Archive

Archives pour la catégorie ‘Active Directory’

Un filtre simple sur la commande Get-AdUser

Filtrer ou rechercher un utilisateur lorsque l’on ne connait qu’une partie de son nom.

?View Code POWERSHELL
Get-AdUser -Filter 'Name -like "*chris*"'
Categories: Active Directory Tags: ,

Configurer FGPP avec Powershell

Pourquoi ce compliquer la vie.

En référence à l’article Implémenter différentes stratégies de mot de passe dans un domaine, il est possible de configurer un « Password Settings Object » (PSO) avec PowerShell.

?View Code POWERSHELL
New-ADFineGrainedPasswordPolicy -Name "AdminsPasswordPolicy" -Precedence 10 -ComplexityEnabled $true -Description "The Domain Administrators Password Policy"-DisplayName "Domain Admins PSO" -LockoutDuration "0.00:30:00" -LockoutObservationWindow "0.00:30:00" -LockoutThreshold 5 -MaxPasswordAge "60.00:00:00" -MinPasswordAge "1.00:00:00" -MinPasswordLength 8 -PasswordHistoryCount 5 -ReversibleEncryptionEnabled $false

Le résultat avec la commande

?View Code POWERSHELL
New-ADFineGrainedPasswordPolicy -Name "AdminsPasswordPolicy"

Manage Fine-Grained Password Policy (Technet)

Implémenter différentes stratégies de mot de passe dans un domaine

Dans les versions précédente de Active Directory, vous aviez la possibilité de définir une stratégie de mot de passe pour les comptes du domaine avec des paramètres définis.
 

 
La stratégie des mots de passe ne peut être configurée que dans la GPO « Statégie de domaine par défault ».
Cette stratégie s’applique à tous chaque compte utilisateur du domaine et chaque compte utilisateur de la SAM local des serveurs et ordinateurs qui joignent le domaine.
Il n’est pas possible de définir d’autres paramètres via une autre GPO.

Avec l’arrivé d’Active Directory 2008/R2, vous pouvez maintenant accéder à « Fine Grain Password Policies » (FGPP).
FGPP vous permet de mettre en place des politiques de mot de passe multiples dans le même domaine Active Directory.
Ceci peut être utile pour sécuriser le mot de passe de certains comptes critiques comme Administrateurs, RH, Finances, Direction…
FGGP ne se positionnera plus sur une OU comme le ferait une GPO mais sur un groupe ou un compte.

Voici comment mettre en place FGPP sur un groupe d’utilisateurs.

1- Lancez ADSIEDIT.MSC sur votre DC.
2- Sélectionnez Connexion dans le menu Action..
3- Dans la boîte de dialogue Paramètres de connexion cliquez sur le bouton OK.
 

 
4- Dans ADSIEDIT, développez la vue de votre nom de domaine vers CN=System.
4- Cliquez-droit sur le CN = Password Settings Container.
6- Sélectionnez l’option Créer | Objet.
7- Remplissez les valeurs pour chaque entrées, le ci-dessous est un guide.
 

AttributValeurDescription
CnAdminsPasswordPolicyLe nom de l'objet de stratégie de mot de passe dans Active Directory
msDS-PasswordSettingsPrecedence10Nombre de poids. Au cas ou l'utilisateur serait membre de plusieurs groupes ayant chacun un FGPP. Le plus petit nombre a la priorité la plus élevé.
msDS-PasswordReversibleEncryptionEnabledFalseValeur booléenne pour définir si les mots de passe doivent être stockés avec un chiffrement réversible.
msDS-PasswordHistoryLength5Nombre de mots de passe utilisateur unique doit d'entrée avant de les réutiliser un mot de passe.
msDS-PasswordComplexityEnabledTrueDéfinit si la complexité de mot de passe doit être activée ou non.
msDS-MinimumPasswordLength8Le nombre minimum de caractères dans le mot de passe utilisateur.
msDS-MinimumPasswordAge-864000000000L'âge minimum mot de passe (un jour).
msDS-MaximumPasswordAge-51840000000000L'âge maximum de mot de passe (60 jours).
msDS-LockoutThreshold5Nombre de tentative échoué de mot de passe avant que l'utilisateur soit verrouillé.
msDS-LockoutObservationWindow-18000000000Le temps écoulé pour réinitialiser le compteur de verrouillage de mot de passe au maximum (30 minutes).
msDS-LockoutDuration-18000000000Le temps pendant lequel le compte reste verrouillé si aucune nouvelle mauvaise tentative n'a eu lieu (30 minutes).

 
Pour calculer les temps utilisez le tableau ci-dessous en multipliant le nombre de minutes, heures ou jour pas la valeur correspondante.
 
Unité de tempsFormuleValeur
1 Minute-60 * (10 ^ 7)-600000000
1 Heure-60 * 60 * (10 ^ 7)-36000000000
1 Jour-24 * 60 * 60 * (10 ^ 7)-864000000000

 
8- Validez la configuration.
9- Affichez les propriétés du « Password Settings Object » (PSO).
 

 
10- Modifiez l’attribut « msDS-PSOAppliesTo » pour ajouter les groupes auxquels vous souhaitez appliquer la FPGG.
 
 
11- Appliquez.

Maintenant, tous les utilisateurs du groupe que vous avez sélectionné on un stratégie de mot de passe spécifique.
Répétez l’opération pour autant de PSOs que vous souhaitez créer.

Importer la création de comptes Active Directory 2008 R2

Voici comment importer dans Active Directory 2008 R2 des comptes depuis un fichier texte.
Le login est formaté par rapport au nom et prénom de l’utilisateur. Dans cette exemple, on utilise les 6 premières lettres du nom et les 2 premières lettres du prénom.

?View Code POWERSHELL
Import-Csv -Path .\Import\import-adms.txt | foreach {
$firstname = (Get-Culture).TextInfo.Tolower($_.prenom)
$firstname = (Get-Culture).TextInfo.ToTitleCase($firstname)
$lastname = (Get-Culture).TextInfo.ToUpper($_.nom)
$name = $lastname + ' ' + $firstname
if ($_.nom.Length -le 6) {
$samaccount = $lastname + $firstname.Remove(2)
}
Else {
$samaccount = $lastname.Remove(6) + $firstname.Remove(2)
}
$descrition = $_.Societe + "-" + $_.Description
$upn = $samaccount + "@domain.fr"
$AccountPassword = (ConvertTo-SecureString "Pass2Key2" -AsPlainText -force)
 
New-ADUser -Name $name -GivenName $firstname -Surname $lastname -Path "OU=Comptes,DC=corp,DC=domain,DC=fr" -SamAccountName $samaccount -Description $descrition -UserPrincipalName $upn -AccountPassword $AccountPassword -Enabled $true -ChangePasswordAtLogon $true
}

Identifier les comptes plus utilisés

Permet d’identifier les comptes qui ne se sont pas connectés au domaine depuis une date précise.

?View Code POWERSHELL
$LastLogonDate = New-Object System.DateTime(2012,1,1)
Get-ADUser -Filter { lastLogon -le $LastLogonDate } | ft Name,SamAccountName

Récupérer les rôles FSMO.

Le contrôleur de domaine qui hébergeait les rôles FSMO à cramé.
Vous ne souhaitez ou ne pouvez le remettre en ligne.
Voici l’article Microsoft pour utiliser Ntdsutil.exe afin prendre ou transférer des rôles FSMO vers un autre contrôleur de domaine.

Utilisation de Ntdsutil.exe pour prendre ou transférer des rôles FSMO vers un contrôleur de domaine

Hommage au domaine CALYPSO que j’ai créé il y a 10ans et qui va bientôt s’éteindre.

Importer les cmdlets Active Directory 2008

Pour importer les module Active Directory sur un serveur Windows 2008 R2.
Par exemple sur votre serveur Exchange, vous voulez avoir accès aux cmdlets Active Directory 2008.
Il suffit de lancer dans Exchange Management Shell la commande:

?View Code POWERSHELL
Import-Module ActiveDirectory
Categories: Active Directory Tags: , ,

CmdLets PowerShell pour Active Directory

Le poster des commandes Powershell pour Active Directory.
Ces CmdLets Active Directory sont disponibles sur Windows Server 2008 R2 mais nécessite Active Directory Management Gateway Service pour les autres versions.

Poster PowerShell Active Directory

Supprimer le sIDHistory d’un compte

Après une migration AD entre deux domaine avec des outils comme ADMT, il est important de supprimer les sIDHistory sur les comptes du domaine cible.
Cette opération va permettre également de réduire la taille du Token Kerberos.

?View Code POWERSHELL
Get-QADUser "Chuck Norris" | %{Set-QADUser $_ -ObjectAttributes @{sIDHistory=@{delete=$_['sIDHistory']}}}

Plus d’infos

Réinitialiser des jeux de réplicas FRS

Voici une des méthodes pour réinitialiser une réplication FRS notamment le dossier SYSVOL sur un contrôleur de domaine défectueux.
Cette méthode de restauration en fait pas autorité et est donc sans risque pour les autres contrôleurs et le domaine.

1- Exécutez « net stop ntfrs » dans une commande.
2- Exécutez Regedit
3- Recherchez la sous-clé de Registre suivante : « HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup »
4- Modifiez la valeur DWORD « BurFlags » en D2 et cliquez sur OK.
5- Exécutez « net startntfrs » dans une commande.

Le contenu du dossier SYSVOL va être sauvegardé dans un dossier « NtFrs_PreExisting___See_EventLog » à supprimer par la suite.
SYSVOL va ensuite être resynchronisé.

Utilisation de la clé de Registre BurFlags pour réinitialiser des jeux de réplicas FRS