Gestion d'Active Directory avec les outils RSAT

Depuis une station Windows, il est possible de gérer l'Active Directory du module EOLE à l'aide des outils d’administration à distance fournis par Microsoft, les RATS[1].

Installation

  • Cliquer dur Démarrer, rechercher "fonctionnalités facultatives" et cliquer sur Ouvrir :
  • Cliquer sur "Ajouter une fonctionnalité" :
  • Sélectionner les éléments suivants, et cliquer sur "Installer" :
  • Lorsque l'installation est terminée, un résumé s'affiche :

Exécution et paramétrage des outils

Les RSAT s'utilisent, soit séparément en les appelant depuis Panneau de configurationOutils d'administration, soit en les regroupant dans une console MMC[2] personnalisée. Pour exécuter la commande mmc faire un clic droit sur le menu Windows et taper la commande à exécuter.

Exécuter une commande
Exécuter une commande

Une fois la console MMC lancée, sélectionner les principaux composants :

  • DNS ;

  • Gestion des stratégies de groupes ;

  • Sites et services Active Directory ;

  • Utilisateurs et ordinateurs Active Directory.

Ajouter des composants à la console
Ajouter des composants à la console
Choisir des composants à ajouter à la console
Choisir des composants à ajouter à la console
La console une fois les composants ajoutés
La console une fois les composants ajoutés

Une fois les composants ajoutés dans la console, lorsqu'on clique pour la première fois sur DNS, il faut indiquer sur quel serveur on souhaite administrer le DNS.

Indiquer sur quel serveur le DNS fonctionne
Indiquer sur quel serveur le DNS fonctionne

Enfin, on peut activer les fonctionnalités avancées de la console pour avoir accès à davantage de détails et de paramétrages possibles.

Accéder aux fonctionnalités avancées de la console
Accéder aux fonctionnalités avancées de la console

On peut maintenant administrer le serveur Seth comme n'importe quel serveur Active Directory, paramétrer des GPO par exemple :

Administrer le serveur Seth
Administrer le serveur Seth

Édition des propriétés d'un utilisateur

Dans la console, aller dans : Utilisateurs et ordinateurs Active Directory<nom_du_domaine>Users.

Faire un clic droit sur l'utilisateur et cliquer sur Propriétés.

Création d'une unité organisationnelle (OU)

Nouvelle unité d'organisation
Nouvelle unité d'organisation
Nom de la nouvelle organisation
Nom de la nouvelle organisation

Ajout d'un utilisateur à l'unité organisationnelle

Créer un nouvel utilisateur dans la colonne Actions.

Nouvel utilisateur
Nouvel utilisateur

Donner un nom au nouvel utilisateur.

Nom du nouvel utilisateur
Nom du nouvel utilisateur

Le nouvel utilisateur apparaît dans la liste.

Liste des utilisateurs
Liste des utilisateurs

Création et affectation de la GPO

Dans Gestion des stratégies de groupes, développer l'arborescence jusqu'à l'unité organisationnelle précédemment créée.

Lister les actions possibles
Lister les actions possibles

Créer un nouvel objet GPO.

Créer un objet GPO
Créer un objet GPO

Donner un nom au nouvel objet GPO.

Saisir le nom du nouvel objet GPO
Saisir le nom du nouvel objet GPO

Modifier l'objet GPO nouvellement créé.

Modifier l'objet GPO
Modifier l'objet GPO

Sélectionner Supprimer l'horloge de la zone de notification système.

Gestion de stratégie de groupe
Gestion de stratégie de groupe

L'heure n'apparaît plus dans la barre des tâches.

Application de l'objet GPO
Application de l'objet GPO

Débogage des GPO sous Windows

Lister les GPO appliquées

Pour commencer, il est recommandé d'actualiser les paramètres de stratégies de groupes du client, dans l'invite de commandes, saisir :

gpupdate

La commande suivante permet d'obtenir la liste des GPO appliqués pour l'utilisateur connecté :

gpresult /SCOPE USER /V

Pour obtenir les GPO "machine", la commande (à exécuter en tant qu'administrateur) est :

gpresult /SCOPE COMPUTER /V

Exécution de code PowerShell

Si le GPO nécessite des traitements complexes, il est probable qu'il exécutera un programme PowerShell[3].

L'application Windows PowerShell ISE (exécutée en tant qu'administrateur) permet d'ouvrir et d’exécuter simplement des fichiers .ps1[4].