Comme vous le savez, Microsoft propose un module PS qui vous  permet de créer, gérer et administrer l’annuaire Active Directory (rôle ADDS) via Windows PowerShell : Il s’agit du module « ActiveDirectory « .

Pour obtenir la liste complète des Cmd-lets fournies avec ce module, exécutez la commande suivante :

Get-Command -Module ActiveDirectory

Pour connaître le nombre exact de Cmd-lets fournies avec le module ActiveDirectory, exécutez la commande suivante :

(Get-Command -Module ActiveDirectory).Count

Comme montré ci-dessus, 147 Cmd-lets au total (au moment de l’écriture de cet article) sont disponibles avec le module ActiveDirectory.

Aujourd’hui, nous allons uniquement nous intéresser à la Cmd-Let « Get-ADUser« .

Celle-ci sera utilisée pour :

Connaître la date de changement de mot de passe des utilisateurs de notre annuaire AD

Lister tous les comptes utilisateurs ayant un mot de passe qui n’expire jamais !

 

Introduction à la Cmd-let « Get-ADUser »

La Cmd-let « Get-ADUser » vous permet de lister un ou plusieurs (Objets) utilisateurs Active Directory.

A l’aide de certains paramètres Get-ADUser, vous pouvez réaliser des requêtes/opérations avancées sur des objets « Utilisateurs » ainsi que leurs propriétés.

Quelques exemples d’utilisation :

  • Lister tous les utilisateurs qui ne sont pas connectés depuis 180 jours
  • Lister tous les utilisateurs qui font parti du département « Marketing »
  • Lister tous les utilisateurs qui ont un mot de passe qui n’expire « Jamais »
  • Lister tous les comptes utilisateurs dont le mot de passe expire dans une semaine
  • ..

Vous pouvez consulter cet article pour en savoir plus sur la Cmd-let Get-ADUser.

Paramètres associés avec la Cmd-Let « Get-ADUser »

Pour lister tous les paramètres et options disponibles avec la Cmd-Let Get-ADUser, je vous invite à exécuter la commande suivante :

help Get-ADUser

 

HowTo : connaitre la date de modification/changement du mot de passe de vos utilisateurs AD

Pour connaitre la date à laquelle un mot de passe a été changé/modifié, nous allons d’abord récupérer le nom de la propriété qui stocke cette information.

Pour ce faire, je vais dans l’exemple suivant exécuter la commande Get-ADUser -identity hicham.kadiri -properties * pour afficher toutes les propriétés de la Cmd-Let Get-ADUser (ou hicham.kadiri est le nom d’utilisateur de mon compte AD).

Comme illustré dans la capture d’écran précédente, la propriété qui stocke la date de changement du mot de passe est « PasswordLastSet« .

Dans l’exemple suivant, nous allons afficher la date à laquelle le mot de passe du compte utilisateur « hicham.kadiri » a été changé, seules les propriétés « Name » et « PasswordLastSet » sont sélectionnées :

Get-ADUser -identity hicham.kadiri  -Properties Name, PasswordLastSet | Select Name, PasswordLastSet

Pour obtenir la même information mais au niveau de votre domaine AD (tous les comptes utilisateurs du domaine), la commande suivante est exécutée :

Get-ADUser -Filter * -Properties Name, PasswordLastSet | Select Name, PasswordLastSet

Comme vous pouvez le conster, les informations (dates & heures) retournées au niveau de la colonne « PasswordLastSet » ne sont pas triées.

Si vous souhaitez trier ces données (du plus récent au plus ancien dans l’exemple suivant), la commande suivante est utilisée :

Get-ADUser -Filter * -Properties Name, PasswordLastSet | Select Name, PasswordLastSet | Sort PasswordLastSet -Descending

Tip : lister tous les comptes utilisateurs qui ont un mot de passe qui n’expire jamais peut également être utile car si vous avez défini une nouvelle stratégie de mot de passe (au niveau du domaine ou OU via une PSO/FGPP), celle-ci ne s’appliquera jamais sur les comptes utilisateurs ayant l’option « Le mot de passe n’expire jamais » cochée.

Nous allons dans l’exemple suivant lister tous les comptes utilisateurs dont le mot de passe n’expire jamais, et afficher uniquement les trois propriétés suivantes : Nom, PasswordLastSet et PasswordNeverExpires :

Get-ADUser -Filter * -Properties Name, PasswordLastSet, PasswordNeverExpires | Select Name, PasswordLastSet, PasswordNeverExpires | Sort PasswordLastSet -Descending

Enfin, si vous souhaitez exporter ces informations vers un fichier CSV pour les traiter/présenter plus tard, exécutez la commande suivante :

Get-ADUser -Filter * -Properties Name, PasswordLastSet, PasswordNeverExpires | Select Name, PasswordLastSet, PasswordNeverExpires | Sort PasswordLastSet -Descending | Export-csv C:\AuditAD.csv

Publicités

Hello World,

Microsoft propose sur son site en-US un « Free eBook » assez intéressant sur Microsoft Azure.

les items/sujets suivant sont étudiés/détaillés dans cet eBook  :

  • Modèles de conception, Principes de Design et bonnes pratiques liés à l’utilisation de Microsoft Azure
  • Conception d’environnements Cloud Azure Hautement disponible, performant et scalable
  • IoT
  • Serverless
  • DevOps
  • Gestion des coûts sous Azure
  • Monitoring et Security avec Azure
  • Eh bien plus encore.

L’eBook est disponible en free Download ici.

Il suffit de remplir le formulaire pour pouvoir le télécharger.

Enjoy !

#HK

 

Introduction

Une séquence de tâche dans MDT contient l’ensemble des actions qui vont être effectuées sur le poste durant le déploiement.

Plusieurs modèles sont disponibles dès l’installation de MDT :

  • Standard Client Task Sequence: Séquence de tâche généralement utilisée pour le déploiement de poste de travail.
  • Standard Client Replace Task Sequence: Permet d’effectuer la capture des données d’un poste à l’aide de USMT.
  • Custom Task Sequence : Ce modèle ne contient par défaut qu’une action (l’installation d’application). Suite à la création de la séquence de tâche, il est possible de procéder à l’ajout d’autres actions.
  • Sysprep and Capture: Permet la génération d’une image de référence. La séquence de tâche effectue un sysprep puis une capture du poste.
  • Standard Client Upgrade Task Sequence: Séquence de tâche nécessaire pour effectuer une mise à niveau d’un poste de travail Windows 7, Windows 8, Windows 8.1
  • Litetouch OEM Task Sequence: Nécessaire pour précharger des images d’un système d’exploitation. Ce modèle est généralement utilisé par les fabricants d’ordinateur.
  • Standard Server Task Sequence: Séquence de tâche généralement utilisée pour le déploiement de système d’exploitation Windows Server. Impossible d’utiliser USMT (User State Migration Tools) avec ce type de séquence de tâche. L’outil USMT n’étant pas compatible avec les systèmes d’exploitation serveur.
  • POST OS Installation Task Sequence: Séquence de tâche permettant d’effectuer des actions suite aux déploiements d’un OS. Très pratique pour des systèmes d’exploitation serveur, ils sont rarement utilisés avec des systèmes clients.
  • Deploy to VHD Client Task Sequence: Séquence de tâche identique au modèle Standard Client Task Sequence. Néanmoins le déploiement est fait dans un VHD et non sur un disque physique. La création du fichier VHD est effectuée par la séquence de tâches.

 

Il est possible néanmoins de créer ses propres modèles. Notez que sans la création d’une séquence de tâches, aucun déploiement n’est possible. Suite à sa création, deux fichiers xml (ts.xml et unattend.xml) sont créés et stockés dans le dossier Control. Le premier contient toutes les opérations qui vont être opérées sur le poste ainsi que les valeurs. Concernant le second, il permet d’effectuer une installation du système d’exploitation de manière silencieuse. Les deux fichiers peuvent être modifiés depuis la MDT.

HowTo : Créer votre séquence de tâches

Depuis la console MDT, effectuez un clic droit sur Task Sequences.  Dans le menu contextuel, sélectionnez New Task Sequence.

Un assistant se lance, saisissez un ID unique ainsi que le nom de la séquence de tâches. Concernant le nom, ce dernier s’affichera dans l’assistant de déploiement lors du déploiement d’un poste de travail.

A l’aide de la liste déroulante, sélectionnez Standard Client Task Sequence puis cliquez sur Next.

Il est nécessaire de sélectionnez le système d’exploitation qui va être déployé. Depuis la fenêtre Select OS, sélectionnez l’image Windows 10 puis cliquez sur Next.

Saisissez une Clé si vous souhaitez activer Windows 10 à l’aide d’une clé MAK. Dans le cas d’une licence KMS ou d’une version d’évaluation, laissez la valeur par défaut.

Saisissez les informations nécessaires dans la fenêtre OS Settings (Organisation, page de démarrage IE, Nom complet).

Le mot de passe de l’administrateur local doit être configuré. Ce dernier sera configuré lors du déploiement du poste de travail. Ce mot de passe sera stocké de manière crypter dans le fichier unattend.xml.

Validez les fenêtres suivantes à l’aide du bouton Next afin de procéder à la création de la séquence de tâches. Cette dernière est maintenant présente dans la console MDT.

Les deux fichiers XML utilisés sont présents dans le dossier Control.

 

Cet article vous a plu ?

Il s’agit d’un extrait de l’eBook « MDT 8450 – Déploiement et Configuration en Entreprise [Volume 1] », disponible sur BecomeITExpert.com, cliquez sur l’image ci-dessous pour en savoir plus :

 

J’ai récemment réalisé un audit de plusieurs infrastructures Windows Server « Core ».

J’ai constaté que la Corbeille ($RecycleBin) de plusieurs dizaines de serveurs Windows Server Core (de 2008 à 2016) occupait + de 5 GB d’espace disque.

Il s’agit ici de Disque physique : matériel non supporté > pas d’extension de volume possible !

Pour vider la corbeille et libérer cet espace disque, il fallait exécuter la commande suivante :

Note importante : La commande suivante doit être exécutée depuis une CMD.exe lancée en tant qu’Admin, si vous établissez une connexion Remote Shell Windows (WinRS), vérifiez que le compte utilisé est bien local Admin sur les machines distantes.

rmdir /s %systemdrive%\$Recycle.bin

Confirmez la suppression en cliquant sur Y(es) et voilà le tour est joué :).

J’espère que cette p’tite commande pourra vous être utile ^_^.

A bientôt

#HK

 

MVP

J’ai l’immense honneur de vous annoncer le renouvellement de mon titre Microsoft « Most Valuable Professional » pour l’année 2017/2018.

Je fais désormais partie des 16 MVP Français « Cloud and Datacenter Management ».

WTF

Un « Big Thanks » à Microsoft, Martine THIPHAINE et toute l’équipe MS pour le temps consacré à l’étude du renouvellement de mon titre.

Très honoré de faire partie de la « Biggest IT Community in the World » :).

What Next ?

Plusieurs contributions à venir, à commencer par :

Plusieurs séries d’articles autour de Microsoft Azure {Azure CLI 2.0 – Azure VM – Azure Batch – Azure Automation – Azure Monitor – Azure Networking – Azure Active Directory – ASR/Migration de Datacenter vers MS Azure – Azure KeyVault – Azure Backup, Azure Watcher – Azure SQL…)

Plusieurs séries d’articles autour de technologies Microsoft orientées « Infra & Virtu » : RDS {2012 R2 /2016 : Design, Deployment, Security, Tuning & Migration} – Windows Server 2016 {HowTo : OS Hardening, IIS, Bitlocker /AppLocker, Security, Group Policy Objects, DFS/R, BranchCach, ADFS …} – VBS /BATCH /PS Scripting (avec des advanced scenarios)

Plusieurs eBooks sur différentes technos Microsoft orientés Infrastructure.

Plusieurs scripts (.Bat /PS) de déploiement /automation sur différentes technos Microsoft orientées Infrastructure.

Mes projets d’écritures en cours :

Concevoir et déployer son infrastructure RDS 2016 sur Azure (Full RDS Cloud Platform)

Azure Backup – Concevoir et implémenter sa politique de Sauvegarde dans le Cloud

Azure KeyVault – Concevoir et implémenter sa solution de Key/Secret Management dans le Cloud

Azure Active Directory – Etendre son annuaire AD local vers le Cloud

Azure Security – Guide du Consultant Cloud/Sécurité

…Eh bien plus encore

 

J’en profite de ce post pour remercier tous les followers (LinkedIn, Twitter, Blog …) ainsi que les personnes qui votent et partagent mes articles & actus.

A bientôt pour de nouvelles aventures.

Keep in touch :).

Hicham KADIRI

HowTo : Réinitialiser le mot de passe DSRM de votre annuaire AD

Le mot de passe de restauration d’annuaire (DSRM : Directory Service Restore Mode)  est particulier. Il est utile dans les situations d’urgence et est rarement utilisé. Il n’est pas identique au mot de passe de l’administrateur du domaine et il peut être différent entre les contrôleurs de domaine. Il est important de mettre ce mot de passe en lieu sûr.

Si vous ne le connaissez pas, vous pouvez utiliser la procédure suivante pour le réinitialiser.
Ouvrez une invite de commande DOS (en tant qu’administrateur si la version est égale ou supérieure à Windows 2008) :

NTDSUtil
Set dsrm password
Reset password on server null
“Nouveau mot de passe”
”Confirmer le mot de passe”
Quit

 

Cet article vous a plu ?

Il s’agit d’un extrait de la Seconde Edition du livre « Active Directory 2016 – Déploiement et Administration en Entreprise ».

Disponible sur BecomeITExpert.com, cliquez sur l’image ci-dessous pour en savoir plus :

Si vous avez des projets de création de « Master Windows » Client ou Serveurs, eh bien ce nouvel eBook est fait pour vous :).

 

A propos de cet eBook

Cet eBook vous permet d’acquérir des compétences en déploiement de poste de travail avec MDT.

Il permet d’obtenir les premières bases nécessaires pour l’installation et la configuration de MDT

Après avoir abordé les différents points techniques (prérequis nécessaires, …), l’installation et la configuration du serveur MDT sont abordées.

Enfin, cet eBook est organisé 4 chapitres, n’hésitez pas à consulter la table des matières pour avoir plus de détail sur les sujets abordé

Ce guide pas à pas peut intéresser plusieurs populations IT :

  • Architecte Poste de travail
  • Ingénieur /Consultant Poste de travail
  • Administrateur Systèmes /Packageur
  • Technicien Systèmes /Réseaux /Applicatif
  • Toutes personnes désirant se former sur l’outil MDT

 

L’eBook est organisé en 4 Chapitres, voir la table des matières suivante pour en savoir plus :

L’eBook est disponible sur BecomeITexpert.com, cliquez sur l’image ci-après pour en savoir plus :

Read & Enjoy :).