Délégation et Powershell

Cette article traite de la délégation de droits via Powershell et fait suite à l’article Administrer ses utilisateurs – Partie 1.

Outils utilisés

ActiveRoles Management Shell

Pour la gestion des comptes d’utilisateurs, nous utiliserons les CMD-LET publiées par Quest: http://www.quest.com/powershell/activeroles-server.aspx

Ces outils sont gratuits et simplifient grandement la gestion du domaine en PowerShell, principalement en renvoyant la totalité de l’objet utilisateur AD et non une partie seulement lors des requêtes.

Appel des CMDLET Quest

Une fois installées, les CMDLET Quest doivent être importées via Add-PSSnapin en Powershell:

  • Add-PSSnapin Quest.ActiveRoles.ADManagement


Les CMDLET quest sont maintenant disponibles, tel que:
GET-QADPermission (pour voir les droits positionnés)
SET-QADPermission (pour modifier ces droits)
NEW-AQDGroup (pour créer les groupes nécessaires à la délégation)

Préparation du domaine
Nous souhaitons déléguer les droits de gestion des utilisateurs a notre utilisateur Mon_Esclave_IT (cf. article précédent)
Les meilleurs pratiques conseillent de ne jamais distribuer de droits a un utilisateurs directement, mais de toujours passer via des groupes pour cela.
Ce principe, nommé AGDLP ou AGUDLP est décrit dans l’article suivant:

http://technet.microsoft.com/en-us/library/bb742592.aspx (à partir de la section Creating Groups)

  • Nous créons donc un groupe d’utilisateur dans l’OU Groupes de l’OU Administration
    • New-QADGroup GG_Support_L1 -ParentContainer « OU=Groupes,OU=Administration,OU=Enterprise,DC=Client,DC=LU » -GroupType « Security » -GroupeScope « Global » -SamAccountName GG_Support_L1


Explications:

  • GG_Support_L1 car un groupe doit indiquer rapidement sa portée, ici Global Group (On attribue de droits qu’à des groupes de domain local en suivant AGDLP), décrit ses membres qui sont du Support, et L1 décrit les droits attribués par ce groupe (support level 1)
  • Conteneur parent Groupes dans Administration.

    Pourquoi pas directement dans Groupes mais dans Administration\Groupes?

    Et bien si je stock mes groupes de droits sur l’AD dans une OU sur laquelle je distribue des droits, alors ceux qui reçoivent les droits peuvent les utiliser pour en obtenir plus.

    Imaginez que je donne le droit d’ajouter des membres a un groupes dans une OU contenant « Domain Admins », a votre avis combien de temps avant que le service desk s’ajoute lui-même dans ce groupes?

  • Puis nous ajoutons notre utilisateur Mon_Esclave_IT a ce groupe:
    • ADD-QADGroupMember -Identity GG_Support_L1 -Member Mon_Esclave_IT

      Rien de très particulier lors de cette étape.

  • Les droits devant être géré au niveau du domain local et non via des groupes globaux, nous créons alors un groupe de DL ayant comme membre le groupe GG_Support_L1:
    • New-QADGroup DL_Support_L1 -ParentContainer « OU=Groupes,OU=Administration,OU=Enterprise,DC=Client,DC=LU » -GroupType « Security » -GroupeScope « DomainLocal » -SamAccountName DL_Support_L1
    • ADD-QADGroupMember -Identity DL_Support_L1 -Member DL_Support_L1

Résumé:

Nous avons créé un groupe GG_Support_L1 contenant l’utilisateur Mon_Esclave_IT dans l’OU Groupes de Administration

Ce groupe est membre du groupe DL_support_L1 auquel nous allons appliquer des droits.



Ajout des droits

Il ne reste donc plus qu’à ajouter les droits suivants

  1. Création/Modification/Suppression d’utilisateurs uniquement dans l’OU « Mes utilisateurs » de mon domaine
  2. Possibilité de forcer le changement de mot de passe d’un utilisateur.

Pour la première partie, l’usage de la CMDLET ADD-QADPermision sur l’OU Utilisateurs du domaine, pour créer et effacer les objets de type « User »

  • Add-QADPermission « OU=Utilisateurs,OU=Enterprise,DC=Client,DC=LU » -Account « Client\DL_Support_L1 » -Rights CreateChild,DeleteChild -ApplyTo All -ChildType User


Pour la seconde partie, l’usage du paramétre User-Change-Password est passé avec le commutateur ExtendedRight

  • Add-QADPermission « OU=Utilisateurs,OU=Enterprise,DC=Client,DC=LU » -Account « Client\DL_Support_L1 » -ExtendedRight User-Change-Password -ApplyTo ChildObjects -ApplyToType User


Ceci est un exemple des droits positionnables via PowerShell dans le cadre d’une délégation automatisée de droits, ce qui est très pratique pour standardiser les différentes tâches entre différents domaines. 

Publicités

Disponibilité de System Center 2012 Service Pack 1

Le Service Pack 1, nécessaire pour la gestion de Windows 2012, Windows 8 et de Datacenter/Cloud est enfin disponible.

Actuellement uniquement sous Technet et MSDN, donc pour test uniquement, mais très bientôt il devrait apparaitre dans les listes de téléchargements des licences en volume.

Finalement, les Mayas avaient peut être prévu seulement la fin du Cloud a l’ancienne…

Avantages de Windows 2012 Hyper-V sur VMware vSphere 5.0

Microsoft a mis à jour son document de comparatif entre son virtualiseur qui sort avec Windows 2012 et son principal concurrent.

Même si les caractéristiques de vSphere 5.1 sont encore inconnues, Hyper-V devient maintenant largement suffisant pour la plupart des projets de virtualisation. Il ne reste donc à VMware qu’à rendre un peu plus gratuit certaines de ses fonctionnalités (disponibles dans le virtualiseur du concurrent).

Le lien: http://t.co/omSWsnZB

PS: Oui, Hyper-V Server 2012 arrive en version gratuite lui aussi, et là il y aura toujours largement plus de fonctions disponibles que sur un ESX sans vSphere 😉

 

Installez Windows 8 sur un disque virtuel

Depuis Windows 7 et son pendant serveur, Windows 2008R2, il est possible d’installer et de booter sur un disque virtuel (VHD) sans utiliser de disques dédiés ou redimensionner vos partitions.

La meilleurs partie de ce processus est que le disque virtuel créé pour l’installation est un disque dynamique, il n’a donc besoin que de l’espace nécessaire au contenu, et il grandira avec vos besoins sans avoir à modifier de partitions prévue trop courtes.

Et quand votre test est fini, ou quand vous souhaitez récupérer l’espace libre ?

Il suffit de supprimer ce fichier, et voilà, vous avez désinstallé Windows 8.

Lire la suite

Virtualisation du rôle Messagerie Unifiée

Depuis Exchange 2010, la virtualisation du rôle Unified Messaging (Messagerie Unifiée) est quelquechose qui n’était pas autorisé (bon… ca marchait, mais sans support officiel)

Maintenant, avec le Service Pack 1 d’Exchange 2010, Microsoft a ajouté le support de la virtualisation pour ce rôle. Il est donc maintenant supporté de virtualiser l’ensemble des plateformes de communication unifiée, de bout en bout (Exchange, Lync et l’ensemble de l’infrastructure gravitant autour)

Ce changement est documenté dans le livre blanc suivant:

http://www.microsoft.com/download/en/details.aspx?id=2428

Bien sur, quelques prérequis sont à respecter, comme d’avoir un minimum de 4 coeurs et 16Go de RAM pour :

  • 40 appels concurrents avec voicemail preview
  • 65 appels concurrents sans voicemail preview

Cela signifie que tant que vous n’avez pas plus d’un appel concurrent pour 50 utilisateurs effectifs, vous pouvez supporter jusqu’à 2000 voicemail avec la fonction voix-vers-texte activée, ou 3250 si c’est désactivé… pas si mal, non?

Unified Messaging virtualization

Since Exchange 2007, virtualization of the Unified Messaging roles wasn’t something Microsoft allowed (well… it worked, but without support)

Now with the release of Exchange 2010 SP1, Microsoft added support for Virtualization of the Unified Messaging role. It’s now possible to virtualize to whole Unified Communication platform, end to end (Exchange, Lync and its supporting infrastructure)

This change is fully documented in the following whitepaper:

http://www.microsoft.com/download/en/details.aspx?id=2428

Some minimum prerequisites here, but a dedicated UM server should have a minimum of 4 core and 16GB or RAM can support up to:

  • 40 voicemail preview enabled concurrent call
  • 65 voicemail preview disabled concurrent call

This mean that if you have no more than 1 concurrent call per 50 user you can handle up to 2000 voicemail preview enabled user or 3250 disabled one… not so bad isn’t it?