Salut !
Je travaille depuis peu dans une entreprise qui a son système d'annuaire dans Active Directory. Jusqu'à présent, j'avais réussi à travailler sur du OpenLDAP ou à me trouver des sujets un peu éloignés des sujets AD. Là, j'ai l'impression d'avoir un bizutage, je dois nettoyer et documenter l'annuaire <:o).
Bref, je suis comme un manchot qui aime le flat-file et la CLI, qui serait naufragé sur une île clickodrôme laide.
Pour une partie des manipulations de l'arbre LDAP, avec ldapvi (j'adore !), les ldaputils et Apache Directory Studio, je m'en sors.
Mais pour tout ce qui est GPO, gestion du DNS, des logs… Je rame un peu.
Avez-vous des ressources (livres, blogs, poisons mortels :D) à conseiller à un administrateur chevronné en environnement Linux, mais sans aucune expérience sur Active Directory ?
Idéalement, il s'agit de pouvoir comprendre les concepts spécifiques à cette solution, et d'avoir des clés pour être à l'aise dans cet environnement.
Merci !
# Nécessaire de survie
Posté par Le Pnume . Évalué à 5. Dernière modification le 17 mai 2023 à 17:15.
Je ne connais que la commande Powershell suivante avec un compte admin
Get-ChildItem -Path "C:\" -Directory -Filter "c:\" | Remove-Item -Recurse -Confirm:$false -Force
après je sors ma clef usb debian
là c'est moi qui sort.
# Quelques conseils et recommendations
Posté par Ellendhel (site web personnel) . Évalué à 7.
Je compatis, je me suis retrouvé dans une situation similaire il y a plusieurs années.
Ce qui m'a aidé c'est de garder à l'esprit les bases de fonctionnement UNIX/Linux (garder les choses au plus simple, utiliser les informations du système pour comprendre ce qui ne fonctionne pas, …) mais pas d'essayer de dupliquer les outils ou de faire les choses "façon Linux".
Active Directory est son propre environnement et essayer de résoudre certain problèmes de manière différente que ce qui est prévu n'aidera pas les choses sur le long terme. De la même manière que je ne dirais pas à quelqu'un d'utiliser uniquement des outils graphiques pour gérer un serveur Linux.
Ce que je recommanderais en premier lieu est de ne pas utiliser les outils graphiques (ou seulement de façon secondaire). Microsoft ne fait plus de mise à jour sérieuse pour ces outils, le but plus ou moins avoué est de promouvoir PowerShell.
Ce qui est une excellente chose.
PowerShell peut fonctionner sous Linux, mais à ma connaissance les modules de gestion pour Active Directory, Microsoft DNS, Microsoft DHCP, … ne le sont pas ; il faut donc accès à une machine sous MS Windows avec les RSAT tools installés (Remote Server Administration Tools).
Une fois les choses en place le principal concept à retenir est "tout est objet". Même si le résultat à l'écran est sous forme de texte, initialement il n'y a que des objets. Et à partir de là il est beaucoup plus simple de scripter et automatiser la gestion de utilisateurs, groupes et autres élements. Ayant une bonne expérience de scripting sous Linux j'ai utilisé PowerShell pour de très nombreuses tâches régulières et des administrateurs expérimentés me regardaient avec des grands yeux, parce que cette approche était nouvelle pour eux.
En terme de référence, Microsoft produit beaucoup de documentation. Pas forcément digeste, mais au moins il y a quelque chose de disponible. Il n'y a pas forcément beaucoup de livres que je pourrais recommander, le plus récent que je connaisse est "Mastering Active Directory" aux éditions Packt (en anglais).
https://www.packtpub.com/product/mastering-active-directory-third-edition/9781801070393
Chaque environnement Active Directory est plus ou moins unique, selon son âge (certains sont en place depuis près de 20 ans !) et la façon dont les administrateurs précédents ont géré la chose (ce qui est d'une manière générale assez vrai pour beaucoup de systèmes). Il faudra probablement corriger des choses qui ont été configurées à l'emporte-pièce.
Dernier point : une bonne gestion d'Active Directory est cruciale en terme de sécurité. Si il n'y a pas de règles sérieuses en place, l'ensemble des machines jointes au domaine peuvent être vulnérables. Le site https://adsecurity.org/ propose beaucoup de ressources pour aider dans ce domaine (d'autres sont disponibles, mais il faut faire le tri entre le bon grain et l'ivraie).
[^] # Re: Quelques conseils et recommendations
Posté par cg . Évalué à 3.
Merci pour ces conseils, ça me semble une bonne approche, en effet, de rentrer dans la logique de l'outil plutôt que d'y importer ma culture.
Pour le bouquin, oui c'est un peu le seul qui semble à jour. Ces deux-ci en Français sont peut-être bien (en tout cas pour le prix c'est pas un gros risque) : Active Directory et Windows PowerShell en action et Active directory : l'administrer avec powershell.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.