Fantablog

 Un Service d’Annuaire est une base de données orientée objet, répartie, partitionnée et répliquée,  qui gère des valeurs (Jean-Paul, 12 rue du Temple etc) d’attributs (adresse, Nom de famille etc), à l’interieur d’objets (Utilisateurs, Ordinateurs etc). Il organise des objets physiques de façon logique. Un annuaire peut être géré de façon centrale, et distribué dans une entreprise.
L’annuaire LDAP Microsoft Active Directory, né avec Windows 2000, évolue avec la nouvelle version de Windows Server 2008.

Une étude récente de Microsoft Consulting Services a mesuré chez un grand Compte 4 160 demandes d’authentification par utilisateur, par jour. Par extrapolation pour 10 000 utilisateurs, celà implique plus de 41 millions de requêtes par jour ! Autant dire que l’annuaire est une pierre angulaire du système d’information.

Cette nouvelle évolution d’Active Directory apporte de nouvelles fonctionnalités, parmi lesquelles quelques unes me semblent majeures:

• Une politique de gestion de mot passe fine : la politique n’est plus uniquement au niveau du domaine, mais peut être personnalisée au niveau d’une OU (Organisational Unit)
• Active Directory devient un service Windows qui peut être stoppé et relancé sans redémarre le serveur Windows. Le rôle de DNS est séparé du rôle d’annuaire.
• Une nouvelle classe de controleur de domaine apparait : le RODC (Read Only Domain Controler). Il permet d’implanter dans des filiales ou des sites sensibles un controleur de domaine qui ne réplique que dans le sens descendant, qui ne stocke pas les mots de passe cryptés des utilisateurs, mais sert de cache d’authentification pour les utilisateurs et ordinateurs.
• Les backup sont simplifiés via l’utilisation d’images VHD (Virtual Hard Disque)
• La console d’administration MMC à été améliorée et gère entre autre un attribut pour protéger les objets d’une suppression accidentelle
• La gestion de la politique de groupe est largement améliorée (indexées, utilisation de préférences, restriction des périphériques USB, gestion de l’énergie, templates d’administration XML)

Ce script va simplement lister dans un menu déroulant toutes les unités organisationnelles de votre annuaire (OU), puis lorsque l’utilisateur sélectionne une OU, le script va lister tous les groupes de sécurités de cette OU. Après une seconde sélection, le script va extraire la liste détaillées des membres de ce groupe. Il faut bien sûr [...]

Autre script très utile, il s’agit cette fois-ci de lister automatiquement dans une fenêtre de navigateur la liste d’unités organisationnelles pré-définies dans le script, puis lorsque l’utilisateur à choisi une OU, afficher l’ensemble des comptes utilisateurs avec leurs informations (Full Name, login,  email, date de création du compte et date d’expiration du mot de passe). [...]

Parmi la boite à outils indispensables pour gérer un annuaire AD, voici un script  de Richard Mueller qui permet de voir le statut d’un compte AD et de le dévérouiller (si l’on a les permissions ad’hoc bien sûr). A utiliser sans modération ! ‘ IsUserLocked.vbs ‘ VBScript program to determine if user account locked out. [...]