Introduction : Sysinternals Tools
Sysinternals Tools est une suite d’outils regroupant plusieurs dizaines de « Free Utilities » proposés gratuitement par Microsoft.
Ces outils vous permettent de gérer, diagnostiquer et troubeshooter plusieurs composants de Windows (Client & Server), à savoir : Disk/Volume, Active Directory, Hyper-V, Prof/Perfs…
Au moment de la rédaction de ce post, la suite Sysinternals est composée des outils listés ci-dessous (76 tools au total) :
AdExplorer | AdInsight | AdRestore | | Autologon | Autoruns | BgInfo | BlueScreen | CacheSet | | ClockRes | Contig | Coreinfo | Ctrl2Cap | DebugView | | Desktops | Disk2vhd | DiskExt | DiskMon | DiskView | | Disk Usage (DU) | EFSDump | FileMon | FindLinks | Handle | | Hex2dec | Junction | LDMDump | ListDLLs | LiveKd | | LoadOrder | LogonSessions | MoveFile | NewSid | NotMyFault | | NTFSInfo | PageDefrag | PendMoves | PipeList | PortMon | | ProcDump | Process Explorer | ProcFeatures | Process Monitor | PsExec | | PsFile | PsGetSid | PsInfo | PsKill | PsList | | PsLoggedOn | PsLogList | PsPasswd | PsPing | PsService | | PsShutdown | PsSuspend | PsTools | RAMMap | RegDelNull | | RegHide | RegJump | RegMon | Rootkit Revealer | Registry Usage (RU) | | SDelete | ShareEnum | ShellRunas | Sigcheck | Streams | | Strings | Sync | Sysmon | TCPView | VMMap | | VolumeID | WhoIs | WinObj | ZoomIt
Télécharger les Sysinternals Tools
Commencez par télécharger le package complet « Sysinternals » pour pouvoir réaliser les instructions techniques détaillées dans la section suivante.
Sysinternals Tools pour Active Directory
La suite Sysinternals comprend trois outils dédiés à la gestion et troubleshooting d’Active Directory.
Ces outils sont :
AdExplorer
AdInsight
AdRestore
Je vous présenterai donc à travers cet article ces trois outils et dans quel contexte vous pouvez l’utilisez.
#1. AdExplorer
AdExplorer (ou Active Directory Explorer) est un outil très puissant qui vous permet d’éditer votre base Active Directory et visualiser/modifier son contenu (e.g : Attributs).
Active Directory Explorer présente des fonctionnalités similaires que celles disponibles sur l’éditeur ADSIEdit (outil natif), fourni par défaut avec le rôle Windows Server ADDS (Active Directory Domain Services), en revanche il fourni plus de fonctionnalités et reste plus simple et facile à utiliser.
Vous pouvez utiliser AdExplorer pour naviguer et parcourir votre base de données AD (NTDS.dit database), visualiser les attributs d’objets AD de manière simple et rapide sans avoir besoin d’éditer les propriétés de l’objet et ouvrir la boite de dialogue « Propriétés ». Il peut également être utilisé pour :
Editer les permissions d’objets AD
Définir vos emplacements « Favoris »
Exécuter des recherches pertinentes et « sophistiquées » mais aussi les enregistrer pour une utilisation utérieure.
Réaliser des « Snapshots » de la base Active Directory pour une utilisation (visualisation) Offline.
Enfin, AdExplorer ouvre (automatiquement) tous les « Naming contexts » Active Directory détectés/trouvés, ce qui vous évite de vous connecter séparément à chaque contexte de nommage : « Configuration », « Schema », …Etc.
Tips #1 : AdExplorer vous permet d’afficher plusieurs domaines/sous-domaines AD ainsi que tout Snapshot AD enregistré sur la même console.
Dans l’exemple suivant, je vais me connecter à ma base AD en saisissant simplement le nom DNS de mon Root domain (HKRoot.lan) :
Dès que la connexion est établie, les informations suivantes sont collectées et affichées sur le volet gauche :
Maintenant, juste double-click and enjoy :).
Tips #2 : la boite de dialogue « Connect to Active Directory » s’affiche automatiquement lors du lancement d’AdExplorer, vous pouvez « bypasser » cette boite de dialogue en saisissant AdExplorer –noconnectprompt depuis l’Invite de commande (CMD.exe) :
Note importante : Vous pouvez utiliser l’outil AdExplorer avec différents types de Servies d’Annuaire, tels que Active Directory Domain Services (DS), Active Directory Lightweight Directory Services (LDS) et Active Directory Application Mode (ADAM).
#2. AdInsight
AdInsight est outil de monitoring LDAP « en temps réel » qui vous permet de surveiller et tracer tous les appels/requêtes LDAP effectuées par les applications clientes et API sur l’annuaire Active Directory.
C’est un tool très pratique que vous pouvez utiliser pour diagnostiquer et troubleshooter les problèmes de connexions/communication liées Apps clientes s’appuyant sur AD.
AdInsight utilise une technique d’injection de DLL pour intercepter les appels/requêtes effectuées par les applications dans la librairie Wldap32.dll, qui est la Librairie Windows Standard qui implémente toutes les fonctionnalités LDAP bas-niveau (Low-Level).
Capture de données à l’aide d’AdInsights, comment ça marche ?
Par défaut, l’outil AdInsight démarre en mode « Capture – On », si toutefois, si vous souhaite former/démarrer la « manuelle », utilisez le raccourci clavier (Ctrl+E) ou cliquez sur la première icone (à gauche) disponible sur la barre d’outil d’AdInsight :
#3. AdRestore
AdRestore est un outil en ligne de commande (CLI) qui vous permet de lister tous les objets AD supprimés et vous offre la possibilité de les restaurer sans passer par l’outil/snap-in ADAC (Active Directory Administrative Center).
Comment ça marche ?
Faites un Extract du fichier AdRestore.zip et placez le dossier AdRestore dans C:\, exécutez ensuite la commande suivante pour lister/visualiser tous les objets AD supprimés (Deleted Objects) :
C:\AdRestore\AdRestore.exe
Dans l’exemple suivant, deux objets AD (User) se trouvent dans la Corbeille AD (hk_admin_user & hk_std_user) :
Pour restaurer vos objets AD supprimés, saisissez la commande suivante :
C:\AdRestore\AdRestore.exe -R
Vous êtes invités à confirmer chaque restauration d’objet en saisissant Y (comme Yes) :
Notez que les objets AD restaurés sont désactivés l’opération de restauration, vous devez donc les réactiver pour les rendre « Actifs » à nouveau :
Blog de Hicham KADIRI | Just Another IT Guy 