Étiquette : active directory

Active Directory : Supprimer un objet protégé contre les suppressions

Lorsque vous créez un objet dans l’Active Directory, vous aurez sous doute remarqué la petite case : Protéger le conteneur contre une suppression accidentelle.

Ce qui fait que lorsque vous tentez de supprimer ladite ressource, un message d’erreur apparaît.

Néanmoins, vous ne craignez personne. Vous voulez ABSOLUMENT supprimer cette ressource. Vous vous rendez alors dans les propriétés de l’objet : rien. Rien à faire, elle est coincée à vie dans votre annuaire.

Bien sûr que non !

Toujours dans votre console d’utilisateurs et ordinateurs Active Directory, rendez-vous dans le menu Affichage, puis activez Fonctionnalités avancées.

Retournez dans les propriétés de votre objet à supprimer. Magie : dans l’onglet Objet, une case vous permettant de déprotéger votre ressource. Décochez la, et supprimez l’objet.

Active Directory : Modifier le répertoire de création de nouveaux ordinateurs

Lorsque vous ajoutez un nouvel ordinateur dans votre domaine Active Directory, s’il n’a pas été créé au préalable, le compte ordinateur est automatiquement créé dans le conteneur Computers.

Néanmoins, ce conteneur ne peut pas recevoir de stratégie de groupe spécifique. Il vous faut déplacer les comptes ordinateur dans les Unités d’Organisation désirées.

Cependant, il vous est possible de modifier l’emplacement par défaut de création de comptes ordinateur.

Commencez par créer une nouvelle Unité d’organisation (Console Utilisateurs et Ordinateurs Active Directory > Clic droit sur le domaine > Nouveau > Unité d’organisation).

Puis, lancez une invite de commande et entrez la commande :

redircmp « OU=Ordinateurs, DC=NomDuDC, DC=NomDuDC »

En remplaçant bien évidemment NomDuDC par le nom de votre domaine.

Lors des prochaines jonctions, les comptes ordinateur seront créés dans votre nouvelle unité d’organisation, que vous aurez à la possibilité de personnaliser à l’aide de stratégies de groupe.

 

Créer une nouvelle unité d’organisation

Une unité d’organisation, c’est quoi ?

Une unité d’organisation, c’est un objet permettant de hiérarchiser les différents objets de l’Active Directory d’une entreprise.

Vous pouvez être amenés par exemple à hiérarchiser vos postes informatiques, imprimantes, utilisateurs ou autre par service, type d’objet… ou je ne sais quoi.

L’avantage des unités d’organisations est de pouvoir appliquer diverses stratégies (montage de lecteurs réseau, limitation dans la personnalisation du poste, installation de logiciels, droits d’accès) à divers groupe d’objets.

Prérequis

Pour pouvoir créer une unité d’organisation, il faut être membre du coupe Opérateurs de compte, Admins du domaine, Administrateurs de l’entreprise.

Créer une unité d’organisation

Ouvrez le module Utilisateur et ordinateurs Active Directory. Dans le volet de gauche, effectuez un clic droit sur votre domaine, puis Nouveau > Unité d’organisation.

Créer une nouvelle unité d’organisation

Vous pouvez également vous placer à l’intérieur d’une unité d’organisation déjà existante au moment du clic droit.

Nommez votre nouvel objet, et laissez cocher la case Protéger le conteneur contre une suppression accidentelle. Cela évitera de voir l’unité partir en fumée en cas de mauvaise manipulation.

Créer une nouvelle unité d’organisation

Réinitialiser le mot de passe d’un utilisateur dans l’Active Directory

Les mots de passe sont importants. Il ne faut pas qu’ils soient trop simples. Donc en tant qu’administrateur prévoyant, vous avez mis en place une stratégie de mot de passe pointue.

Oui, mais zut, tellement pointue qu’un de vos utilisateurs a oublié le sien. Forcément, quand l’on empêche de mettre en mot de passe sa date de naissance ou le nom de son chat, c’est tout de suite plus compliqué à retenir.

Comment fait-on ? On réinitialise son mot de passe bien sûr. Plusieurs moyens possibles.

Réinitialisation par l’interface graphique

Rien de très compliqué, rendez-vous dans le module de gestion Utilisateurs et ordinateurs Active Directory. Déroulez les OU, cherchez votre utilisateur, puis faites un clic droit dessus, et choisissez Réinitialiser le mot de passe. Une fenêtre s’ouvre en vos demandant de taper deux fois un nouveau mot de passe.

Vous avez la possibilité, via deux cases à cocher, de demander à ce que l’ordinateur change son mot de passe à sa première reconnexion, après avoir entré le mot de passe que vous lui aurez fourni, mais également de déverrouiller le compte utilisateur, si ce dernier était verrouillé bien évidemment.

Réinitialiser le mot de passe d'un utilisateur dans l'Active Directory

Réinitialisation par Powershell

L’opération peut être réalisée via Powershell. Pour cela, ouvrez une invite de commande Powershell. Dans un premier temps, activez les commandes spécifiques à Active Directory via la commande :

Import-Module ActiveDirectory

Puis

 Set-ADAccountPassword -Reset -Identity nom

En remplaçant bien sûr nom par le nom de l’utilisateur.

Créer un profil itinérant sous Windows 2008/2012

En entreprise, il n’est pas rare de voir un utilisateur « piquer » l’ordinateur d’un collègue.

Ce qui est pratique, c’est qu’avec ses identifiants Windows – pour peu que les utilisateurs aient un compte Active Directory bien évidemment – on peut ouvrir sa session depuis n’importe quel poste.

… mais, il y a un mais, les derniers documents personnels ne sont pas accessibles. Normal, ils sont stockés sur le précédent poste.

Un moyen de résoudre à ce problème : créer un profil itinérant. Avec cette méthode, tous les fichiers créés ou modifiés sont stockés sur le serveur :

  • À l’ouverture de la session, s’il s’agit de la première connexion de l’utilisateur sur le poste, le dossier utilisateur est téléchargé (Bureaux, favoris…)
  • À la fermeture de la session, les fichiers modifiés prennent le sens inverse et sont stockés sur le serveur.

De cette manière, les utilisateurs retrouveront leurs documents quel que soit le poste sur lequel ils se connectent.

Voici comment configurer cela.

Tout d’abord, il est nécessaire de créer sur le serveur, un répertoire qui accueillera tous les profils utilisateur.

Une fois cela fait, rendez-vous dans les propriétés du dossier, onglet Partage. Choisissez ensuite Partage avancé, cochez la case Partager le dossier, puis cliquez sur le bouton Autorisations.

Vérifiez que le Nom de groupes ou d’utilisateurs est bien positionné sur Tout le monde, puis indiquez Autorisé sur la valeur Contrôle total. Puis validez les différentes fenêtres.

Créer un profil itinérant sous Windows 2008/2012

Ensuite, ouvrez la console Utilisateurs et Ordinateurs Active Directory, puis entrez dans les propriétés d’un utilisateur.

Dans l’onglet Profil, repérez le champ Chemin du profil. C’est ici que vous devez renseigner l’adresse UNC du dossier précédemment partagé sous la forme : \\Serveur\Dossier\%username% :

Serveur : Correspondent au nom de votre serveur. Ici : DC
Dossier : Le nom du dossier partagé. Ici : Profils utilisateur
%username% : il s’agit d’une variable, elle sera automatiquement remplacée par le nom de l’utilisateur.

J’entre donc :

\\DC\Profils utilisateur\%username%

Créer un profil itinérant sous Windows 2008/2012

L’opération est à faire sur chaque compte utilisateur. Vous pouvez en sélectionner plusieurs puis entrer dans les propriétés, et entrer le chemin d’accès, sans oublier la variable %username%.

Créer un profil itinérant sous Windows 2008/2012

Dorénavant, le dossier utilisateur sera situé sur le serveur, et sera synchronisé à chaque ouverture et fermeture de session.

Joindre un Mac à un domaine Active Directory

« Mais non, tu ne peux pas joindre un Mac à un domaine Active Directory ! Apple ne permettrait jamais ça ! »

Voilà une phrase que j’ai entendu récemment. Comment ça, joindre un Mac à un domaine AD n’est pas possible ?

Je vous propose de jeter un oeil dans le menu Pomme > Préférences Système > Utilisateurs et groupes.

Une fois à l’intérieur de ce panneau, cliquez éventuellement sur le cadenas en bas à gauche de la fenêtre afin de pouvoir effectuer des modifications.

Joindre un Mac à un domaine Active Directory
Puis, dans le volet de gauche, cliquez sur Options.

En bas de la fenêtre, vous trouverez le label Compte serveur réseau : cliquez alors sur Rejoindre.

Joindre un Mac à un domaine Active Directory
Magique : vous pouvez désormais insérer le nom de votre domaine AD afin de joindre votre Mac !

Joindre un Mac à un domaine Active Directory

Fièrement propulsé par WordPress & Thème par Anders Norén

Afficher
Cacher