Outils pour utilisateurs

Outils du site


windows:active-directory

ACTIVE DIRECTORY : LDAP & rôles FSMO

Les services Active Directory fournissent les fonctionnalités d'une solution d'identités et d'accès (IDA) pour des réseaux d'entreprise.
Active Directory

Le but est de connecter des utilisateurs aux données dont ils ont besoin en toute sécurité.

  • IDA : Identity and Access
  • AAA : Authentification, Authorization, Accounting
  • CIA : Confidentiality, Integrity and Availability

AD

Services Active Directory

L'AD se dissocie en 5 services principaux:

  • Services de domaines Active Directory (AD DS)
  • Services AD LDS (Active Directory Lightweight Directory Services)
  • Services de certficats Active Directory (AD CS)
  • Services AD RMS (Active Directory Rights Management Services)
  • Services ADFS (Active Directory Federation Services)

Active Directory est une base de données. Chaque enregistrement est un objet et chaque champ est un attribut.

Banque de données de l'AD:

%racinesystème%\NTDS\ntds.dit
Partitions logiques :

  • Contexte d'appelation de domaine
  • Schéma
  • Configuration
  • Catalogue Global
  • DNS

SYSVOL :

  • %racinesystème%\SYSVOL
  • script d'ouverture de sessions
  • Stratégies

Installationde l'AD

Les services AD DS nécessite la mise en place du service DNS.

  • Ouvrir Gestionnaire de serveur.
  • Ajouter un rôle.
  • Installer Services de domaine Active Directory.
  • Exécuter l'Assistant Installation des services de domaine Actve Directory (DCPROMO.EXE).
  • Créer un domaine dans une nouvelle forêt.
  • Nommer le domaine racine de la forêt (exemple.com)
  • Séléctionner le niveau fonctionnelle de votre forêt en fonction de l'OS des serveurs du domaine.

Gestion des groupes

Il existre 2 types de groupes :

  • groupe de sécurité
  • groupe de distribution

Il y a 4 types d'étendues de groupes :

  • locale
  • universelle
  • globale
  • locale de domaine

 Les groupes

Régle de bonne pratique pour la mise en place des ACL sur les ressources :

A-G-DL-P  AGDLP

Administration en ligne de commande :

exemple:

  • Créer un groupe :

dsadd group "DN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com"

  • Ajouter des membres à un groupe :

dsmod group "Cn=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com
" -addmbr "CN=Mike Danseglio,OU=Employees,OU=User Accounts,DC=contoso,DC=com" "CN=Finance Managers,OU=Role,OU=Groups,DC=contoso,DC=com"
dsmod réussite:Cn=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com

  • Lister les membres d'un groupe :

dsget group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com" -members -expand

  • Afficher les membres directs d'un groupe :

dsget user "CN=Mike Danseglio,OU=Employees,OU=User Accounts,DC=contoso,DC=com" -memberof

Les commandes DS

  • DSQUERY : exécute une requête en fontion des attributs et renvoie les objets correspondants
  • DSGET : renvoie les attributs d'un objet
  • DSMOD : modifie les attibuts d'un objet
  • DSMOVE : transfère un objet vers un autre conteneur ou OU
  • DSADD : créer un objet dans l'annuaire
  • DSRM : supprime un objet
  • CSVDE : import / export au format CSV
  • LDIFDE : import / export au format LDF

Exemples:

  • Filtrer sur le nom :

dsquery user -name "*Mitchell"

  • Récupérer @mail du user Linda :

dsquery user -name "Linda" | dsget user -email

  • Lister les members d'un groupe :

dsquery group -name "Finance Managers" | dsget group -members

  • Ajouter des membres à un groupe :

dsquery user -name "*Mitchell" | dsmod group "CN=Special Project,OU=role,OU=Groups,DC=contoso,DC=com" -addmbr

  • Obtenir tous les emails des utilisateurs ayant “Vancouver” comme Bureau :

dsquery -limit 500 -desc "*Vancouver*" | dsget user -email

  • Modifier l'attribut Office des utlisateurs “Mitchell” :

dsquery user -name "*Mitchell" | dsmod user -office "Vancouver"

  • Ajouter un utilisateur dans une OU avec quelques attributs et password :

dsadd user "CN=Amy Strande,OU=Employees,OU=User Accounts,DC=
contoso,DC=com" -fn "Amy" -ln "Strande" -samid "Amy.Strande" -display "Strande,A
my" -desc "Vice President, IT" -pwd Pa$$w0rd

  • Activer un compte en donnant un password et forcer le changement à la prochaine session :

dsquery user -name "Amy Strande" | dsmod user -pwd Pa$$w0rd
-mustchpwd yes -disabled no

  • Désactiver un compte et le déplacer dans l'OU concernée :

dsquery user -name "Chris Mayo" | dsmove -newparent "OU=Di
bled Accounts,DC=contoso,DC=com"

  • Supprimer un utilisateur :

dsrm "CN=Chris Mayo,OU=Disabled Accounts,DC=contoso,DC=com"
Voulez-vous vraiment supprimer CN=Chris Mayo,OU=Disabled Accounts,DC=contoso,DC=
com (O/N) ?O
dsrm réussite:CN=Chris Mayo,OU=Disabled Accounts,DC=contoso,DC=com

  • Attribuer un lecteur réseau au nom du user pour les membres d'un groupe :

dsquery user -desc "Marketing Task Force" | dsmod user -hmdi
r "\\FILE01\TaskForceUsers\$username$" -hmdrv U:

  • Exporter avec csvde les utilisateurs au nom April* :

csvde -f D:\Labfiles\Lab03c\UsersNamedApril.csv -r "(name=April*)" -l DN,obj
ectClass,sAMAccountName,sn,givenName,userPrincipalName

  • Importer des users avec csvde :

csvde -i -f D:\Labfiles\Lab03c\NewUsers.csv -k

  • Importer des users avec ldifde :

ldifde -i -f "E:\Labfiles\Lab03c\NewUsers.ldf" -k

Contrôleur de domaine DC

Server Core

Promouvoir un serveur en DC en ligne de commande

  • exemple :

dcpromo.exe /unattend /ReplicaOrNewDomain:Replica /ReplicaDomainDNSName:contoso.com /SiteName:Default-First-Site-Name /InstallDNS:Yes /ConfirmGc:Yes /CreateDNSDelegation:No /UserDomain:contoso.com /UserName:contoso.com\Pat.Coleman_Admin /Password:Pa$$w0rd /DatabasePath:"C:\Windows\NTDS" /LogPath:"C:\Windows\NTDS" /SYSVOLPath:"C:\Windows\SYSVOL" /SafeModeAdminPassword:Pa$$w0rd /RebootOnCompletion:Yes

Sortir un ordinateur du domaine :

netdom remove %computername% /Domain:contoso.com /UserD:CO
NTOSO\Pat.Coleman_Admin /PasswordD:Pa$$w0rd

Supprimer un DC en graphique :

  • En interface graphique, il suffit d'exécuter un DCPROMO qui proposera la désinstallation :

dcpromo.exe

Exporter tous les objets de l'AD sur un support d'installation :

ntdsutil.exe
activate instance ntds
ifm
create sysvol full %chemin_export%
La réplication de l'AD via ce fihier d'export se réalise simplement en cochant “fonctionnalités avancées” dans le DCPROMO.

Intégration au domaine en ligne de commande :

netdom join %computername% /domain:contoso.com /UserD:CONTO\administrateur /PasswordD:Pa$$w0rd /OU:"OU=servers,DC=contoso,DC=com"

Les services sur Server Core

  • Lister les services installés:

oclist.exe

  • Installer un service (exemple:DNS)

ocsetup DNS-Server-Core-Role

Rôles des opérations à maitre unique

Rôle FSMO Partition Schéma CN=Schema,CN=configuration,DC=<domaine_racine_forêt>
Maître d'opérations des noms de domaine CN=configuration,DC=<domaine_racine_forêt>
Émulateur PDC DC=<domaine>
RID DC=<domaine>
Infrastructure DC=<domaine>

Les opérations à maitres uniques dans AD DS :

  • Maître d'opérations
  • Rôles de maître unique
  • Jetons d'opération
  • Opérations à maître unique flottant (FSMO)

Les Rôles FSMO :

Au niveau de la forêt :

  • Maîtres d'opération des noms de domaine
  • Schéma

Au niveau du domaine :

  • Identificateur relatif (RID)
  • Infrastructure
  • Emulateur PDC

 Les rôles FSMO de l'AD

Commandes :

  • Lister les rôles en ligne de commandes:

netdom query fsmo

  • Litser les rôles via l'interface graphique :

Pour les rôles “RID / PDC / Infrastructure” : Dans “Utilisateurs et groupes Active Directory” > click droit > Maitre d'opération
Pour le rôle “Maîtres d'opération des noms de domaine” : Dans Domaines et Approbations Active Directory“ > click droit > Maîtres d'opérations
Pour le rôle “Schéma Active Directory” : créer une MMC avec le schéma > click droit > Maître d'opérations

  • Transférer un rôle avec NTDSUTIL :

ntdsutil
roles
connections
connect to server %hostname%
quit
?
transfer %role%
quit 
quit

  • Capter définitivement un rôle avec NTDSUTIL :

ntdsutil
roles
connections
connect to server %hostname%
quit
?
seize %role%
quit 
quit

Base de données de l'Active Directory :

Exporter et compacter la base AD :

NTDSUTIL dumper la base
Important : le service Annuaire Active Directory doit être arrêté !

Créer un cliché instantané de la base AD :

 NTDSUTIL cliché instantané

Lister et monter un cliché instantané :

NTDSUTIL Monter un instantané
Le démontage se réalise avec les commandes similaires sauf :

unmount 'GUID du cliché'

Démarrez une instance AD à partir d'un snapshot :

Instance AD avec instantané Pour accéder à l'AD avec ce snapshot, il suffit de “changer de controleur de domaine” dans “Utilisateurs et ordinateurs Active Directory” vers le host port 50000 dans cet exemple.

Pour sauvergarder/restaurer l'AD

  • Créer un snapshot avec NTDSUTIL
  • Le monter
  • Démarrer l'instance sur le snapshot
  • Exporter l'intégralité des objets avec CSVDE ou LDIFF
  • Démonter le snapshot
  • Reprendre l'instance par défault
  • Injecter tous les objets avec LDIFF ou CSVDE

Astuces

Schèma AD

Pour pouvoir utiliser le schéma Active Directory dans une console enfichable (MMC):

regsvr32.exe schmmgmt.dll

Commande dans MMC

Pour pouvoir donner accès à une commande ou un programme depuis une MMC:

  • Executer “mmc”
  • Ajouter un composant enfichable > “Dossier”
  • Clik droit sur “Dossier” > “Nouvelle vue de la liste des tâches”
  • Style de la liste des tâches = Aucune Liste
  • Cocher “l'élèment d'arborescence sélectionné”
  • Nommer et terminer
  • Ensuite s'ouvre l'Assistant Nouvelle Tâche qui permet de choisir commande/programme/script.

Screeshot Commande dans MMC perso

Script de création de USER

  • Le script s'appelle en ligne de commande avec 2 variables en arguments .

exemple create_user.bat Machin Truc

REM CREATION RAPIDE UTILISATEUR
REM EXECUTER LE SCRIPT AVEC DROITS ADMINISTRATEUR
REM create_user.bat Prenom Nom

dsadd user "CN=%1 %2,OU=Employees,OU=User Accounts,DC=contoso,DC=com" -fn "%1" -ln "%2" -samid "%1.%2" -upn "%1.%2@contoso.com" -email "%1.%2@contoso.com" -display "%2, %1" -pwd Pa$$w0rd -mustchpwd yes

Extrait d'un fichier d'import LDF :

dn: CN=Bonnie Kearney,OU=Employees,OU=User Accounts,DC=contoso,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bonnie Kearney
sn: Kearney
title: Operations
description: Operations (London)
givenName: Bonnie
displayName: Kearney, Bonnie
company: Contoso, Ltd.
sAMAccountName: bonnie.kearney
userPrincipalName: bonnie.kearney@contoso.com
mail: bonnie.kearney@contoso.com

Extrait d'un fichier d'import CSV

DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@contoso.com
"CN=Lisa Andrews,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com

Liens annexes :

windows/active-directory.txt · Dernière modification: 15/04/2016 à 21:15 (modification externe)

Outils de la page