Articles Tagués ‘HowTo Active Directory’

 

Dans le cadre d’un audit AD pour un de mes clients, j’ai été amené à lister tous les groupes AD « Vides » de plusieurs forêts Active Directory. Pour ce faire, j’ai créé quelques « Simples » scripts PS (basés sur le module PS ActiveDirectory) permettant de réaliser cette opération, et j’ai donc décidé de les partager avec vous :).

How it Works ?
# Lister tous les groupes AD « Vides » !

Import-Module ActiveDirectory

Get-ADGroup -Filter * -Properties Members | where {-not $_.members} | select Name

# Nombre de groupe AD « Vides » !

Import-Module ActiveDirectory

$GroupesAD_Vides = Get-ADGroup -Filter * -Properties Members | where {-not $_.members} | select Name

$GroupesAD_Vides.Count

# Exporter tous les groupes AD « Vides » !

Import-Module ActiveDirectory

$GroupesAD_Vides = Get-ADGroup -Filter * -Properties Members | where {-not $_.members} | select Name | Export-Csv D:\Liste_Groupes_AD.csv –NoTypeInformation

 

Astuce !

Si vous souhaitez lister tous les groupes AD « Vides » d’une OU (Organizational Unit) spécifique, il suffit de rajouter le paramètre -SearchBase suivi du DN (DistinguishedName de l’OU), dans l’exemple suivant, la recherche se fera au niveau de la sous-OU « Production » situé au niveau de hklab.lan/France/Paris/Servers/

Import-Module activedirectory

Get-ADGroup -Filter * -Properties Members -SearchBase “OU=Production,OU=Servers,OU=Paris,OU=France,DC=hklab,DC=lan » | where {-not $_.members} | select Name

 

Hello tout le monde,

La liste complète des DCs de votre domaine AD peut être obtenu via :

Windows PowerShell (Cmd-lets Get-ADDomainController ou Get-ADGroupMember)

Outil CLI : NLTest.exe

 

Comment ça marche ?

Via la Cmd-let « Get-ADDomainController »

  • Lancez Windows PowerShell (en tant qu’Admin) depuis un DC ou un serveur d’administration ayant les outils RSAT AD DS installés
  • Saisissez la commande suivante : Get-ADDomainController -Filter * | Select Name

Via la Cmd-Let « Get-ADGroupMember »

  • Lancez Windows PowerShell (en tant qu’Admin) depuis un DC ou un serveur d’administration ayant les outils RSAT AD DS installés
  • Saisissez la commande suivante : Get-ADGroupMember « Contrôleurs de Domaine » | Select Name
    • Note importante : Cette commande retourne uniquement les WDC (Writable Domain Controllers), si vous souhaitez aussi lister les RODC (Read-Only Domain Controllers), vous devez exécuter la commande : Get-ADGroupMember « Read-Only Domain Controllers » | Select Name

Via l’outil CLI « NLTest.exe »

  • Lancez l’Invite de commande (CMD.exe) depuis un DC ou une machine d’administration et saisissez la commande suivante : NLTest /DCList:Nom_de_domaine

Si vous cherchez un moyen pour lister tous les comptes utilisateurs AD ayant un mot de passe qui « N’expire jamais », eh bien, The « Best & Easiest » way est l’utilisation de la Cmd-Let « Search-ADAccount », fournie avec le module PowerShell « ActiveDirectory »

Comment ça marche ?
  • Lancez Windows PowerShell (en tant qu’Administrateur) depuis un DC (Domain Controller) ou un serveur d’administration ayant les outils RSAT AD DS installés, et saisissez ensuite la commande suivante :
    • Search-ADAccount -PasswordNeverExpires

That’s all :).

Si vous cherchez un moyen pour lister tous les comptes utilisateurs AD « Désactivés », eh bien, The « Best & Easiest » way est l’utilisation de la Cmd-Let « Search-ADAccount », fournie avec le module PowerShell « ActiveDirectory »

Comment ça marche ?
  • Lancez Windows PowerShell (en tant qu’Administrateur) depuis un DC (Domain Controller) ou un serveur d’administration ayant les outils RSAT AD DS installés, et saisissez ensuite la commande suivante :
    • Search-ADAccount -AccountDisabled

That’s all :).