Administration avancée du contrôleur de domaine Active Directory

Modules en mode conteneur

Sur les modules Scribe et AmonEcole, le contrôleur de domaine est la machine conteneur nommée addc.

Les commandes doivent être exécutées dans ce conteneur.

Pour entrer dans le conteneur addc sur un serveur Scribe ou AmonEcole, exécuter la commande suivante :

ssh addc

Sur le module Seth, le contrôleur de domaine est installé sur le maître.

Interroger Winbind

Les commandes Winbind[1] permettent d'interroger l'annuaire Active Directory que le serveur soit contrôleur de domaine ou simplement membre d'un domaine existant.

  • Lister les utilisateurs du domaine

    # wbinfo -u

  • Lister les groupes

    # wbinfo -g

  • Voir les informations d'un utilisateur

    # wbinfo -i admin

  • Obtenir le SID d'un utilisateur

    # wbinfo --name-to-sid=admin

  • Vérifier la validé de la clé partagée

    # wbinfo -t

Et plein d'autres fonctionnalités...

# wbinfo --help

et

# man wbinfo

Gérer des rôles Active Directory

Les rôles Active Directory ou types de Maître d'opérations[2] (ex : FSMO[2]) sont des rôles nécessitant un maître unique pour la réplication entre contrôleurs de domaine.

La commande samba-tool fsmo show permet de connaître la façon dont sont répartis les rôles entre les différents contrôleurs de domaine.

1
root@dc1:~# samba-tool fsmo show
2
SchemaMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
3
InfrastructureMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
4
RidAllocationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
5
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
6
DomainNamingMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
7
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr
8
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ac-test,DC=fr

La commande samba-tool fsmo est ses options permet de gérer les rôles Active Directory.

Vérification de l'état du serveur

Vérifier/réinitialiser les droits appliqués sur le répertoire SYSVOL

Certains dysfonctionnements sont causés par des problèmes de droits d'accès au répertoire SYSVOL.

Les commandes suivantes permettent pour l'une de vérifier et pour l'autre de réinitialiser les droits particuliers sur ce répertoire.

  • # samba-tool ntacl sysvolcheck
  • # samba-tool ntacl sysvolreset

Surveiller l'état de la réplication

Dans le cas de la mise en place d'une architecture multi-DC[3], la commande suivante permet de vérifier l'état de la réplication Active Directory :

# samba-tool drs showrepl

La commande samba-tool drs et ses options permet de gérer le service de réplication Active Directory.