Huu-Duc LE's Blog

Gestion des GPO avec PowerShell

HuuDucLe — Mon, 09 Nov 2009 17:16:17 GMT

Bonjour,

L’article suivant permet de créer des GPO sous 2008 et 2008 R2 avec PowerShell.

Pour faire cela, on appelle l’objet COM GPMgmt.GPM

$gpobj = New-Object -ComObject GPMgmt.GPM

Afin de s’assurer que l’objet COM est bien appelé, on affiche les détails de la variable $gpobj :

$gpobj | gm

Ces méthodes sont décrites dans ce lien :

http://msdn.microsoft.com/en-us/library/aa814177(VS.85).aspx

On appelle ensuite la méthode constants() et on précise le domaine dans lequel on va créer la GPO.

$gpmConstants = $gpobj.GetConstants()

HRESULT GetDomain(

[in] BSTR bstrDomain,

[in] BSTR bstrDomainController,

[in] long lDCFlags,

[out] IGPMDomain **plIGPMDomain);

Huble.com : domain name

UseAnyDC est le flag de l’argument.

Voir http://msdn.microsoft.com/en-us/library/aa814309(VS.85).aspx

IGPM::GetDomain Method

Creates and returns a GPMDomain object that corresponds to the specified domain.

$gpmDomain =$gpobj.GetDomain(“huble.com”, “”, $gpmConstants.UseAnyDC)

Maintenant, si on veut voir les méthodes de GetDomain(), on utilise gm (pour get-member):

$gpmDomain | gm

La méthode CreateGpo() permet de créer un GPO dans huble.com

$gpmNewGpo = $gpmDomain.CreateGPO()

On donne un nom à cette nouvelle GPO.

$gpmNewGpo.DisplayName = “This GPO is created by PowerShell"

$gpmNewGpo.Description = “This is a description of the GPO created by PowerShell"

Pour vérifier que c’est bien créé, on utilise la MMC “Group Policy Management”

. Création d’un lien entre cette nouvelle GPO avec une OU existante, par exemple avec l’OU1 :

Pour cela, on va appeler les méthodes GetSOM() et CreateGPOLink() :

$som = $gpmdomain.GetSOM(“OU=OU1,DC=huble,dc=com”)

$som.CreateGPOLink(1,$gpmNewGPO)

Et enfin, utiliser GPMC pour vérifier la résultat de la création.

Comment voir quels membres appartenant a quels groupes de replication dans DFSR ?

HuuDucLe — Tue, 13 Oct 2009 22:05:16 GMT

Bonjour,

Avec DFSR, vous pouvez avoir plusieurs machines membres appartenant à un groupe de réplication DFSR, ou bien une machine membre peut appartenir à plusieurs groupes de réplication (RG) DFSR.

Pour pouvoir s’y repérer, vous avez la commande DFSRADMIN. Voici quelques exemples de commande dfsradmin :

Exemple 1 : voir les répertoires répliqués par DFSR comprenant la taille, les GUID des RG (replication group) et les GUID des RF (replication folder)

dfsradmin membership list /computer:huble\2008R2 /Attr:StagingPath,StagingSize,MembershipGuid,RgGuid,RfGuid

StagingPath	StagingSize	MembershipGuid	RgGuid	RfGuid
c:\temp\dfsrfolder\DfsrPrivate\Staging	4096	45cb94bc-2a3b-4c38-8f2e-3ccff8036bd0	0e67ce5c-935e-46de-8356-1c09d55fb376	2f9d6caf-192a-4007-ba14-d26d8621dc22
c:\temp\folderdfsr2\DfsrPrivate\Staging	4096	2a431d63-cebe-4a6c-9833-31cf7674b2ea	0e67ce5c-935e-46de-8356-1c09d55fb376	833e852a-64f4-432c-a0d4-d70a7cfbb2ee
C:\Windows\SYSVOL\staging areas\huble.com	4096	0232f4ad-acd6-4c0a-a52d-1fc21539b1e5	823c14ae-cf3a-46a2-a51f-33851fc4959f	44c08a67-51e4-4d98-a7cf-b562588be1a3

Exemple 2 : Pour voir les répertoires membres d’un groupe de réplication nommé ‘ReplicationGroup1’, voici la commande :

dfsradmin membership list /rgname:replicationgroup1

On peut voir que pour le répertoire ‘dfsrfolder2’, les membres qui participent à sa réplication sont 2008R2 et 2008R2-1

Pour voir si les répertoires sont en Read-Only ou non dans DFSR

Exemple 3 : avec l’option RO comme attribut dans la commande DFSRADMIN

dfsradmin membership list /rgname:replicationgroup1 /Attr:MemName,RfName,IsPrimary,RO

On peut voir que les répertoires dfsrfolder et dfsrfolder2 sur 2008R2-1 sont en READ ONLY.

MemName	RfName	IsPrimary	RO
2008R2	dfsrfolder	No	No
2008R2	folderdfsr2	No	No
2008R2-1	dfsrfolder	No	-
2008R2-1	folderdfsr2	No	-

Comment activer l’option “recycle bin” avec PowerShell dans 2008 R2

HuuDucLe — Mon, 12 Oct 2009 11:43:40 GMT

Comme vous le savez sans doute, l’option “recycle bin” de 2008 R2 permet de récupérer les objets supprimés de l’Active Directory, sans être obligé d’utiliser un jeu de sauvegarde.

Cet article va vous donner les détails pour activer cette fonctionnalité via PowerShell.

Tout d’abord on importe le nouveau module disponible dans PowerShell de 2008 R2. avec la commande suivante :

import-module activedirectory

Vérifier si le module en question est bien importé avec : get-module

Vérifier si le feature de l’AD est actif avec : get-ADOptionFeature –filter {name –like “*”}

Maintenant on active le “recycle bin” avec la commande :

enable-ADOptionFeature “recycle bin feature” –scope forest -target “huble.com”

Choisir Y pour confirmer l’activation du “recycle bin”.

Vérifier s’il y a des objets supprimés qui sont présents dans la corbeille (recycle bin) :

get-ADObject –searchBase “CN=deleted objects,dc=huble,dc=com” –ldapfilter “(objectclass=*)” –IncludeDeletedObjects

Utiliser l’outil DSA.msc pour supprimer un objet, dans cet exemple on va supprimer le groupe “AZS” pour tenter de la récupérer :

Vérifier ensuite si le groupe AZS est désormais dans la corbeille avec la commande suivante :

get-ADObject –searchBase “CN=deleted objects,dc=huble,dc=com” –ldapfilter “(objectclass=*)” –IncludeDeletedObjects

On utilise ensuite cette commande pour voir les détails du groupe AZS, avec l’option FORMAT-LIST :

get-ADObject –searchBase “CN=deleted objects,dc=huble,dc=com” –ldapfilter “(objectclass=*)” –IncludeDeletedObjects | format-list

l’option –searchbase précise l’endroit où l’on va faire des recherches

l’option –IncludeDeletedObjects précise que la recherche comprend les objets supprimés, sinon la recherche ne va pas inclure les objets supprimés

Dans l’écran suivant, on voit que l’objet supprimé est dans “CN=Deleted Objects”

Le CN de l’objet AZS comprend la chaine de caractères 0ADEL signifiant que l’objet est virtuellement supprimé de l’AD.

Maintenant, on va restaurer l’objet AZS qu’on a supprimé avec PowerShell

restore-ADobject –identity GUID_of_Object

Vérifier que AZS est bien restauré avec la commande ci-dessous

Les nouveautés Kerberos dans Windows 2008 R2 et Windows 7

HuuDucLe — Mon, 14 Sep 2009 15:33:37 GMT

Bonjour, Windows 2008 R2 et Windows 7 sont sorties avec des nouveautés, notamment au niveau du fonctionnement du protocole Kerberos.

Parmi ces nouveautés, il y a la nouvelle GPO Kerberos “Use Forest Search Order”, cette GPO permet de définir une liste des forêts ayant les trusts avec celle-ci, elle permet au service KDC d’envoyer des requêtes dans l’ordre des forêts définies dans cette liste, afin de trouver le SPN en contactant les Global Catalog. Si la recherche est positive, alors un ticket Referral lui est retourné.

Si cette GPO n’est pas utilisée, alors le KDC ne va pas chercher les forêts listées pour résoudre le SPN, si la recherche du SPN échoue, alors NTLM sera utilisé.

Voici les captures d’écran des GPO Kerberos 2008 R2.

Quand la GPO est appliquée, les clefs de registre ForestSearchList et UseForestSearch sont créées.

Client Kerberos GPO.

En plus de cette GO, une nouvelle GPO Kerberos permet de faire le mappage de nom avec d’autres Realm kerberos.

La GPO ci-dessous permet d’utiliser l’algorithme d’encryption AES dès la requête AS (authentication service)

Restreindre l’utilisation du protocole NTLM.

A partir de 2008 R2 et Windows 7, vous avez la possibilité de restreindre l’utilsation du protocole NTLM, ceci peut se faire via des GPO qui sont décrites ci-dessous dans :

Computer Configuration --> Windows Settings --> Security Settings --> Local Policies --> Security Options

Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication

Network security: Restrict NTLM: Add server exceptions in this domain

Network security: Restrict NTLM: Audit Incoming NTLM Traffic

Network security: Restrict NTLM: Audit NTLM authentication in this domain

Network security: Restrict NTLM: Incoming NTLM traffic

Network security: Restrict NTLM: NTLM authentication in this domain

Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

Lê Huu Duc

Comment exporter les objets AD dans ADLDS se trouvant dans un DMZ.

HuuDucLe — Fri, 28 Aug 2009 16:30:00 GMT

Si pour des raisons de sécurité, vous ne voulez pas avoir de communication entre un AD et un ADLDS, mais vous voulez néanmoins exporter des objets de l’AD vers ADLDS, il existe un moyen qui est l’outil LDIFDE.

A partir de l’article technique suivant, vous pouvez faire cet export :

http://support.microsoft.com/kb/237677

Exemple:

Je veux exporter les OU de l'AD dans un fichier .LDF et les importer dans ADLDS.

Mon AD a l'architecture suivante :

Mon ADAM a l'architecture suivante :

. J'utilise la commande suivante pour exporter les OU de mon AD dans le fichier expAD.ldf

ldifde -f expAD.ldf -d "dc=lhorn,dc=com" -p subtree -r "(objectCategory=organizationalUnit)" -l "cn,objectclass,ou"

. Voici le fichier expAD.ldf

dn: OU=Domain Controllers,DC=lhorn,DC=com

changetype: add

objectClass: top

objectClass: organizationalUnit

ou: Domain Controllers

dn: OU=OU1,DC=lhorn,DC=com

changetype: add

objectClass: top

objectClass: organizationalUnit

ou: OU1

dn: OU=OU2,DC=lhorn,DC=com

changetype: add

objectClass: top

objectClass: organizationalUnit

ou: OU2

dn: OU=OU21,OU=OU2,DC=lhorn,DC=com

changetype: add

objectClass: top

objectClass: organizationalUnit

ou: OU21

. J'ouvre le fichier expAD.LDF et j'utilise l'option "replace all" pour remplacer DC=lhorn,DC=com par O=milkyway,C=com

. Voici le résultat du remplacement, que je vais sauvegarder dans le fichier impADAM.ldf

dn: OU=Domain Controllers,o=milkyway,c=com

changetype: add

objectClass: top

objectClass: organizationalUnit

ou: Domain Controllers

dn: OU=OU1,o=milkyway,c=com

changetype: add

objectClass: top

objectClass: organizationalUnit

ou: OU1

dn: OU=OU2,o=milkyway,c=com

changetype: add

objectClass: top

objectClass: organizationalUnit

ou: OU2

dn: OU=OU21,OU=OU2,o=milkyway,c=com

changetype: add

objectClass: top

objectClass: organizationalUnit

ou: OU21

. J'exécute la commande suivante pour importer dans ADLDS

ldifde -i -f impADAM.ldf -s localhost:50000

Connecting to "localhost:50000"

Logging in as current user using SSPI

Importing directory from file "impADAM.ldf"

Loading entries.....

4 entries modified successfully.

The command has completed successfully

. Voici le résultat de l'export dans ADAM

. Comme vous pouvez le voir, les OU "Domain Controllers", OU1, OU2 et OU21 ont bien été importés dans ADLDS.

Comment monitorer les fichiers repliques par DFSR provenant des partenaires

HuuDucLe — Wed, 29 Jul 2009 12:05:15 GMT

Bonjour,

A partir de 2008 R2, il existe un moyen de voir les fichiers répliqués par DFSR du point de vue du ‘receiver’. En effet, il est toujours intéressant de voir en temps réel les fichiers arrivés des partenaires de réplication.

Pour cela vous avez la commande suivante qui permet de faire le monitoring :

dfsrdiag replstate /a

Cette commande donne les informations suivantes :

Active inbound connection: 1

Connection GUID: 981194B2-CF54-4749-A40B-8C58B49D7F28

Sending member: 2008R2

Number of updates: 12

Updates being processed:

[1] Update name: edbres00002 - Copy.jrs (Downloading)

UID : {596F2556-EAC8-4C8C-9BE8-7824298669FA}-v116

GVSN : {596F2556-EAC8-4C8C-9BE8-7824298669FA}-v116