Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit la mise à jour du Centre d’administration Active Directory avec la Corbeille Active Directory, les stratégies de mot de passe affinées ainsi que la Visionneuse de l’historique Windows PowerShell. Elle aborde notamment l’architecture, des exemples de tâches courantes et les informations de résolution des problèmes. Vous pouvez commencer par l'Introduction aux améliorations du Centre d'administration Active Directory (niveau 100).
Architecture du Centre d’administration Active Directory
Exécutables et DLL du Centre d’administration Active Directory
Le module et l’architecture sous-jacente du Centre d’administration Active Directory n’ont pas changé, même avec les fonctionnalités telles que la Corbeille, les stratégies de mot de passe affinées et la Visionneuse de l’historique.
- Microsoft.ActiveDirectory.Management.UI.dll
- Microsoft.ActiveDirectory.Management.UI.resources.dll
- Microsoft.ActiveDirectory.Management.dll
- Microsoft.ActiveDirectory.Management.resources.dll
- ActiveDirectoryPowerShellResources.dll
Windows PowerShell et la couche d’opérations sous-jacents de la fonctionnalité de Corbeille sont illustrés ici :
Activation et gestion de la Corbeille Active Directory à l’aide du Centre d’administration Active Directory
Capabilities
- Le Centre d’administration Active Directory Windows Server 2012 ou version ultérieure vous permet de configurer et de gérer la Corbeille Active Directory depuis n’importe quelle partition de domaine d’une forêt. Vous n’avez plus besoin d’utiliser Windows PowerShell ni Ldp.exe pour activer la Corbeille Active Directory ou restaurer des objets dans des partitions de domaine.
- Le Centre d'administration Active Directory dispose de critères de filtrage avancés, ce qui facilite la restauration ciblée dans des environnements de grande taille comportant de nombreux objets supprimés de manière intentionnelle.
Limitations
Étant donné que le Centre d’administration Active Directory peut gérer uniquement les partitions de domaine, elle ne peut pas restaurer des objets supprimés des partitions Configuration, DNS du domaine ou DNS de la forêt. (Vous ne pouvez pas supprimer d’objets de la partition de schéma.) Pour restaurer des objets à partir de partitions non-domaines, utilisez Restore-ADObject.
Le Centre d’administration Active Directory ne peut pas restaurer des sous-arbres d’objets en une seule action. Par exemple, si vous supprimez une unité d’organisation comportant des unités d’organisation imbriquées, des utilisateurs, des groupes et des ordinateurs, la restauration de l’unité d’organisation de base ne restaure pas les objets enfants.
Note
L’opération de restauration par lot du Centre d’administration Active Directory produit un « meilleur » tri des objets supprimés au sein de la sélection uniquement, les parents sont donc classés avant les enfants pour la liste de restauration. Dans des cas de test simples, vous pouvez restaurer les sous-arbres d’objets en une seule action. Mais les cas particuliers, comme une sélection contenant des arbres partiels (arbres avec certains nœuds parents manquants) ou les cas d’erreurs, comme le fait d’ignorer des objets enfants en cas d’échec de restauration du parent, peuvent fonctionner de manière inattendue. C’est pourquoi vous devez toujours restaurer les sous-arbres des objets au cours d’une action distincte, une fois les objets parents restaurés.
La Corbeille Active Directory nécessite un niveau fonctionnel de forêt Windows Server 2008 R2 et vous devez être membre du groupe Administrateurs d’entreprise. Une fois que vous avez activé la Corbeille Active Directory, vous ne pouvez pas la désactiver. Celle-ci augmente la taille de la base de données Active Directory (NTDS.DIT) sur chaque contrôleur de domaine de la forêt. L'espace disque utilisé par la Corbeille continue d'augmenter au fil du temps car les objets et toutes leurs données d'attributs sont conservés.
Activation de la Corbeille Active Directory à l’aide du Centre d’administration Active Directory
Pour activer la Corbeille Active Directory, ouvrez le Centre d’administration Active Directory , puis sélectionnez le nom de votre forêt dans le volet de navigation. Dans le volet Tâches , sélectionnez Activer la Corbeille.
Le Centre d'administration Active Directory montre la boîte de dialogue Activer la confirmation de la Corbeille. Cette boîte de dialogue vous avertit que l'activation de la Corbeille est irréversible. Sélectionnez OK pour activer la corbeille Active Directory. Le Centre d’administration Active Directory montre une autre boîte de dialogue vous rappelant que la Corbeille Active Directory n’est pas entièrement fonctionnelle jusqu’à ce que tous les contrôleurs de domaine répliquent le changement de configuration.
Important
L’option permettant d’activer la Corbeille Active Directory n’est pas disponible si :
- le niveau fonctionnel de la forêt est inférieur à Windows Server 2008 R2.
- elle est déjà activée.
L’applet de commande Active Directory pour Windows PowerShell équivalente est :
Enable-ADOptionalFeature
Pour plus d’informations sur l’utilisation de Windows PowerShell pour activer la Corbeille Active Directory, voir le Guide pas à pas de la Corbeille Active Directory.
Gestion de la Corbeille Active Directory à l’aide du Centre d’administration Active Directory
Cette section utilise l’exemple d’un domaine existant nommé corp.contoso.com. Ce domaine organise les utilisateurs en une unité d’organisation parente nommée UserAccounts. L’unité d’organisation UserAccounts contient trois unités d’organisation enfants nommées par le service. Chacune de ces unités d’organisation enfants contient d’autres unités d’organisation, des utilisateurs et des groupes.
Stockage et Filtrage
La Corbeille Active Directory conserve tous les objets supprimés de la forêt. Il enregistre ces objets en fonction de l’attribut msDS-deletedObjectLifetime , qui est défini par défaut pour correspondre à l’attribut tombstoneLifetime de la forêt. Dans n’importe quelle forêt créée à l’aide de Windows Server 2003 SP1 ou version ultérieure, la valeur de tombstoneLifetime est définie sur 180 jours par défaut. Dans n’importe quelle forêt mise à niveau à partir de Windows 2000 ou installée avec Windows Server 2003 (aucun service pack), l’attribut tombstoneLifetime par défaut n’est pas défini et Windows utilise donc la valeur par défaut interne de 60 jours. Tout ceci est configurable. Vous pouvez configurer tous ces éléments et utiliser le Centre d’administration Active Directory pour restaurer les objets supprimés des partitions de domaine de la forêt. Vous devez continuer à utiliser le cmdlet Restore-ADObject pour restaurer des objets supprimés d’autres partitions, telles que Configuration. L’activation de la corbeille Active Directory rend le conteneur Objets supprimés visible sous chaque partition de domaine du Centre d’administration Active Directory.
Le conteneur Objets supprimés affiche tous les objets pouvant être restaurés dans cette partition de domaine. Les objets supprimés antérieurs à msDS-deletedObjectLifetime sont appelés objets recyclés. Le Centre d’administration Active Directory n’affiche pas d’objets recyclés et vous ne pouvez pas restaurer ces objets à l’aide du Centre d’administration Active Directory.
Pour obtenir une explication plus détaillée sur l’architecture et les règles de traitement de la Corbeille, voir Corbeille Active Directory : Compréhension, Implémentation, Bonnes pratiques et Dépannage.
Le Centre d'administration Active Directory limite artificiellement le nombre d'objets par défaut renvoyés d'un conteneur à 20 000 objets. Vous pouvez augmenter cette limite aussi élevée que 100 000 objets en sélectionnant le menu Gérer , puis en sélectionnant Options de liste de gestion.
Restoration
Filtering
Le Centre d'administration Active Directory offre des options de filtrage et des critères puissants avec lesquels vous devez vous familiariser avant d'effectuer une restauration réelle. Les domaines suppriment intentionnellement de nombreux objets au cours de leur durée de vie. La durée de vie de l’objet supprimé étant probablement de 180 jours, vous ne pouvez pas restaurer l’ensemble des objets lorsqu’un accident se produit.
Au lieu d’écrire des filtres LDAP complexes et de convertir des valeurs UTC en dates et heures, utilisez le menu Filtre de base et avancé pour répertorier uniquement les objets pertinents. Si vous connaissez le jour de suppression, le nom des objets ou toute autre donnée essentielle, vous pouvez affiner votre filtrage en les utilisant. Affichez ou masquez les options de filtre avancées en sélectionnant le chevron à droite de la zone de recherche.
L'opération de restauration prend en charge toutes les options de critères de filtre standard, les mêmes que les autres recherches. Parmi les filtres intégrés, les plus importants pour restaurer des objets sont généralement :
- ANR (résolution de noms ambiguë , non répertorié dans le menu, mais utilisé lorsque vous tapez dans la zone Filtre )
- Dernière modification entre des dates données
- Objet, à savoir utilisateur/inetOrgPerson/ordinateur/groupe/unité d'organisation
- Name
- Lors de la suppression
- Dernier parent connu
- Type
- Description
- City
- Country/region
- Department
- ID de l’employé
- Prénom
- Titre du travail
- Nom
- Nom du compte SAM
- State/Province
- Numéro de téléphone
- UPN
- Code postal/postal
Vous pouvez ajouter plusieurs critères. Par exemple, vous pouvez rechercher tous les objets utilisateurs supprimés le 24 septembre 2012, de Chicago dans l’Illinois, dont la fonction est « Manager ».
Vous pouvez également ajouter, modifier ou réorganiser les en-têtes de colonne pour fournir plus de détails quand vous analysez les objets à récupérer.
Pour plus d’informations sur ANR, consultez Attributs ANR.
Objet unique
La restauration d'objets supprimés s'est toujours déroulée en une seule opération. Le Centre d'administration Active Directory facilite cette opération. Pour restaurer un objet supprimé, tel qu'un utilisateur unique :
- Sélectionnez le nom de domaine dans le volet de navigation du Centre d’administration Active Directory.
- Double-cliquez sur Objets supprimés dans la liste de gestion.
- Cliquez avec le bouton droit sur l’objet, puis sélectionnez Restaurer, ou sélectionnez Restaurer dans le volet Tâches .
L'objet est restauré à son emplacement d'origine.
Sélectionnez Restaurer pour modifier l’emplacement de restauration. Cette option est utile si le conteneur parent de l’objet supprimé a également été supprimé, mais que vous ne souhaitez pas le restaurer.
Plusieurs objets homologues
Vous pouvez restaurer plusieurs objets de même niveau, tels que tous les utilisateurs d'une unité d'organisation. Maintenez la touche CTRL enfoncée et sélectionnez un ou plusieurs objets supprimés que vous souhaitez restaurer. Sélectionnez Restaurer dans le volet Tâches. Vous pouvez également sélectionner tous les objets affichés en maintenant les touches CTRL et A enfoncées, ou bien sélectionner une plage d’objets en appuyant sur Maj et en cliquant.
Plusieurs objets parents et enfants
Il est essentiel de comprendre le processus de restauration dans le cas d’une restauration impliquant plusieurs parents-enfants car le Centre d’administration Active Directory ne peut pas restaurer un arbre imbriqué d’objets supprimés en une seule action.
- Restaurez l'objet supprimé en premier dans un arbre.
- Restaurez les enfants immédiats de cet objet parent.
- Restaurez les enfants immédiats de ces objets parents.
- Répétez cette opération autant de fois que nécessaire jusqu'à ce que tous les objets soient restaurés.
Vous ne pouvez pas restaurer un objet enfant avant de restaurer son parent. La tentative de restauration renvoie l'erreur suivante :
The operation could not be performed because the object's parent is either uninstantiated or deleted.
L'attribut Dernier parent connu montre la relation parent de chaque objet. L'attribut Dernier parent connu passe de l'emplacement supprimé à l'emplacement restauré quand vous actualisez le Centre d'administration Active Directory après la restauration d'un parent. Vous pouvez donc restaurer cet objet enfant quand l’emplacement d’un objet parent n’affiche plus le nom unique du conteneur d’objets supprimés.
Envisagez le scénario dans lequel un administrateur supprime accidentellement l'unité d'organisation Ventes, qui contient les unités d'organisation enfants et utilisateurs.
Observez d’abord la valeur de l’attribut Dernier parent connu pour tous les utilisateurs supprimés et la manière dont OU=Sales\0ADEL:<guid+deleted nom unique du conteneur d’objet> est lu :
Filtrez sur le nom ambigu Ventes pour renvoyer l'unité d'organisation supprimée, que vous restaurez ensuite :
Actualisez le Centre d’administration Active Directory pour voir la modification de l’attribut Dernier parent connu de l’objet utilisateur supprimé en nom unique de l’unité d’organisation restaurée Ventes :
Filtrez sur tous les utilisateurs Ventes. Maintenez les touches CTRL + A enfoncées pour sélectionner tous les utilisateurs Ventes supprimés. Sélectionnez Restaurer pour déplacer les objets du conteneur Objets supprimés vers l’unité d’organisation Sales avec leurs appartenances de groupe et attributs intacts.
Si l’unité d’organisation sales contenait des unités d’organisation enfants propres, vous devez d’abord restaurer les unités d’organisation enfants avant de restaurer leurs enfants, et ainsi de suite.
Pour restaurer tous les objets supprimés imbriqués en spécifiant un conteneur parent supprimé, voir Annexe B : Restaurer plusieurs objets Active Directory supprimés (exemple de script).
L'applet de commande Active Directory pour Windows PowerShell qui permet de restaurer les objets supprimés est la suivante :
Restore-ADObject
La fonctionnalité cmdlet Restore-ADObject n’a pas changé entre Windows Server 2008 R2 et Windows Server 2012.
Filtrage côté serveur
Au fil du temps, le conteneur Objets supprimés peut cumuler plus de 20 000 (voire 100 000) objets dans les moyennes ou grandes entreprises et rencontre des difficultés pour tous les afficher. Le mécanisme de filtre du Centre d’administration Active Directory reposant sur un filtrage côté client, il ne peut donc pas afficher ces objets supplémentaires. Pour contourner cette limitation, utilisez les étapes suivantes pour effectuer une recherche côté serveur :
- Cliquez avec le bouton droit sur le conteneur Objets supprimés , puis sélectionnez Rechercher sous ce nœud.
- Sélectionnez le chevron pour exposer le menu +Ajouter des critères, sélectionnez +Ajouter et ajouter la dernière modification entre les dates données. L’heure de dernière modification (l’attribut whenChanged ) est une approximation étroite de l’heure de suppression. Dans la plupart des environnements, ils sont identiques. Cette requête effectue une recherche côté serveur.
- Identifiez les objets supprimés à restaurer à l’aide de filtres d’affichage supplémentaires et de tri avancé des résultats, puis restaurez-les normalement.
Configuration et gestion des stratégies de mot de passe affinées à l’aide du Centre d’administration Active Directory
Configuration des stratégies de mot de passe affinées
Le Centre d’administration Active Directory vous permet de créer et de gérer des objets de stratégie de mot de passe affinée (SMPA). La fonctionnalité de stratégies de mot de passe affinées a été introduite au sein de Windows Server 2008, mais c’est dans Windows Server 2012 qu’elle se voit dotée d’une interface de gestion graphique pour la première fois. Vous appliquez des stratégies de mot de passe affinées au niveau du domaine, ce qui permet la substitution du mot de passe de domaine unique nécessaire à Windows Server 2003. Si vous créez différentes stratégies de mot de passe affinées à l’aide de différents paramètres, les utilisateurs individuels ou les groupes obtiennent des stratégies de mot de passe différentes dans un domaine.
Pour plus d’informations sur les stratégies de mot de passe affinées, voir le Guide pas à pas relatif à la configuration des stratégies de verrouillage de compte et de mot de passe affinées (Windows Server 2008 R2).
Dans le volet de navigation , sélectionnez Arborescence, sélectionnez votre domaine, sélectionnez Système, puis sélectionnez Conteneur paramètres de mot de passe. Dans le volet Tâches , sélectionnez Nouveau, puis Sélectionnez Paramètres de mot de passe.
Gestion des stratégies de mot de passe affinées
La création d’un FGPP ou la modification d’un fichier existant affiche l’éditeur des paramètres de mot de passe . À partir d'ici, vous configurez toutes les stratégies de mot de passe souhaitées, comme dans Windows Server 2008 ou Windows Server 2008 R2, à ceci près que vous disposez désormais d'un éditeur spécifique intégré.
Renseignez tous les champs obligatoires (astérisque rouge) et tous les champs facultatifs, puis sélectionnez Ajouter pour définir les utilisateurs ou les groupes qui reçoivent cette stratégie. La stratégie de mot de passe affinée substitue les paramètres de la stratégie de domaine par défaut pour les principaux de sécurité spécifiés. Dans la capture d’écran précédente, une politique restrictive s’applique uniquement au compte Administrateur intégré, afin d’éviter toute compromission. La stratégie est bien trop complexe pour des utilisateurs standard, mais elle est adaptée dans le cas d'un compte à haut risque, uniquement utilisé par les professionnels de l'informatique.
Vous définissez également la priorité et les utilisateurs et groupes auxquels la stratégie s'applique dans un domaine donné.
Les applets de commande Active Directory pour Windows PowerShell relatives à la stratégie de mot de passe affinée sont :
Add-ADFineGrainedPasswordPolicySubject
Get-ADFineGrainedPasswordPolicy
Get-ADFineGrainedPasswordPolicySubject
New-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicySubject
Set-ADFineGrainedPasswordPolicy
La fonctionnalité d’applet de commande Stratégie de mot de passe affinée n’a pas changé entre Windows Server 2008 R2 et Windows Server 2012. Le diagramme suivant illustre les arguments associés pour les applets de commande :
Le Centre d'administration Active Directory vous permet également de rechercher l'ensemble des stratégies de mot de passe affinées appliqué à un utilisateur donné. Faites un clic droit sur un utilisateur et sélectionnez Afficher les paramètres de mot de passe résultants pour ouvrir la page Paramètres de mot de passe qui s’applique à cet utilisateur via une attribution implicite ou explicite :
L’examen des propriétés d’un utilisateur ou d’un groupe affiche les paramètres de mot de passe directement associés, qui sont les FGPP attribués explicitement :
L’affectation SMPA implicite ne s’affiche pas ici. Pour l’afficher, vous devez sélectionner l’option Afficher les paramètres de mot de passe résultants.
Utilisation de la Visionneuse de l'historique Windows PowerShell du Centre d'administration Active Directory
La gestion future de Windows est Windows PowerShell. Disposer des outils graphiques au-dessus d’une infrastructure d’automatisation des tâches permet de rendre la gestion des systèmes distribués les plus complexes plus cohérente et efficace. Vous devez comprendre le fonctionnement de Windows PowerShell pour réaliser au mieux votre potentiel et optimiser vos investissements en matière d'informatique.
Le Centre d'administration Active Directory fournit désormais un historique complet de toutes les applets de commande Windows PowerShell qu'il exécute ainsi que leurs arguments et leurs valeurs. Vous pouvez copier l'historique de l'applet de commande à un autre emplacement pour l'étudier ou la modifier et la réutiliser. Vous pouvez créer des notes de tâche pour vous aider à isoler les résultats Windows PowerShell de vos commandes dans le Centre d’administration Active Directory. Vous pouvez également filtrer l'historique pour trouver des points d'intérêt.
La Visionneuse de l’historique Windows PowerShell du Centre d’administration Active Directory vous permet d’apprendre tout en pratiquant.
Sélectionnez la flèche pour afficher la Visionneuse d’historique de Windows PowerShell.
Créez ensuite un utilisateur ou modifiez l'appartenance à un groupe. La Visionneuse de l'historique se met à jour en permanence avec un affichage réduit de chaque applet de commande que le Centre d'administration Active Directory a exécuté avec les arguments spécifiés.
Développez chaque élément de ligne pertinent pour afficher les valeurs fournies aux arguments de l'applet de commande :
Sélectionnez Démarrer la tâche pour créer une notation manuelle avant d’utiliser le Centre d’administration Active Directory pour créer, modifier ou supprimer un objet. Tapez ce que vous étiez en train de faire. Lorsque vous avez terminé avec votre modification, sélectionnez Terminer la tâche. La note de tâche regroupe toutes les actions effectuées dans une note réductible qui permet une meilleure compréhension.
Par exemple, pour voir les commandes Windows PowerShell utilisées pour changer le mot de passe d’un utilisateur et supprimer cet utilisateur d’un groupe :
La sélection de la zone Afficher tout affiche également les applets de commande Windows PowerShell détaillées Get-* qui récupèrent uniquement les données.
La Visionneuse de l’historique affiche les commandes littérales exécutées par le Centre d’administration Active Directory. Il se peut que vous remarquiez que certaines applets de commande s’exécutent de façon inutile. Par exemple, vous pouvez créer un utilisateur avec :
New-ADUser
La conception du Centre d’administration Active Directory a exigé une modularité et une utilisation du code minimales. Ainsi, plutôt qu'un ensemble de fonctions crée des utilisateurs et qu'un autre ensemble modifie des utilisateurs existants, il remplit chaque fonction séparément, puis les regroupe à l'aide des applets de commande. Gardez cela à l’esprit lorsque vous apprenez Active Directory Windows PowerShell. Vous pouvez également l'utiliser en tant technique d'apprentissage : en fait, Windows PowerShell permet d'accomplir facilement une tâche simple.
Gérer différents domaines dans le Centre d’administration Active Directory
Lorsque vous ouvrez Active Directory Administrative, le domaine auquel vous êtes actuellement connecté sur cet ordinateur (le domaine local) apparaît dans le volet de navigation du Centre d’administration Active Directory. En fonction des droits attribués à votre jeu actuel d’informations d’identification de connexion, vous pouvez afficher ou gérer les objets Active Directory contenus dans ce domaine local.
Vous pouvez également utiliser le même ensemble d’informations d’identification de connexion et la même instance du Centre d’administration Active Directory pour afficher ou gérer des objets Active Directory dans n’importe quel autre domaine de la même forêt, ou dans un domaine d’une autre forêt qui a établi une relation de confiance avec le domaine local. Les approbations à sens unique et bidirectionnelles sont prises en charge. Aucune appartenance à un groupe minimum n’est requise pour réaliser cette procédure.
Note
S’il existe une approbation à sens unique entre le domaine A et le domaine B à travers laquelle les utilisateurs du domaine A peuvent accéder aux ressources du domaine B et les utilisateurs du domaine B ne peuvent pas accéder aux ressources du domaine A, si vous exécutez le Centre d’administration Active Directory sur l’ordinateur sur lequel le domaine A est le domaine local, vous pouvez vous connecter au domaine B à l’aide du jeu actuel d’informations d’identification de connexion et dans la même instance du Centre d’administration Active Directory.
Mais si vous exécutez le Centre d’administration Active Directory sur l’ordinateur sur lequel le domaine B est le domaine local, vous ne pouvez pas vous connecter au domaine A à l’aide du même jeu d’informations d’identification et dans la même instance du Centre d’administration Active Directory.
Windows Server 2012 : Pour gérer un domaine étranger dans l’instance sélectionnée du Centre d’administration Active Directory à l’aide de l’ensemble actuel d’informations d’identification
Pour ouvrir le Centre d’administration Active Directory, dans le Gestionnaire de serveur, sélectionnez Outils, puis sélectionnez Centre d’administration Active Directory.
Pour ouvrir Ajouter des nœuds de navigation, sélectionnez Gérer, puis ajoutez des nœuds de navigation.
Dans Ajouter des nœuds de navigation, sélectionnez Se connecter à d’autres domaines.
Dans Se connecter à, tapez le nom du domaine étranger à gérer (par exemple,
contoso.com), puis sélectionnez OK.Lorsque vous êtes connecté avec succès au domaine étranger, parcourez les colonnes de la fenêtre Ajouter des nœuds de navigation, sélectionnez le ou les conteneurs à ajouter à votre volet de navigation du Centre d’administration Active Directory, puis sélectionnez OK.
Windows Server 2008 R2 : Pour gérer un domaine étranger dans l’instance sélectionnée du Centre d’administration Active Directory à l’aide de l’ensemble actuel d’informations d’identification
Pour ouvrir le Centre d’administration Active Directory, sélectionnez Démarrer, sélectionnez Outils d’administration, puis Centre d’administration Active Directory.
Tip
Une autre façon d’ouvrir le Centre d’administration Active Directory consiste à sélectionner Démarrer, sélectionner Exécuter, puis taper dsac.exe.
Ensuite, ouvrez Ajouter des nœuds de navigation, près du haut de la fenêtre du Centre d’administration Active Directory, et sélectionnez Ajouter des nœuds de navigation.
Tip
Une autre façon d’ouvrir Ajouter des nœuds de navigation consiste à faire un clic droit n’importe où dans l’espace vide du volet de navigation du Centre d’administration Active Directory, puis à sélectionner Ajouter des nœuds de navigation.
Dans Ajouter des nœuds de navigation, sélectionnez Se connecter à d’autres domaines.
Dans Se connecter à, tapez le nom du domaine étranger à gérer (par exemple,
contoso.com), puis sélectionnez OK.Lorsque vous êtes connecté avec succès au domaine étranger, parcourez les colonnes de la fenêtre Ajouter des nœuds de navigation, sélectionnez le ou les conteneurs à ajouter à votre volet de navigation du Centre d’administration Active Directory, puis sélectionnez OK.
Gérer un domaine à l’aide d’informations d’identification de connexion autres que les vôtres
Pour ouvrir le Centre d’administration Active Directory à l’invite de commandes, tapez la commande suivante, puis sélectionnez Entrée :
runas /user:<domain\user> dsac
<domain\user> est l’ensemble d’informations d’identification avec lequel vous souhaitez ouvrir le Centre d’administration Active Directory et dsac est le nom du fichier exécutable du Centre d’administration Active Directory.
Lorsque le Centre d’administration Active Directory est ouvert, parcourez le volet de navigation pour afficher ou gérer votre domaine Active Directory.
Résolution des problèmes de gestion des services de domaine Active Directory (AD DS)
Options de résolution des problèmes
Options de journalisation
Le Centre d’administration Active Directory contient désormais la fonctionnalité de journalisation intégrée, sous la forme d’un fichier de configuration de suivi. Créez/modifiez le fichier suivant dans le même dossier que dsac.exe :
dsac.exe.config
Créez le contenu suivant :
<appSettings>
<add key="DsacLogLevel" value="Verbose" />
</appSettings>
<system.diagnostics>
<trace autoflush="false" indentsize="4">
<listeners>
<add name="myListener"
type="System.Diagnostics.TextWriterTraceListener"
initializeData="dsac.trace.log" />
<remove name="Default" />
</listeners>
</trace>
</system.diagnostics>
Les niveaux de détail pour DsacLogLevel sont None, Error, Warning, Info et Verbose. Le nom du fichier de sortie peut être configuré et enregistré dans le même dossier que dsac.exe. La sortie peut vous renseigner sur le mode de fonctionnement du Centre d’administration Active Directory, les contrôleurs de domaine qu’il a contactés, les commandes Windows PowerShell qu’il a exécutées, les réponses obtenues et autres informations.
Par exemple, lorsque vous utilisez le niveau d’informations , qui retourne tous les résultats à l’exception du détail au niveau de la trace :
DSAC.exe démarre.
La journalisation démarre.
Le contrôleur de domaine doit renvoyer les informations de domaine initiales.
[12:42:49][TID 3][Info] Command Id, Action, Command, Time, Elapsed Time ms (output), Number objects (output) [12:42:49][TID 3][Info] 1, Invoke, Get-ADDomainController, 2012-04-16T12:42:49 [12:42:49][TID 3][Info] Get-ADDomainController-Discover:$null-DomainName:"CORP"-ForceDiscover:$null-Service:ADWS-Writable:$nullLe contrôleur de domaine DC1 a renvoyé depuis le domaine Corp.
Le lecteur virtuel PS Active Directory est chargé.
[12:42:49][TID 3][Info] 1, Output, Get-ADDomainController, 2012-04-16T12:42:49, 1 [12:42:49][TID 3][Info] Found the domain controller 'DC1' in the domain 'CORP'. [12:42:49][TID 3][Info] 2, Invoke, New-PSDrive, 2012-04-16T12:42:49 [12:42:49][TID 3][Info] New-PSDrive-Name:"ADDrive0"-PSProvider:"ActiveDirectory"-Root:""-Server:"dc1.corp.contoso.com" [12:42:49][TID 3][Info] 2, Output, New-PSDrive, 2012-04-16T12:42:49, 1 [12:42:49][TID 3][Info] 3, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49Obtenir les informations de la DSE racine du domaine.
[12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com" [12:42:49][TID 3][Info] 3, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1 [12:42:49][TID 3][Info] 4, Invoke, Get-ADOptionalFeature, 2012-04-16T12:42:49Obtenir les informations relatives à la Corbeille Active Directory du domaine.
[12:42:49][TID 3][Info] Get-ADOptionalFeature -LDAPFilter:"(msDS-OptionalFeatureFlags=1)" -Server:"dc1.corp.contoso.com" [12:42:49][TID 3][Info] 4, Output, Get-ADOptionalFeature, 2012-04-16T12:42:49, 1 [12:42:49][TID 3][Info] 5, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49 [12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com" [12:42:49][TID 3][Info] 5, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1 [12:42:49][TID 3][Info] 6, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49 [12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com" [12:42:49][TID 3][Info] 6, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1 [12:42:49][TID 3][Info] 7, Invoke, Get-ADOptionalFeature, 2012-04-16T12:42:49 [12:42:49][TID 3][Info] Get-ADOptionalFeature -LDAPFilter:"(msDS-OptionalFeatureFlags=1)" -Server:"dc1.corp.contoso.com" [12:42:50][TID 3][Info] 7, Output, Get-ADOptionalFeature, 2012-04-16T12:42:50, 1 [12:42:50][TID 3][Info] 8, Invoke, Get-ADForest, 2012-04-16T12:42:50Obtenir la forêt Active Directory.
[12:42:50][TID 3][Info] Get-ADForest -Identity:"corp.contoso.com" -Server:"dc1.corp.contoso.com" [12:42:50][TID 3][Info] 8, Output, Get-ADForest, 2012-04-16T12:42:50, 1 [12:42:50][TID 3][Info] 9, Invoke, Get-ADObject, 2012-04-16T12:42:50Obtenir les informations de schéma pour les types de chiffrement pris en charge, les stratégies de mot de passe affinées et certaines informations sur l’utilisateur.
[12:42:50][TID 3][Info] Get-ADObject -LDAPFilter:"(|(ldapdisplayname=msDS-PhoneticDisplayName)(ldapdisplayname=msDS-PhoneticCompanyName)(ldapdisplayname=msDS-PhoneticDepartment)(ldapdisplayname=msDS-PhoneticFirstName)(ldapdisplayname=msDS-PhoneticLastName)(ldapdisplayname=msDS-SupportedEncryptionTypes)(ldapdisplayname=msDS-PasswordSettingsPrecedence))" -Properties:lDAPDisplayName -ResultPageSize:"100" -ResultSetSize:$null -SearchBase:"CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com" -SearchScope:"OneLevel" -Server:"dc1.corp.contoso.com" [12:42:50][TID 3][Info] 9, Output, Get-ADObject, 2012-04-16T12:42:50, 7 [12:42:50][TID 3][Info] 10, Invoke, Get-ADObject, 2012-04-16T12:42:50Obtenir toutes les informations concernant l'objet de domaine à afficher pour l'administrateur qui a cliqué sur le sommet du domaine
[12:42:50][TID 3][Info] Get-ADObject -IncludeDeletedObjects:$false -LDAPFilter:"(objectClass=*)" -Properties:allowedChildClassesEffective,allowedChildClasses,lastKnownParent,sAMAccountType,systemFlags,userAccountControl,displayName,description,whenChanged,location,managedBy,memberOf,primaryGroupID,objectSid,msDS-User-Account-Control-Computed,sAMAccountName,lastLogonTimestamp,lastLogoff,mail,accountExpires,msDS-PhoneticCompanyName,msDS-PhoneticDepartment,msDS-PhoneticDisplayName,msDS-PhoneticFirstName,msDS-PhoneticLastName,pwdLastSet,operatingSystem,operatingSystemServicePack,operatingSystemVersion,telephoneNumber,physicalDeliveryOfficeName,department,company,manager,dNSHostName,groupType,c,l,employeeID,givenName,sn,title,st,postalCode,managedBy,userPrincipalName,isDeleted,msDS-PasswordSettingsPrecedence -ResultPageSize:"100" -ResultSetSize:"20201" -SearchBase:"DC=corp,DC=contoso,DC=com" -SearchScope:"Base" -Server:"dc1.corp.contoso.com"
La définition du niveau détaillé affiche également les piles .NET pour chaque fonction, mais celles-ci n’incluent pas suffisamment de données pour être utiles, sauf lorsque vous résolvez les problèmes après le dsac.exe souffre d’une violation d’accès ou d’un incident. Les deux causes probables de ce problème sont les suivantes :
- Les services Web Active Directory ne s’exécutent pas sur des contrôleurs de domaine accessibles.
- Les communications réseau sont bloquées vers les services Web Active Directory depuis l’ordinateur qui exécute le Centre d’administration Active Directory.
Important
Il existe également une version hors-bande du service appelée Passerelle de gestion Active Directory, qui s’exécute sur Windows Server 2008 SP2 et Windows Server 2003 SP2.
Les erreurs suivantes sont affichées lorsqu’aucune instance des services Web Active Directory n’est disponible :
| Error | Operation |
|---|---|
| « Impossible de se connecter à un domaine. Actualisez ou réessayez lorsque la connexion est disponible. » | Affiché au démarrage de l'application Centre d'administration Active Directory |
| « Impossible de trouver un serveur disponible dans le domaine <NetBIOS domain name> qui exécute le service ADWS (Active Directory Web Service) » | S’affiche lorsque vous sélectionnez un nœud de domaine dans l’application Centre d’administration Active Directory |
Pour résoudre ce problème, utilisez ces étapes :
Assurez-vous que les services Web Active Directory ont été démarrés sur au moins un contrôleur de domaine du domaine (et de préférence tous les contrôleurs de domaine dans la forêt). Assurez-vous qu’il est configuré pour démarrer automatiquement sur tous les contrôleurs de domaine.
Depuis l’ordinateur exécutant le Centre d’administration Active Directory, vérifiez que vous pouvez localiser un serveur exécutant les services Web Active Directory à l’aide des commandes NLTest.exe suivantes :
nltest /dsgetdc:<domain NetBIOS name> /ws /force nltest /dsgetdc:<domain fully qualified DNS name> /ws /forceSi ces tests échouent alors que les services Web Active Directory sont en cours d’exécution, cela signifie que le problème est lié à la résolution des noms ou à LDAP, et non aux services Web Active Directory ou au Centre d’administration Active Directory. Ce test échoue en renvoyant l’erreur « 1355 0x54B ERROR_NO_SUCH_DOMAIN » dans le cas où les services Web Active Directory ne s’exécutent pas sur des contrôleurs de domaine. Il est donc préférable de vérifier deux fois avant de tirer toute conclusion.
Sur le contrôleur de domaine renvoyé par Nltest, videz la liste du port d’écoute avec la commande suivante :
Netstat -anob > ports.txtExaminez le fichier ports.txt et assurez-vous que les services Web Active Directory écoutent sur le port 9389. Par exemple:
TCP 0.0.0.0:9389 0.0.0.0:0 LISTENING 1828 [Microsoft.ActiveDirectory.WebServices.exe] TCP [::]:9389 [::]:0 LISTENING 1828 [Microsoft.ActiveDirectory.WebServices.exe]Si c’est le cas, validez les règles du Pare-feu Windows et vérifiez qu’elles autorisent le port TCP 9389 entrant. Les contrôleurs de domaine activent la règle de pare-feu « Services Web Active Directory (TCP entrant) » par défaut. » Si le service n’écoute pas, assurez-vous à nouveau qu’il s’exécute sur ce serveur et redémarrez-le. Vérifiez qu'aucun autre processus n'est déjà en train d'écouter sur le port 9389.
Installez NetMon ou un autre utilitaire de capture réseau sur l’ordinateur exécutant le Centre d’administration Active Directory et sur le contrôleur de domaine renvoyé par NLTEST. Rassemblez des captures du réseau simultanées depuis les deux ordinateurs, sur lesquels vous démarrez le Centre d'administration Active Directory et voyez l'erreur avant d'arrêter les captures. Vérifiez que le client est capable d'envoyer des données au contrôleur de domaine et d'en recevoir de ce dernier sur le port TCP 9389. Si des paquets sont envoyés mais n’arrivent jamais, ou s’ils arrivent et que le contrôleur de domaine répond mais qu’ils n’atteignent jamais le client, il est probable qu’il y ait un pare-feu entre les ordinateurs sur le réseau bloquant les paquets sur ce port. Ce pare-feu peut être logiciel ou matériel, et peut faire partie d’une protection de point de terminaison non-Microsoft (antivirus).