Délégation et Powershell

Cette article traite de la délégation de droits via Powershell et fait suite à l’article Administrer ses utilisateurs – Partie 1.

Outils utilisés

ActiveRoles Management Shell

Pour la gestion des comptes d’utilisateurs, nous utiliserons les CMD-LET publiées par Quest: http://www.quest.com/powershell/activeroles-server.aspx

Ces outils sont gratuits et simplifient grandement la gestion du domaine en PowerShell, principalement en renvoyant la totalité de l’objet utilisateur AD et non une partie seulement lors des requêtes.

Appel des CMDLET Quest

Une fois installées, les CMDLET Quest doivent être importées via Add-PSSnapin en Powershell:

  • Add-PSSnapin Quest.ActiveRoles.ADManagement


Les CMDLET quest sont maintenant disponibles, tel que:
GET-QADPermission (pour voir les droits positionnés)
SET-QADPermission (pour modifier ces droits)
NEW-AQDGroup (pour créer les groupes nécessaires à la délégation)

Préparation du domaine
Nous souhaitons déléguer les droits de gestion des utilisateurs a notre utilisateur Mon_Esclave_IT (cf. article précédent)
Les meilleurs pratiques conseillent de ne jamais distribuer de droits a un utilisateurs directement, mais de toujours passer via des groupes pour cela.
Ce principe, nommé AGDLP ou AGUDLP est décrit dans l’article suivant:

http://technet.microsoft.com/en-us/library/bb742592.aspx (à partir de la section Creating Groups)

  • Nous créons donc un groupe d’utilisateur dans l’OU Groupes de l’OU Administration
    • New-QADGroup GG_Support_L1 -ParentContainer « OU=Groupes,OU=Administration,OU=Enterprise,DC=Client,DC=LU » -GroupType « Security » -GroupeScope « Global » -SamAccountName GG_Support_L1


Explications:

  • GG_Support_L1 car un groupe doit indiquer rapidement sa portée, ici Global Group (On attribue de droits qu’à des groupes de domain local en suivant AGDLP), décrit ses membres qui sont du Support, et L1 décrit les droits attribués par ce groupe (support level 1)
  • Conteneur parent Groupes dans Administration.

    Pourquoi pas directement dans Groupes mais dans Administration\Groupes?

    Et bien si je stock mes groupes de droits sur l’AD dans une OU sur laquelle je distribue des droits, alors ceux qui reçoivent les droits peuvent les utiliser pour en obtenir plus.

    Imaginez que je donne le droit d’ajouter des membres a un groupes dans une OU contenant « Domain Admins », a votre avis combien de temps avant que le service desk s’ajoute lui-même dans ce groupes?

  • Puis nous ajoutons notre utilisateur Mon_Esclave_IT a ce groupe:
    • ADD-QADGroupMember -Identity GG_Support_L1 -Member Mon_Esclave_IT

      Rien de très particulier lors de cette étape.

  • Les droits devant être géré au niveau du domain local et non via des groupes globaux, nous créons alors un groupe de DL ayant comme membre le groupe GG_Support_L1:
    • New-QADGroup DL_Support_L1 -ParentContainer « OU=Groupes,OU=Administration,OU=Enterprise,DC=Client,DC=LU » -GroupType « Security » -GroupeScope « DomainLocal » -SamAccountName DL_Support_L1
    • ADD-QADGroupMember -Identity DL_Support_L1 -Member DL_Support_L1

Résumé:

Nous avons créé un groupe GG_Support_L1 contenant l’utilisateur Mon_Esclave_IT dans l’OU Groupes de Administration

Ce groupe est membre du groupe DL_support_L1 auquel nous allons appliquer des droits.



Ajout des droits

Il ne reste donc plus qu’à ajouter les droits suivants

  1. Création/Modification/Suppression d’utilisateurs uniquement dans l’OU « Mes utilisateurs » de mon domaine
  2. Possibilité de forcer le changement de mot de passe d’un utilisateur.

Pour la première partie, l’usage de la CMDLET ADD-QADPermision sur l’OU Utilisateurs du domaine, pour créer et effacer les objets de type « User »

  • Add-QADPermission « OU=Utilisateurs,OU=Enterprise,DC=Client,DC=LU » -Account « Client\DL_Support_L1 » -Rights CreateChild,DeleteChild -ApplyTo All -ChildType User


Pour la seconde partie, l’usage du paramétre User-Change-Password est passé avec le commutateur ExtendedRight

  • Add-QADPermission « OU=Utilisateurs,OU=Enterprise,DC=Client,DC=LU » -Account « Client\DL_Support_L1 » -ExtendedRight User-Change-Password -ApplyTo ChildObjects -ApplyToType User


Ceci est un exemple des droits positionnables via PowerShell dans le cadre d’une délégation automatisée de droits, ce qui est très pratique pour standardiser les différentes tâches entre différents domaines. 

Hyper-V 2012 vs VMware vSphere 5.1

Dans quelques jours, VMware va publier sa nouvelle version (5.1) de ses outils de virtualisations.

Cette année la compétition est rude puisque Microsoft a réussi à faire paraitre une nouvelle version seulement 7 jours avant VMware, et cette nouvelle mouture est tout sauf « en retard » avec son compétiteur.

 

Voici donc une mise à jour des informations comparatives entre les deux virtualiseurs:

  Hyper-V (2012) vSphere Ent+ 5.1
Host Logical Processors (Cores) 320 160
Physical Memory 4TB 2TB
Virtual CPUs per Host 2048 2048
VM Virtual CPUs per VM 64 32
Memory per VM 1TB 1TB
Active VMs per Host 1024 512
Guest NUMA Yes Yes
Cluster Maximum Nodes 64 32
Maximum VMs 8000 3000
Nodes per Cluster 64 32
VM’s per Cluster 8000 3000
Max   Size Guest Cluster (iSCSI) 64 Nodes 16
Max Size Guest Cluster   (Fibre) 64 Nodes 5
Max   Size Guest Cluster (File Based) 64 Nodes 0
Guest   Clustering with Live Migration Support Yes No
Guest   Clustering with Dynamic Memory Support Yes No
Storage Virtual Fibre Channel Yes Yes
3rd Party Multipathing   (MPIO) Yes Yes (VAMP)
Native 4-KB Disk Support Yes No
Maximum Virtual Disk Size 64TB VHDX 2TB VMDK
Maximum   Pass Through Disk Size 256TB+ 64TB
Offloaded Data Transfer Yes Yes (VAAI)
Dynamic Virtual Machine   Queue Yes NetQueue
IPsec Task Offload Yes No
SR-IOV   with Live Migration Yes No
Storage Encryption Yes No
Network Extensible Switch Extendable Replaceable
Confirmed Partner   Extensions 4 2
Private Virtual LAN   (PVLAN) Yes Yes
ARP/ND Spoofing Protection Yes vCNS/Partner
DHCP Snooping Protection Yes vCNS /Partner
Virtual Port ACLs Yes vCNS /Partner
Trunk   Mode to Virtual Machines Yes No
Port Monitoring Yes Yes
Port Mirroring Yes Yes
Live Migration VM Live Migration Yes Yes
1GB Simultaneous Live   Migrations Unlimited 4
10GB Simultaneous Live   Migrations Unlimited 8
Live Storage Migration Yes Yes
Shared Nothing Live   Migration Yes Yes
Network Virtualization Yes VXLAN
Other Incremental Backups Yes Yes
Inbox VM Replication Yes Yes
NIC Teaming Yes Yes
Integrated High   Availability Yes Yes
Guest OS Application   Monitoring Yes No
Failover Prioritization Yes Yes
Affinity &   Anti-Affinity Rules Yes Yes
Cluster-Aware Updating Yes Yes

On remarque donc une amélioration de la plateforme de VMware, principalement via l’addition du Share Nothing Live Migration, la réplication de VM nativement et du nombre de nœuds par cluster. Un changement notable entre la release preview et la version définitive de l’Hyperviseur de Microsoft est le passage du support de 4000 VM par cluster à 8000!

Pour rappel tout de même: la comparaison est ici faite entre un Hyperviseur gratuit (Hyper-V 2012) et une suite payante (vSphere 5.1 Enterprise Plus).

A vous de choisir bien entendu les outils adaptés à vos besoins, mais l’Hyperviseur de Microsoft n’est plus en retard sur sa concurrence, qu’il dépasse même sur de nombreux points (dont le prix…)

 

*Source: http://download.microsoft.com/download/5/A/0/5A0AAE2E-EB20-4E20-829D-131A768717D2/Competitive_Advantages_of_Windows_Server_2012_RC_Hyper-V_over_VMware_vSphere_5_0_V1_0.pdf

Windows 2012 est disponible, avec un bonus

Microsoft a enfin mis à disposition sa page Windows 2012 pour tous ceux qui l’attendaient (et les  autres):

http://www.microsoft.com/france/serveur-cloud/windows-server/2012/

 

La bonne nouvelle est qu’exactement en même temps le Microsoft Virtual Machine Converter Solution Accelerator passe en RTM.

Cet outil permet de migrer les VM de VMware vers Hyper-V gratuitement, c’est le moment de s’y mettre 🙂

http://www.microsoft.com/en-us/download/details.aspx?id=34591

Downgrade des licences Windows 2012 vers 2008R2

Windows 2012 étant maintenant dans les listes de prix, on ne peut donc plus commander de licences en volume Windows 2008R2.

Et comment donc obtenir une licence Enterprise puisque Windows 2012 n’existe pas en Enterprise?

Pour commencer, voici les questions/réponses sur cette nouvelle version: http://download.microsoft.com/download/4/D/B/4DB352D1-C610-466A-9AAF-EEF4F4CFFF27/WS2012_Licensing-Pricing_FAQ.pdf

 

Quelques détails maintenant:

  • Point le plus important: Les licences Windows 2012 Std/DC s’entendent par pair de processeur. Une licence couvre toujours 2 processeurs dans le serveur.
  • Chaque licence Standard autorise jusqu’à 2 VMs sur le serveur couvert (Datacenter continue d’offrir un nombre illimité de VMs)
  • Pour les machines physiques, une licence Windows Server Standard 2012 donne accès à la licence Standard ou Enterprise sur la machine couverte. Donc pas besoin d’acheter une licence Datacenter pour avoir une licence Enterprise.
  • Un serveur couvert par une licence Standard autorise jusqu’à deux VMs, et dans le cadre du downgrade et ces deux VMs peuvent êtres des Windows 2008R2 Enterprise.

Comme il n’existe plus de différences fonctionnelles entre les OS Standard et Datacenter, toutes les implémentations physiques complexes ne nécessiteront donc que des licences Standard (les clusters entre autre, ou les machines gourmandes en RAM).

 

On sort donc d’un joli casse-tête même si les prix montent un peu avec cette nouvelle mouture.

Windows 8 et Windows 2012 en vente

Les listes de prix des licences en volume viennent d’être mise à jour chez les11 grossistes avec Windows 8 et Windows 2012.

On peut donc dès aujourd’hui passer commande de ces licences aux revendeurs.

 

Les prix indicatifs sont aux alentours de 1130€ pour une licence Windows 2012 Standard et 6160€ pour la licence Datacenter (pour 2 CPU et non 1 comme précédemment), la CAL elle reste à 37,50€ par utilisateur ou machine.