[Active Directory – Tip Of The Week] HowTo : Connaitre la date d’expiration du mot de passe de vos comptes users AD via PowerShell

AD Guys, Hello again 🙂

Si vous souhaitez connaître la date d’expiration des password de vos comptes users AD, eh bien pouvez simplement exécuter le code PS suivant :

Requirements

• Lancez Windows PowerShell en tant qu’Admin
• Exécutez les lignes de codes ci-dessous depuis un DC (not recommended) ou une machine d’administration ayant les outils RSAT installés et notamment le module PowerShell « ActiveDirectory » (recommended :)).

 

HowTo : connaitre la date d’expiration des mots de passes de vos comptes users AD

Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} –Properties « DisplayName », « msDS-UserPasswordExpiryTimeComputed » | Select-Object -Property « Displayname »,@{Name= »ExpiryDate »;Expression={[datetime]::FromFileTime($_. »msDS-UserPasswordExpiryTimeComputed »)}}

Tip : si vous souhaitez trier les informations retournées par « Date la plus récente », exécutez la commande suivante :

Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} –Properties « DisplayName », « msDS-UserPasswordExpiryTimeComputed » | Select-Object -Property « Displayname »,@{Name= »ExpiryDate »;Expression={[datetime]::FromFileTime($_. »msDS-UserPasswordExpiryTimeComputed »)}} | Sort ExpiryDate -Descending

Le résultat retourné par cette commande est affiché dans la screenshot ci-dessous :

Publicité

[Active Directory – Tool of the Week] 1# : Introduction à l’outil NTDSUtil.exe

Introduction 

« NtDSutil » est un outil de maintenance d’Active Directory et permet entre autres de :

• Nettoyer l’AD et les métadonnées : si un de vos contrôleurs de domaine devait tomber en panne ou que vous ayez un domaine orphelin, vous pouvez utiliser « NTDSUtil » pour nettoyer les métadonnées et supprimer les liens de réplication obsolète. A partir de Windows 2008, les métadonnées sont nettoyées lors de la suppression du compte ordinateur dans « utilisateurs et ordinateurs Active Directory » ou du « NTDSSettings » dans la console « Sites et Services Active Directory ».
• Déplacer vérifier ou défragmenter la base de l’annuaire (ntds.dit) : vous pouvez déplacer la base de données de l’annuaire sur un autre volume. La défragmentation n’est pas une opération que vous devez prévoir fréquemment si vous êtes dans une petite structure.

Note importante : Le déplacement avec « NTDSUtil » ne modifie pas le dossier « SYSVOL » contenant les stratégies de groupes, mais uniquement les fichiers de l’annuaire. La méthode recommandée pour déplacer « SYSVOL » est de rétrograder puis de réinstaller les services de domaine, même si vous trouverez facilement des articles qui expliquent comment effectuer un déplacement manuel.

• Transférer les rôles de maître d’opération (FSMO)

 

HowTo : Utiliser NTDSUtil

Nous allons voir au travers de quelques exemples, l’utilisation de NTDSUtil, comme par exemple déplacer les fichiers de l’annuaire. Pour ce type d’opération il est nécessaire que les services de l’annuaire soient arrêtés.

Pour arrêter les services, utilisez la console « services.msc » et recherchez le service « Service de domaine Active Directory ».

Faites un clic droit sur le nom du service, puis « Arrêter ».

La console vous propose d’arrêter automatiquement les services dépendants.

Pour déplacer la base de données de l’annuaire, ouvrez une « invite de commandes » en tant qu’administrateur sur le contrôleur de domaine et utilisez les commandes :

NTDSUtil

Activate instance NTDS

Files

Move db to D:\nouveau_dossier

Après le déplacement du fichier « NTDS.dit », vous pouvez déplacer les journaux de la base avec la commande :

Move logs to D:\nouveau_dossier

Pour vérifier l’intégrité de la base de données vous pouvez utiliser les commandes « checksum » et « integrity ».

Pour quitter « NTDSutil , saississez « quit » jusqu’à revenir au prompt.

Pour déplacer les rôles de maître d’opération (FSMO) avec « NtDsUtil », vous pouvez utiliser les commandes suivantes :

NTDSUtil

Roles

connections

connect to server “monserveur”

q

Ensuite vous pouvez transférer un ou plusieurs rôles avec les commandes :

transfer pdc

transfer RID master

Transfer infrastructure master

Transfer schema master

Transfer naming master

Si l’ancien contrôleur de domaine disposant du rôle n’est plus disponible, vous devez remplacer « transfer » par « seize » pour forcer la prise de rôle.

Une confirmation vous est demandée, cliquez sur « Oui ».

 

Cet article vous a plu ?

Il s’agit d’un extrait de la Seconde Edition du livre « Active Directory 2016 – Déploiement et Administration en Entreprise ».

Disponible sur BecomeITExpert.com, cliquez sur l’image ci-dessous pour en savoir plus :

[Active Directory Toolbox] La version 1.1 de l’outil « Active Directory Replication Status Tool » est désormais disponible !

Microsoft a publié (le 10/08/2017) la version 1.1 de l’outil gratuit « Active Directory Replication Status Tool »

Pour rappel, AD Replication Status Tool est un outil gratuit qui vous permet d’analyser l’état de réplication de vos DCs (Domain Controllers) dans un domaine ou une forêt Active Directory.

Les principales fonctionnalités offertes par AD Replication Status Tool sont :

• Exposer les problèmes de réplications parvenus au niveau d’un domaine ou une forêt Active Directory
• Prioriser les erreurs de réplication devant être résolues pour éviter toute création de « Lingering Objects » au niveau d’une forêt Active Directory
• Aide les IT Admins  à résoudre les problèmes et erreurs de réplication AD en les liant au contenu /Base TechNet (Contenu AD Replication TroubleShooting) qui regroupe plusieurs centaines de « Problèmes connus » qui peuvent les aider à identifier et résoudre rapidement des problèmes /erreurs de réplication AD
• permet l’export des données de réplication collectées pour une analyse « Offline » ultérieur

 

What Next ?

Télécharger l’outil Active Directory Replication Status Tool, V1.1

[Active Directory] HowTo : Restauration autoritaire du SYSVOL

Restauration de l’état du système

Vous pouvez effectuer une restauration autoritaire de SYSVOL lors de la restauration de l’état du système, soit en ligne de commande avec « WBAdmin » en ajoutant « –authsysvol », soit avec l’interface graphique en mode restauration d’annuaire en cochant la case :

Par contre si vous faites une restauration complète depuis le support d’installation, vous devez utiliser les procédures présentées au prochain paragraphe.

Restauration autoritaire avec NTFRS

Vous pouvez configurer la restauration autoritaire de SYSVOL après la restauration du premier DC de chaque domaine en modifiant la valeur « BurFlags » du registre sur « D4 » :

« HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NtFrs\Parameters\Backup/Restore\Process at Startup » 

• D4 : restauration faisant autorité sur les autres DCs
• D2 : restauration non autoritaire uniquement pour ce DC

Après la modification du registre, vous devez redémarrer le serveur ou le service NTFRS :

Net stop NTFRS

Net Start NTFRS

Ou plus simplement :

Net Stop NTFRS && Net Start NTFRS

Restauration autoritaire avec DFS-R

Vous pouvez effectuer une restauration autoritaire de « SYSVOL » lors de la restauration du premier DC en utilisant la méthode suivante.

Ouvrez la console « Utilisateurs et Ordinateurs Active Directory ». Dans affichage, sélectionnez les options « Utilisateurs, contact,… en tant que conteneur » et « Fonctionnalités avancées » :

Dans le menu de gauche, allez sous « Domain Controllers », ouvrez le détail de votre contrôleur de domaine, puis allez sous « DFS-LocalSettings », « DomainSystem Volume »

Dans le panneau central faites un clic droit sur « Domain System Volume » et sélectionnez propriétés. Dans « éditeur d’attributs », recherchez « msDFSR-Options » et définissez la valeur à «1 »

Si vous souhaitez effectuer une restauration autoritaire de « SYSVOL » en dehors d’une procédure de restauration d’une forêt, je vous conseille de lire l’article suivant :

https://support.microsoft.com/en-us/help/2218556/how-to-force-an-authoritative-and-non-authoritative-synchronization-for-dfsr-replicated-sysvol-like-d4-d2-for-frs

====================================================================

Cet article est un extrait de l’eBook « Active Directory 2012 et 2021 R2 – Sauvegarde et Restauration« , disponible sur BecomeITExpert.com

[Active Directory] HowTo : Lister tous les Contrôleurs de domaine (DCs) d’une Forêt ou Domaine AD

Hello tout le monde,

Aujourd’hui, je vais vous présenter un Tip assez intéressant vous permettant de lister tous les DCs de votre domaine forêt/domaine AD.

Le listing des DCs peut être obtenu via :

Windows PowerShell (Cmd-lets Get-ADDomainController ou Get-ADGroupMember)

Outil CLI : NLTest.exe

Comment ça marche ?

Via la Cmd-let « Get-ADDomainController »

• Lancez Windows PowerShell (en tant qu’Admin) depuis un DC ou un serveur d’administration ayant les outils RSAT AD DS installés
• Saisissez la commande suivante : Get-ADDomainController -Filter * | Select Name

Via la Cmd-Let « Get-ADGroupMember »

• Lancez Windows PowerShell (en tant qu’Admin) depuis un DC ou un serveur d’administration ayant les outils RSAT AD DS installés
• Saisissez la commande suivante : Get-ADGroupMember « Contrôleurs de Domaine » | Select Name
  • Note importante : Cette commande retourne uniquement les WDC (Writable Domain Controllers), si vous souhaitez aussi lister les RODC (Read-Only Domain Controllers), vous devez exécuter la commande : Get-ADGroupMember « Read-Only Domain Controllers » | Select Name

Via l’outil CLI « NLTest.exe »

• Lancez l’Invite de commande (CMD.exe) depuis un DC ou une machine d’administration et saisissez la commande suivante : NLTest /DCList:Nom_de_domaine

[Active Directory Design] Sizing des Contrôleurs de domaine

Un très bon article de Philippe BARTH [MVP Directory Services] sur le Sizing des DC (Domain Controller) pour une infrastructure Active Directory 2008, 2008 R2, 2012, 2012 R2 et 2016.

Ci-après un extrait

====================================================================

En lisant certains blogs, je suis tombé sur des valeurs un peu excessives au niveau du dimensionnement des contrôleurs de domaine, surtout pour des PME. Je me souviens par exemple d’un site qui préconise 8 Go de RAM minimum sur les DCs avec Windows Server 2012 R2, sans trop justifier cette valeur. Active Directory n’est pas un service très exigeant au niveau des performances en comparaison d’un serveur Exchange ou d’une base de données SQL Server.

Le premier point sur lequel je souhaite justement revenir est la mémoire. Il est recommandé pour des raisons de performances d’avoir suffisamment de mémoire pour conserver l’ensemble de l’annuaire dans la mémoire. A la création le fichier « NTDS.dit » à une taille inférieur à 50 Mo. Même si la taille de la base de données est variable en fonction du nombre d’utilisateurs, de groupe, si vous stocker des photos pour les utilisateurs etc…, vous verrez qu’un annuaire pour une société de moins de 300 personnes ne dépassera sans doute pas les 300Mo.

La quantité minimale de RAM devrait être supérieur à la somme de la taille de la base de données, la taille SYSVOL totale, le montant recommandé du système d’exploitation et les recommandations du fournisseur pour les agents (antivirus, surveillance, sauvegarde, etc.). Donc si on compte 1Go pour Windows 2012, 300Mo pour la base AD et 100 Mo pour le service DNS, dans une petite structure, 2 Go de mémoire peut être suffisant si le DC n’héberge pas d’autres rôles.
Dans une structure plus importante, par exemple avec une forêt multi-domaine, le rôle de catalogue global augmente la consommation de mémoire. De plus si vous installez des outils tiers comme System Center (client SCCM, agent SCOM) vous devrez peut-être prévoir un minimum de 3Go voir 4Go.

LIRE LA SUITE…

[Active Directory] HowTo : Obtenir la liste des comptes Ordinateurs AD « Désactivés » via PowerShell

Une astuce AD qui peut vous être utile lors de vos audit Active Directory 🙂

Comment lister tous les comptes d’Ordinateurs Active Directory qui sont « Désactivés » ?

La réponse est simple, lancez Windows PowerShell (en tant qu’Admin) depuis un DC (Writable) du domaine ou serveur d’administration ayant les outils RSAT AD DS d’installés, et exécutez la commande suivante :

Get-ADComputer -Filter {(name -like « * ») -and (enabled -eq $FALSE)} -Properties * | Select Name, LastLogonDate | Ft -AutoSize

Vous pouvez trier (par Date) le résultat retourné par la commande en rajoutant un « Pipe » Sort-Object -Descending, la commande devient donc :

Get-ADComputer -Filter {(name -like « * ») -and (enabled -eq $FALSE)} -Properties * | Select Name, LastLogonDate | Sort-Object -Descending | FT -AutoSize

Enfin, le résultat (liste complète des Comptes Ordinateurs AD Désactivés) peut être exporté vers un fichier TXT ou CSV, et ce via l’utilisation d’un Pipe suivi de la Cmd-Let Export-CSV Chemin_d’Export, la commande finale est donc :

Get-ADComputer -Filter {(name -like « * ») -and (enabled -eq $FALSE)} -Properties * | Select Name, LastLogonDate | Sort-Object -Descending | Export-CSV C:\Liste_CompteOrdiAD_Desactives.csv

[Tip of the Week] HowTo : Défragmenter la base de données Active Directory (NTDS.dit)

 

S’applique à : Active Directory 2008 – 2008 R2 – 2008 R2 SP1 – 2012 – 2012 R – 2016

Tout d’abord, il faut savoir qu’il existe deux types de défragmentation de la base AD : En-ligne & Hors-ligne

Par défaut, les défragmentations En-ligne se produisent (automatiquement) toutes les 12 heures. Cette défragmentation fait partie du processus Garbage Collection d’Active Directory, décrit dans la KB Microsoft suivante :

The Active Directory Database Garbage Collection Process

Bien que la nature automatique des défragmentations en ligne les rendent commodes, elles ne réduisent en rien la taille du fichier base de données AD (NTDS.Dit) sur un Contrôleur de domaine. Les défragmentations en ligne ne font que récupérer l’espace libre de l’intérieur du fichier. Pour réduire la taille du fichier vous devez effectuer une défragmentation manuelle. Pour ce faire, suivez les instructions suivantes.

Dans l’exemple suivant, la taille de ma base AD (taille du fichier NTDS.dit) est ~2.65 GB :

Nous allons donc procéder à la défragmentation de la base afin de réduire la taille du fichier NTDS.dit, pour ce faire, suivez les instructions suivantes :

Lancez l’Invite de commande (CMD.exe) en tant qu’Administrateur et saisissez la commande suivante pour arrêter le service NTDS (service Windows correspondant à l’instance AD DS : Active Directory Domain Services)

Net Stop NTDS

Plusieurs services Windows dépendent du services NTDS, notamment les service DNS et DFS Replication

Confirmez l’arrêt du service NTDS mais aussi des 4 autres services Windows qui en dépendent, en saisissant Y (comme Yes)

Maintenant que la base AD est arrêtée, nous pouvons effectuer toutes les opérations de maintenance dessus, et notamment l’opération de défragmentation.

Pour ce faire, nous utilisons l’outil NTDSUtil, fourni par défaut sur tout Contrôleur de domaine.

Depuis la même Invite de commande, saisissez les commandes suivantes :

NTDSUtil

Activate Instance NTDS

File

Info

Les informations suivantes sont retournées. Notez la taille du fichier NTDS.dit

Pour défragmenter la base AD, saisissez la commande suivante

Comptact to C:\NTDS.dit

Dans l’exemple suivant, le fichier NTDS.dit (placé par défaut dans C:\Windows\NTDS) sera défragmenté et placé directement dans C:\NTDS.dit

Une fois la défragmentation terminée, vous devrez copiez ce nouveau fichier (défragmenté) dans C:\Windows\NTDS (et écraser l’ancien).

Enfin, saisissez la commande suivante pour copier le nouveau NTDS.dit vers C:\Windows\NTDS et écraser l’ancien base AD

Copy « C:\NTDS.dit\ntds.dit » « C:\Windows\NTDS\ntds.dit »  

Confirmez en saisissant Y (comme Yes)

Notez que vous devez également supprimer les anciens fichiers logs (placés par défaut dans C:\Windows\NTDS\*.log), pour ce faire, saisissez la commande suivante:

Del C:\Windows\NTDS\*.log

Enfin, démarrez la base AD et ses services Windows associés en saisissant :

Net Start NTDS

Ouvrez l’explorateur Windows et notez la nouvelle taille de la base AD. Dans l’exemple suivant, la taille du fichier NTDS.dit a été réduite de 2GB.

Lors des derniers audits AD réalisés chez mes clients, la taille de certaines bases AD est passée de 20 GB à 2,5 GB :).

Pour finir, je vous recommande la réalisation de cette opération d’une manière trimestrielle ou semestrielle, cela permettra d’optimiser l’espace disque utilisé sur les partitions systèmes (C:) de vos DCs, mais surtout améliorer les performances en matière d’authentification sur votre annuaire AD.

A bientôt

HK.

¯_(ツ)_/¯

[Active Directory Tip] HowTo : Lister toutes les OUs non protégées contre contre la suppression accidentelle

Lors de la création d’une nouvelle Unité d’Organisation (OU : Organizational Unit), celle-ci est par défaut « Protégée contre la suppression accidentelle »; il arrive que des IT Admins désactivent cette option. Il s’agit ici d’un risque majeur car une OU peut avoir des sous-OU contenant des objets de sécurité « critiques » tels que des comptes utilisateurs (VIP : PDG /DG), des compteurs ordinateurs (Laptop de directeurs : Administratif /Financier…) voire aussi des partages, imprimantes, groupes de sécurité …Etc

Il est recommandé d’effectuer régulièrement un audit « Light » des OU non protégées contre la suppression accidentelle.

Comment ça marche ?

Lister toutes les OUs non protégées contre la suppression accidentelle

Ouvrez une Session Windows sur un DC ou une machine d’Administration ayant les outils RSAT installés

Lancez Windows PowerShell en tant qu’Administrateur et saisissez la commande suivante :

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | FT -AutoSize

Activer la « Protection contre la suppression accidentelle » sur les OUs non protégées 

Ouvrez une Session Windows sur un DC ou une machine d’Administration ayant les outils RSAT installés

Lancez Windows PowerShell en tant qu’Administrateur et saisissez la commande suivante :

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true

 

[Active Directory Tip] HowTo : Obtenir la liste des comptes utilisateurs AD avec un mot de passe qui « N’expire Jamais » via PowerShell

Si vous cherchez un moyen pour lister tous les comptes utilisateurs AD ayant un mot de passe qui « N’expire jamais », eh bien, The « Best & Easiest » way est l’utilisation de la Cmd-Let « Search-ADAccount », fournie avec le module PowerShell « ActiveDirectory »

Comment ça marche ?

• Lancez Windows PowerShell (en tant qu’Administrateur) depuis un DC (Domain Controller) ou un serveur d’administration ayant les outils RSAT AD DS installés, et saisissez ensuite la commande suivante :
  • Search-ADAccount -PasswordNeverExpires

That’s all :).