La gestion des ordinateurs
Introduction
La notion de compte d’ordinateur Active Directory n’est pas tout à fait éloignée de celle de compte d’utilisateur Active Directory. Dans l’écosystème de l’Active Directory, un compte d’ordinateur est une entité à part entière répondant à un certain nombre de caractéristiques propres. Un compte d’ordinateur Active Directory peut être une station de travail, un serveur membre ou un contrôleur de domaine avec des rôles précis. En outre, les comptes d’ordinateurs sont caractérisés par des éléments ayant trait à leur appartenance à un domaine Active Directory, à des groupes, etc. Surtout, les comptes d’ordinateurs Active Directory sont des entités de sécurité, et ce au même titre que les comptes d’utilisateurs. La définition de tels comptes - mais c’est une réalité pour l’ensemble des objets composant une infrastructure Active Directory - impose une vive attention eu égard aux considérations dont ils peuvent faire l’objet en matière de sécurité.
La première tâche est d’essayer de comprendre ce qu’est un compte d’ordinateur Active Directory. Ensuite, nous apprendrons dans ce chapitre à effectuer la jonction...
Qu’est-ce qu’un compte d’ordinateur Active Directory ?
Un compte d’ordinateur Active Directory doit son existence propre à l’existence de l’ordinateur auquel il est relié. Par ordinateur, nous entendons une machine (entité physique), celle-ci joignant un domaine Active Directory. Par voie de conséquence, un compte d’ordinateur Active Directory est lié à un ordinateur comme réalité physique. Donc, nous pourrions considérer qu’un compte d’ordinateur est une formulation logique émanant de l’opération de jonction d’une machine à un domaine particulier.
Les comptes d’ordinateurs Active Directory sont des objets répondant exactement aux mêmes dispositions que les autres objets participant à la vie d’une infrastructure Active Directory. À ce titre, ils sont constitués d’attributs dont certains remontent aux débuts de l’existence de l’Active Directory en tant que technologie, et d’autres, comme l’attribut lastLogonTimestamp, ont été ajoutés au fur et à mesure des versions de Windows Server.
Un compte d’ordinateur possède, entre autres, les qualités suivantes :
-
Un nom unique relatif (DN) ;
-
Un nom de compte SAM ;
-
Un suffixe ainsi qu’un nom d’hôte DNS.
Ces qualités...
Joindre un ordinateur à un domaine Active Directory
Une infrastructure Active Directory est, par essence, dynamique. Souvent, les administrateurs système effectuent des opérations de jonction de machines à un domaine Active Directory. Il s’agit là d’une opération très courante et qui, par conséquent, entre dans la catégorie de celles dont l’automatisation doit être envisagée.
Plusieurs moyens sont disponibles pour joindre une machine à un domaine Active Directory. Dans l’optique de cet ouvrage, le mieux est de décrire un moyen applicable à toutes les versions de PowerShell, et non pas un moyen spécifique à une version et ses versions ultérieures.
1. La classe WMI Win32_ComputerSystem
La classe WMI Win32_ComputerSystem est le moyen par excellence pour réaliser une opération de jonction d’une machine à un domaine Active Directory, applicable à toutes les versions de Windows PowerShell, notamment la version 2. En l’occurrence, la classe WMI qui nous intéresse, Win32_ComputerSystem, représente un certain nombre d’informations d’ordre logiciel et matériel en lien avec une machine fonctionnant avec un système d’exploitation Windows.
Plus particulièrement, la méthode de la classe WMI Win32_ComputerSystem nous permettant de joindre une machine à un domaine Active Directory, JoinDomainOrWorkgroup(), accepte en arguments des éléments qu’il est important d’énumérer avant de l’utiliser :
-
l’argument Name, spécifiant...
Lister les comptes d’ordinateurs existant dans un domaine Active Directory
Procéder à une énumération des comptes d’ordinateurs dans des perspectives de reporting est une pratique très largement répandue. Il se trouve que les comptes d’ordinateurs sont des entités de sécurité et que par conséquent ils font l’objet d’études attentives pour développer des stratégies permettant de mieux cibler les éventuelles politiques de sécurité.
1. La cmdlet Get-ADComputer
Lister les comptes d’ordinateurs appartenant à un domaine Active Directory est notamment réalisé à l’aide de la cmdlet Get-ADComputer ; c’est un outil de recherche, comme beaucoup de cmdlets Active Directory, permettant d’énumérer un ou plusieurs comptes d’ordinateurs sur la base de critères que nous pouvons aussi rencontrer dans le fonctionnement d’autres commandes.
Le paramètre -Filter
Ce paramètre est un filtre utilisant des expressions Windows PowerShell pour la récupération d’objets.
Le paramètre -Identity
Ce paramètre spécifie un objet représentant un compte d’ordinateur.
Le paramètre -LDAPFilter
Ce paramètre est un filtre utilisant des expressions LDAP pour la récupération d’objets.
Le paramètre -Partition
Ce paramètre spécifie la partition Active Directory où une recherche aura lieu.
Le paramètre -Properties
Ce paramètre spécifie des propriétés d’objets à lister en plus des propriétés affichées par défaut.
Le paramètre -SearchBase
Ce paramètre spécifie un point de recherche Active Directory comme base de départ.
Le paramètre -SearchScope
Ce paramètre spécifie une étendue de recherche.
Le paramètre -Server
Ce paramètre spécifie une instance de domaine Active Directory à laquelle se connecter.
2. Get-ADComputer en action
Ici, la commande Get-ADComputer sera utilisée pour lister les comptes d’ordinateurs du domaine contoso.com. Pour y arriver, nous invoquerons simplement le paramètre -Filter aidé de l’argument générique...
Déplacer un compte d’ordinateur au sein d’un même domaine Active Directory
Une infrastructure Active Directory est, fondamentalement, une organisation dont les éléments qui la composent changent sa structure de manière dynamique. Cet aspect des choses rend cette technologie plus pragmatique, car elle échappe du coup à un état figé s’opposant à l’idée de dynamisme. Finalement, une organisation telle que la propose Active Directory reflète d’une façon adéquate l’environnement qui a préludé à son existence, environnement par essence dynamique.
1. La cmdlet Move-ADObject
Move-ADObject est une commande ne visant pas une catégorie particulière, mais au contraire, un grand nombre de types d’objets différents pouvant exister au sein d’une infrastructure Active Directory. La cmdlet Move-ADObject est un des symboles du dynamisme de l’Active Directory, puisqu’elle autorise le déplacement d’objets d’un point à un autre ; ces points sont des conteneurs et/ou des domaines différents.
Le paramètre -Identity
Ce paramètre spécifie un objet Active Directory. Cela peut être, par exemple, un compte d’utilisateur ou d’ordinateur, un groupe particulier ou un compte de service.
Le paramètre -Partition
Ce paramètre...
Rechercher des ordinateurs ayant un système d’exploitation particulier
Un des critères de recherche de comptes d’ordinateurs est évidemment le système d’exploitation, tout simplement parce que les machines existant dans une infrastructure Active Directory reposent souvent sur des systèmes différents. Les stations de travail et les serveurs, pour ne prendre que cette comparaison, n’ont certainement pas les mêmes caractéristiques en matière de système d’exploitation, leurs rôles étant différents.
1. Exploiter la propriété OperatingSystem
Une propriété liée aux objets représentant des ordinateurs nous donne l’information qui concerne le nom du système d’exploitation : OperatingSystem. Tous les comptes d’ordinateurs Active Directory possèdent cette propriété, ce qui rend possible des recherches basées sur ce critère. En ce qui nous concerne, nous effectuerons une recherche au sein du domaine contoso.com dans le but de ne lister que les comptes d’ordinateurs dont les systèmes d’exploitation sont de type Windows 7. Commençons par afficher l’ensemble des ordinateurs du domaine contoso.com :
PS> Get-ADComputer -Filter { Name -like "*" }
DistinguishedName : CN=SLC-DC01,OU=Domain Controllers,DC=contoso,DC=com
DNSHostName : SLC-DC01.contoso.com
Enabled : True
Name ...