Archives de la catégorie ‘Active Directory’

Une astuce AD qui peut vous être utile lors de vos audit Active Directory 🙂

Comment lister tous les comptes d’Ordinateurs Active Directory qui sont « Désactivés » ?

La réponse est simple, lancez Windows PowerShell (en tant qu’Admin) depuis un DC (Writable) du domaine ou serveur d’administration ayant les outils RSAT AD DS d’installés, et exécutez la commande suivante :

Get-ADComputer -Filter {(name -like « * ») -and (enabled -eq $FALSE)} -Properties * | Select Name, LastLogonDate | Ft -AutoSize

Vous pouvez trier (par Date) le résultat retourné par la commande en rajoutant un « Pipe » Sort-Object -Descending, la commande devient donc :

Get-ADComputer -Filter {(name -like « * ») -and (enabled -eq $FALSE)} -Properties * | Select Name, LastLogonDate | Sort-Object -Descending | FT -AutoSize

Enfin, le résultat (liste complète des Comptes Ordinateurs AD Désactivés) peut être exporté vers un fichier TXT ou CSV, et ce via l’utilisation d’un Pipe suivi de la Cmd-Let Export-CSV Chemin_d’Export, la commande finale est donc :

Get-ADComputer -Filter {(name -like « * ») -and (enabled -eq $FALSE)} -Properties * | Select Name, LastLogonDate | Sort-Object -Descending | Export-CSV C:\Liste_CompteOrdiAD_Desactives.csv

 

S’applique à : Active Directory 2008 – 2008 R2 – 2008 R2 SP1 – 2012 – 2012 R – 2016

Tout d’abord, il faut savoir qu’il existe deux types de défragmentation de la base AD : En-ligne & Hors-ligne

Par défaut, les défragmentations En-ligne se produisent (automatiquement) toutes les 12 heures. Cette défragmentation fait partie du processus Garbage Collection d’Active Directory, décrit dans la KB Microsoft suivante :

The Active Directory Database Garbage Collection Process

Bien que la nature automatique des défragmentations en ligne les rendent commodes, elles ne réduisent en rien la taille du fichier base de données AD (NTDS.Dit) sur un Contrôleur de domaine. Les défragmentations en ligne ne font que récupérer l’espace libre de l’intérieur du fichier. Pour réduire la taille du fichier vous devez effectuer une défragmentation manuelle. Pour ce faire, suivez les instructions suivantes.

Dans l’exemple suivant, la taille de ma base AD (taille du fichier NTDS.dit) est ~2.65 GB :

Nous allons donc procéder à la défragmentation de la base afin de réduire la taille du fichier NTDS.dit, pour ce faire, suivez les instructions suivantes :

Lancez l’Invite de commande (CMD.exe) en tant qu’Administrateur et saisissez la commande suivante pour arrêter le service NTDS (service Windows correspondant à l’instance AD DS : Active Directory Domain Services)

Net Stop NTDS

Plusieurs services Windows dépendent du services NTDS, notamment les service DNS et DFS Replication

Confirmez l’arrêt du service NTDS mais aussi des 4 autres services Windows qui en dépendent, en saisissant Y (comme Yes)

Maintenant que la base AD est arrêtée, nous pouvons effectuer toutes les opérations de maintenance dessus, et notamment l’opération de défragmentation.

Pour ce faire, nous utilisons l’outil NTDSUtil, fourni par défaut sur tout Contrôleur de domaine.

Depuis la même Invite de commande, saisissez les commandes suivantes :

NTDSUtil

Activate Instance NTDS

File

Info

Les informations suivantes sont retournées. Notez la taille du fichier NTDS.dit

Pour défragmenter la base AD, saisissez la commande suivante

Comptact to C:\NTDS.dit

Dans l’exemple suivant, le fichier NTDS.dit (placé par défaut dans C:\Windows\NTDS) sera défragmenté et placé directement dans C:\NTDS.dit

Une fois la défragmentation terminée, vous devrez copiez ce nouveau fichier (défragmenté) dans C:\Windows\NTDS (et écraser l’ancien).

Enfin, saisissez la commande suivante pour copier le nouveau NTDS.dit vers C:\Windows\NTDS et écraser l’ancien base AD

Copy « C:\NTDS.dit\ntds.dit » « C:\Windows\NTDS\ntds.dit »  

Confirmez en saisissant Y (comme Yes)

Notez que vous devez également supprimer les anciens fichiers logs (placés par défaut dans C:\Windows\NTDS\*.log), pour ce faire, saisissez la commande suivante:

Del C:\Windows\NTDS\*.log

Enfin, démarrez la base AD et ses services Windows associés en saisissant :

Net Start NTDS

Ouvrez l’explorateur Windows et notez la nouvelle taille de la base AD. Dans l’exemple suivant, la taille du fichier NTDS.dit a été réduite de 2GB.

Lors des derniers audits AD réalisés chez mes clients, la taille de certaines bases AD est passée de 20 GB à 2,5 GB :).

Pour finir, je vous recommande la réalisation de cette opération d’une manière trimestrielle ou semestrielle, cela permettra d’optimiser l’espace disque utilisé sur les partitions systèmes (C:) de vos DCs, mais surtout améliorer les performances en matière d’authentification sur votre annuaire AD.

A bientôt

HK.

¯_(ツ)_/¯

Lors de la création d’une nouvelle Unité d’Organisation (OU : Organizational Unit), celle-ci est par défaut « Protégée contre la suppression accidentelle »; il arrive que des IT Admins désactivent cette option. Il s’agit ici d’un risque majeur car une OU peut avoir des sous-OU contenant des objets de sécurité « critiques » tels que des comptes utilisateurs (VIP : PDG /DG), des compteurs ordinateurs (Laptop de directeurs : Administratif /Financier…) voire aussi des partages, imprimantes, groupes de sécurité …Etc

Il est recommandé d’effectuer régulièrement un audit « Light » des OU non protégées contre la suppression accidentelle.

Comment ça marche ?
Lister toutes les OUs non protégées contre la suppression accidentelle

Ouvrez une Session Windows sur un DC ou une machine d’Administration ayant les outils RSAT installés

Lancez Windows PowerShell en tant qu’Administrateur et saisissez la commande suivante :

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | FT -AutoSize

Activer la « Protection contre la suppression accidentelle » sur les OUs non protégées 

Ouvrez une Session Windows sur un DC ou une machine d’Administration ayant les outils RSAT installés

Lancez Windows PowerShell en tant qu’Administrateur et saisissez la commande suivante :

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true

 

Si vous cherchez un moyen pour lister tous les comptes utilisateurs AD ayant un mot de passe qui « N’expire jamais », eh bien, The « Best & Easiest » way est l’utilisation de la Cmd-Let « Search-ADAccount », fournie avec le module PowerShell « ActiveDirectory »

Comment ça marche ?
  • Lancez Windows PowerShell (en tant qu’Administrateur) depuis un DC (Domain Controller) ou un serveur d’administration ayant les outils RSAT AD DS installés, et saisissez ensuite la commande suivante :
    • Search-ADAccount -PasswordNeverExpires

That’s all :).

Si vous cherchez un moyen pour lister tous les comptes utilisateurs AD « Désactivés », eh bien, The « Best & Easiest » way est l’utilisation de la Cmd-Let « Search-ADAccount », fournie avec le module PowerShell « ActiveDirectory »

Comment ça marche ?
  • Lancez Windows PowerShell (en tant qu’Administrateur) depuis un DC (Domain Controller) ou un serveur d’administration ayant les outils RSAT AD DS installés, et saisissez ensuite la commande suivante :
    • Search-ADAccount -AccountDisabled

That’s all :).

Connaitre son environnement

Lors de la migration d’un environnement Active Directory vous risquez de rencontrer des difficultés avec les éléments qui dépendent de votre annuaire. Citons par exemple Microsoft Exchange dont les services sont très dépendants du catalogue global. Ces difficultés sont liées en général à des oublis lors de la mise à niveau, surtout dans de grandes entreprises, où la personne en charge de la migration, n’a pas forcément conscience de l’ensemble des applicatifs s’appuyant sur l’AD. Afin de préparer au mieux votre déploiement, il est recommandé de réaliser un inventaire de votre environnement et des services qui en dépendent.

Documentez les éléments suivants :

  • Liste des domaines avec le niveau fonctionnel, les approbations de domaine ou de forêt.
  • Liste des contrôleurs de domaine avec les rôles (Serveur de fichiers et d’impression, DNS, DHCP, KMS,…) et les applications installées.
  • Lister les serveurs qui disposent du catalogue global, des rôles FSMO, serveurs tête de pont pour la réplication inter-sites.
  • Liste des serveurs DNS, liste des zones DNS, redirecteurs, redirecteurs conditionnels et zone de Stub.
  • Liste des sites, sous réseau et lien de site (performances, plage de disponibilités).
  • Liste des équipements qui utilisent l’annuaire LDAP (serveur Proxy Web avec authentification, serveur Radius, solution VPN, copieurs multifonctions).
  • Liste des applications utilisant l’authentification Active Directory ou exécutant des requêtes LDAP (inspecter les applications qui utilisent le compte et le mot de passe Windows comme information de connexion).

Il est recommandé d’utiliser les services DNS sur vos contrôleurs de domaine. Il est préférable d’utiliser des zones DNS intégrés à Active Directory et acceptant les mises à jour sécurisées. Les zones intégrées Active Directory bénéficient de la réplication multi-maître AD et sont donc toutes accessibles en écriture. Il n’est pas obligatoire que tous vos contrôleurs de domaines soient serveur DNS. Dans un environnement Multi-Site, si vous prévoyez d’installer un contrôleur de domaine afin de garantir la disponibilité du service, il est primordial d’assurer également la résolution de nom sur ce site. Dans une forêt Active Directory il existe une zone DNS propre à la forêt « _mstsc » et une zone pour chaque domaine de la forêt. Il est recommandé de répliquer la zone de la forêt sur tous les DCs de la forêt et la zone du domaine sur tous les DCs du domaine. Les problèmes DNS sont à l’origine de beaucoup de problèmes Active Directory.

Note importante : les applications suivantes sont fortement liées à l’AD (liste non exhaustive)

* Exchange Server

* Lync /Skype for Business

* System Center

* Services de synchronisation de profil SharePoint

Pour vous aider à préparer votre déploiement, vous pouvez utiliser les informations suivantes.
Vous pouvez consulter la liste des domaines de votre forêt depuis la console « Domaines et Approbations Active Directory» accessible via l’outil « Domain.msc ». Dans notre laboratoire la forêt comporte un domaine unique.

Vous pouvez utiliser la commande PowerShell suivante pour lister tous les domaines de la forêt :

Get-ADForest | Select Domains

Déterminer les catalogues globaux pour chaque domaine, depuis la console « Utilisateurs et Ordinateurs Active Directory », sur l’unité d’organisation « Domain Controllers » :

La commande PowerShell suivante permet de lister les DCs qui sont catalogues globaux :

Get-ADForest | Select GlobalCatalogs

Pour le niveau fonctionnel des domaines et de la forêt, utilisez la console « Domaines et approbations Active Directory ». Il suffit de faire un clic droit sur le nom du domaine ou sur « Domaines et approbations Active Directory », puis sélectionnez « Augmenter le niveau fonctionnel du domaine/de la forêt ».

Pour déterminer le niveau fonctionnel de la forêt avec PowerShell, utilisez la commande :
Get-ADForest | select Forestmode

Pour le niveau fonctionnel du domaine, utilisez la commande :
Get-ADDomain | select Domainmode

Vous trouverez la liste des zones DNS hébergées sur un contrôleur de domaine à partir de la console DNS (sauf si vos DCs ne font pas office de DNS Server).

Vous pouvez vérifier si la zone est intégrée à Active Directory dans les propriétés de la zone. Sur l’image ci-dessous, vous pourrez déterminer les paramètres de réplications de la zone. La flèche indique les options de mise à jour de la zone.

Si la zone DNS hébergée sur votre DC n’est pas intégrée à l’annuaire Active Directory, vous pouvez modifier le paramètre depuis cette page. Le changement en zone intégrée à l’AD n’impacte pas la production.

Vous trouverez également le détail des relations d’approbations en ouvrant les propriétés du domaine en question, sur la page « Approbations ».

Pour lister les rôles installés sur un serveur, utilisez la commande PowerShell suivante :

Import-Module ServerManager

Get-WindowsFeature | Where-Object {$_.Installed -eq « Installed »}

La console « Sites et Services Active Directory », vous permettra de faire le point sur la partie Sites, Réseaux et Lien de sites.

Pour déterminer si un contrôleur de domaines a été défini comme serveur tête de pont pour la réplication intersites, ouvrez les propriétés du serveur. Dans la page « Général », vous pourrez vérifier si le DC en question est serveur tête de pont.


Cet article est un extrait de l’eBook (Step-by-step guide) : Migrer son infrastructure Active Directory vers Windows Server 2012 et 2012 R2

 

 

S’applique à : Active Directory 2008, 2008 R2, 2012, 2012 R2 et 2016

Dans une infrastructure Active Directory répartie sur plusieurs sites, il arrive de devoir installer un Contrôleur de Domaine sur un site distant ne contenant aucun DC pour l’instant. L’installation nécessite la copie de l’annuaire à travers le réseau lors de l’exécution de l’assistant de configuration. Il est possible pour ce type situation, d’installer le contrôleur sur le site distant avec l’option « IFM : Install From Media ». Dans ce cas il faut préparer un support sur un Contrôleur de Domaine existant. Après l’installation, la réplication se fait à travers les liens réseaux.
Pour préparer le support d’installation il faut se connecter sur un Contrôleur de Domaine existant (un Contrôleur de Domaine en lecture seule ne peut servir de source), monter (connecter) ensuite un support amovible pour stocker les sources comme par exemple sur une clé USB avec la lettre E: (ou X:\ :)), une fois connecté, lancez l’Invite de Commande (CMD.exe) en tant qu’Administrateur et saisissez les commandes suivantes. Notez que dans l’exemple suivant, notre support de stockage amovible est monté avec la Lettre E:

NTDSUtil

Activate instance NTDS

ifm

Create SYSVOL full E:

Il vous faut ensuite attendre la création du support.

Sur votre site distant, déployez votre futur DC Windows Server (physique ou virtuel), installez y les services AD DS et lancez l’assistant pour promouvoir le contrôleur de domaine.

Lors de l’exécution de l’assistant de configuration, cochez la case « Installation à partir du support »  et spécifiez l’emplacement contenant la copie de l’annuaire AD générée lors de l’exécution des commandes ci-dessus (lettre correspondant à votre support de stockage amovible utilisé précédemment, E: dans notre cas) :

ifm_1

 

Cet article est un extrait de l’eBook de référence « Active Directory 2012 R2 – Design et déploiement en Entreprise [Guide du Consultant] »