Les services Active Directory fournissent les fonctionnalités d'une solution d'identités et d'accès (IDA) pour des réseaux d'entreprise.

Le but est de connecter des utilisateurs aux données dont ils ont besoin en toute sécurité.

• IDA : Identity and Access
• AAA : Authentification, Authorization, Accounting
• CIA : Confidentiality, Integrity and Availability

• Services de domaines Active Directory (AD DS)
• Services AD LDS (Active Directory Lightweight Directory Services)
• Services de certficats Active Directory (AD CS)
• Services AD RMS (Active Directory Rights Management Services)
• Services ADFS (Active Directory Federation Services)

Active Directory est une base de données. Chaque enregistrement est un objet et chaque champ est un attribut.

%racinesystème%\NTDS\ntds.dit
Partitions logiques :

• Contexte d'appelation de domaine
• Schéma
• Configuration
• Catalogue Global
• DNS

SYSVOL :

• %racinesystème%\SYSVOL
• script d'ouverture de sessions
• Stratégies

Les services AD DS nécessite la mise en place du service DNS.

• Ouvrir Gestionnaire de serveur.
• Ajouter un rôle.
• Installer Services de domaine Active Directory.
• Exécuter l'Assistant Installation des services de domaine Actve Directory (DCPROMO.EXE).
• Créer un domaine dans une nouvelle forêt.
• Nommer le domaine racine de la forêt (exemple.com)
• Séléctionner le niveau fonctionnelle de votre forêt en fonction de l'OS des serveurs du domaine.

Il existre 2 types de groupes :

• groupe de sécurité
• groupe de distribution

Il y a 4 types d'étendues de groupes :

• locale
• universelle
• globale
• locale de domaine

A-G-DL-P

exemple:

• Créer un groupe :

dsadd group "DN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com"

• Ajouter des membres à un groupe :

dsmod group "Cn=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com
" -addmbr "CN=Mike Danseglio,OU=Employees,OU=User Accounts,DC=contoso,DC=com" "CN=Finance Managers,OU=Role,OU=Groups,DC=contoso,DC=com"
dsmod réussite:Cn=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com

• Lister les membres d'un groupe :

dsget group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com" -members -expand

• Afficher les membres directs d'un groupe :

dsget user "CN=Mike Danseglio,OU=Employees,OU=User Accounts,DC=contoso,DC=com" -memberof

• DSQUERY : exécute une requête en fontion des attributs et renvoie les objets correspondants
• DSGET : renvoie les attributs d'un objet
• DSMOD : modifie les attibuts d'un objet
• DSMOVE : transfère un objet vers un autre conteneur ou OU
• DSADD : créer un objet dans l'annuaire
• DSRM : supprime un objet
• CSVDE : import / export au format CSV
• LDIFDE : import / export au format LDF

Exemples:

• Filtrer sur le nom :

dsquery user -name "*Mitchell"

• Récupérer @mail du user Linda :

dsquery user -name "Linda" | dsget user -email

• Lister les members d'un groupe :

dsquery group -name "Finance Managers" | dsget group -members

• Ajouter des membres à un groupe :

dsquery user -name "*Mitchell" | dsmod group "CN=Special Project,OU=role,OU=Groups,DC=contoso,DC=com" -addmbr

• Obtenir tous les emails des utilisateurs ayant “Vancouver” comme Bureau :

dsquery -limit 500 -desc "*Vancouver*" | dsget user -email

• Modifier l'attribut Office des utlisateurs “Mitchell” :

dsquery user -name "*Mitchell" | dsmod user -office "Vancouver"

• Ajouter un utilisateur dans une OU avec quelques attributs et password :

dsadd user "CN=Amy Strande,OU=Employees,OU=User Accounts,DC=
contoso,DC=com" -fn "Amy" -ln "Strande" -samid "Amy.Strande" -display "Strande,A
my" -desc "Vice President, IT" -pwd Pa$$w0rd

• Activer un compte en donnant un password et forcer le changement à la prochaine session :

dsquery user -name "Amy Strande" | dsmod user -pwd Pa$$w0rd
-mustchpwd yes -disabled no

• Désactiver un compte et le déplacer dans l'OU concernée :

dsquery user -name "Chris Mayo" | dsmove -newparent "OU=Di
bled Accounts,DC=contoso,DC=com"

• Supprimer un utilisateur :

dsrm "CN=Chris Mayo,OU=Disabled Accounts,DC=contoso,DC=com"
Voulez-vous vraiment supprimer CN=Chris Mayo,OU=Disabled Accounts,DC=contoso,DC=
com (O/N) ?O
dsrm réussite:CN=Chris Mayo,OU=Disabled Accounts,DC=contoso,DC=com

• Attribuer un lecteur réseau au nom du user pour les membres d'un groupe :

dsquery user -desc "Marketing Task Force" | dsmod user -hmdi
r "\\FILE01\TaskForceUsers\$username$" -hmdrv U:

• Exporter avec csvde les utilisateurs au nom April* :

csvde -f D:\Labfiles\Lab03c\UsersNamedApril.csv -r "(name=April*)" -l DN,obj
ectClass,sAMAccountName,sn,givenName,userPrincipalName

• Importer des users avec csvde :

csvde -i -f D:\Labfiles\Lab03c\NewUsers.csv -k

• Importer des users avec ldifde :

ldifde -i -f "E:\Labfiles\Lab03c\NewUsers.ldf" -k

• exemple :

dcpromo.exe /unattend /ReplicaOrNewDomain:Replica /ReplicaDomainDNSName:contoso.com /SiteName:Default-First-Site-Name /InstallDNS:Yes /ConfirmGc:Yes /CreateDNSDelegation:No /UserDomain:contoso.com /UserName:contoso.com\Pat.Coleman_Admin /Password:Pa$$w0rd /DatabasePath:"C:\Windows\NTDS" /LogPath:"C:\Windows\NTDS" /SYSVOLPath:"C:\Windows\SYSVOL" /SafeModeAdminPassword:Pa$$w0rd /RebootOnCompletion:Yes

netdom remove %computername% /Domain:contoso.com /UserD:CO
NTOSO\Pat.Coleman_Admin /PasswordD:Pa$$w0rd

• En interface graphique, il suffit d'exécuter un DCPROMO qui proposera la désinstallation :

dcpromo.exe

ntdsutil.exe
activate instance ntds
ifm
create sysvol full %chemin_export%

netdom join %computername% /domain:contoso.com /UserD:CONTO\administrateur /PasswordD:Pa$$w0rd /OU:"OU=servers,DC=contoso,DC=com"

• Lister les services installés:

oclist.exe

• Installer un service (exemple:DNS)

ocsetup DNS-Server-Core-Role

• Maître d'opérations
• Rôles de maître unique
• Jetons d'opération
• Opérations à maître unique flottant (FSMO)

Au niveau de la forêt :

• Maîtres d'opération des noms de domaine
• Schéma

Au niveau du domaine :

• Identificateur relatif (RID)
• Infrastructure
• Emulateur PDC

• lien TechNet
• Commande REPADMIN

• Lister les rôles en ligne de commandes:

netdom query fsmo

• Litser les rôles via l'interface graphique :

Pour les rôles “RID / PDC / Infrastructure” : Dans “Utilisateurs et groupes Active Directory” > click droit > Maitre d'opération
Pour le rôle “Maîtres d'opération des noms de domaine” : Dans Domaines et Approbations Active Directory“ > click droit > Maîtres d'opérations
Pour le rôle “Schéma Active Directory” : créer une MMC avec le schéma > click droit > Maître d'opérations

• Transférer un rôle avec NTDSUTIL :

ntdsutil
roles
connections
connect to server %hostname%
quit
?
transfer %role%
quit 
quit

• Capter définitivement un rôle avec NTDSUTIL :

ntdsutil
roles
connections
connect to server %hostname%
quit
?
seize %role%
quit 
quit

Important : le service Annuaire Active Directory doit être arrêté !

Le démontage se réalise avec les commandes similaires sauf :

unmount 'GUID du cliché'

Pour accéder à l'AD avec ce snapshot, il suffit de “changer de controleur de domaine” dans “Utilisateurs et ordinateurs Active Directory” vers le host port 50000 dans cet exemple.

• Créer un snapshot avec NTDSUTIL
• Le monter
• Démarrer l'instance sur le snapshot
• Exporter l'intégralité des objets avec CSVDE ou LDIFF
• Démonter le snapshot
• Reprendre l'instance par défault
• Injecter tous les objets avec LDIFF ou CSVDE

Pour pouvoir utiliser le schéma Active Directory dans une console enfichable (MMC):

regsvr32.exe schmmgmt.dll

Pour pouvoir donner accès à une commande ou un programme depuis une MMC:

• Executer “mmc”
• Ajouter un composant enfichable > “Dossier”
• Clik droit sur “Dossier” > “Nouvelle vue de la liste des tâches”
• Style de la liste des tâches = Aucune Liste
• Cocher “l'élèment d'arborescence sélectionné”
• Nommer et terminer
• Ensuite s'ouvre l'Assistant Nouvelle Tâche qui permet de choisir commande/programme/script.

• Le script s'appelle en ligne de commande avec 2 variables en arguments .

exemple create_user.bat Machin Truc

REM CREATION RAPIDE UTILISATEUR
REM EXECUTER LE SCRIPT AVEC DROITS ADMINISTRATEUR
REM create_user.bat Prenom Nom

dsadd user "CN=%1 %2,OU=Employees,OU=User Accounts,DC=contoso,DC=com" -fn "%1" -ln "%2" -samid "%1.%2" -upn "%1.%2@contoso.com" -email "%1.%2@contoso.com" -display "%2, %1" -pwd Pa$$w0rd -mustchpwd yes

dn: CN=Bonnie Kearney,OU=Employees,OU=User Accounts,DC=contoso,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bonnie Kearney
sn: Kearney
title: Operations
description: Operations (London)
givenName: Bonnie
displayName: Kearney, Bonnie
company: Contoso, Ltd.
sAMAccountName: bonnie.kearney
userPrincipalName: bonnie.kearney@contoso.com
mail: bonnie.kearney@contoso.com

DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@contoso.com
"CN=Lisa Andrews,OU=Employees,OU=User Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com

• http://www.pierresalvy.fr/tag/active-directory/