est nécessaire de se connecter en tant qu’administrateur local afin de pouvoir remédier au problème.

L’utilisation de la cmdlet Test­ComputerSecureChannel nous confirme bien que le canal sécurisé est rompu.

Il est maintenant temps de réparer la relation d’approbation entre le poste et son contrôleur de domaine.

Il est très important d’exécuter la console PowerShell en tant qu ’administrateur, sans quoi la commande nous
retourne une erreur de permission insuffisante.

Reset-ComputerMachinePassword -Server AD1 -Credential

administrateur@formation.local

Le paramètre Server permet d’indiquer quel contrôleur de domaine contacter, Credential indique le nom d’utilisateur
qui possède des droits d’administration sur le compte ordinateur.

Le mot de passe du compte utilisé doit être saisi afin de pouvoir valider l’authentification.

- 8- © Editions ENI – Tous droits réservés – Copie personnelle de meheza PAGABA

 Le poste client peut maintenant être authentifié par son contrôleur de domaine.

Pour effectuer la création d’un compte ordinateur, la cmdlet New­ADComputer doit être utilisée. Cette dernière
possède trois arguments :

l Name : nom du compte.

l Path : chemin du conteneur qui héberge le compte.

l Enabled : configure l’état de la machine (Actif ou Inactif).

Par défaut, le compte est activé et un mot de passe aléatoire est généré.

Si la commande ci­dessous est exécutée sur le contrôleur de domaine, le compte nommé CL8­03 est créé.

New-ADComputer -Name CL8-03 -Path

"CN=Computers,DC=Formation,DC=local" -Enabled $True

Le compte ordinateur est bien créé dans le dossier système Computers.

Les scripts peuvent être téléchargés sur la page Informations générales.

4. Gestion des unités d’organisation avec PowerShell

Il est important de créer des unités d’organisation, ceci afin de regrouper un ensemble d’objets à qui on applique
une stratégie de groupe. Il est également possible de mettre en place une délégation sur ce type d’objet.

Il est possible d’utiliser quatre cmdlets :

© Editions ENI – Tous droits réservés – Copie personnelle de meheza PAGABA - 9-

 l New­ADOrganizationalUnit : effectue la création d’une unité d’organisation.

l Set­ADOrganizationalUnit : modifie les différentes propriétés qui composent l’objet.

l Get­ADOrganizationalUnit : affiche les propriétés de l’unité d’organisation.

l Remove­ADOrganizationalUnit : permet la suppression d’une OU.

Afin de mettre en pratique la gestion des unités d’organisation, nous allons à l’aide de PowerShell supprimer la
protection contre la suppression accidentelle et créer un nouveau conteneur appelé Ordinateurs.

Depuis Windows Server 2008, il est possible d’activer la protection contre la suppression accidentelle, cette dernière
est activée par défaut lors de la création.

Il est possible de désactiver cette option à l’aide de la commande PowerShell ci­dessous :

Set-ADOrganizationalUnit "OU=Form,DC=Formation,DC=Local"
-ProtectedFromAccidentalDeletion $False

L’option est maintenant décochée.

Nous pouvons maintenant passer à l’étape de création d’une unité d’organisation. Comme il a été vu
précédemment, la cmdlet à utiliser pour effectuer cette opération est New­ADOrganizationalUnit. Cette dernière
contient plusieurs paramètres dont :

l Name : définit le nom à utiliser.

l Path : chemin où est stocké le nouvel objet.

l ProtectedFromAccidentalDeletion : donne l’état de l’attribut protection contre la suppression.

- 10 - © Editions ENI – Tous droits réservés – Copie personnelle de meheza PAGABA

L’unité d’organisation Ordinateurs est un conteneur enfant de l’unité d’organisation Form. La commande ci­dessous
permet d’effectuer cette opération :

New-ADOrganizationalUnit -Name Ordinateurs -Path

"OU=Form,DC=Formation,DC=local"
-ProtectedFromAccidentalDeletion $True

L’unité d’organisation est bien présente dans l’OU Form.

Les scripts peuvent être téléchargés sur la page Informations générales.

© Editions ENI – Tous droits réservés – Copie personnelle de meheza PAGABA - 11 -