Archive

Articles taggués ‘Rôles’

Identifier les détenteurs des rôles FSMO

active-directory

Depuis la version 2000, Active Directory s’appuit sur les rôles FSMO (Flexible Single Master Operation).
Les 5 rôles FSMO sont les suivants:
Schema Master – un par forêt
Domain naming Master – un par forêt
RID Master – un pour chaque domaine
PDC Emulator – un pour chaque domaine
Infrastructure Master – un pour chaque domaine

Pour déterminer quels serveurs hébergent un ou plusieurs rôles, vous pouvez utiliser les méthodes suivantes:

Par la MMC
Schema Master:
Il faut au préalable enregistrer le composant DLL schmmgmt avec la commande

regsvr32 schmmgmt.dll

Il suffit ensuite d’ouvrir la MMC et d’ajouter le snap-in « Schéma Active Directory »
Rendez-vous dans « Maître d’opérations » pour identifier le détenteur de ce rôle.

Domain naming master:
Ouvrir la MMC « Domaines et Approbations Active Directory »
Rendez-vous dans « Maître d’opérations » pour identifier le détenteur de ce rôle.

RID Master, PDC Emulator et Infrastructure Master:
Ouvrir la MMC « Utilisateurs et Ordinateurs Active Directory »
Rendez-vous dans « Maître d’opérations » pour identifier les détenteurs de ces rôles.

L’avantage de la la MMC est que vous pouvez facilement déplacer les rôles par l’interface graphique.
Exécutez pour cela, cette méthode sur le contrôleur de domaine vers lequel vous voulez transférer les rôles.

Par la commande Ntdsutil
depuis un contôleur de domaine, lancer dans un fenêtre CMD la commande ntdsutil.

C:\>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server localhost
Liaison à localhost...
Connecté à localhost en utilisant les informations d'identification d'un utilisateur connecté localement
server connections: q
fsmo maintenance: select operation target
select operation target: list roles for connected server
Le serveur "localhost" est informé de 5 rôles
Schéma - CN=NTDS Settings,CN=SRV0001,CN=Servers,CN=Paris,CN=Sites,CN=Configuration,DC=domain,DC=com
Domaine - CN=NTDS Settings,CN=SRV0001,CN=Servers,CN=Paris,CN=Sites,CN=Configuration,DC=domain,DC=com
PDC - CN=NTDS Settings,CN=SRV0001,CN=Servers,CN=Paris,CN=Sites,CN=Configuration,DC=domain,DC=com
RID - CN=NTDS Settings,CN=SRV0001,CN=Servers,CN=Paris,CN=Sites,CN=Configuration,DC=domain,DC=com
Infrastructure - CN=NTDS Settings,CN=SRV0001,CN=Servers,CN=Paris,CN=Sites,CN=Configuration,DC=domain,DC=com
select operation target:
Categories: Active Directory Tags: ,

Gestion des rôles d’administration avec RBAC

Exchange 2010 permet l’utilisation de Role Based Access Control (RBAC) pour la gestion des rôles d’administration.
Voici la méthode que j’ai utilisé pour mettre en place des autorisations spécifiques pour des opérateurs de comptes sur les boites aux lettres présentent dans une OU.
L’objectif est de permettre à ces opérateurs de gérer les boites aux lettres des cette OU sans qu’ils puissent modifier les droits d’accès sur ces boites aux lettres sensibles.

La première étape est de créer un rôle de management à partir du rôle « Mail Recipients ».

?View Code POWERSHELL
New-ManagementRole -Name "Gestion des destinataires Finance" -Parent "Mail Recipients"
 
Name                                                        RoleType                                                   
----                                                        --------                                                  
Gestion des destinataires Finance                           MailRecipients

Ce nouveau rôle de management a hérité des entrés de présentent dans le rôle « Mail Recipients ».
Il faut donc que les entrés de rôle que je souhaite retirées.
Pour cette demande, il faut que je retire les entrés « Add-MailboxPermission », « Remove-MailboxPermission », « Add-MailboxFolderPermission » et « Remove-MailboxFolderPermission ».
Je contrôle la présence des ces entrés avec la commande suivante:

?View Code POWERSHELL
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Add-Mailbox*"}
 
Name                           Role                      Parameters                                                    
----                           ----                      ----------                                                   
Add-MailboxFolderPermission    Gestion des destinatai... {AccessRights, Confirm, Debug, DomainController,ErrorActio...
Add-MailboxPermission          Gestion des destinatai... {AccessRights, Confirm, Debug, Deny, DomainController,Erro...
 
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Remove-Mailbox*"}
 
Name                           Role                      Parameters                                                   
----                           ----                      ----------                                                   
Remove-MailboxFolderPermission Gestion des destinatai... {Confirm, Debug, DomainController, ErrorAction,ErrorVariab...
Remove-MailboxPermission       Gestion des destinatai... {AccessRights, Confirm, Debug, Deny, DomainController,Erro...

Je supprime ces entrés avec la commande suivante:

?View Code POWERSHELL
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Add-Mailbox*"} | Remove-ManagementRoleEntry -Confirm:$false
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Remove-Mailbox*"} | Remove-ManagementRoleEntry -Confirm:$false

Je contrôle la suppression:

?View Code POWERSHELL
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Add-Mailbox*"}
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Remove-Mailbox*"}

Je crée un nouveau scope de management qui inclut tous les destinataires de l’OU que je souhaite.

?View Code POWERSHELL
New-ManagementScope -Name "Destinataires Finance" -RecipientRoot "domain.local/Finance" -RecipientRestrictionFilter {(RecipientType -eq "*")}
 
Name                ScopeRestrictionType Exclusive           RecipientRoot       RecipientFilter     ServerFilter      
----                -------------------- ---------           -------------       ---------------     ------------     
Destinataires Fi... RecipientScope       False               domain.local/Dir... RecipientType -l...

Je crée pour finir un groupe de rôle avec les paramètres de scope, de rôle et en y ajoutant un utilisateur.

?View Code POWERSHELL
New-RoleGroup -Name "Support Utilisateurs Finance" -CustomRecipientWriteScope "Destinataires Finance" -Roles "Gestion des destinataires Finance" -Members b.simpson
 
Name                          AssignedRoles                 RoleAssignments               ManagedBy                   
----                          -------------                 ---------------               ---------                   
Support Utilisateurs Fina ... {Gestion des destinataires... {Gestion des destinataire ... {domain.local/Micro...

Je pourrai par la suite ajouter des membres ou des groupes avec la commande:

?View Code POWERSHELL
 Add-RoleGroupMember -Identity "Support Utilisateurs Finance" -Member gg_adminsfin
Categories: Exchange 2010 Tags: , ,

Récupérer les rôles FSMO.

Le contrôleur de domaine qui hébergeait les rôles FSMO à cramé.
Vous ne souhaitez ou ne pouvez le remettre en ligne.
Voici l’article Microsoft pour utiliser Ntdsutil.exe afin prendre ou transférer des rôles FSMO vers un autre contrôleur de domaine.

Utilisation de Ntdsutil.exe pour prendre ou transférer des rôles FSMO vers un contrôleur de domaine

Hommage au domaine CALYPSO que j’ai créé il y a 10ans et qui va bientôt s’éteindre.