Category: tips


[QUIZZ] Qui peut ajouter un ordinateur dans un domaine AD ?

Filed Under: active directory, tips by Yvan Vuillemin — Laisser un commentaire
16 avril 2010

Les administrateurs du domaine bien sûr !

Oui, mais pas seulement.

Les utilisateurs authentifiés, par défaut, ont également la possibilité de réaliser cette action. C’est la stratégie de groupe des contrôleurs de domaine par défaut qui en est la cause.

GPO des contrôleurs de domaine par défaut : Attribution des droits utilisateurs.

Toutefois (et toujours par défaut), le nombre possible de stations ajoutées dans un domaine par des utilisateurs authentifiés est limité à 10. Si vous désirez changer cette valeur, il vous faudra vous pencher sur l’attribut ms-DS-MachineAccountQuota, qui est accessible dans les propriétés du domain en question, grâce à l’utilitaire ADSIEdit, avec lequel vous devez vous connecter à la partition Domaine de la base de données Active Directory (souvent nommée « contexte d’attribution de noms par défaut » en français) :

L'Editeur des attributs de l'objet représentant le domain Active Directory (via ADSIEdit)

Mais comment faire pour connaître le nombre de machine(s) déjà ajouté par un utilisateur précis ? Pour cela, il faut s’intéresser cette fois aux attributs des comptes ordinateurs. MS-DS-CreatorSID indique le SID du compte qui a réalisé la création de l’objet (et, par conséquent, l’ajout de l’ordinateur au domaine).

Attributs d'un compte d'ordinateur dans Active Directory (via la mmc de gestion des objets AD)

Pour obtenir la liste complète de toutes les machines ajoutées par utilisateur, il faudra donc récupérer l’ensemble des attributs mS-DS-CreatorSID de tous les comptes ordinateurs du domaine et effectuer la comparaison avec le SID de l’utilisateur concerné.

On peut également noter que la limite n’est pas de 10 tentatives d’ajout de machines (réussites ou échouées), mais bien de 10 comptes machines (toujours) présents au niveau du domaine.

Tags: , , , , , , , , , ,
Commentaire

[INFO] ADMT + Windows Server 2008 R2

Filed Under: active directory, migrations, powershell, tips, windows server 2008 r2 by Yvan Vuillemin — Laisser un commentaire
16 mars 2010

Active Directory Migration Tool est actuellement disponible en version 3.1 sur le site Microsoft Download.

Cette version ne prend pas en charge les contrôleurs de domaine source Windows Server 2008 R2.

Pour migrer un AD vers un autre et si tous les DCs sont en Windows Server 2008 R2, il suffit simplement de rajouter, uniquement pour la phase de migration, un DC en Windows Server 2008 dans le domaine source à migrer.

Ok ! Mais que faire si j’ai passé tous mes domaines et ma forêt en niveau fonctionnel Windows Server 2008 R2 ? Je suis bloqué. Je ne peux plus rajouter de contrôleur de domaine avec une version d’OS antérieure …

Comme quoi … avant d’élever un niveau fonctionnel … il faut un peu réfléchir.

Mais Microsoft ne laisse pas tomber ses administrateurs systèmes aux clicks un peu trop rapides … Il est désormais possible, sous certaines conditions néanmoins, de retrograder un niveau fonctionnel depuis Windows Server 2008 R2. Et cela grâce à PowerShell, ce qui n’était pas possible auparavant. La méthode est simple :

#Première étape : Rétrograder la forêt Active Directory.
Set-ADForestMode -Identity maforet.com -ForestMode Windows2008Forest

#Puis, rétrograder le domain source à migrer :
Set-ADDomainMode -Identity source.domaine.com -DomainMode Windows2008Domain

Et c’est terminé. On peut ensuite mettre en place son DC en Windows Server 2008 dans le domaine précédemment retrogradé et utiliser ADMT 3.1 pour effectuer la migration.

NB1 : La condition pour que la rétrogradation d’un domaine soit possible est qu’aucune fonctionnalité du niveau fonctionnel Windows Server 2008 R2 n’ait été activée, comme par exemple la corbeille Active Directory.

NB2 : ADMT 3.1 prend en charge les migrations à destination d’un contrôleur de domaine Windows Server 2008 R2. Seule une source 2008 R2 n’est pas supportée par cette version.

Enjoy :)

Tags: , , , , , , ,
Commentaire

OCS 2007 R2 – Windows Server 2008 R2 : Oui ou Non ?

Filed Under: ocs 2007 r2, tips by Yvan Vuillemin — 3 commentaires
26 septembre 2009

OCS 2007 R2

OCS 2007 R2


 
Préparer le schéma et le domaine d’un environnement Windows Server 2008 R2 (RC) pour OCS 2007 R2 ne pose pas de problème.
 
Par contre, l’installation du serveur en lui-même lève une exception. Celle-ci vous informe de la nécessité d’installer des composants du format Windows Media. Pour cela, exécutez la commande ci-dessous :
 
 
 

pkgmgr.exe /ip /m:"C:\Windows\Servicing\Packages\Microsoft-Windows-Media-Format-Package~31bf3856ad364e35~amd64~~6.1.7600.16385.mum"

Et l’installation pourra enfin se poursuivre ;o)
View full article »

Tags: , , , ,
Read More & Comment

Hyper-V : Mouse not captured in Remote Desktop Session

Filed Under: hyper-v, tips by Yvan Vuillemin — 2 commentaires
12 avril 2009
Tips Hyper-V

Tips Hyper-V

Ce billet est un tips pour ceux qui tentent d’accéder à leurs machines virtuelles présentes sur des serveurs Hyper-V au travers une session Remote Desktop.
Il est possible, dans certains cas, que vous n’ayez pas la possibilité d’interagir avec votre souris et la machine virtuelle. Vous obtenez alors un message d’avertissement vous précisant que la souris n’est pas prise en charge avec le protocole Remote Desktop (« Mouse is not captured in Remote Desktop Session »).

View full article »

Tags: , , , , , , , , , , , , , , ,
Read More & Comment

Windows Server 2008 R2 et PowerShell : Restauration d’objets Active Directory

Filed Under: active directory, articles, powershell, tips, windows server 2008 r2 by Yvan Vuillemin — Laisser un commentaire
11 avril 2009
Corbeille Active Directory

Corbeille Active Directory

Dans ce billet, nous allons voir comment procéder à la restauration d’un objet dans Active Directory avec la nouvelle fonction « Recycled Bin » apportée par Windows Server 2008 R2.

Tout d’abord, il est à noter l’avantage principal de cette récupération d’objets qui, contrairement aux restaurations autoritaires que nous pouvons connaître dans les versions précédente d’Active Directory, nous permet de conserver les propriétés de l’objet, ainsi que ses éventuelles appartenances à des groupes.

Pour disposer de cette fonctionnalité sur les environnements Windows Server 2008 R2, il est tout d’abord nécessaire d’activer la fonction qui n’est nativement pas disponible (vous ne pourrez donc pas utiliser ce système de restauration d’objets supprimés sur des éléments qui auraient été supprimés avant l’activation de cette fonction). Puisque Windows Server 2008 R2 apporte également par PowerShell le support de l’administration d’Active Directory en ligne de commande, nous allons voir ici comment réaliser ces manipulations par cette console :

View full article »

Tags: , , , , , , , ,
Read More & Comment
Powered by WordPress | Theme: Motion by 85ideas.