Catégorie : Windows server

Active Directory : Supprimer un objet protégé contre les suppressions

Lorsque vous créez un objet dans l’Active Directory, vous aurez sous doute remarqué la petite case : Protéger le conteneur contre une suppression accidentelle.

Plusieurs raisons de vouloir laisser cette case cochée :

  • Il vous arrive d’administrer votre serveur à 3h du matin après être rentré d’une fête;
  • Vous avez tendance à cliquer un peu n’importe où;
  • Vous ne prêtez guère d’importance aux messages du style : « Êtes-vous sûr ? »

Dans tous les cas, lorsque vous tentez de supprimer ladite ressource, un message d’erreur apparaît.

Ce qui semble donc normal. Cependant, vous ne craignez personne. Vous voulez ABSOLUMENT supprimer cette ressource. Vous vous rendez alors dans les propriétés de l’objet : rien. Rien à faire, elle est coincée à vie dans votre annuaire. Solution possible : réinstaller totalement votre serveur.

NON NE FAITES PAS ÇA ! Nous allons voir une petite manipulation rapide pour venir à vos fins.

Dans votre console d’utilisateurs et ordinateurs Active Directory, rendez-vous dans le menu Affichage, puis activez Fonctionnalités avancées.

Retournez dans les propriétés de votre objet à supprimer. Magie : dans l’onglet Objet, une case vous permettant de déprotéger votre ressource. Décochez-la, et supprimez l’objet.

Active Directory : Modifier le répertoire de création de nouveaux ordinateurs et utilisateurs

Lorsque vous joignez un ordinateur à votre domaine Active Directory, ou bien créez un utilisateur via Powershell, les objets sont créés respectivement dans les conteneurs Computers et Users. Oui, mais ce fonctionnement entraîne un principal défaut : il n’est pas possible d’appliquer des stratégies de groupe sur ceux-ci.

En effet, seules les Unités organisationnelles (OU) offrent cette possibilité. Certes, vous avez toujours la possibilité de déplacer un objet, ou de vous placer sur l’OU voulue lors du processus de sa création. Nous allons voir qu’il est cependant possible de modifier les répertoires par défaut pour ces deux types d’objets, grâce aux commandes magiques que sont redirusr et redircmp.

Prérequis

Le niveau fonctionnel de votre domaine doit au minimum être Windows Server 2003. Vous devez également être membre du groupe Administrateur du domaine ou Administrateur de l’entreprise pour réaliser ces opérations.

Rediriger le conteneur d’utilisateurs

Comme indiqué ci-dessus, nous allons utiliser la commande redirusr présente dans le dossier %SystemRoot%\System32. [–> En savoir plus sur les variables d’environnement]

Tout d’abord, vous devez créer l’OU qui doit accueillir vos nouveaux utilisateurs.

A l’aide de la console Utilisateurs et ordinateurs Active Directory, commencez par créer votre OU. Dans cet article, l’OU en question se nomme MesUtilisateurs.

Afin de créer la redirection, dans Powershell, entrez la commande suivante, en prenant soin de remplacer ou=MonOU par le nom de votre OU et dc=mondomaine,dc=com par votre domaine, bien évidemment

redirusr ou=MonOU,dc=mondomaine,dc=com

Nous allons donc vérifier que la nouvelle OU a bien été prise en compte en créant un nouvel utilisateur. Utilisons Powershell à nouveau pour créer le plus simple des comptes utilisateurs avec la commande New-ADUser. N’hésitez pas à consulter la documentation Microsoft pour connaître les différentes options de la commande. Entrez donc :

New-ADUser Titi

Vous pouvez vérifier dans la console d’utilisateurs et ordinateurs Active Directory la présence de votre nouvel utilisateur, et en plus, au bon endroit.

Rediriger le conteneur d’ordinateurs

L’idée est la même pour les ordinateurs, avec cette fois la commande redircmp.

A nouveau, vous devez créer l’OU qui doit accueillir les nouveaux ordinateurs enregistrés sur le domaine en utilisant la console Utilisateurs et ordinateurs Active Directory. Dans cet article, mon dossier s’appelle MesOrdinateurs.

Entrez donc la commande suivante, en remplaçant toujours ou=MonOU par le nom de votre OU et dc=mondomaine,dc=com par votre domaine

redircmp OU=Ordinateurs,DC=mondomaine,DC=com

Ensuite, nous allons ajouter un poste de travail dans le domaine. Vous pouvez le faire avec l’interface graphique, mais puisque nous avons Powershell sous la main, profitons-en.

Pour cela, la commande à entrer n’est pas très compliquée. Depuis le poste à ajouter sur le domaine, remplacez mondomaine.com par… le nom de votre domaine :

Add-Computer -Domain mondomaine.com

On lance la console Utilisateurs et ordinateurs Active Directory, incroyable, le nouvel objet ordinateur a été créé au bon endroit.

À présent, des stratégies de groupes peuvent être appliquées sur vos ordinateurs et utilisateurs.

Revenir aux valeurs d’origine

Si vous n’êtes pas satisfait de ces nouveaux emplacements, vous pouvez rétablir les répertoires d’origine. Pour cela, il suffit simplement d’entrer les commandes suivantes :

Pour rétablir le conteneur d’utilisateurs :

redirusr cn=users,dc=mondomaine,dc=com

Pour rétablir le conteneur d’ordinateurs :


redircmp cn=computers,dc=mondomaine,dc=com

Fièrement propulsé par WordPress & Thème par Anders Norén