Étiquette : Windows 2008

[Active Directory] Déployer des imprimantes par GPO

Nous supposons un serveur d’impression en 2008 R2 avec des clients Seven.

Création de la GPO :

Se rendre dans « Configuration utilisateur » -> « Préférences » -> « Paramètres du Panneau de configuration » -> « Imprimantes » :

Effectuer un clic droit « Nouveau » -> « Imprimante partagée »

Choisir mettre à jour (permet d’installer l’imprimante quand elle n’est pas présente et modifie sa configuration si un changement au niveau du serveur d’impression est effectuée).

Cocher le ciblage au niveau de l’élément puis dans l’éditeur de cible, cliquer sur « Nouvel élément » puis choisir la condition de déploiement (dans mon cas, l’appartenance de l’utilisateur à un groupe global). Il est possible de spécifier plusieurs conditions avec les opérateurs logiques ET et OU.

L’imprimante est maintenant configurée. Il ne reste plus qu’à faire de même pour les autres imprimantes.

Le ciblage le plus efficace dépend bien entendu de votre infrastructure. Avec le nombre impressionnant de critères de ciblage disponible, je pense que tout est facilement réalisable.

[Active Directory] Rôles FSMO

Dans un environnement de domaine Windows Server, les contrôleurs de domaine contiennent une réplique de la base de données Active Directory. Ce système de réplication est dit multi maitre car chaque contrôleur de domaine a la possibilité de modifier cette base de données et de transmettre ces modifications aux autres contrôleurs de domaine afin que tous possèdent la même base de données Active Directory.

Bien que Microsoft ait implémenté dans ses systèmes un certain nombre de règles pour éviter les conflits de réplication dans Active Directory, certaines mises à jour sont trop importantes pour être résolues avec ces règles, comme par exemple la modification du schéma Active Directory. C’est pourquoi Microsoft a créé depuis Windows 2000 Server les Flexible Single Master Operation (FSMO). Ce sont en fait des rôles attribués à différent serveurs de manière à ce que seuls certains serveurs permettent de modifier des aspects internes à Active Directory.

Il existe donc depuis Windows 2000 cinq rôles FSMO. Ces 5 rôles sont nécessaires au bon fonctionnement des différents domaines et forêts de l’infrastructure. Chacun de ces rôles ne peut être hébergé que par des contrôleurs de domaine et non par des serveurs membres. Ils ont également des étendues différentes et des domaines de réplication différents.

On distingue parmi les 5 rôles:

  • Maître d’attribution de noms de domaines
  • Contrôleur de schéma
  • Maitre RID
  • Maitre d’infrastructure
  • Emulateur PDC

Le Maitre d’attribution de noms de domaines et le contrôleur de schéma ont une portée au niveau de la forêt, pour laquelle ils sont uniques.

Le maitre RID, le maitre d’infrastructure et l’émulateur PDC ont une portée au niveau du domaine, pour lequel ils sont uniques.

Nous allons présenter plus en détail les différents rôles ainsi que l’impact de leur indisponibilité.

(suite…)

[Active Directory] Supprimer un contrôleur de domaine HS

Lorsqu’un DC devient HS, il est toujours présent dans l’architecture Active Directory tant qu’il n’a pas été « dépromu » ou supprimé.

Il faut alors utiliser NTDSUTIL pour le supprimer :

C:\Documents and Settings\Administrateur>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server MonDCQuiFonctionne
Liaison à MonDCQuiFonctionne...
Connecté à MonDCQuiFonctionne en utilisant les informations d'identification d'un
utilisateur connecté localement.
server connections: quit
metadata cleanup: select operation target
select operation target: list domains
1 domaine(s) trouvé(s)
0 - DC=em-corporation,DC=fr
select operation target: select domain 0
Aucun site actuellement
Domaine - DC=em-corporation,DC=fr
Aucun serveur actuellement
Pas de contexte de nommage en cours
select operation target: list sites
1 site(s) trouvé(s)
0 - CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr
select
operation target: select site 0
Site - CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr
Domaine - DC=em-corporation,DC=fr
Aucun serveur actuellement
Pas de contexte de nommage en cours
select operation target: list servers in site
3 serveur(s) trouvé(s)
0 - CN=MonDCQuiFonctionne,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr
1 - CN=Un2emeDCFonctionnel,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr
2 - CN=MonDC-HS,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr
select operation target: select server 2
Site - CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr
Domaine - DC=em-corporation,DC=fr
Serveur - CN=MonDC-HS,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr
Objet DSA - CN=NTDS Settings,CN=MonDC-HS,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr
Nom d'hôte DNS - MonDC-HS.em-corporation.fr
Objet Ordinateur - CN=MonDC-HS,OU=Domain Controllers,DC=em-corporation,DC=fr
Pas de contexte de nommage en cours
select operation target: quit
metadata cleanup: remove selected server
Transfert ou prise des rôles FSMO depuis le serveur sélectionné.
Suppression des métadonnées FRS du serveur sélectionné
Recherche des membres FRS sous "CN=MonDC-HS,OU=Domain Controllers,DC=em-corporation,DC=fr".
Suppression du membre FRS "CN=MonDC-HS,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=em-corporation,DC=fr".
Suppression de l'arborescence sous "CN=MonDC-HS,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=em-corporation,DC=fr".
Suppression de l'arborescence sous "CN=MonDC-HS,OU=Domain Controllers,DC=em-corporation,DC=fr".
La tentative de suppression des paramètres FRS sur CN=MonDC-HS,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr a échoué.
Raison : "Élément introuvable.".
Le nettoyage des métadonnées continue.
"CN=MonDC-HS,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr" supprimé du serveur "MonDCQuiFonctionne"
metadata cleanup: quit
ntdsutil: quit
Déconnexion de MonDCQuiFonctionne...

Une fois ceci fait il ne reste plus qu’à supprimer le serveur au niveau de la console « Sites et services Active Directory » et de supprimer ses enregistrements DNS.

(suite…)

[Active Directory] Saisir des rôles FSMO

Lorsqu’un DC hébergeant des rôles FSMO devient HS, la seule solution concernant les rôles FSMO est de les saisir (seize en anglais) car le transfert est impossible.

Il faut alors utiliser NTDSUTIL pour se connecter au serveur qui va recevoir les rôles FSMO (avec le compte administrateur, nécessaire pour récupérer le rôle schéma master) :

C:\Documents and Settings\Administrateur>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server MonDCQuiFonctionne
Liaison à MonDCQuiFonctionne...
Connecté à MonDCQuiFonctionne en utilisant les informations d'identification d'un
utilisateur connecté localement.
server connections: q

Une fois en « fsmo maintenance » il suffit de saisir les rôles un par un :

fsmo maintenance: Seize infrastructure master
Tentative de transfert sûr de infrastructure FSMO avant la cessation.
Erreur ldap_modify_sW 0x34(52 (Non disponible).
Le message d'erreur étendue Ldap est 000020AF: SvcErr: DSID-03210333, problem 5002 (UNAVAILABLE), data 1722
L'erreur Win32 renvoyée est 0x20af(L'opération FSMO demandée a échoué. Le propriétaire FMSO actuel n'a pas pu être contacté.)
)
Selon le code d'erreur, ceci peut indiquer une erreur Ldap, de connexion ou de transfert de rôle.
Le transfert de infrastructure FSMO a échoué, cessation en cours...
Le serveur « MonDCQuiFonctionne » est informé de 5 rôles
Schéma - CN=NTDS Settings,CN=MonDC-HS,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr
Maître d'attribution de noms - CN=NTDS Settings,CN=MonDC-HS,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr
PDC - CN=NTDS Settings,CN=MonDC-HS,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr
RID - CN=NTDS Settings,CN=MonDC-HS,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr
Infrastructure - CN=NTDS Settings,CN=MonDCQuiFonctionne,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=em-corporation,DC=fr

fsmo maintenance: Seize naming master
[...]

fsmo maintenance: Seize PDC
[...]

fsmo maintenance: Seize RID master
[...]

fsmo maintenance: Seize schema master
[...]

Une fois les cinq rôles récupérer il suffit de quitter :

fsmo maintenance: quit

Le serveur spécifié lors de la connexion dispose maintenant des rôles FSMO saisis.

[Active Directory] Ajout de stations de travail au domaine

Par défaut tous les utilisateurs du domaine (groupe utilisateurs authentifiés) ont la possibilité d’intégrer 10 ordinateurs  au domaine.

Pour mettre en place une politique plus restrictive il existe deux méthodes :

Restreindre le droit d’ajout

La configuration s’effectue sur la GPO de base des DC (Default Domain Controllers Policy) dans le menu :

Configuration ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Attribution des droits utilisateurs -> Ajouter des stations de travail au domaine

Il suffit alors de choisir les groupes qui auront le droit d’intégrer des stations de travail au domaine:

Limiter le nombre d’ajouts

La configuration s’effectue via la console ADSI, dans les propriétés de la racine (via un clic droit) :

Il suffit alors de modifier la valeur de l’attribut « ms-DS-MachineAccountQuota » (le mettre à 0 si l’on ne souhaite pas que les utilisateurs puisse intégrer des postes de travail).

[Active Directory] Version du schéma

La clé relative à la version du schéma AD se trouve dans :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

La version se trouve à la valeur « Schema Version » :

Les valeurs possibles du schéma sont :

  • 13=Windows 2000
  • 30=Windows Server 2003
  • 31=Windows Server 2003 R2
  • 44=Windows Server 2008
  • 47=Windows Server 2008 R2