operation on active directory - weeblyalmoussawyportefeuille.weebly.com/uploads/3/8/7/9/... · web...

[Operation on Active Directory]

2014

AL MOUSSAWY Mahdi

30

Version

Date Description des modifications Rédigé par Diffusé

1.0.1 13/10/2014

Version initiale AL MOUSSAWY Mahdi

1.2 07/05/2015

Version finale AL MOUSSAWY Mahdi

Diffusion :

Ce document s’adresse au Directeur des systèmes d’informations ainsi qu’aux équipes d’administration du réseau, et développeurs du projet Schneider Electric.

AL MOUSSAWY Mahdi | Operation On Active Directory

30

ContenuContenu................................................................................................................. 2I. Contexte..........................................................................................................3

A. Contrainte fonctionnelles.............................................................................4B) Contrainte techniques....................................................................................4

II. Installation de VMware Tools..........................................................................5III. Windows server 2008 R2 mode core............................................................6

A) Présentation.................................................................................................6B) Installation...................................................................................................7

IV. Active Directory............................................................................................9A) Présentation.................................................................................................9B) Installation d’Active Directory...................................................................10

V. Replication active directory...........................................................................13A) Explication..................................................................................................13B) Activation de Powershell, de l’autorisation d’administration à distance MMC et du gestionnaire des serveurs..............................................................15C) Entrer dans le domaine..............................................................................18.......................................................................................................................... 18D) DCdiag........................................................................................................19

VI. Script Jeu d’essai........................................................................................20A) MMC (Microsoft Management Console)....................................................21

VII. RemotePowershell......................................................................................22VIII. Sauvegarde et cryptage :...........................................................................23IX. LogParser...................................................................................................24

A) Installation de l’outil LOGPARSER sur station virtuelle seven..................24B) Installation :...............................................................................................25


30

I. Contexte

Votre société de service (SSII Capgemini) a signé, il y a un an, un contrat d’IT en infogérance del’infrastructure micro chez Schneider Electric. C’est le premier contrat que votre société signe avecun grand compte. C’est dire son importance. Le contrat d’IT en infogérance de l’infrastructureserveurs, actuellement détenu par un concurrent, arrive bientôt à échéance. Un premier ballond’essai est lancé par la DSI de Schneider Electric qui souhaite que votre société lui présente unprototype d’exploitation de son Active Directory. Schneider Electric emploieplus de 140 000 salariés sur les 5 continents. Ce projet capital vous estconfié.

A. Contrainte fonctionnelles

Le prototype d’infrastructure permet de démontrer : La continuité de service de l’annuaire même si un serveur

s’arrête brutalement. La reprise sur incident en moins d’une heure dans le cas où les

service annuaires des deux serveurs tombent brutalement et durablement hors d’usage.

L’audit et la supervision de l’AD Le reporting et les statistiques de l’AD


30

B) Contrainte techniques

Schneider Electric souhaite optimiser l’utilisation de ses ressources serveurs en mutualisant l’interface d’administration et en supprimant le module GUI sur les serveurs eux-mêmes. Le prototype sera implémenté sous Windows 2008 R2 en mode core administré à distance. La console d’administration sera implémentée sous Windows 7 :

En interface graphique via la MMC pour les opérations courantes et ponctuelles d’administration.

En interface caractère via le RemotePowershell pour une administration plus pointue ou des traitements par lots automatisés.

Le prototype présente un jeu d’essai représentatif des contraintes de volume du groupe Schneider : une unité d’organisation et 500 utilisateurs

II. Windows server 2008 R2 mode core A)Présentation

Microsoft Windows Server 2008 est un système d'exploitation de Microsoft orienté serveur. Il est le successeur de Windows Server 2003 sorti 5 ans plus tôt et le prédécesseur


http://fr.wikipedia.org/wiki/Microsoft_Windows_Server_2003

http://fr.wikipedia.org/wiki/Serveur_informatique

http://fr.wikipedia.org/wiki/Microsoft

http://fr.wikipedia.org/wiki/Syst%C3%A8me_d'exploitation

http://fr.wikipedia.org/wiki/Syst%C3%A8me_d'exploitation

30

de Windows Server 2008 R2. Cette version a été officiellement présentée au public français (exclusivité mondiale) lors des TechDays 2008 qui se sont déroulés du 11 au 13 février 2008 à Paris. La sortie internationale du produit quant à elle a eu lieu le 27 février 2008. À l'instar de Windows Vista, Windows Server 2008 est basé sur le Kernel (noyau) Windows NT version 6.0.

Windows Server 2008 permet aux professionnels de l'informatique d'accroître la flexibilité et la fiabilité de leur infrastructure de serveur. Elle constitue également, pour les développeurs, une plateforme Web et d'applications plus solide pour la création d'applications et de services connectés.

B) Installation

Sélectionnez Windows Server 2008 Standard


http://fr.wikipedia.org/wiki/Microsoft_Windows_NT

http://fr.wikipedia.org/wiki/Microsoft_Windows_Vista

http://fr.wikipedia.org/wiki/2008_en_informatique

http://fr.wikipedia.org/wiki/F%C3%A9vrier_2008

http://fr.wikipedia.org/wiki/27_f%C3%A9vrier

http://fr.wikipedia.org/wiki/2008_en_informatique

http://fr.wikipedia.org/wiki/F%C3%A9vrier_2008

http://fr.wikipedia.org/wiki/13_f%C3%A9vrier

http://fr.wikipedia.org/wiki/Windows_Server_2008_R2

30

Sélectionnez ma partition système

Je clique sur suivant et lance l’installation …


30

L’installation est rapide est prend environ 15 minutes. Pendant l’installation le système redémarrera 2 fois.Une fois l’installation terminée nous arrivons sur la mire de Windows Server 2008

Ensuite il faut s’authentifier avec le compte administrateur sans mot de passe. Il nous sera ensuite demander de changer de mot de passe.

A l’affichage de cette fenêtre nous pouvons être sur que l’installation et l’authentification est terminée


30

III. Active Directory A)Présentation

Active Directory est le nom du service d'annuaire de Microsoft apparu dans le système d'exploitation Microsoft Windows Server 2000. Le service d'annuaire Active Directory est basé sur les standards TCP/IP : DNS, LDAP, Kerberos, etc

Active Directory permet de recenser toutes les informations concernant le réseau, que ce soient les utilisateurs, les machines ou les applications. Active Directory constitue ainsi le moyeu central de toute l'architecture réseau et a vocation à permettre à un utilisateur de retrouver et d'accéder à n'importe quelle ressource identifiée par ce service.

B) Installation d’Active Directory

Dans l’invite de commande, tapez « notepad » et saisissez les informations suivantes :


http://www.commentcamarche.net/contents/633-ldap-introduction-aux-annuaires-ldap

http://www.commentcamarche.net/contents/518-dns-systeme-de-noms-de-domaine

http://www.commentcamarche.net/contents/539-tcp-ip

30

[DCINSTALL]ReplicaOrNewDomain=DomainNewDomain=forestInstallDNS=yesNewDomainDNSName= ALMA-Schneider.localDomainNetbiosName=ALMA-schneiderForestLevel=4DomainLevel=4SiteName= Site1DatebasePath=%systemroot%\ntdsLogPath=%systemroot%\ntdsSYSVOLPath=%systemroot%\sysvol


30

SafeModeAdminPassword=Dimey69RebootOnCompletion=Yes

Enregistrez le fichier de réponse dans C:

Taper la commande suivante :

dcpromo /unattend:C:\ALM.txt

L’installation débute …

L’installation est rapide. A la fin de l’installation, étant donné que « RebootOnCompletion » = YES, le serveur redémarrera.

Une fois l’installation terminé, nous pouvons lister la liste l’état des rôles sur un serveur Core avec la command suivante :

Oclist


30

IV. Replication active directory A)Explication

Avec l’implémentation de sites, il convient de distinguer deux types de réplications:

La réplication intra-site correspondant à la mise à jour de la base d’annuaire Active Directory à l’intérieur d’un site c’est-à-dire entre contrôleurs de domaine biens connectés.


30

La réplication inter-site correspondant quant à elle à la mise à jour de la base d’annuaire entre sites c’est-à-dire entre groupes de contrôleurs de domaine séparés par une liaison lente.

La commande à taper est la suivante :

Dcpromo /unattend /replicaOrnewDomain :replica /replicaDomainDNSname :MAAL-Schneider.local /userDomain=MAAL-Schneider.local /username :Administrateur /password :Dimey69 /safeModeAdminPassword :Dimey69

Pour verifier que la replication fonctionne bien, dans l’invite de commande, tapez :

dcdiag /test:replications


30

B) Activation de Powershell, de l’autorisation d’administration à distance MMC et du gestionnaire des serveurs

Dans le cmd de l’AD1, tapez « sconfig », ensuite choisissez les chiffres correspondants à l’activation powershell.

On voit bien dans la capture d’écran suivante que Powershell a bien été activé.


30

Il faut aussi activer l’administration à distance du Gestionnaire de serveur.


30

Pour finir, il faut activer l’administration à distance de MMC.

Windows 2003 permet l’adiministration à distance sur les machines d’un domaine.Les possibilités sont multiples. Elles sont majoritairement basées sur la possibilité qu’offrent fréquement les compostans logiciels enfichables de la MMC de se connecter sur une machine distante pour l’administrer totalement ou partiellement comme s’il s’agissait de la machine locale.


30

C) Entrer dans le domaine

Aller dans ordinateur Propriété paramètre système avancé Nom de l’ordinateur Modifier


30

D)DCdiag

En tant qu'un utilisateur final programme de génération de rapports dcdiag est un outil de ligne de commande qui encapsule une connaissance détaillée de la façon d'identifier un comportement anormal dans le système. Dcdiag affiche la sortie de commande à l'invite de commande.

Dcdiag est constitué d'un cadre pour l'exécution de tests et une série de tests pour vérifier les différents domaines fonctionnels du système. Ce framework sélectionne les contrôleurs de domaine sont testés conformément aux directives de portée de l'utilisateur, telles que l'entreprise, site ou serveur unique.

Dcdiag est intégré à Windows Server 2008 R2 et Windows Server 2008. Il est disponible si vous avez les Services de domaine Active Directory (AD DS) ou Active Directory Lightweight Directory Services (AD LDS) est installé. Il est également disponible si vous installez les outils Active Directory domaine Services qui font partie de l'outils d'Administration serveur distant (RSAT).

Tapez : dcdiag /c


30

On voit les tests effectués :

V. Script Jeu d’essai

Import-Module ActiveDirectory$path = Split-Path -parent $MyInvocation.MyCommand.Definition$ou = "OU=Schneider,DC=ALMA-Schneider,DC=local"$upnsuffix= "@ALMA-Schneider.local"$securepwd= ConvertTo-SecureString"Dimey69" -AsPlainText -ForceImport-Csv"$path\adusers.csv" | New-ADUser`-Name {$_.GivenName+" "+$_.Surname} -Path $ou`-DisplayName{$_.GivenName+" "+$_.Surname} `-UserPrincipalName{$_.SamAccountName+$upnsuffix} `-AccountPassword$securepwd-Enabled$true


30

A)MMC (Microsoft Management Console)

Nous pouvons vérifier l’importation des users à l’aide de la console MMC. Windows 2000 intègre désormais un nouveau modèle d’outils d’adminitration nommé MMC. A l’aide des MMC il est désormais possible de créer soit-même sa propre console d’administration. Il suffit pour cela d’y intégrer les modules « snap-in) que vous utilisez couramment. Cela permet aussi de mettre à disposition des administrateurs subalternes des outils d’administration personnalisés.

Nous avons bien les users. (résultat du jeu d’essai)

Nous pouvons aussi vérifier cela sur powershell grâce à la commande « netuser


30

».

VI. RemotePowershell

Pour se faire ouvrir powershell ISE dans la machine seven, tapez :

Enter-PSSession –computername « nom de la machine » -Credential ALMA-Schneider\administrateur

Pour trouver le nom d’une machine, tapez dans le cmd « hostname »


30

VII.Sauvegarde et cryptage :

Le code est le suivant :

Set export_file=%1-%date : /=-%

ldifede - f %export_files% -s 172.16.101.1 -d "dc=ALMA-shneider,dc=local" -p subtree -b admin

-f fichier export

-s pointe sur serveur

-d aaprtir de quel endroit il faut sauvegarder

subtree tout

-b Définit la commande pour qu'elle s'exécute avec le nom d'utilisateur, le domaine et le mot de passe fournis. Par défaut, elles'exécute avec les informations d'identification de l'utilisateur déjà connecté.

Comme on peut le voir ci-dessous, la commande a bien fonctionné et 728 entrées ont été exportées.


30

Le fichier crypté apparait en vert comme ci-dessous :

VIII. LogParser A)Installation de l’outil LOGPARSER sur station virtuelle

seven

Log Parser 2.2 est un outil puissant et polyvalent qui permet un accès de requête universel aux données texte telles que les fichiers journaux, les fichiers XML et CSV, ainsi qu'aux sources de données


30

clés sur le système d'exploitation Windows comme le journal des événements, le Registre, le système de fichiers et Active Directory. Pour vous servir de Log Parser, indiquez simplement les informations dont vous avez besoin et comment vous voulez les traiter. Vous pouvez personnaliser les résultats de votre requête au format texte, ou les rendre persistants sur d'autres cibles plus spécifiques comme SQL, SYSLOG ou un graphique. La plupart des logiciels sont conçus pour effectuer un nombre limité de tâches spécifiques. Log Parser est différent, en ce sens que ses utilisations n'ont pour limites que les besoins et l'imagination de l'utilisateur. Avec Log Parser, le monde est votre base de données.

B) Installation :

Installer LogParser dans le bureau de la machine virtuel seven.

Une fois l’installation terminée, nous allons configurer l’Audit dans le domaine.

Pour ce faire, nous allons apporter une modification de notre serveur à l’aide d’MMC.


30

Pour activer l’accès DS de la GPO, cliquez sur « modifier », ensuite cliquez sur « stratégies d’audit » et choisissez « accès DS ».


30

Nous avons coché « succès » et « échec » pour avoir tous les logs.


30

Vous devriez avoir un résultat semblable à celui la (tout est activé)

Installer LogParser.

A l’aide d’un éditeur de texte, tapez le script suivant avant d’enregistrer ce fichier texte dans le dossier de LogParser. Ce fichier sera un fichier SQL avec pour extension .sql.


30

Select

COMPUTERNAME AS [SERVEUR],

TimeGenerated As [Date-Heure],

EXTRACT_TOKEN(Strings,3,'|') As Utilisateur,

EXTRACT_TOKEN(Strings,6,'|') As Domaine,

CASE Eventid

WHEN 4738 THEN 'Modification'

WHEN 4720 THEN 'Creation'

WHEN 4724 THEN 'Recuperation'

WHEN 5139 THEN 'Deplacement'

WHEN 4726 THEN 'Suppression'

END AS Action,

EXTRACT_TOKEN(Strings,8,'|') As AD-Objet,

EXTRACT_TOKEN(Strings,10,'|') As Type-Objet,

EXTRACT_TOKEN(Strings,11,'|') As Propriéte,

SUBSTR(EXTRACT_TOKEN(Strings,13,'|'),0,30) As Valeur

FROM

\\AD01\security,\\AD02\security,\\AD03\security

WHERE Eventid=5136

OR Eventid=5137

OR Eventid=5138

OR Eventid=5139

OR Eventid=5141

ORDER BY [Date-Heure] DESC


30

Enregistrer le fichier Audit_AD .sql dans « C:\Users\Administrateur\Desktop\LogParser », donc dans le dossier de LogParser.

De nouveau, ouvrez un traitement de texte et tapez le script suivant avant de l’enregistrer dans le dossier de LogParser :

<lpheader><html><head><title>Audit Active Directory</title></head>

<body><h1>Audit ActiveDirectory</h1>

<TABLE BORDER="1" style="font-family: Tahoma; font-size: 8pt" WIDTH=95% >

<th VALIGN="left">%fieldname_1%</th>


<th VALIGN="left">%fieldname_3% %fieldname_4%</th>






</tr>

</lpheader>

<lpbody>

<tr>

<td><tt>%field_1%</tt></td>


<td><tt>%field_3% %field_4%</tt></td>






30


</tr>

</lpbody>

<lpfooter>

</table>

</body>

</html>

</lpfooter>

Ce fichier sera au format .tpl

Toujours dans le dossier LogParser, ouvrir un traitement de texte et écrivez les lignes suivantes :

C:\Users\Administrateur\Desktop\LogParser -i:EVT file:C:\Users\Administrateur\Desktop\Audit_AD.sql -o:TPL -tpl:C:\ C:\Users\Administrateur\Desktop\Audit_AD.tpl -stats:off>C:\ C:\Users\Administrateur\Desktop\Audit_AD.HTML

Ce fichier sera au format .cmd

Double cliquer sur le fichier command.cmd, un fichier .HMTL sera générer avec un récapitulatif.


30

Activer DNS-Server Core Role

Start /w ocsetup DNS-Server-Core-Role


operation on active directory - weeblyalmoussawyportefeuille.weebly.com/uploads/3/8/7/9/... · web...

Documents