operation on active directory - weeblyalmoussawyportefeuille.weebly.com/uploads/3/8/7/9/... · web...
TRANSCRIPT
[Operation on Active Directory]
2014
AL MOUSSAWY Mahdi
30
Version
Date Description des modifications Rédigé par Diffusé
1.0.1 13/10/2014
Version initiale AL MOUSSAWY Mahdi
1.2 07/05/2015
Version finale AL MOUSSAWY Mahdi
Diffusion :
Ce document s’adresse au Directeur des systèmes d’informations ainsi qu’aux équipes d’administration du réseau, et développeurs du projet Schneider Electric.
AL MOUSSAWY Mahdi | Operation On Active Directory
30
ContenuContenu................................................................................................................. 2I. Contexte..........................................................................................................3
A. Contrainte fonctionnelles.............................................................................4B) Contrainte techniques....................................................................................4
II. Installation de VMware Tools..........................................................................5III. Windows server 2008 R2 mode core............................................................6
A) Présentation.................................................................................................6B) Installation...................................................................................................7
IV. Active Directory............................................................................................9A) Présentation.................................................................................................9B) Installation d’Active Directory...................................................................10
V. Replication active directory...........................................................................13A) Explication..................................................................................................13B) Activation de Powershell, de l’autorisation d’administration à distance MMC et du gestionnaire des serveurs..............................................................15C) Entrer dans le domaine..............................................................................18.......................................................................................................................... 18D) DCdiag........................................................................................................19
VI. Script Jeu d’essai........................................................................................20A) MMC (Microsoft Management Console)....................................................21
VII. RemotePowershell......................................................................................22VIII. Sauvegarde et cryptage :...........................................................................23IX. LogParser...................................................................................................24
A) Installation de l’outil LOGPARSER sur station virtuelle seven..................24B) Installation :...............................................................................................25
AL MOUSSAWY Mahdi | Operation On Active Directory
30
I. Contexte
Votre société de service (SSII Capgemini) a signé, il y a un an, un contrat d’IT en infogérance del’infrastructure micro chez Schneider Electric. C’est le premier contrat que votre société signe avecun grand compte. C’est dire son importance. Le contrat d’IT en infogérance de l’infrastructureserveurs, actuellement détenu par un concurrent, arrive bientôt à échéance. Un premier ballond’essai est lancé par la DSI de Schneider Electric qui souhaite que votre société lui présente unprototype d’exploitation de son Active Directory. Schneider Electric emploieplus de 140 000 salariés sur les 5 continents. Ce projet capital vous estconfié.
A. Contrainte fonctionnelles
Le prototype d’infrastructure permet de démontrer : La continuité de service de l’annuaire même si un serveur
s’arrête brutalement. La reprise sur incident en moins d’une heure dans le cas où les
service annuaires des deux serveurs tombent brutalement et durablement hors d’usage.
L’audit et la supervision de l’AD Le reporting et les statistiques de l’AD
AL MOUSSAWY Mahdi | Operation On Active Directory
30
B) Contrainte techniques
Schneider Electric souhaite optimiser l’utilisation de ses ressources serveurs en mutualisant l’interface d’administration et en supprimant le module GUI sur les serveurs eux-mêmes. Le prototype sera implémenté sous Windows 2008 R2 en mode core administré à distance. La console d’administration sera implémentée sous Windows 7 :
En interface graphique via la MMC pour les opérations courantes et ponctuelles d’administration.
En interface caractère via le RemotePowershell pour une administration plus pointue ou des traitements par lots automatisés.
Le prototype présente un jeu d’essai représentatif des contraintes de volume du groupe Schneider : une unité d’organisation et 500 utilisateurs
II. Windows server 2008 R2 mode core A)Présentation
Microsoft Windows Server 2008 est un système d'exploitation de Microsoft orienté serveur. Il est le successeur de Windows Server 2003 sorti 5 ans plus tôt et le prédécesseur
AL MOUSSAWY Mahdi | Operation On Active Directory
30
de Windows Server 2008 R2. Cette version a été officiellement présentée au public français (exclusivité mondiale) lors des TechDays 2008 qui se sont déroulés du 11 au 13 février 2008 à Paris. La sortie internationale du produit quant à elle a eu lieu le 27 février 2008. À l'instar de Windows Vista, Windows Server 2008 est basé sur le Kernel (noyau) Windows NT version 6.0.
Windows Server 2008 permet aux professionnels de l'informatique d'accroître la flexibilité et la fiabilité de leur infrastructure de serveur. Elle constitue également, pour les développeurs, une plateforme Web et d'applications plus solide pour la création d'applications et de services connectés.
B) Installation
Sélectionnez Windows Server 2008 Standard
AL MOUSSAWY Mahdi | Operation On Active Directory
30
Sélectionnez ma partition système
Je clique sur suivant et lance l’installation …
AL MOUSSAWY Mahdi | Operation On Active Directory
30
L’installation est rapide est prend environ 15 minutes. Pendant l’installation le système redémarrera 2 fois.Une fois l’installation terminée nous arrivons sur la mire de Windows Server 2008
Ensuite il faut s’authentifier avec le compte administrateur sans mot de passe. Il nous sera ensuite demander de changer de mot de passe.
A l’affichage de cette fenêtre nous pouvons être sur que l’installation et l’authentification est terminée
AL MOUSSAWY Mahdi | Operation On Active Directory
30
III. Active Directory A)Présentation
Active Directory est le nom du service d'annuaire de Microsoft apparu dans le système d'exploitation Microsoft Windows Server 2000. Le service d'annuaire Active Directory est basé sur les standards TCP/IP : DNS, LDAP, Kerberos, etc
Active Directory permet de recenser toutes les informations concernant le réseau, que ce soient les utilisateurs, les machines ou les applications. Active Directory constitue ainsi le moyeu central de toute l'architecture réseau et a vocation à permettre à un utilisateur de retrouver et d'accéder à n'importe quelle ressource identifiée par ce service.
B) Installation d’Active Directory
Dans l’invite de commande, tapez « notepad » et saisissez les informations suivantes :
AL MOUSSAWY Mahdi | Operation On Active Directory
30
[DCINSTALL]ReplicaOrNewDomain=DomainNewDomain=forestInstallDNS=yesNewDomainDNSName= ALMA-Schneider.localDomainNetbiosName=ALMA-schneiderForestLevel=4DomainLevel=4SiteName= Site1DatebasePath=%systemroot%\ntdsLogPath=%systemroot%\ntdsSYSVOLPath=%systemroot%\sysvol
AL MOUSSAWY Mahdi | Operation On Active Directory
30
SafeModeAdminPassword=Dimey69RebootOnCompletion=Yes
Enregistrez le fichier de réponse dans C:
Taper la commande suivante :
dcpromo /unattend:C:\ALM.txt
L’installation débute …
L’installation est rapide. A la fin de l’installation, étant donné que « RebootOnCompletion » = YES, le serveur redémarrera.
Une fois l’installation terminé, nous pouvons lister la liste l’état des rôles sur un serveur Core avec la command suivante :
Oclist
AL MOUSSAWY Mahdi | Operation On Active Directory
30
IV. Replication active directory A)Explication
Avec l’implémentation de sites, il convient de distinguer deux types de réplications:
La réplication intra-site correspondant à la mise à jour de la base d’annuaire Active Directory à l’intérieur d’un site c’est-à-dire entre contrôleurs de domaine biens connectés.
AL MOUSSAWY Mahdi | Operation On Active Directory
30
La réplication inter-site correspondant quant à elle à la mise à jour de la base d’annuaire entre sites c’est-à-dire entre groupes de contrôleurs de domaine séparés par une liaison lente.
La commande à taper est la suivante :
Dcpromo /unattend /replicaOrnewDomain :replica /replicaDomainDNSname :MAAL-Schneider.local /userDomain=MAAL-Schneider.local /username :Administrateur /password :Dimey69 /safeModeAdminPassword :Dimey69
Pour verifier que la replication fonctionne bien, dans l’invite de commande, tapez :
dcdiag /test:replications
AL MOUSSAWY Mahdi | Operation On Active Directory
30
B) Activation de Powershell, de l’autorisation d’administration à distance MMC et du gestionnaire des serveurs
Dans le cmd de l’AD1, tapez « sconfig », ensuite choisissez les chiffres correspondants à l’activation powershell.
On voit bien dans la capture d’écran suivante que Powershell a bien été activé.
AL MOUSSAWY Mahdi | Operation On Active Directory
30
Il faut aussi activer l’administration à distance du Gestionnaire de serveur.
AL MOUSSAWY Mahdi | Operation On Active Directory
30
Pour finir, il faut activer l’administration à distance de MMC.
Windows 2003 permet l’adiministration à distance sur les machines d’un domaine.Les possibilités sont multiples. Elles sont majoritairement basées sur la possibilité qu’offrent fréquement les compostans logiciels enfichables de la MMC de se connecter sur une machine distante pour l’administrer totalement ou partiellement comme s’il s’agissait de la machine locale.
AL MOUSSAWY Mahdi | Operation On Active Directory
30
C) Entrer dans le domaine
Aller dans ordinateur Propriété paramètre système avancé Nom de l’ordinateur Modifier
AL MOUSSAWY Mahdi | Operation On Active Directory
30
D)DCdiag
En tant qu'un utilisateur final programme de génération de rapports dcdiag est un outil de ligne de commande qui encapsule une connaissance détaillée de la façon d'identifier un comportement anormal dans le système. Dcdiag affiche la sortie de commande à l'invite de commande.
Dcdiag est constitué d'un cadre pour l'exécution de tests et une série de tests pour vérifier les différents domaines fonctionnels du système. Ce framework sélectionne les contrôleurs de domaine sont testés conformément aux directives de portée de l'utilisateur, telles que l'entreprise, site ou serveur unique.
Dcdiag est intégré à Windows Server 2008 R2 et Windows Server 2008. Il est disponible si vous avez les Services de domaine Active Directory (AD DS) ou Active Directory Lightweight Directory Services (AD LDS) est installé. Il est également disponible si vous installez les outils Active Directory domaine Services qui font partie de l'outils d'Administration serveur distant (RSAT).
Tapez : dcdiag /c
AL MOUSSAWY Mahdi | Operation On Active Directory
30
On voit les tests effectués :
V. Script Jeu d’essai
Import-Module ActiveDirectory$path = Split-Path -parent $MyInvocation.MyCommand.Definition$ou = "OU=Schneider,DC=ALMA-Schneider,DC=local"$upnsuffix= "@ALMA-Schneider.local"$securepwd= ConvertTo-SecureString"Dimey69" -AsPlainText -ForceImport-Csv"$path\adusers.csv" | New-ADUser`-Name {$_.GivenName+" "+$_.Surname} -Path $ou`-DisplayName{$_.GivenName+" "+$_.Surname} `-UserPrincipalName{$_.SamAccountName+$upnsuffix} `-AccountPassword$securepwd-Enabled$true
AL MOUSSAWY Mahdi | Operation On Active Directory
30
A)MMC (Microsoft Management Console)
Nous pouvons vérifier l’importation des users à l’aide de la console MMC. Windows 2000 intègre désormais un nouveau modèle d’outils d’adminitration nommé MMC. A l’aide des MMC il est désormais possible de créer soit-même sa propre console d’administration. Il suffit pour cela d’y intégrer les modules « snap-in) que vous utilisez couramment. Cela permet aussi de mettre à disposition des administrateurs subalternes des outils d’administration personnalisés.
Nous avons bien les users. (résultat du jeu d’essai)
Nous pouvons aussi vérifier cela sur powershell grâce à la commande « netuser
AL MOUSSAWY Mahdi | Operation On Active Directory
30
».
VI. RemotePowershell
Pour se faire ouvrir powershell ISE dans la machine seven, tapez :
Enter-PSSession –computername « nom de la machine » -Credential ALMA-Schneider\administrateur
Pour trouver le nom d’une machine, tapez dans le cmd « hostname »
AL MOUSSAWY Mahdi | Operation On Active Directory
30
VII.Sauvegarde et cryptage :
Le code est le suivant :
Set export_file=%1-%date : /=-%
ldifede - f %export_files% -s 172.16.101.1 -d "dc=ALMA-shneider,dc=local" -p subtree -b admin
-f fichier export
-s pointe sur serveur
-d aaprtir de quel endroit il faut sauvegarder
subtree tout
-b Définit la commande pour qu'elle s'exécute avec le nom d'utilisateur, le domaine et le mot de passe fournis. Par défaut, elles'exécute avec les informations d'identification de l'utilisateur déjà connecté.
Comme on peut le voir ci-dessous, la commande a bien fonctionné et 728 entrées ont été exportées.
AL MOUSSAWY Mahdi | Operation On Active Directory
30
Le fichier crypté apparait en vert comme ci-dessous :
VIII. LogParser A)Installation de l’outil LOGPARSER sur station virtuelle
seven
Log Parser 2.2 est un outil puissant et polyvalent qui permet un accès de requête universel aux données texte telles que les fichiers journaux, les fichiers XML et CSV, ainsi qu'aux sources de données
AL MOUSSAWY Mahdi | Operation On Active Directory
30
clés sur le système d'exploitation Windows comme le journal des événements, le Registre, le système de fichiers et Active Directory. Pour vous servir de Log Parser, indiquez simplement les informations dont vous avez besoin et comment vous voulez les traiter. Vous pouvez personnaliser les résultats de votre requête au format texte, ou les rendre persistants sur d'autres cibles plus spécifiques comme SQL, SYSLOG ou un graphique. La plupart des logiciels sont conçus pour effectuer un nombre limité de tâches spécifiques. Log Parser est différent, en ce sens que ses utilisations n'ont pour limites que les besoins et l'imagination de l'utilisateur. Avec Log Parser, le monde est votre base de données.
B) Installation :
Installer LogParser dans le bureau de la machine virtuel seven.
Une fois l’installation terminée, nous allons configurer l’Audit dans le domaine.
Pour ce faire, nous allons apporter une modification de notre serveur à l’aide d’MMC.
AL MOUSSAWY Mahdi | Operation On Active Directory
30
Pour activer l’accès DS de la GPO, cliquez sur « modifier », ensuite cliquez sur « stratégies d’audit » et choisissez « accès DS ».
AL MOUSSAWY Mahdi | Operation On Active Directory
30
Nous avons coché « succès » et « échec » pour avoir tous les logs.
AL MOUSSAWY Mahdi | Operation On Active Directory
30
Vous devriez avoir un résultat semblable à celui la (tout est activé)
Installer LogParser.
A l’aide d’un éditeur de texte, tapez le script suivant avant d’enregistrer ce fichier texte dans le dossier de LogParser. Ce fichier sera un fichier SQL avec pour extension .sql.
AL MOUSSAWY Mahdi | Operation On Active Directory
30
Select
COMPUTERNAME AS [SERVEUR],
TimeGenerated As [Date-Heure],
EXTRACT_TOKEN(Strings,3,'|') As Utilisateur,
EXTRACT_TOKEN(Strings,6,'|') As Domaine,
CASE Eventid
WHEN 4738 THEN 'Modification'
WHEN 4720 THEN 'Creation'
WHEN 4724 THEN 'Recuperation'
WHEN 5139 THEN 'Deplacement'
WHEN 4726 THEN 'Suppression'
END AS Action,
EXTRACT_TOKEN(Strings,8,'|') As AD-Objet,
EXTRACT_TOKEN(Strings,10,'|') As Type-Objet,
EXTRACT_TOKEN(Strings,11,'|') As Propriéte,
SUBSTR(EXTRACT_TOKEN(Strings,13,'|'),0,30) As Valeur
FROM
\\AD01\security,\\AD02\security,\\AD03\security
WHERE Eventid=5136
OR Eventid=5137
OR Eventid=5138
OR Eventid=5139
OR Eventid=5141
ORDER BY [Date-Heure] DESC
AL MOUSSAWY Mahdi | Operation On Active Directory
30
Enregistrer le fichier Audit_AD .sql dans « C:\Users\Administrateur\Desktop\LogParser », donc dans le dossier de LogParser.
De nouveau, ouvrez un traitement de texte et tapez le script suivant avant de l’enregistrer dans le dossier de LogParser :
<lpheader><html><head><title>Audit Active Directory</title></head>
<body><h1>Audit ActiveDirectory</h1>
<TABLE BORDER="1" style="font-family: Tahoma; font-size: 8pt" WIDTH=95% >
<th VALIGN="left">%fieldname_1%</th>
<th VALIGN="left">%fieldname_2%</th>
<th VALIGN="left">%fieldname_3% %fieldname_4%</th>
<th VALIGN="left">%fieldname_5%</th>
<th VALIGN="left">%fieldname_6%</th>
<th VALIGN="left">%fieldname_7%</th>
<th VALIGN="left">%fieldname_8%</th>
<th VALIGN="left">%fieldname_9%</th>
</tr>
</lpheader>
<lpbody>
<tr>
<td><tt>%field_1%</tt></td>
<td><tt>%field_2%</tt></td>
<td><tt>%field_3% %field_4%</tt></td>
<td><tt>%field_5%</tt></td>
<td><tt>%field_6%</tt></td>
<td><tt>%field_7%</tt></td>
<td><tt>%field_8%</tt></td>
AL MOUSSAWY Mahdi | Operation On Active Directory
30
<td><tt>%field_9%</tt></td>
</tr>
</lpbody>
<lpfooter>
</table>
</body>
</html>
</lpfooter>
Ce fichier sera au format .tpl
Toujours dans le dossier LogParser, ouvrir un traitement de texte et écrivez les lignes suivantes :
C:\Users\Administrateur\Desktop\LogParser -i:EVT file:C:\Users\Administrateur\Desktop\Audit_AD.sql -o:TPL -tpl:C:\ C:\Users\Administrateur\Desktop\Audit_AD.tpl -stats:off>C:\ C:\Users\Administrateur\Desktop\Audit_AD.HTML
Ce fichier sera au format .cmd
Double cliquer sur le fichier command.cmd, un fichier .HMTL sera générer avec un récapitulatif.
AL MOUSSAWY Mahdi | Operation On Active Directory
30
Activer DNS-Server Core Role
Start /w ocsetup DNS-Server-Core-Role
AL MOUSSAWY Mahdi | Operation On Active Directory