Module 6: Creating and Configuring Group Policy

Module 5
Les nouveautés essentielles de AD DS
Vue d’ensemble du module
 Les stratégies de mots de passe affinés
 La corbeille Active Directory
Leçon 1 : Les stratégies de mots de passe
affinés
 Rappels sur les stratégies de mots de passe
 En quoi consistent les stratégies de mots de passes affinés ?
 Définir des stratégies de mots de passe affinés
Rappels sur les stratégies de mots de passe
 Les stratégies de mots de passe sont composées de









La longueur
L’exigence de complexité
L’utilisation d’un cryptage réversible
D’une durée minimale
D’une durée maximale
D’un historique
D’un seuil de verrouillage
D’une durée d’observation avant verrouillage
D’une durée de verrouillage
 Les stratégies de mots de passe sont appliquées par une stratégie de
groupe qui doit être liée au domaine
 Toute stratégie de mots de passe appliquée localement (dans un
domaine), à un site ou à une unité d’organisation est sans effet
En quoi consistent les stratégies de mots
de passes affinés ?
 Les mots de passe affinés permettent la création de stratégies
différentes au sein d’un même domaine
 Les stratégies de mots de passe affinés sont des objets de
sécurité indépendants (PSO) : ils ne sont pas définis ni
appliqués par le biais d’une stratégie de groupe
 Contrairement aux stratégies de groupe, les stratégies de
mots de passe affinés ne s’appliquent pas à un site, un
domaine ou à une unité d’organisation mais à un utilisateur
ou à un groupe
Définir des stratégies de mots de passe
affinés
 Les outils standard :




ADSIEDit
Utilisateurs et ordinateurs Active Directory (uniquement en
modification)
Scripts
Powershell
 Les PSOs sont créés dans la partition de
domaine/System/Password Settings Container
 Les paramètres de stratégies sont identiques à ceux de la
stratégie de mots de passe standard, avec en plus,
notamment et de manière obligatoire :


Une valeur de précéance
Les utilisateurs et/ou les groupes auxquels le PSO doit s’appliquer
Leçon 2 : La corbeille Active Directory




Rôle de la corbeille Active Directory
Prérequis à l’utilisation de la corbeille Active Directory
Mise en œuvre de la corbeille Active Directory
Récupération d’objets dans la corbeille Active Directory
Rôle de la corbeille Active Directory
 Les suppressions dans la base d’annuaire peuvent être
nombreuses et, proportionnellement, les erreurs fréquentes
 Avant Windows Server 2008 R2, la récupération d’objets
supprimés dans l’annuaire nécessitait





Un redémarrage d’un contrôleur de domaine en mode restauration
des services d’annuaire
Une restauration de la base d’annuaire
Une restauration forcée des objets effacés par erreur
Une remise en ligne du contrôleur de domaine
Une réplication vers les autres contrôleurs de domaine
 La corbeille permet de limiter les restaurations nécessitant un
redémarrage d’un contrôleur de domaine à des situations
graves uniquement
Prérequis à l’utilisation de la corbeille
Active Directory
 Pour activer la fonctionnalité de corbeille Active Directory, le niveau
fonctionnel de la forêt doit être augmenté au niveau Windows Server
2008 R2. Pour cela, vous devez :
1.
2.
3.
4.
Étendre le schéma vers Windows Server 2008 R2
Tous les contrôleurs de domaine de la forêt doivent être installés avec
Windows Server 2008 R2
Augmenter le niveau fonctionnel de tous les domaines de la forêt au niveau
Windows Server 2008 R2
Augmenter le niveau fonctionnel de la forêt au niveau Windows Server 2008
R2
 L’activation de la fonctionnalité de corbeille Active Directory ne peut pas
être annulée
 Il n’y a pas de rétroactivité : les objets effacés avant l’activation de la
fonctionnalité de corbeille Active Directory, ne pourront pas être
récupérés dans la corbeille Active Directory. Une restauration forcée devra
être faite pour récupérer ces objets
Mise en œuvre de la corbeille Active
Directory
1.
2.
3.
Ouvrir une session sur le contrôleur de domaine qui héberge le rôle
"Maître de dénomination de domaine" (Domain Naming Master) en tant
qu’Administrateur de l’entreprise
Démarrer PowerShell.exe
Charger le module PowerShell Active Directory par la commande :
Import-module ActiveDirectory
4.
Exécuter le cmdlet pour activer la fonctionnalité de corbeille Active
Directory :
Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet
-Target <Nom de domaine racine>
ou, si la session n’a pas été ouverte sur le Maître de dénomination de
domaine :
Enable-ADOptionalFeature "Recycle Bin Feature" -server ((Get-ADForest -Current
LocalComputer).DomainNamingMaster) -Scope ForestOrConfigurationSet -Target (GetADForest -Current LocalComputer)
5.
La commande demande une vérification. Entrer “O” pour activer la
fonctionnalité de corbeille Active Directory
Récupération d’objets dans la corbeille
Active Directory
 Visualiser le contenu de la corbeille Active Directory
Get-ADObject -filter 'isdeleted -eq $true -and name -ne "Deleted
Objects"' -includeDeletedObjects -property *
 Pour limiter les informations renvoyées, formater la liste (par
exemple le login, le nom affiché et le dernier parent) :
Get-ADObject -filter 'isdeleted -eq $true -and name -ne "Deleted
Objects"' -includeDeletedObjects -property * | Format-List
samAccountName,displayName,lastknownParent
 Restaurer un objet
Get-ADObject -Filter 'samAccountName -eq "<nom de login>"' IncludeDeletedObjects | Restore-ADObject
 Restaurer tous les objets effacés d’une OU (pas l’OU) :
Get-ADObject -filter 'lastKnownParent -eq "<DN de l’OU>"' includeDeletedObjects | Restore-ADObject
 Restaurer une OU (pas son contenu, voir ci-dessus) :
Get-ADObject -filter 'msds-lastKnownRdn -eq "<Nom de l’OU>" -and
lastKnownParent -eq "<DN du parent>"' -includeDeletedObjects | RestoreADObject