Module 6: Creating and Configuring Group Policy
Transcription
Module 6: Creating and Configuring Group Policy
Module 5 Les nouveautés essentielles de AD DS Vue d’ensemble du module Les stratégies de mots de passe affinés La corbeille Active Directory Leçon 1 : Les stratégies de mots de passe affinés Rappels sur les stratégies de mots de passe En quoi consistent les stratégies de mots de passes affinés ? Définir des stratégies de mots de passe affinés Rappels sur les stratégies de mots de passe Les stratégies de mots de passe sont composées de La longueur L’exigence de complexité L’utilisation d’un cryptage réversible D’une durée minimale D’une durée maximale D’un historique D’un seuil de verrouillage D’une durée d’observation avant verrouillage D’une durée de verrouillage Les stratégies de mots de passe sont appliquées par une stratégie de groupe qui doit être liée au domaine Toute stratégie de mots de passe appliquée localement (dans un domaine), à un site ou à une unité d’organisation est sans effet En quoi consistent les stratégies de mots de passes affinés ? Les mots de passe affinés permettent la création de stratégies différentes au sein d’un même domaine Les stratégies de mots de passe affinés sont des objets de sécurité indépendants (PSO) : ils ne sont pas définis ni appliqués par le biais d’une stratégie de groupe Contrairement aux stratégies de groupe, les stratégies de mots de passe affinés ne s’appliquent pas à un site, un domaine ou à une unité d’organisation mais à un utilisateur ou à un groupe Définir des stratégies de mots de passe affinés Les outils standard : ADSIEDit Utilisateurs et ordinateurs Active Directory (uniquement en modification) Scripts Powershell Les PSOs sont créés dans la partition de domaine/System/Password Settings Container Les paramètres de stratégies sont identiques à ceux de la stratégie de mots de passe standard, avec en plus, notamment et de manière obligatoire : Une valeur de précéance Les utilisateurs et/ou les groupes auxquels le PSO doit s’appliquer Leçon 2 : La corbeille Active Directory Rôle de la corbeille Active Directory Prérequis à l’utilisation de la corbeille Active Directory Mise en œuvre de la corbeille Active Directory Récupération d’objets dans la corbeille Active Directory Rôle de la corbeille Active Directory Les suppressions dans la base d’annuaire peuvent être nombreuses et, proportionnellement, les erreurs fréquentes Avant Windows Server 2008 R2, la récupération d’objets supprimés dans l’annuaire nécessitait Un redémarrage d’un contrôleur de domaine en mode restauration des services d’annuaire Une restauration de la base d’annuaire Une restauration forcée des objets effacés par erreur Une remise en ligne du contrôleur de domaine Une réplication vers les autres contrôleurs de domaine La corbeille permet de limiter les restaurations nécessitant un redémarrage d’un contrôleur de domaine à des situations graves uniquement Prérequis à l’utilisation de la corbeille Active Directory Pour activer la fonctionnalité de corbeille Active Directory, le niveau fonctionnel de la forêt doit être augmenté au niveau Windows Server 2008 R2. Pour cela, vous devez : 1. 2. 3. 4. Étendre le schéma vers Windows Server 2008 R2 Tous les contrôleurs de domaine de la forêt doivent être installés avec Windows Server 2008 R2 Augmenter le niveau fonctionnel de tous les domaines de la forêt au niveau Windows Server 2008 R2 Augmenter le niveau fonctionnel de la forêt au niveau Windows Server 2008 R2 L’activation de la fonctionnalité de corbeille Active Directory ne peut pas être annulée Il n’y a pas de rétroactivité : les objets effacés avant l’activation de la fonctionnalité de corbeille Active Directory, ne pourront pas être récupérés dans la corbeille Active Directory. Une restauration forcée devra être faite pour récupérer ces objets Mise en œuvre de la corbeille Active Directory 1. 2. 3. Ouvrir une session sur le contrôleur de domaine qui héberge le rôle "Maître de dénomination de domaine" (Domain Naming Master) en tant qu’Administrateur de l’entreprise Démarrer PowerShell.exe Charger le module PowerShell Active Directory par la commande : Import-module ActiveDirectory 4. Exécuter le cmdlet pour activer la fonctionnalité de corbeille Active Directory : Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target <Nom de domaine racine> ou, si la session n’a pas été ouverte sur le Maître de dénomination de domaine : Enable-ADOptionalFeature "Recycle Bin Feature" -server ((Get-ADForest -Current LocalComputer).DomainNamingMaster) -Scope ForestOrConfigurationSet -Target (GetADForest -Current LocalComputer) 5. La commande demande une vérification. Entrer “O” pour activer la fonctionnalité de corbeille Active Directory Récupération d’objets dans la corbeille Active Directory Visualiser le contenu de la corbeille Active Directory Get-ADObject -filter 'isdeleted -eq $true -and name -ne "Deleted Objects"' -includeDeletedObjects -property * Pour limiter les informations renvoyées, formater la liste (par exemple le login, le nom affiché et le dernier parent) : Get-ADObject -filter 'isdeleted -eq $true -and name -ne "Deleted Objects"' -includeDeletedObjects -property * | Format-List samAccountName,displayName,lastknownParent Restaurer un objet Get-ADObject -Filter 'samAccountName -eq "<nom de login>"' IncludeDeletedObjects | Restore-ADObject Restaurer tous les objets effacés d’une OU (pas l’OU) : Get-ADObject -filter 'lastKnownParent -eq "<DN de l’OU>"' includeDeletedObjects | Restore-ADObject Restaurer une OU (pas son contenu, voir ci-dessus) : Get-ADObject -filter 'msds-lastKnownRdn -eq "<Nom de l’OU>" -and lastKnownParent -eq "<DN du parent>"' -includeDeletedObjects | RestoreADObject