Cette article traite de la délégation de droits via Powershell et fait suite à l’article Administrer ses utilisateurs – Partie 1.

Outils utilisés

ActiveRoles Management Shell

Pour la gestion des comptes d’utilisateurs, nous utiliserons les CMD-LET publiées par Quest: http://www.quest.com/powershell/activeroles-server.aspx

Ces outils sont gratuits et simplifient grandement la gestion du domaine en PowerShell, principalement en renvoyant la totalité de l’objet utilisateur AD et non une partie seulement lors des requêtes.

Appel des CMDLET Quest

Une fois installées, les CMDLET Quest doivent être importées via Add-PSSnapin en Powershell:

  • Add-PSSnapin Quest.ActiveRoles.ADManagement


Les CMDLET quest sont maintenant disponibles, tel que:
GET-QADPermission (pour voir les droits positionnés)
SET-QADPermission (pour modifier ces droits)
NEW-AQDGroup (pour créer les groupes nécessaires à la délégation)

Préparation du domaine
Nous souhaitons déléguer les droits de gestion des utilisateurs a notre utilisateur Mon_Esclave_IT (cf. article précédent)
Les meilleurs pratiques conseillent de ne jamais distribuer de droits a un utilisateurs directement, mais de toujours passer via des groupes pour cela.
Ce principe, nommé AGDLP ou AGUDLP est décrit dans l’article suivant:

http://technet.microsoft.com/en-us/library/bb742592.aspx (à partir de la section Creating Groups)

  • Nous créons donc un groupe d’utilisateur dans l’OU Groupes de l’OU Administration
    • New-QADGroup GG_Support_L1 -ParentContainer “OU=Groupes,OU=Administration,OU=Enterprise,DC=Client,DC=LU” -GroupType “Security” -GroupeScope “Global” -SamAccountName GG_Support_L1


Explications:

  • GG_Support_L1 car un groupe doit indiquer rapidement sa portée, ici Global Group (On attribue de droits qu’à des groupes de domain local en suivant AGDLP), décrit ses membres qui sont du Support, et L1 décrit les droits attribués par ce groupe (support level 1)
  • Conteneur parent Groupes dans Administration.

    Pourquoi pas directement dans Groupes mais dans Administration\Groupes?

    Et bien si je stock mes groupes de droits sur l’AD dans une OU sur laquelle je distribue des droits, alors ceux qui reçoivent les droits peuvent les utiliser pour en obtenir plus.

    Imaginez que je donne le droit d’ajouter des membres a un groupes dans une OU contenant “Domain Admins”, a votre avis combien de temps avant que le service desk s’ajoute lui-même dans ce groupes?

  • Puis nous ajoutons notre utilisateur Mon_Esclave_IT a ce groupe:
    • ADD-QADGroupMember -Identity GG_Support_L1 -Member Mon_Esclave_IT

      Rien de très particulier lors de cette étape.

  • Les droits devant être géré au niveau du domain local et non via des groupes globaux, nous créons alors un groupe de DL ayant comme membre le groupe GG_Support_L1:
    • New-QADGroup DL_Support_L1 -ParentContainer “OU=Groupes,OU=Administration,OU=Enterprise,DC=Client,DC=LU” -GroupType “Security” -GroupeScope “DomainLocal” -SamAccountName DL_Support_L1
    • ADD-QADGroupMember -Identity DL_Support_L1 -Member DL_Support_L1

Résumé:

Nous avons créé un groupe GG_Support_L1 contenant l’utilisateur Mon_Esclave_IT dans l’OU Groupes de Administration

Ce groupe est membre du groupe DL_support_L1 auquel nous allons appliquer des droits.



Ajout des droits

Il ne reste donc plus qu’à ajouter les droits suivants

  1. Création/Modification/Suppression d’utilisateurs uniquement dans l’OU “Mes utilisateurs” de mon domaine
  2. Possibilité de forcer le changement de mot de passe d’un utilisateur.

Pour la première partie, l’usage de la CMDLET ADD-QADPermision sur l’OU Utilisateurs du domaine, pour créer et effacer les objets de type “User”

  • Add-QADPermission “OU=Utilisateurs,OU=Enterprise,DC=Client,DC=LU” -Account “Client\DL_Support_L1″ -Rights CreateChild,DeleteChild -ApplyTo All -ChildType User


Pour la seconde partie, l’usage du paramétre User-Change-Password est passé avec le commutateur ExtendedRight

  • Add-QADPermission “OU=Utilisateurs,OU=Enterprise,DC=Client,DC=LU” -Account “Client\DL_Support_L1″ -ExtendedRight User-Change-Password -ApplyTo ChildObjects -ApplyToType User


Ceci est un exemple des droits positionnables via PowerShell dans le cadre d’une délégation automatisée de droits, ce qui est très pratique pour standardiser les différentes tâches entre différents domaines. 

Voici le premier article d’une série de 5 articles sur la gestion des comptes d’utilisateurs Active Directory, Lync et Exchange depuis un point central d’administration.

  • Dans cet article nous parlerons de l’environnement servant de base à cette suite d’article.
  • Le second article parlera de la création et de la modification de comptes d’utilisateurs AD délégué et via PowerShell.
  • Le troisième article sera sur la création et gestion de la messagerie.
  • Le quatrième article pour la gestion des comptes Lync en Enterprise Voice.
  • Le cinquième article conclura la série par un script reprenant tous ces éléments pour générer un compte d’utilisateur complet (création d’un utilisateur avec copie des droits, Mailbox Exchange, mot de passe, homefolder et compte Lync Enterprise Voice)

Objectif de cette suite d’articles

Nous allons partir sur un exemple simple qui reste un exemple concret de délégation des droits dans un domaine “classique”:

  1. Je suis l’Administrateur, utilisant mon compte Administrateur_IT, possédant les droits
    1. Domain Admins pour la gestion de mon domaine et ses serveurs
    2. CSAdministrator (Lync) pour la gestion des serveurs Lync
    3. Organization Management (Exchange) pour la gestion des serveurs Exchange
  2. Je souhaite déléguer les tâches suivantes a un utilisateur nommé Mon_Esclave_IT
    1. Création/Modification/Suppression d’utilisateurs uniquement dans l’OU “Mes utilisateurs” de mon domaine
    2. Possibilité de forcer le changement de mot de passe d’un utilisateur.
    3. Création/Modification/Suppression d’utilisateurs Lync, y compris leur numéro de téléphone
    4. Création/Modification/Suppression d’utilisateurs Exchange, y compris leur mailbox et leur appartenance à des groupes de distribution.

L’objectif étant d’arriver le plus vite possible à cette fin, en utilisant principalement PowerShell.

La tâche sera effectuée le plus rapidement possible, avec le minimum d’action de configuration.

Read the rest of this entry »

Pour tous ceux qui ont un contrat de licence en volume, le Service Pack 1 de System Center 2012 est enfin disponible.



Tous les outils de management pour Windows 8, Windows 2012 et le Cloud sont maintenant disponible.

Plus rien ne vous retient de faire les mises à niveau de votre parc ;)

Le Service Pack 1, nécessaire pour la gestion de Windows 2012, Windows 8 et de Datacenter/Cloud est enfin disponible.

Actuellement uniquement sous Technet et MSDN, donc pour test uniquement, mais très bientôt il devrait apparaitre dans les listes de téléchargements des licences en volume.

Finalement, les Mayas avaient peut être prévu seulement la fin du Cloud a l’ancienne…

Bonjour,

Vous avez Windows 8 et souhaitez faire un peu de powershell dans l’ISE (Integrated Scripting Environment) sans trouver comment le lancer?

Est-ce un “feature” à installer?
Non.

Un téléchargement?
Non plus (mais ça l’était pour la beta).

Tout simplement le Powershell ISE fait partie des outils d’administrations, cachés par défaut.

Pour les afficher, allez dans le Windows UI et ouvrez la barre de Charms (curseur en bas a droite ou Windows +C)

Settings (la roue dentelée en bas) et cliquez sur Tiles:

Et de la activet les outils d’administration “Show administrative tools”

Voilà, Powershell ISE est maintenant disponible parmi vos tuiles et vous pouvez faire des raccourcis vers ce programme.


Cela fait maintenant 2 semaines que Lync 15 et Exchange 15 sont passés en RTM (Release To Manufacturate).

Ils devraient donc être officiellement disponibles pour tous au premier trimestre de l’année 2013 sous les noms Microsoft Lync Serveur 2013 et Microsoft Exchange Serveur 2013. SharePoint et Office 2013 ont eux aussi été distribués en RTM et Office est d’orse et déjà disponible en téléchargement.

 

Pour les heureux possesseurs d’un contrât de licence en volume, les dates sont sans doute avancées à décembre pour Lync et le 01/12/12 pour Exchange 2013.

 

*Sources:

Lync team blog: http://blogs.technet.com/b/lync/archive/2012/10/11/lync-2013-is-finished.aspx

Exchange team blog: http://blogs.technet.com/b/exchange/archive/2012/10/11/the-new-exchange-reaches-rtm.aspx

Mise a jour du blog

Posted: November 28, 2012 in Accueil

Comme vous l’avez remarqué, ce blog n’a plus vraiment eux de mises à jours depuis quelques semaines.

Cela va changer ;)

 

De nouveaux messages vont être bientôt publiés, mais j’ai préféré commencer par une réorganisation du blog pour plus de lisibilité.

Vous trouverez donc tous les messages existants (et futurs) triés par catégories dans la barre de menu en haut.

Le reste du blog restera en affichage LIFO.

 

A bientôt.

 

Adrien