Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !

La gestion des utilisateurs

Introduction

Les ressources contenues dans l’Active Directory sont accessibles à travers un certain nombre de règles propres à chacune. Un utilisateur Active Directory peut avoir accès ou non à ces ressources en fonction de ces règles mais aussi de logiques inhérentes au fonctionnement de l’infrastructure concernée. L’élément le plus important ici est qu’avant d’avoir accès aux différentes ressources d’une infrastructure Active Directory, un utilisateur doit pouvoir être clairement authentifié en son sein.

Nous comprenons donc que la notion de compte d’utilisateur est très importante dans le fonctionnement même du service d’annuaire Active Directory. Ce chapitre nous aidera à mieux comprendre cette notion de compte d’utilisateur. Nous y apprendrons ce que recouvre ce concept ainsi que les différents types d’opérations qui lui sont liés avec Windows PowerShell.

Qu’est-ce qu’un compte d’utilisateur Active Directory ?

Un compte d’utilisateur Active Directory représente la plupart du temps une entité physique (personne). Deux principes fondamentaux se dégagent de cette notion :

1.

Un compte d’utilisateur identifie formellement l’entité physique dont il est question : ce principe permet un processus d’authentification dans une infrastructure Active Directory. Idéalement, un compte d’utilisateur unique ne devrait pas être utilisé par plusieurs personnes.

2.

Un compte d’utilisateur autorise ou non l’accès à des ressources : grâce à des systèmes de permissions reliés aux ressources d’une infrastructure Active Directory, un compte d’utilisateur, en fonction de ses permissions, pourra ou non accéder à ces ressources.

Il existe trois comptes par défaut, lors de la création d’un domaine Active Directory :

1.

Le compte « Administrateur » : ce compte dispose d’un contrôle total du point de vue de la gestion d’un domaine Active Directory. Avec ce compte, des permissions peuvent être appliquées à d’autres comptes d’utilisateurs. Il représente le compte d’administration par excellence et doit être utilisé avec prudence.

2.

Le compte...

Obtenir des informations à propos des comptes d’utilisateurs

Nous savons à présent ce que recouvre la notion de compte d’utilisateur Active Directory. En ce qui concerne la structure d’un objet représentant un compte d’utilisateur, le premier constat est qu’elle est riche en informations essentielles pour les informaticiens ayant pour charge de gérer tout ou partie d’une infrastructure Active Directory. Windows PowerShell rend possible la découverte de ces informations de manière très aisée : la cmdlet Get-ADUser est redoutablement efficace pour lister un objet représentant un compte d’utilisateur (cela est évidemment aussi le cas pour lister plusieurs objets), et donc pour obtenir toutes les informations qui lui sont liées.

1. La cmdlet Get-ADUser

Get-ADUser cherche au sein d’un annuaire Active Directory un objet dont la particularité est d’être un compte d’utilisateur. Un compte d’utilisateur peut notamment être identifié par son nom, son nom unique (DistinguishedName) ou son identificateur de sécurité (SID). Pour atteindre le ou les objets concernés, la cmdlet Get-ADUser fonctionne avec des paramètres puissants que l’on peut retrouver dans d’autres contextes :

Le paramètre -Filter

Spécifie une requête basée sur des expressions Windows PowerShell et listant le ou les objets Active Directory recherchés.

Le paramètre -Identity

Spécifie un objet Active Directory représentant un compte d’utilisateur.

Le paramètre -LDAPFilter

Spécifie une requête LDAP servant à filtrer le ou les objets collectés.

Le paramètre -Partition

Spécifie une partition Active Directory où la requête sera effectuée.

Le paramètre -SearchBase

Indique un chemin d’accès Active Directory où la requête sera effectuée.

Le paramètre -SearchScope

Spécifie la portée qu’une requête pourra avoir. Les valeurs possibles sont : Base (ou 0), OneLevel (ou 1) et Subtree (ou 2). Si la valeur est Base, alors la requête est réalisée uniquement au niveau du chemin spécifié. Si la valeur est OneLevel, alors la requête est réalisée...

Créer un compte d’utilisateur

Le processus classique de création des comptes d’utilisateurs est une opération que les administrateurs Active Directory connaissent bien : passer par une série de fenêtres pour paramétrer les options d’un compte, puis, une fois que le compte est créé, passer au compte suivant, etc. En réalité, créer un compte d’utilisateur en passant par ce processus n’est pas gênant ; si cela se produit une fois de temps à autre, alors il n’y a pas de problèmes. Mais au contraire, si des dizaines de comptes d’utilisateurs doivent être créés, ce qui est souvent le cas, le processus devient alors rébarbatif et cela peut prendre des heures. Heureusement, Windows PowerShell fournit un outil important pour éviter ce phénomène : la commande New-ADUser.

1. La cmdlet New-ADUser

Windows PowerShell rend possible la création de comptes d’utilisateurs Active Directory grâce à la cmdlet New-ADUser. Cette commande crée un ou plusieurs comptes d’utilisateurs de multiples façons. C’est un outil incontournable lorsqu’il s’agit d’ajouter des comptes d’utilisateurs à une infrastructure Active Directory existante. En outre, elle dispose d’un nombre impressionnant de paramètres.

Le paramètre -Name

Indique le nom du compte d’utilisateur.

Le paramètre -AccountExpirationDate

Indique la date d’expiration...

Modifier un compte d’utilisateur

Dans l’exercice consistant à administrer une infrastructure Active Directory, en matière de gestion des comptes d’utilisateurs, il est fréquent, en plus de créer des comptes d’utilisateurs, d’en modifier les informations ou les propriétés : une appartenance à un groupe, une description, une adresse, un numéro de téléphone, des informations de profil ou de mot de passe, etc. Effectuer des modifications de comptes d’utilisateurs est une opération quasi quotidienne pour un informaticien dont la tâche est de gérer un contexte Active Directory.

1. La cmdlet Set-ADUser

La modification d’informations à propos de comptes d’utilisateurs est, grâce à la commande Set-ADUser, une opération réalisable avec Windows PowerShell. Set-ADUser est, à l’instar de la commande Get-ADUser, dotée de très nombreux paramètres parce qu’elle joue un rôle central dans la gestion des comptes d’utilisateurs. Plusieurs manières de modifier des comptes d’utilisateurs existent, et une multitude de combinaisons est autorisée pour parvenir à nos objectifs, sans même devoir recourir à d’autres commandes.

Le paramètre -AccountExpirationDate

Indique la date d’expiration d’un compte d’utilisateur.

Le paramètre -Add

Il s’agit d’un dictionnaire servant de base à l’ajout de valeurs de propriétés ne pouvant pas être modifiées par l’intermédiaire des paramètres existants.

Le paramètre -CannotChangePassword

Indique si le mot de passe d’un compte d’utilisateur peut être modifié.

Le paramètre -ChangePasswordAtLogon

Indique si un mot de passe doit être modifié lors de la prochaine ouverture de session. 

Le paramètre -Clear

Spécifie...

Supprimer un compte d’utilisateur

Ce chapitre se termine avec la suppression de comptes d’utilisateurs, opération tout aussi importante que celle qui consiste à en créer. Il existe plusieurs procédures permettant de supprimer un compte d’utilisateur Active Directory. Ces procédures sont classiques (outil en ligne de commande dsrm, console Active Directory Users and Computers) et sont utilisées depuis maintenant quelques années. Cette section évoquera la cmdlet Remove-ADUser, moyen mis à disposition par Windows PowerShell pour supprimer un compte d’utilisateur Active Directory.

1. La cmdlet Remove-ADUser

La commande Remove-ADUser supprime un compte d’utilisateur Active Directory à partir d’éléments différents pouvant lui être spécifiés :

  • Un nom unique, ou DistinguishedName (DN)

  • Un identificateur globalement unique (GUID)

  • Un identificateur de sécurité (SID)

  • Un nom de compte SAM

  • Un objet utilisateur

Tous ces éléments rendent la cmdlet Remove-ADUser très souple, même si le nombre de ses paramètres est réduit par rapport à d’autres cmdlets comme Get-ADUser :

Le paramètre -AuthType

Indique la méthode d’authentification à définir. Deux valeurs sont possibles : Negotiate (ou 0) et Basic (ou 1). Par défaut, la valeur...