Outils pour utilisateurs

Outils du site


windows:server_2012:active_directory

Windows Server 2012 : Active Directory



Cette page présente quelques manipulations autour d'Active Directory sous Windows Server 2012. Les commandes sont parfois données en commande DOS, parfois en PowerShell.
Pour l'installation et la désinstallation du rôle AD depuis un Server Core, rendez-vous sur la page Windows Server 2012 : Core


Créer un ordinateur

En lignes de commandes

Pour créer un ordinateur en ligne de commande, on utilise dsadd.exe de la manière suivante :

dsadd computer computerdn


En PowerShell

Pour créer un utilisateur avec PowerShell

New-ADComputer -Name computername -path "computerdn"



Créer un groupe

En lignes de commandes

Pour créer un groupe en ligne de commande, on utilise dsadd.exe de la manière suivante :

dsadd group groupdn [paramètres]


Si on ne spécifie pas de paramètres, dsadd va créer par défaut un groupe de sécurité global. Les paramètres sont :

-secgrp yes|no   (yes pour un groupe de sécurité, no pour un groupe de distribution)
-scope l|g|u     (local, global ou universel)
-samid SAMName
-desc description
-memberof GroupDN
-member GroupDN


En PowerShell

En PowerShell, on utilise New-ADGroup pour créer des groupes :

New-ADGroup
-Name groupname
-SamAccountName samname
-GroupCategory Distribution|Security
-GroupScope DomainLocal|Global|Universal
-Path distinguishedname



Modifier un groupe

En lignes de commandes

Pour modifier un groupe, on utilise la commande dsmod.exe :

dsmod group groupname [paramètres]


Les paramètres à utiliser sont :

-secgrp yes|no   (yes pour un groupe de sécurité, no pour un groupe de distribution)
-scope l|g|u     (local, global ou universel)
-addmbr userdn
-rmmbr userdn
-chmbr userdn    (cette option remplace la liste des membres par ceux indiqués ici)


Voici un exemple de modification de numéro de téléphone :

dn:"cn=Bob DURAND,ou=IT,dc=justegeek,dc=fr"
changetype: modify
replace: telephoneNumber
telephoneNumber: 0700000000


Créer des comptes en masse

En lignes de commandes

Pour créer des comptes “en masse” en lignes de commandes, on peut utiliser deux outils :

  • csvde.exe : permet l'import/export d'objets en utilisant un fichier csv
  • ldifde.exe : permet l'import/export des objets, mais également la modification et la suppression des objets


CSVDE.exe

CSVDE signifie Comma-Separated Value Directory Exchange. Exemple d'utilisation :

csvde.exe -i -f fichier.csv


LDIFDE.exe

LDIFDE signifie LDAP Data Interchange Format Directory Exchange Exemple d'utilisation :

ldifde.exe -i -f fichier.ldf


exemple de fichier ldf :

dn: "cn=Bob DURAND,ou=IT,dc=justegeek,dc=fr"
changetype: add
ObjectClass: user
SAMAccountName: bdurand
UserPrincipalName: bdurand@justegeek.fr
TelephoneNumber: 0600000000


Les actions possibles sont : add, modify and delete.

En PowerShell

En PowerShell, on peut également utiliser un fichier csv.

CSVDE.exe

Import-CSV users fichier.csv | foreach
{New-ADUser -SamAccountName $_.SamAccountName
-Name $_.Name -Surname $_.Surname
-GivenName $_.GivenName -Path "ou=IT,dc=justegeek,dc=fr"
-AccountPassword azerty -Enables $true}



Activer ou désactiver des comptes AD en PowerShell

Pour activer un compte :

Enable-ADAccount -Identity accountname

Pour désactiver un compte :

Disable-ADAccount -Identity accountname



Quelques lignes de commandes

Il est très intéressant de pouvoir agir sur Active Directory en lignes de commandes (pour faire des scripts par exemple). Voici donc quelques commandes :

  • dsadd : permet d'ajouter des objets AD
  • dsrm : permet de supprimer des objets AD
  • dsmove : permet de déplacer des objets
  • dsmod : permet de modifier les propriétés d'un objet
  • dsquery : permet de chercher des objets à partir de critères
  • dsget : permet de récupérer le valeur d'un attribut d'un objet


windows/server_2012/active_directory.txt · Dernière modification: 2018/04/09 05:01 (modification externe)