Il m’est arrvié de devoir renomer les entrées x500 de l’ensemble d’un DC ayant migré.
Afin de m’aider, j’ai utilisé ActiveDirector.
AD: Windows Server 2003 R2, Mise a jour du Schema
-
Version du Schéma:
La version R2 passe le Schéma de la Version 9 Révision 30 à la Version 9 Révision 31.
Une petite vérification avec ADSI Edit pour vérifier la version de votre schéma:
Si la valeur de la Clé “Proprieties” de “CN=Schema,CN=Configuration,DC=forest_root_domain” est à 31, votre serveur est en R2.
-
Modification du Schéma:
Le R2 apporte 3 modifications au Schéma lié à 3 services:
- DFS Replication Service: Ajoute une classe contenant les “Replication groups” et une nouvelle classe d’objet dans la classe “Computer” permettant de supporter la réplication du DFS.
- Identity Management for Unix: Ajoute des nouvelles classe d’objet permettant de représenter de nouveaux éléments dans la map du Network Information Service (NIS)
- The Deployed Printers functionality of the Print Management console: Ajoute une nouvelle Classe d’objet contenant les informations des imprimantes pouvant être déployé par l’intermédiaire de GPO
-
Mise à jour du Schéma:
La mise à jour du schéma vers la Version 9 Révision 31 peut se faire
manuellement à l’aide de la commande adprep.
Les mises à jour effectuées sont définies dans le fichier Sch31.ldf présent
dans le répertoire \cmpnents\R2\adprep du second CD d’installation de Windows Server 2003 R2.
La mise à jour du schéma vers la version 31 n’est pas obligatoire sur tous
les controleurs de domaine existant. DC en NT 4, 2000, 2003 et 2003 R2
peuvent cohabituer sans aucun problème.
Le DFS Replication Service et la Print Management Console peuvent être installé
sur n’importe quel Windows Server 2003 R2.
Par contre, l’Identity Management for Unix doit impérativement être installé
sur un controlleur domaine Windows Server 2003 R2
Access-Based Enumeration (ABE): Filtrer les partages en fonction des droits des utilisateurs
Petit outils Microsoft méconnu mais très pratique, ABE permet de filtrer la liste des dossiers d’un partage en fonction des droits des utilisateurs.
En résumé, l’utilisateur ne voit QUE ce dont il a le droit.
Source:
Cet outils est présent sur le 2ème CD de Windows Server 2003 R2 et sur le site de Microsoft
Pré-requis:
Windows Server 2003 Sp1 ou R2.
Installation:
L’installation est très simple et déploie 3 éléments:
- le composant ABE (abeui.dll)
- le commande ABEcmd.exe
- le fichier d’aide ABEWhitePaper.doc, (copié par défaut dans : Program Files\Microsoft Corporation\Windows Server 2003 Access-based Enumeration)
Le Wizard propose de configurer tous les partages présent sur le serveur ou la configuration manuelle.
Configuration:
L’installation de l’outils ajoute un onglet dans les propriétés des dossiers partagés et toutes la configuration se passe par là.
Remarque:
ABE ne fonctionne pas en local
ABE est activé en natif sur Vista et Windows Server 2008
Il est évident que ce processus demande des resources système et qu’il ne doit pas être négligé dans de grosses structures.
Outils à mon sens indispensable pour améliorer la sécurité de vos données évitant aux petits curieux de fouiller les interminables arborescences de dossiers à la recherche de fichiers accessibles.
Active Director: Edition massive avec import CVS
Active Director est un outils Open-Source très puissant permettant en autre d’effectuer des modification dans l’AD à partir d’une liste préalablement converti en CVS.
En résumé, si vous avez une liste de compte a désactivé, il suffit de la convertir en cvs, de l’importer dans Active Director et d’effectuer un matching entre votre liste importe et les objets AD correspondant.
Une fois la liaison effectué, les modifications possibles des objects sont énormes, de la désactivation du compte à l’ajout d’une adresse, tout devient très simple.
Source: http://acdir.sourceforge.net
1) Importation de donnée à partir de fichier CVS:
“Processing-Unit” – “New DataTable”
Une nouvelle fenêtre s’ouvre “Data Table”
“DataTable” – “Import Data” – “CSV Handler”
Vérification de l’import CVS, la colonne “AD Object” est vide, aucune association (matching) avec un objet AD n’a été encore faite.
Matching AD:
“Edit” – “Associate Table” – “Associate with Search-Result”
Ajouter un filtre:
Clic droit sur “(AND) Group” – “Add Filter”
Le champs “Name” corresnpond au champs de l’annuaire AD auquel la donnée doit correspondre (matché).
Le champs “Value” propose la liste des colonnes de la “Data Table”.
Dans notre exemple, “name” correspond au champs “nom prénom” dans l’annuaire AD
et “<Name>” à la colonne Name du fichier CVS.
Vérification du matching:
Si un matching a été trouvé dans l’annuaire, la colonne “AD Object” contient l’entrée LDAP correspondante.
2) Ajouter une colone avec un attribue de l’objet:
Une fois le matching réalisé, il est possible d’insérer des colonnes avec les champs que vous souhaitez (numéro de téléphone, adresse etc)
“Edit” – “Columns” – “Add attributes of associated object”
La liste déroulante propose des champs de l’annuaire AD
Dans notre exemple, le champs “telephoneNumber” correspondant au numéro de téléphone.
Le résultat:
3) Requêtes pour édition massive:
“Tasks” – “Apply ChangeRequests” – “Request TemplateSet”
La fenêtre “Request Template Set” s’ouvre :
Cliquer sur la page blanche pour créer un nouveau Template:
La fenêtre “Request Template” s’ouvre et propose les modifications possibles:
“Change Type” liste les modification possible allant du changement d’attribue à l’ajout dans un groupe.
“Ressource Identifier or Property Name” indique la ressource ou l’attribue de l’annuaire AD impacté.
Dans notre exemple: “physicalDeliveryOfficeName” correspondant au champs “Office”.
“Change Parameter” permet d’indiquer la valeur qui sera donné à la ressource ou l’attribue indiqué.
Une fois que le template finalisé, un “ProcessQueue” est créé.
Il ne reste plus qu’a l’exécuter ou le sauvegarder pour temporiser l’exécution.
Une fois le Processus exécuté, le fenêtre “ProcessQueue” donne un aperçu du bonne exécution du script.
Une petite vérification du bon déroulement du changement en ajoutant l’attribut “pysicalDeliveryOfficeName” (vu dans le chapitre 2)
Dans l’interface dsa.msc:
4) Attribue de l’annuaire AD
Ce qui peut paraitre compliqué, c’est de trouvé quel champs vous voulez mettre à jour.
On voit dans notre exemple que “Office” correspond à “pysicalDeliveryOfficeName”, pas forcément évident de lié les 2 au première abord.
Les attribues sont listés sur le MSDN: http://msdn2.microsoft.com/en-us/library/ms675090.aspx
Active Director contient un editeur ADSI permettant de connaitre le nom des champs AD et leur valeur.
Dans l’interface de gestion des objets AD, un bouton en bas à droite permet d’avoir accès auxdonnées AD pures.
Dans notre exemple, le champs “giveName” correspond au prénom de l’utilisateur.
AD: Restaurer un objet efface
Un petit moment de faiblesse et 2 clics plus tard, un objet (OU, Utilisateurs …) disparait de l’AD.
Forcement, la réplication vers les autres DC est systématique.
Comment réparer votre boulette ?
Il est évident que le pré-requis est d’avoir un backup du “System State” récent contenant l’objet que vous avez effacé.
- Commencer par restaurer le backup sur votre DC
- Redemarrer votre serveur en mode “Directory Service Restore Mode” (F8 au démarrage du PC avant le lancement de Windows)
- Lancer ” Ntdsutil “
- Taper ” authoritative restore “
Le but est d’incrémenter la version de l’objet effacé afin qu’il soit de nouveau répliquer.
Il est indispensable de connaitre le FQDN de l’objet (ex: “cn=Bob,ou=Users,dc=domain, dc=com”)
- Taper : restore object suivit du FQDN
L’utilisateur Bob : restore object “cn=Bob,ou=Users,dc=domain, dc=com”
L’OU Users: restore subtree “ou=Users,dc=domain, dc=com”
La version de l’objet est incrémenté de 100000 afin qu’il soit assuré d’être la dernière version présente dans l’AD.
Un fichier de log est généré avec les éléments restaurés et leur SID.
Un redémarrage du serveur et lors de la prochaine synchro avec les autres DC, l’objet sera répliqué.
AD: Optimiser la base Active Directory
Néttoyer les SID en doublons:
- Exécuter NTDSutil.exe
- puis la commande Security Account Management
- Se connecter au contrôleur DC assurant le stockage de la base SAM connect to server [nom_serveur]
- Exécuter la commande Check Duplicate Sid
Un fichier de log est généré : dupsid.log
Ensuite, la commande Cleanup Duplicate SID permet de supprimer les entrées listées.
Défragmenter la base de données Active Direcotry (ntds.dit):
- Redémarrez le contrôleur de domaine. Lorsque votre Windows 2003 serveurs démarre, appuyez sur F8.
- Choisissez Mode restauration Active Directory (contrôleur de dom. Windows 2003).
- Se connecter en administrateur local du serveur
- Lancer Ntdsutil.exe
- Entrer la commande Files puis infos.
Dès lors des informations sur la base de données Active Directory doivent être affichées.
Ensuite pour optimiser la base :
compact to votrelecteur:\votre_répertoire. Dans notre exemple nous allons mettre la nouvelle base Active Directory dans c:\ad
Une fois le processus terminé, Il reste plus qu’à récupérer la nouvelle base dans le répertoire que vous avez indiqué (dans notre exemple c:\ad) et à le copier à l’emplacement de l’actuel base (par défaut c:\winnt\NTDS tds.dit) et à supprimer les logs présente dans le dossier NTDS.
Redémarrer votre serveur.
Votre base de données est à présent plus légère et mieux organisée.