Voici la liste la plus complète des conseils de gestion Active Directory en ligne.\nDans cet article, je partagerai mes astuces sur la conception, les conventions de dénomination, l'automatisation, le nettoyage AD, la surveillance, la vérification de la santé d'Active Directory et bien plus encore.\nVérifiez-le:\n1. Organisez votre Active Directory\nSi vous n'avez pas une bonne conception d'unité d'organisation Active Directory, vous allez avoir des problèmes.\nTout d’abord, j’expliquerai rapidement les trois principales raisons pour lesquelles une bonne conception des unités d’équipement est si importante.\nRaison n ° 1 Stratégies de groupe\nUne bonne conception des unités d'organisation facilitera grandement la mise en œuvre et la gestion des stratégies de groupe. J'ai constaté une diminution drastique des problèmes liés à la conception appropriée de l'unité d'organisation.\nRaison n ° 2 autorisations de délégué\nVotre service d’assistance doit-il réinitialiser les mots de passe, ajouter et supprimer des ordinateurs du domaine? Avez-vous besoin de non administrateurs pour gérer des groupes? Les ressources humaines ont-elles besoin d'un accès pour mettre à jour les comptes d'utilisateurs?\nPouvoir déléguer les droits à un niveau granulaire et les auditer sont indispensables.\nUne conception appropriée de l'unité d'organisation vous permettra de déléguer facilement des autorisations à un niveau granulaire.\nRaison n ° 3 tâches administratives\nLa modification des comptes d'utilisateurs, l'utilisation de requêtes LDAP, la création de rapports et les modifications globales sont toutes des tâches administratives courantes. Si Active Directory est un désordre, ces tâches quotidiennes simples peuvent devenir difficiles pour toute l'équipe.\nMaintenant que j’ai expliqué pourquoi la conception des unités d’équipement est si importante, laissez-moi vous montrer mes conseils pour bien les concevoir.\nConseil de conception n ° 1: Séparer les utilisateurs et les ordinateurs\nNe regroupez pas les utilisateurs et les ordinateurs dans la même unité d'organisation, il s'agit d'une pratique recommandée par Microsoft.\nAu lieu de cela, créez une nouvelle unité d'organisation pour les utilisateurs et une unité d'organisation pour les ordinateurs.
"},{"id":"text-2","type":"text","heading":"","plain_text":"Ensuite, créez des sous-OU pour chaque département.\nFaites cela pour les ordinateurs et les utilisateurs.","html":"Ensuite, créez des sous-OU pour chaque département.\nFaites cela pour les ordinateurs et les utilisateurs.
"},{"id":"text-3","type":"text","heading":"","plain_text":"Ensuite, je vais créer des unités d’organisation pour des fonctions spécifiques ou pour regrouper des objets similaires. Voici quelques exemples que j'utilise:","html":"Ensuite, je vais créer des unités d’organisation pour des fonctions spécifiques ou pour regrouper des objets similaires. Voici quelques exemples que j'utilise:
"},{"id":"text-4","type":"text","heading":"","plain_text":"Ordinateurs de salle de conférence\nVDI (bureaux virtuels)\nOrdinateurs de test\nComptes génériques\nComptes de service","html":"Ordinateurs de salle de conférence\nVDI (bureaux virtuels)\nOrdinateurs de test\nComptes génériques\nComptes de service
"},{"id":"text-5","type":"text","heading":"","plain_text":"Je vais créer une unité d'organisation pour chacune de ces fonctions.","html":"Je vais créer une unité d'organisation pour chacune de ces fonctions.
"},{"id":"text-6","type":"text","heading":"","plain_text":"C’est tout pour l’organisation des utilisateurs et des ordinateurs.\nC’est très simple, flexible et facile à naviguer.","html":"C’est tout pour l’organisation des utilisateurs et des ordinateurs.\nC’est très simple, flexible et facile à naviguer.
"},{"id":"text-7","type":"text","heading":"","plain_text":"Rérecommandé: ensemble de gestion du système SolarWinds (Essai GRATUIT de 30 jours)\nLe pack de gestion de systèmes est la solution de surveillance ultime pour la surveillance des performances des serveurs, applications, stockage et Web virtuels.\nBénéficiez d'une visibilité instantanée sur vos systèmes pour vous aider à diagnostiquer et à résoudre rapidement les problèmes de performances. Surveillance de l'infrastructure pour la technologie sur site et dans le cloud.\nCe qui me plaît le plus chez SolarWinds, c’est sa configuration rapide et facile, et sa compréhension des tableaux de bord.","html":"Rérecommandé: ensemble de gestion du système SolarWinds (Essai GRATUIT de 30 jours)\nLe pack de gestion de systèmes est la solution de surveillance ultime pour la surveillance des performances des serveurs, applications, stockage et Web virtuels.\nBénéficiez d'une visibilité instantanée sur vos systèmes pour vous aider à diagnostiquer et à résoudre rapidement les problèmes de performances. Surveillance de l'infrastructure pour la technologie sur site et dans le cloud.\nCe qui me plaît le plus chez SolarWinds, c’est sa configuration rapide et facile, et sa compréhension des tableaux de bord.
"},{"id":"text-8","type":"text","heading":"","plain_text":"Voici un exemple qui démontre la flexibilité de cette conception. \nJ'ai une stratégie de domaine qui verrouille les ordinateurs après 15 minutes d'inactivité.\nCela est devenu un problème pour les ordinateurs de salle de conférence, les utilisateurs enseignaient ou donnaient une présentation et l'écran continuait à se verrouiller.\nPour résoudre ce problème, je viens de créer une sous-unité d'organisation appelée ordinateurs de la salle de conférence et de déplacer les ordinateurs concernés vers cette unité d'organisation. J'ai créé un nouvel objet de stratégie de groupe qui a modifié le délai de verrouillage à 60 minutes et l'a appliqué à cette nouvelle unité d'organisation.\nDésormais, ces ordinateurs héritent toujours des stratégies de leur parent lors de l'application de la nouvelle stratégie de délai d'attente.\nConseil de conception n ° 2: Créer une unité d'organisation pour les groupes de sécurité\nAu début, je mets des groupes de sécurité dans des dossiers de département.\nC'était logique à l'époque.\nMais je me trompais\nCe qui s’est passé est que j’aurais des groupes qui ne sont pas spécifiques à un département. Où vont-ils?\nIls se retrouveraient à divers endroits et personne ne pourrait les trouver.\nPour réparer ce gâchis, j'ai créé un groupe juste pour les groupes de sécurité.\nTout comme les utilisateurs et les ordinateurs, je peux créer des sous-unités organisationnelles pour regrouper des services ou des groupes fonctionnels.","html":"Voici un exemple qui démontre la flexibilité de cette conception. \nJ'ai une stratégie de domaine qui verrouille les ordinateurs après 15 minutes d'inactivité.\nCela est devenu un problème pour les ordinateurs de salle de conférence, les utilisateurs enseignaient ou donnaient une présentation et l'écran continuait à se verrouiller.\nPour résoudre ce problème, je viens de créer une sous-unité d'organisation appelée ordinateurs de la salle de conférence et de déplacer les ordinateurs concernés vers cette unité d'organisation. J'ai créé un nouvel objet de stratégie de groupe qui a modifié le délai de verrouillage à 60 minutes et l'a appliqué à cette nouvelle unité d'organisation.\nDésormais, ces ordinateurs héritent toujours des stratégies de leur parent lors de l'application de la nouvelle stratégie de délai d'attente.\nConseil de conception n ° 2: Créer une unité d'organisation pour les groupes de sécurité\nAu début, je mets des groupes de sécurité dans des dossiers de département.\nC'était logique à l'époque.\nMais je me trompais\nCe qui s’est passé est que j’aurais des groupes qui ne sont pas spécifiques à un département. Où vont-ils?\nIls se retrouveraient à divers endroits et personne ne pourrait les trouver.\nPour réparer ce gâchis, j'ai créé un groupe juste pour les groupes de sécurité.\nTout comme les utilisateurs et les ordinateurs, je peux créer des sous-unités organisationnelles pour regrouper des services ou des groupes fonctionnels.
"},{"id":"text-9","type":"text","heading":"","plain_text":"Cela fonctionne très bien, je sais exactement où se trouvent tous les groupes et je peux les organiser comme je le veux avec les sous-unités organisationnelles.\nConseil de conception n ° 3: Créer une unité d'organisation pour les serveurs\nVous voulez garder vos serveurs dans leur propre unité d'organisation. Vous aurez des stratégies de groupe qui doivent s’appliquer uniquement aux serveurs et non aux stations de travail et inversement. Je peux également créer des sous-unités d'organisation pour regrouper des serveurs spécifiques en fonction de vos besoins.\nMaintenant, je peux appliquer des stratégies à tous les serveurs ou à des serveurs spécifiques.","html":"Cela fonctionne très bien, je sais exactement où se trouvent tous les groupes et je peux les organiser comme je le veux avec les sous-unités organisationnelles.\nConseil de conception n ° 3: Créer une unité d'organisation pour les serveurs\nVous voulez garder vos serveurs dans leur propre unité d'organisation. Vous aurez des stratégies de groupe qui doivent s’appliquer uniquement aux serveurs et non aux stations de travail et inversement. Je peux également créer des sous-unités d'organisation pour regrouper des serveurs spécifiques en fonction de vos besoins.\nMaintenant, je peux appliquer des stratégies à tous les serveurs ou à des serveurs spécifiques.
"},{"id":"text-10","type":"text","heading":"","plain_text":"En gardant Active Directory organisé, tous les administrateurs sauront comment trouver facilement des objets. J'ai la possibilité d'appliquer des stratégies de groupe, de déléguer le contrôle et d'administrer les objets.\n2. Utiliser une convention de dénomination standardisée\nQue votre entreprise soit grande ou petite, vous devez normaliser la dénomination des objets Active Directory.\nVoici mes astuces pour de bonnes conventions de nommage.\nUtilisateurs\nL'option la plus populaire est la première initiale + le nom de famille.\nJe vais utiliser "Joe Smith" comme exemple.\nLe nom d'utilisateur serait: jsmith\nLa prochaine option populaire est complète prénom + nom (utilisez un caractère spécial pour séparer le nom).\nLe nom d'utilisateur serait: joe.smith\nLes deux méthodes fonctionnent bien et sont conviviales. Le seul problème que vous pouvez rencontrer est les noms d'utilisateurs en double.\nPour résoudre ce problème, ajoutez simplement l'initiale du milieu.\nPar exemple, j'ai Joe Smith, puis un nouvel employé s'appelle Jane Smith. Le nom d’utilisateur de Jane sera identique à celui de Joe. Par conséquent, j’ai besoin de l’initiale du deuxième prénom de Jane.\nL’initiale du prénom Jane est A, le nom d’utilisateur serait donc jasmith. ou jane.a.smith\nJ'éviterais les conventions de dénomination qui tronquent les noms ou incluent des nombres. C’est trop déroutant pour tout le monde.\nGroupes\nVoici mon modèle pour créer des groupes.\nDépartement ou groupe + ressource + autorisations\nLaisse moi décomposer ça","html":"En gardant Active Directory organisé, tous les administrateurs sauront comment trouver facilement des objets. J'ai la possibilité d'appliquer des stratégies de groupe, de déléguer le contrôle et d'administrer les objets.\n2. Utiliser une convention de dénomination standardisée\nQue votre entreprise soit grande ou petite, vous devez normaliser la dénomination des objets Active Directory.\nVoici mes astuces pour de bonnes conventions de nommage.\nUtilisateurs\nL'option la plus populaire est la première initiale + le nom de famille.\nJe vais utiliser "Joe Smith" comme exemple.\nLe nom d'utilisateur serait: jsmith\nLa prochaine option populaire est complète prénom + nom (utilisez un caractère spécial pour séparer le nom).\nLe nom d'utilisateur serait: joe.smith\nLes deux méthodes fonctionnent bien et sont conviviales. Le seul problème que vous pouvez rencontrer est les noms d'utilisateurs en double.\nPour résoudre ce problème, ajoutez simplement l'initiale du milieu.\nPar exemple, j'ai Joe Smith, puis un nouvel employé s'appelle Jane Smith. Le nom d’utilisateur de Jane sera identique à celui de Joe. Par conséquent, j’ai besoin de l’initiale du deuxième prénom de Jane.\nL’initiale du prénom Jane est A, le nom d’utilisateur serait donc jasmith. ou jane.a.smith\nJ'éviterais les conventions de dénomination qui tronquent les noms ou incluent des nombres. C’est trop déroutant pour tout le monde.\nGroupes\nVoici mon modèle pour créer des groupes.\nDépartement ou groupe + ressource + autorisations\nLaisse moi décomposer ça
"},{"id":"text-11","type":"text","heading":"","plain_text":"Département ou groupe – Vous pouvez utiliser le nom complet du département ou une abréviation. Dans certains cas, il peut ne pas s'agir d'un service spécifique, mais peut-être des utilisateurs de différents services. Il vous suffit donc de nommer ce groupe.\nRessource – Cela devrait définir ce pour quoi le groupe est utilisé, cela pourrait être un mot ou quelques mots (mots séparés avec un trait d'union)\nPréfixe de groupe: lorsque vous créez un groupe, vous devez sélectionner un type de groupe. J'utilise un préfixe pour définir le groupe que j'utilise.","html":"Département ou groupe – Vous pouvez utiliser le nom complet du département ou une abréviation. Dans certains cas, il peut ne pas s'agir d'un service spécifique, mais peut-être des utilisateurs de différents services. Il vous suffit donc de nommer ce groupe.\nRessource – Cela devrait définir ce pour quoi le groupe est utilisé, cela pourrait être un mot ou quelques mots (mots séparés avec un trait d'union)\nPréfixe de groupe: lorsque vous créez un groupe, vous devez sélectionner un type de groupe. J'utilise un préfixe pour définir le groupe que j'utilise.
"},{"id":"text-12","type":"text","heading":"","plain_text":"Domaine local = L\nGlobal = G\nUniversel = U","html":"Domaine local = L\nGlobal = G\nUniversel = U
"},{"id":"text-13","type":"text","heading":"","plain_text":"Permissions – Les permissions que vous appliquerez à la ressource","html":"Permissions – Les permissions que vous appliquerez à la ressource
"},{"id":"text-14","type":"text","heading":"","plain_text":"R = Lecture seule\nRW = lire, écrire","html":"R = Lecture seule\nRW = lire, écrire
"},{"id":"text-15","type":"text","heading":"","plain_text":"Voici quelques exemples\nExemple 1 – Le personnel du centre d'assistance a besoin de droits pour réinitialiser les mots de passe.\nLe nom du groupe de sécurité serait: Helpdesk-PasswordReset-G\nExemple 2 – Le service des ressources humaines a besoin d'un dossier de formation verrouillé\nNom du groupe de sécurité: HR-Training-Folder-G-RW\nExemple 3 – Le service commercial souhaite que l'agenda partagé soit verrouillé\nNom du groupe de sécurité: Sales-Shared-Calendar-G-RW\nUne fois que tous mes groupes ont été renommés conformément à cette convention d'appellation, il a été beaucoup plus facile de les trouver et de les utiliser.\nOrdinateurs, serveurs et autres objets AD\nPour la plupart des autres objets, je suis la convention de nommage suivante:\nTapez + code du département ou de l'emplacement + numéro d'actif","html":"Voici quelques exemples\nExemple 1 – Le personnel du centre d'assistance a besoin de droits pour réinitialiser les mots de passe.\nLe nom du groupe de sécurité serait: Helpdesk-PasswordReset-G\nExemple 2 – Le service des ressources humaines a besoin d'un dossier de formation verrouillé\nNom du groupe de sécurité: HR-Training-Folder-G-RW\nExemple 3 – Le service commercial souhaite que l'agenda partagé soit verrouillé\nNom du groupe de sécurité: Sales-Shared-Calendar-G-RW\nUne fois que tous mes groupes ont été renommés conformément à cette convention d'appellation, il a été beaucoup plus facile de les trouver et de les utiliser.\nOrdinateurs, serveurs et autres objets AD\nPour la plupart des autres objets, je suis la convention de nommage suivante:\nTapez + code du département ou de l'emplacement + numéro d'actif
"},{"id":"text-16","type":"text","heading":"","plain_text":"Type","html":"Type
"},{"id":"text-17","type":"text","heading":"","plain_text":"W = poste de travail\nL = ordinateur portable\nP = imprimante\nS = serveur\nV = VDI ou machine virtuelle","html":"W = poste de travail\nL = ordinateur portable\nP = imprimante\nS = serveur\nV = VDI ou machine virtuelle
"},{"id":"text-18","type":"text","heading":"","plain_text":"Département: utilisez deux lettres pour les départements ou un code d'emplacement.","html":"Département: utilisez deux lettres pour les départements ou un code d'emplacement.
"},{"id":"text-19","type":"text","heading":"","plain_text":"RH = ressources humaines\nMR = Marketing\nSA = Ventes","html":"RH = ressources humaines\nMR = Marketing\nSA = Ventes
"},{"id":"text-20","type":"text","heading":"","plain_text":"Voici quelques exemples\nStation de travail dans l'actif de service informatique n ° 1234\nW-IT-1234\nOrdinateur portable dans l'actif du département RH n ° 1235\nL-HR-1235\nImprimante dans l'actif du service vente n ° 1233\nP-SA-1233\nCréez une convention de dénomination claire que toute l’équipe peut suivre. Je ne parle pas seulement d’utilisateurs et d’ordinateurs. Créer une convention de nommage pour tous les objets\n3. Surveillez Active Directory avec les outils Premium\nActive Directory est le cœur du réseau. S'il cesse de battre, tout le reste meurt.\nJe sais que les outils GRATUITS sont excellents (j'en utilise beaucoup), mais pour ce qui est de la surveillance, je compte sur des outils professionnels.\nPourquoi?\nCela me fait gagner un temps précieux et fournit aux autres équipes informatiques des métriques faciles à lire sur les serveurs et les applications.\nVoici quelques favoris:\nSolarWinds Server & Application Monitor – J'aime cet outil car il me permet de surveiller n'importe quelle application sur n'importe quel serveur. Surveille tous les composants et services qui font fonctionner Active Directory. Si Active Directory rencontre des problèmes ou est lent, ce programme identifiera rapidement le problème.\nSolarWinds Network Performance Monitor – Excellent outil pour surveiller le réseau, la bande passante, le processeur, la mémoire et bien d’autres métriques sur tout périphérique prenant en charge le protocole SNMP.\nNetfort Languardian – Il s'agit d'un programme d'inspection approfondie des paquets qui surveille l'activité du réseau et des utilisateurs. Bien qu'il puisse être considéré comme un outil de réseau, il a des tonnes de cas d'utilisation. Je peux savoir qui a supprimé un fichier, surveiller DNS, trouver des serveurs DNS rouges, surveiller la bande passante vers les serveurs et Active Directory et bien plus encore.\nManageEngine Audit Plus – Fournit un audit en temps réel à Active Directory. Suivez les modifications apportées aux objets AD, à l'activité des utilisateurs, au DNS, aux objets de stratégie de groupe, etc.\nIl existe de nombreux outils professionnels sur le marché, je vous recommande de rechercher ceux qui correspondent le mieux à vos besoins.\n4. Utiliser les serveurs principaux (si possible)\nLe coeur de serveur a une empreinte plus petite, est plus sécurisé et ne nécessite pas autant de mises à jour.\nBonus bénéfice moins de redémarrages!\nJ'étais sceptique au début lorsque Microsoft a déclaré qu'il s'agissait de l'option d'installation préférée. Mais après avoir exploité des serveurs centraux pendant quelques années, ils sont ROCK. Ils sont stables et ils ont vraiment moins de mises à jour.\nMalheureusement, ils ne fonctionnent pas dans toutes les situations.\nToutes les applications tierces ne prennent pas en charge les serveurs principaux.\nIls fonctionnent très bien pour les serveurs Windows tels que les contrôleurs de domaine, DHCP, DNS.\nDonc, installez les serveurs principaux quand vous le pouvez et profitez des avantages.\nVoici un joli tableau qui résume les avantages du coeur de serveur\nhttps://msdn.microsoft.com/en-us/library/hh846314(v=vs.85).aspx\n5. Savoir comment vérifier la santé des AD\nDes problèmes avec les contrôleurs de domaine, le DNS et la réplication vont causer toutes sortes de problèmes.\nVoici quelques astuces rapides pour vérifier la santé de Active Directory.\nUtilisez dcdiag pour vérifier les contrôleurs de domaine\nDcdiag est un outil de ligne de commande qui analyse l'état des contrôleurs de domaine d'une forêt ou d'une entreprise et signale les problèmes éventuels. Il est intégré à la plupart des systèmes d'exploitation serveur Windows. Il est également inclus si le rôle ADDS ou ADLDS est installé.\nUtilisez la commande suivante pour analyser la santé de vos contrôleurs de domaine.\ndcdiag / s: nom_serveur / a\nCela exécutera plusieurs tests sur divers composants et services exécutés sur un contrôleur de domaine.","html":"Voici quelques exemples\nStation de travail dans l'actif de service informatique n ° 1234\nW-IT-1234\nOrdinateur portable dans l'actif du département RH n ° 1235\nL-HR-1235\nImprimante dans l'actif du service vente n ° 1233\nP-SA-1233\nCréez une convention de dénomination claire que toute l’équipe peut suivre. Je ne parle pas seulement d’utilisateurs et d’ordinateurs. Créer une convention de nommage pour tous les objets\n3. Surveillez Active Directory avec les outils Premium\nActive Directory est le cœur du réseau. S'il cesse de battre, tout le reste meurt.\nJe sais que les outils GRATUITS sont excellents (j'en utilise beaucoup), mais pour ce qui est de la surveillance, je compte sur des outils professionnels.\nPourquoi?\nCela me fait gagner un temps précieux et fournit aux autres équipes informatiques des métriques faciles à lire sur les serveurs et les applications.\nVoici quelques favoris:\nSolarWinds Server & Application Monitor – J'aime cet outil car il me permet de surveiller n'importe quelle application sur n'importe quel serveur. Surveille tous les composants et services qui font fonctionner Active Directory. Si Active Directory rencontre des problèmes ou est lent, ce programme identifiera rapidement le problème.\nSolarWinds Network Performance Monitor – Excellent outil pour surveiller le réseau, la bande passante, le processeur, la mémoire et bien d’autres métriques sur tout périphérique prenant en charge le protocole SNMP.\nNetfort Languardian – Il s'agit d'un programme d'inspection approfondie des paquets qui surveille l'activité du réseau et des utilisateurs. Bien qu'il puisse être considéré comme un outil de réseau, il a des tonnes de cas d'utilisation. Je peux savoir qui a supprimé un fichier, surveiller DNS, trouver des serveurs DNS rouges, surveiller la bande passante vers les serveurs et Active Directory et bien plus encore.\nManageEngine Audit Plus – Fournit un audit en temps réel à Active Directory. Suivez les modifications apportées aux objets AD, à l'activité des utilisateurs, au DNS, aux objets de stratégie de groupe, etc.\nIl existe de nombreux outils professionnels sur le marché, je vous recommande de rechercher ceux qui correspondent le mieux à vos besoins.\n4. Utiliser les serveurs principaux (si possible)\nLe coeur de serveur a une empreinte plus petite, est plus sécurisé et ne nécessite pas autant de mises à jour.\nBonus bénéfice moins de redémarrages!\nJ'étais sceptique au début lorsque Microsoft a déclaré qu'il s'agissait de l'option d'installation préférée. Mais après avoir exploité des serveurs centraux pendant quelques années, ils sont ROCK. Ils sont stables et ils ont vraiment moins de mises à jour.\nMalheureusement, ils ne fonctionnent pas dans toutes les situations.\nToutes les applications tierces ne prennent pas en charge les serveurs principaux.\nIls fonctionnent très bien pour les serveurs Windows tels que les contrôleurs de domaine, DHCP, DNS.\nDonc, installez les serveurs principaux quand vous le pouvez et profitez des avantages.\nVoici un joli tableau qui résume les avantages du coeur de serveur\nhttps://msdn.microsoft.com/en-us/library/hh846314(v=vs.85).aspx\n5. Savoir comment vérifier la santé des AD\nDes problèmes avec les contrôleurs de domaine, le DNS et la réplication vont causer toutes sortes de problèmes.\nVoici quelques astuces rapides pour vérifier la santé de Active Directory.\nUtilisez dcdiag pour vérifier les contrôleurs de domaine\nDcdiag est un outil de ligne de commande qui analyse l'état des contrôleurs de domaine d'une forêt ou d'une entreprise et signale les problèmes éventuels. Il est intégré à la plupart des systèmes d'exploitation serveur Windows. Il est également inclus si le rôle ADDS ou ADLDS est installé.\nUtilisez la commande suivante pour analyser la santé de vos contrôleurs de domaine.\ndcdiag / s: nom_serveur / a\nCela exécutera plusieurs tests sur divers composants et services exécutés sur un contrôleur de domaine.
"},{"id":"text-21","type":"text","heading":"","plain_text":"Vous obtiendrez un échec sur tous les tests qui ne passeront pas.\nUtilisez dcdiag pour tester le DNS\nUtilisez la commande ci-dessous pour tester le DNS\ndcdiag / test: dns / s: nom_serveur\nVous pouvez dans la capture d'écran, le test a détecté des problèmes avec mon DNS","html":"Vous obtiendrez un échec sur tous les tests qui ne passeront pas.\nUtilisez dcdiag pour tester le DNS\nUtilisez la commande ci-dessous pour tester le DNS\ndcdiag / test: dns / s: nom_serveur\nVous pouvez dans la capture d'écran, le test a détecté des problèmes avec mon DNS
"},{"id":"text-22","type":"text","heading":"","plain_text":"En parcourant les tests, il me manque des enregistrements DNS A et SRV","html":"En parcourant les tests, il me manque des enregistrements DNS A et SRV
"},{"id":"text-23","type":"text","heading":"","plain_text":"Utilisez repadmin pour tester la réplication\nUtilisez la commande suivante pour tester la réplication entre vos contrôleurs de domaine.\nrepadmin / showrepl\n6. Utiliser des groupes de sécurité pour appliquer des autorisations aux ressources\nN'utilisez PAS des comptes individuels pour appliquer des autorisations sur des ressources (imprimantes, dossiers partagés, applications, calendrier, etc.).\nUtilisez plutôt des groupes de sécurité.\nCela facilite l’ajout et la suppression d’utilisateurs aux ressources. Cela facilite également les rapports et les audits.\nUne fois que les groupes sont configurés sur les ressources, il n’est pas nécessaire d’aller à chaque ressource pour modifier l’accès. Vous venez de mettre à jour le groupe.\nEn utilisant la convention de dénomination de groupe du conseil n ° 3, cela fonctionne comme un charme.\nVoici un exemple.\nJ'ai un dossier appelé formation dans le département des ventes.\nJe vais créer un groupe appelé HR-Training-SG-RW (Ceci suit mes conseils de convention de dénomination #)\nJ'ajouterai ensuite ce groupe aux autorisations sur ce dossier.","html":"Utilisez repadmin pour tester la réplication\nUtilisez la commande suivante pour tester la réplication entre vos contrôleurs de domaine.\nrepadmin / showrepl\n6. Utiliser des groupes de sécurité pour appliquer des autorisations aux ressources\nN'utilisez PAS des comptes individuels pour appliquer des autorisations sur des ressources (imprimantes, dossiers partagés, applications, calendrier, etc.).\nUtilisez plutôt des groupes de sécurité.\nCela facilite l’ajout et la suppression d’utilisateurs aux ressources. Cela facilite également les rapports et les audits.\nUne fois que les groupes sont configurés sur les ressources, il n’est pas nécessaire d’aller à chaque ressource pour modifier l’accès. Vous venez de mettre à jour le groupe.\nEn utilisant la convention de dénomination de groupe du conseil n ° 3, cela fonctionne comme un charme.\nVoici un exemple.\nJ'ai un dossier appelé formation dans le département des ventes.\nJe vais créer un groupe appelé HR-Training-SG-RW (Ceci suit mes conseils de convention de dénomination #)\nJ'ajouterai ensuite ce groupe aux autorisations sur ce dossier.
"},{"id":"text-24","type":"text","heading":"","plain_text":"Maintenant, chaque fois que je veux donner des autorisations ou révoquer les droits d’un utilisateur sur ce dossier, je modifie simplement les membres de ce groupe.\nJe peux utiliser la méthode pour toutes les ressources.\n7. Nettoyer Active Directory (au moins une fois par mois)\nAu fil du temps, Active Directory aura des utilisateurs, des ordinateurs et des comptes de groupe obsolètes.\nPour garder Active Directory sécurisé et ordonné, vous devez trouver ces comptes obsolètes et les supprimer.\nIl existe de nombreux scripts et outils graphiques permettant de rechercher et de supprimer les anciens comptes.\nJ'ai quelques outils de nettoyage disponibles sur ma page d'outils et de ressources.\nJe lance ce processus de nettoyage une fois par mois.\n8. Ajouter des descriptions aux objets Active Directory\nC’est frustrant de voir des objets dans Active Directory sans savoir à quoi ils servent.\nMême si vous utilisez une bonne convention d'appellation, j'aime toujours ajouter des descriptions aux objets. Évidemment, pas tous les objets, mais les serveurs, les groupes, les comptes de service et les comptes génériques, je leur mets des descriptions.\nCela ne m'aide pas seulement à identifier rapidement l'utilisation de l'objet, cela aide également toute l'équipe à comprendre.\nVous pouvez voir dans les captures d'écran ci-dessous que j'ai ajouté des descriptions à certains groupes et comptes de service.","html":"Maintenant, chaque fois que je veux donner des autorisations ou révoquer les droits d’un utilisateur sur ce dossier, je modifie simplement les membres de ce groupe.\nJe peux utiliser la méthode pour toutes les ressources.\n7. Nettoyer Active Directory (au moins une fois par mois)\nAu fil du temps, Active Directory aura des utilisateurs, des ordinateurs et des comptes de groupe obsolètes.\nPour garder Active Directory sécurisé et ordonné, vous devez trouver ces comptes obsolètes et les supprimer.\nIl existe de nombreux scripts et outils graphiques permettant de rechercher et de supprimer les anciens comptes.\nJ'ai quelques outils de nettoyage disponibles sur ma page d'outils et de ressources.\nJe lance ce processus de nettoyage une fois par mois.\n8. Ajouter des descriptions aux objets Active Directory\nC’est frustrant de voir des objets dans Active Directory sans savoir à quoi ils servent.\nMême si vous utilisez une bonne convention d'appellation, j'aime toujours ajouter des descriptions aux objets. Évidemment, pas tous les objets, mais les serveurs, les groupes, les comptes de service et les comptes génériques, je leur mets des descriptions.\nCela ne m'aide pas seulement à identifier rapidement l'utilisation de l'objet, cela aide également toute l'équipe à comprendre.\nVous pouvez voir dans les captures d'écran ci-dessous que j'ai ajouté des descriptions à certains groupes et comptes de service.
"},{"id":"text-25","type":"text","heading":"","plain_text":"Voici quelques comptes non standard, en utilisant à nouveau le champ de description, je peux facilement voir dans Active Directory à quoi ils servent.","html":"Voici quelques comptes non standard, en utilisant à nouveau le champ de description, je peux facilement voir dans Active Directory à quoi ils servent.
"},{"id":"text-26","type":"text","heading":"","plain_text":"Encore une fois, je ne le fais pas pour tous les objets, principalement les groupes, les serveurs et les comptes non standard.\nC’est un autre grand gain de temps.\n9. Utiliser l'Assistant Contrôle de délégation pour définir les autorisations pour les non-administrateurs (helpdesk)\nLa délégation Active Directory est importante à comprendre pour que les autorisations puissent être accordées sans ajouter d'utilisateurs à des groupes privilégiés tels que les administrateurs de domaine.\nÀ l'aide des autorisations déléguées, vous pouvez utiliser la méthode d'accès le moins privilégié. (Ne donnez que les droits nécessaires)\nCela contribue à la sécurité et à la conformité.\nVoici quelques exemples de la nécessité de déléguer des droits.","html":"Encore une fois, je ne le fais pas pour tous les objets, principalement les groupes, les serveurs et les comptes non standard.\nC’est un autre grand gain de temps.\n9. Utiliser l'Assistant Contrôle de délégation pour définir les autorisations pour les non-administrateurs (helpdesk)\nLa délégation Active Directory est importante à comprendre pour que les autorisations puissent être accordées sans ajouter d'utilisateurs à des groupes privilégiés tels que les administrateurs de domaine.\nÀ l'aide des autorisations déléguées, vous pouvez utiliser la méthode d'accès le moins privilégié. (Ne donnez que les droits nécessaires)\nCela contribue à la sécurité et à la conformité.\nVoici quelques exemples de la nécessité de déléguer des droits.
"},{"id":"text-27","type":"text","heading":"","plain_text":"Helpdesk doit réinitialiser les mots de passe\nMettre à jour les informations du compte utilisateur telles que le numéro de téléphone ou l'adresse\nDonner le droit d'ajouter et de supprimer des ordinateurs de domaines.\nCréer, supprimer et gérer des comptes d'utilisateurs\nModifier l'appartenance à un groupe","html":"Helpdesk doit réinitialiser les mots de passe\nMettre à jour les informations du compte utilisateur telles que le numéro de téléphone ou l'adresse\nDonner le droit d'ajouter et de supprimer des ordinateurs de domaines.\nCréer, supprimer et gérer des comptes d'utilisateurs\nModifier l'appartenance à un groupe
"},{"id":"text-28","type":"text","heading":"","plain_text":"Dans cette vidéo, je vais donner à notre groupe d'assistance les droits de réinitialiser les mots de passe.","html":"Dans cette vidéo, je vais donner à notre groupe d'assistance les droits de réinitialiser les mots de passe.
"},{"id":"text-29","type":"text","heading":"","plain_text":"10. Modifiez les modifications apportées à Active Directory\nL'audit Active Directory est le processus de journalisation des modifications et des événements dans Active Directory.\nL'audit est important pour des raisons de sécurité et de conformité.\nVous devriez au moins auditer Active Directory pour les événements suivants:","html":"10. Modifiez les modifications apportées à Active Directory\nL'audit Active Directory est le processus de journalisation des modifications et des événements dans Active Directory.\nL'audit est important pour des raisons de sécurité et de conformité.\nVous devriez au moins auditer Active Directory pour les événements suivants:
"},{"id":"text-30","type":"text","heading":"","plain_text":"Échec des tentatives d'ouverture de session\nToute modification des objets\nConnexions réussies\nModifications aux comptes privilèges\nChangements de stratégie de groupe\nSuppression de fichier / dossier","html":"Échec des tentatives d'ouverture de session\nToute modification des objets\nConnexions réussies\nModifications aux comptes privilèges\nChangements de stratégie de groupe\nSuppression de fichier / dossier
"},{"id":"text-31","type":"text","heading":"","plain_text":"Avant de pouvoir auditer Active Directory, vous devez d'abord configurer une stratégie d'audit.\nÉtapes pour auditer Active Directory\nÉtape 1: Activer l'audit sur le contrôleur de domaine\nÉtape 2: Activer les événements à auditer\nÉtape 3: examiner et gérer les journaux d'audit\nLes étapes ci-dessus constituent une vue d'ensemble de haut niveau.\nPour des étapes détaillées, consultez ces ressources\nhttps://www.lepide.com/how-to/enable-active-directory-security-auditing.html\nhttps://technet.microsoft.com/en-us/library/dd277403.aspx\n11. Retrouver la source des verrouillages de compte\nLes verrouillages de compte aléatoires sont non seulement frustrants pour les utilisateurs finaux, mais également pour le service d'assistance et l'administrateur qui le résolvent.\nTous les administrateurs système ont besoin de savoir comment localiser la source des verrouillages de compte.\nLes appareils mobiles et les comptes d'utilisateurs configurés pour exécuter un service sont les raisons les plus courantes de verrouillage de compte.\n12. Automatiser les tâches courantes Active Directory\nJe vous encourage à automatiser tout ce que vous pouvez.\nL'administration Active Directory implique de nombreuses tâches de routine, telles que la création de compte d'utilisateur, les modifications, la suppression de compte, la gestion de l'ordinateur, la sécurité, etc. Certaines de ces tâches quotidiennes prennent beaucoup de temps.\nLa plupart des tâches routinières peuvent être automatisées pour vous rendre plus efficace.\nVoici quelques tâches courantes que vous devez automatiser:","html":"Avant de pouvoir auditer Active Directory, vous devez d'abord configurer une stratégie d'audit.\nÉtapes pour auditer Active Directory\nÉtape 1: Activer l'audit sur le contrôleur de domaine\nÉtape 2: Activer les événements à auditer\nÉtape 3: examiner et gérer les journaux d'audit\nLes étapes ci-dessus constituent une vue d'ensemble de haut niveau.\nPour des étapes détaillées, consultez ces ressources\nhttps://www.lepide.com/how-to/enable-active-directory-security-auditing.html\nhttps://technet.microsoft.com/en-us/library/dd277403.aspx\n11. Retrouver la source des verrouillages de compte\nLes verrouillages de compte aléatoires sont non seulement frustrants pour les utilisateurs finaux, mais également pour le service d'assistance et l'administrateur qui le résolvent.\nTous les administrateurs système ont besoin de savoir comment localiser la source des verrouillages de compte.\nLes appareils mobiles et les comptes d'utilisateurs configurés pour exécuter un service sont les raisons les plus courantes de verrouillage de compte.\n12. Automatiser les tâches courantes Active Directory\nJe vous encourage à automatiser tout ce que vous pouvez.\nL'administration Active Directory implique de nombreuses tâches de routine, telles que la création de compte d'utilisateur, les modifications, la suppression de compte, la gestion de l'ordinateur, la sécurité, etc. Certaines de ces tâches quotidiennes prennent beaucoup de temps.\nLa plupart des tâches routinières peuvent être automatisées pour vous rendre plus efficace.\nVoici quelques tâches courantes que vous devez automatiser:
"},{"id":"text-32","type":"text","heading":"","plain_text":"Création de compte utilisateur\nSuppression de compte\nModification du compte\nGestion des membres du groupe\nNettoyage AD\nCopies de fichiers, nettoyage de répertoires\nDéploiement de logiciels\nCorrectifs Windows et tiers\nInventaire\nMise hors service des actifs","html":"Création de compte utilisateur\nSuppression de compte\nModification du compte\nGestion des membres du groupe\nNettoyage AD\nCopies de fichiers, nettoyage de répertoires\nDéploiement de logiciels\nCorrectifs Windows et tiers\nInventaire\nMise hors service des actifs
"},{"id":"text-33","type":"text","heading":"","plain_text":"Il peut être difficile d'automatiser l'intégralité du processus de certaines tâches, mais automatisez ce que vous pouvez. L'automatisation d'une partie d'une tâche répétitive vous fera gagner du temps.\nPowerShell est un outil permettant d’automatiser bon nombre de ces tâches.\nMon équipe a récemment automatisé l’ensemble du processus de création de compte utilisateur à l’aide de PowerShell. Cela impliquait de nombreuses étapes telles que la création du compte, l'ajout de groupes, la création d'une boîte aux lettres Office 365 et la création d'un dossier partagé personnel.\nCréer des comptes utilisateurs n'a jamais été aussi simple.\n13. Comprendre les chemins de noms distinctifs LDAP\nActive Directory est un service de répertoire LDAP (Lightweight Directory Access Protocol), ce qui signifie que tous les accès aux objets se font via LDAP.\nLDAP utilise des chemins pour localiser des objets, le chemin complet d’un objet étant défini par son nom distinctif.\nLors de l'intégration d'autres systèmes à Active Directory, certaines informations LDAP sont souvent nécessaires.\nMalheureusement, chaque programme fait cela différemment. Avoir un peu de connaissance des chemins distingués vous aidera à intégrer d’autres systèmes à Active Directory.\nDans la plupart des cas, vous avez besoin du nom distinctif des éléments suivants:","html":"Il peut être difficile d'automatiser l'intégralité du processus de certaines tâches, mais automatisez ce que vous pouvez. L'automatisation d'une partie d'une tâche répétitive vous fera gagner du temps.\nPowerShell est un outil permettant d’automatiser bon nombre de ces tâches.\nMon équipe a récemment automatisé l’ensemble du processus de création de compte utilisateur à l’aide de PowerShell. Cela impliquait de nombreuses étapes telles que la création du compte, l'ajout de groupes, la création d'une boîte aux lettres Office 365 et la création d'un dossier partagé personnel.\nCréer des comptes utilisateurs n'a jamais été aussi simple.\n13. Comprendre les chemins de noms distinctifs LDAP\nActive Directory est un service de répertoire LDAP (Lightweight Directory Access Protocol), ce qui signifie que tous les accès aux objets se font via LDAP.\nLDAP utilise des chemins pour localiser des objets, le chemin complet d’un objet étant défini par son nom distinctif.\nLors de l'intégration d'autres systèmes à Active Directory, certaines informations LDAP sont souvent nécessaires.\nMalheureusement, chaque programme fait cela différemment. Avoir un peu de connaissance des chemins distingués vous aidera à intégrer d’autres systèmes à Active Directory.\nDans la plupart des cas, vous avez besoin du nom distinctif des éléments suivants:
"},{"id":"text-34","type":"text","heading":"","plain_text":"Nom de domaine\nCompte d'utilisateur (ayant un accès en lecture à AD)\nOU où se trouvent les utilisateurs","html":"Nom de domaine\nCompte d'utilisateur (ayant un accès en lecture à AD)\nOU où se trouvent les utilisateurs
"},{"id":"text-35","type":"text","heading":"","plain_text":"Voici comment trouver le nom distinctif\nÉtape 1: Ouvrez ADUC et accédez au compte.\nÉtape 2: Faites un clic droit sur le compte et sélectionnez les propriétés\nÉtape 3: Sélectionnez l'éditeur d'attribut","html":"Voici comment trouver le nom distinctif\nÉtape 1: Ouvrez ADUC et accédez au compte.\nÉtape 2: Faites un clic droit sur le compte et sélectionnez les propriétés\nÉtape 3: Sélectionnez l'éditeur d'attribut
"},{"id":"text-36","type":"text","heading":"","plain_text":"Étape 4: Recherchez le nom distinctif de l'attribut, puis cliquez sur le bouton Afficher.","html":"Étape 4: Recherchez le nom distinctif de l'attribut, puis cliquez sur le bouton Afficher.
"},{"id":"text-37","type":"text","heading":"","plain_text":"Le nom distinctif de l'utilisateur Pam Smith est:\nCN = Pam Smith, OU = Comptabilité, OU = Utilisateurs ADPRO, DC = ad, DC = activedirectorypro, DC = com\nRépétez ces étapes pour tout autre objet nécessaire.\n14. Utiliser les comptes de service (avec le moins de privilèges)\nIl y aura un moment où vous devrez exécuter une tâche, un script ou un programme avec un compte utilisateur (domaine ou local).\nCeux-ci sont appelés comptes de service.\nTout d’abord, n’utilisez ni compte de domaine ni autre compte d’utilisateur pour ces derniers.\nAu lieu de cela, créez un nouveau compte à utiliser pour chaque service spécifique. Vos comptes d'utilisateur doivent avoir une politique pour changer leur mot de passe tous les x jours. Si un compte est utilisé et que le mot de passe change, ce service cessera de fonctionner.\nVoici quelques conseils supplémentaires:","html":"Le nom distinctif de l'utilisateur Pam Smith est:\nCN = Pam Smith, OU = Comptabilité, OU = Utilisateurs ADPRO, DC = ad, DC = activedirectorypro, DC = com\nRépétez ces étapes pour tout autre objet nécessaire.\n14. Utiliser les comptes de service (avec le moins de privilèges)\nIl y aura un moment où vous devrez exécuter une tâche, un script ou un programme avec un compte utilisateur (domaine ou local).\nCeux-ci sont appelés comptes de service.\nTout d’abord, n’utilisez ni compte de domaine ni autre compte d’utilisateur pour ces derniers.\nAu lieu de cela, créez un nouveau compte à utiliser pour chaque service spécifique. Vos comptes d'utilisateur doivent avoir une politique pour changer leur mot de passe tous les x jours. Si un compte est utilisé et que le mot de passe change, ce service cessera de fonctionner.\nVoici quelques conseils supplémentaires:
"},{"id":"text-38","type":"text","heading":"","plain_text":"Utilisez un nom descriptif\nDocumenter le compte et ajouter une description dans Active Directory\nCréer des mots de passe longs et complexes\nDéfinir le compte pour qu'il n'expire jamais\nRestreindre ce que le compte peut connecter\nAuditer et surveiller l'utilisation des comptes de service\nSi possible, créez des comptes de service locaux au lieu de comptes de domaine\nDonnez le compte de service le moins de privilèges\nN'utilisez pas un compte pour plusieurs services.","html":"Utilisez un nom descriptif\nDocumenter le compte et ajouter une description dans Active Directory\nCréer des mots de passe longs et complexes\nDéfinir le compte pour qu'il n'expire jamais\nRestreindre ce que le compte peut connecter\nAuditer et surveiller l'utilisation des comptes de service\nSi possible, créez des comptes de service locaux au lieu de comptes de domaine\nDonnez le compte de service le moins de privilèges\nN'utilisez pas un compte pour plusieurs services.
"},{"id":"text-39","type":"text","heading":"","plain_text":"15. Déléguer des tâches quand vous le pouvez\nNon, je ne parle pas de délégation de droits au service d’assistance.\nAu fil des ans, les responsabilités des administrateurs système et réseau ont explosé. Certains administrateurs système sont responsables de presque tout, du serveur à l’imprimante.\nPour préserver votre santé mentale, acceptez de déléguer certaines tâches à des personnes extérieures à votre équipe.\nRegardez:\nJ'ai hésité pendant des années. J'ai travaillé dur pour mettre de l'ordre dans tout le processus, réduire les procédures et faire fonctionner les systèmes 24h / 24 et 7j / 7.\nMAIS, à mesure que les responsabilités augmentaient, la productivité était à la baisse. Les nouveaux projets ont été lents à se développer.\nPour résoudre ce problème, j'ai appris qu'il était normal de déléguer des tâches en dehors de mon équipe.\nVoici quelques tâches que j'ai déléguées:","html":"15. Déléguer des tâches quand vous le pouvez\nNon, je ne parle pas de délégation de droits au service d’assistance.\nAu fil des ans, les responsabilités des administrateurs système et réseau ont explosé. Certains administrateurs système sont responsables de presque tout, du serveur à l’imprimante.\nPour préserver votre santé mentale, acceptez de déléguer certaines tâches à des personnes extérieures à votre équipe.\nRegardez:\nJ'ai hésité pendant des années. J'ai travaillé dur pour mettre de l'ordre dans tout le processus, réduire les procédures et faire fonctionner les systèmes 24h / 24 et 7j / 7.\nMAIS, à mesure que les responsabilités augmentaient, la productivité était à la baisse. Les nouveaux projets ont été lents à se développer.\nPour résoudre ce problème, j'ai appris qu'il était normal de déléguer des tâches en dehors de mon équipe.\nVoici quelques tâches que j'ai déléguées:
"},{"id":"text-40","type":"text","heading":"","plain_text":"Configuration du compte et suppression\nGestion des serveurs d'impression\nModification des attributs du compte\nAjout et suppression d'ordinateurs du domaine\nDistribution de logiciels\nModification des membres du groupe\nPatching des postes de travail","html":"Configuration du compte et suppression\nGestion des serveurs d'impression\nModification des attributs du compte\nAjout et suppression d'ordinateurs du domaine\nDistribution de logiciels\nModification des membres du groupe\nPatching des postes de travail
"},{"id":"text-41","type":"text","heading":"","plain_text":"Parlez aux superviseurs, parlez aux autres membres du personnel qui sont prêts à assumer ces rôles.\nSi cela ne fonctionne pas, révoquez simplement leurs droits et reprenez la tâche en main (je dois le faire plusieurs fois).\n16. Utiliser des groupes restrictifs pour contrôler les groupes locaux\nLes groupes restreints vous permettent de gérer de manière centralisée les membres des groupes locaux sur les postes de travail et les serveurs.\nUne utilisation courante de cette méthode consiste à ajouter un groupe Active Directory au groupe de l’administrateur local sur tous les ordinateurs. C’est un moyen simple de donner à votre service d’assistance ou à d’autres administrateurs du personnel informatique des droits sur tous les postes de travail.\nC’est également un excellent moyen d’empêcher les utilisateurs ou d’autres membres du personnel d’ajouter des utilisateurs au groupe d’administrateurs locaux.\nLes utilisateurs normaux ne devraient pas avoir de droits d’administrateur, j’ai vu cela échapper à tout contrôle. Vous pouvez utiliser des groupes restreints pour y mettre fin.\nVoici un didacticiel vidéo illustrant l’ajout d’un groupe de domaine au groupe de l’administration locale sur des ordinateurs joints à un domaine.","html":"Parlez aux superviseurs, parlez aux autres membres du personnel qui sont prêts à assumer ces rôles.\nSi cela ne fonctionne pas, révoquez simplement leurs droits et reprenez la tâche en main (je dois le faire plusieurs fois).\n16. Utiliser des groupes restrictifs pour contrôler les groupes locaux\nLes groupes restreints vous permettent de gérer de manière centralisée les membres des groupes locaux sur les postes de travail et les serveurs.\nUne utilisation courante de cette méthode consiste à ajouter un groupe Active Directory au groupe de l’administrateur local sur tous les ordinateurs. C’est un moyen simple de donner à votre service d’assistance ou à d’autres administrateurs du personnel informatique des droits sur tous les postes de travail.\nC’est également un excellent moyen d’empêcher les utilisateurs ou d’autres membres du personnel d’ajouter des utilisateurs au groupe d’administrateurs locaux.\nLes utilisateurs normaux ne devraient pas avoir de droits d’administrateur, j’ai vu cela échapper à tout contrôle. Vous pouvez utiliser des groupes restreints pour y mettre fin.\nVoici un didacticiel vidéo illustrant l’ajout d’un groupe de domaine au groupe de l’administration locale sur des ordinateurs joints à un domaine.
"},{"id":"text-42","type":"text","heading":"","plain_text":"Voici quelques bonnes ressources et tutoriels sur l’utilisation de groupes restrictifs\nhttps://social.technet.microsoft.com/wiki/contents/articles/20402.active-directory-group-policy-restricted-groups.aspx\n17. Bien gérer son temps de domaine\nPourquoi devriez-vous vous soucier de l'heure?\nSi l'heure n'est pas synchronisée sur tous les contrôleurs de domaine, serveurs membres et machines, vous rencontrerez des problèmes.\nAlors, comment définissez-vous l'heure correctement?\nVoici quelques astuces de synchronisation dans le temps\n1 Définissez l’émulateur PDC sur une source de temps\nw32tm / config / manualpeerlist: serveur de temps / syncfromflags: manuel / fiable: oui / mise à jour\nToutes les machines de jointure de domaine obtiendront son heure du PDC.\n2 Désactivez la synchronisation de l'heure entre le système hôte et les systèmes d'exploitation invités.\nLes ordinateurs virtuels ont tendance à se synchroniser avec les hôtes (VMware ou Hyper-v). Il est recommandé de désactiver cette option afin que les systèmes joints à un domaine continuent à utiliser la hiérarchie de domaine pour la synchronisation de l’heure.\nJe me souviens d’avoir combattu des problèmes de temps jusqu’à ce que nous sachions où les hôtes VMware changeaient d’heure et ne se synchronisaient plus avec le PDC.\nVous pouvez lire sur la définition de l'heure avec la stratégie de groupe. Sauf si vous avez manipulé les réglages de l'heure sur des ordinateurs, vous n'en avez pas besoin.\nLes ordinateurs joints à un domaine seront synchronisés par défaut avec le PDC.\nRessources supplémentaires\nhttps://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd363553(v=ws.10)https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple- time-configuration-in-active-directory/\n18. Documenter Active Directory et la stratégie de groupe\nActive Directory est essentiel pour l'authentification des utilisateurs, l'accès autorisé à de nombreuses ressources telles que le courrier électronique, les imprimantes, les fichiers, l'accès distant et bien plus encore.\nIl serait donc logique de documenter Active Directory.\nVoici quelques points que je vous recommande de documenter","html":"Voici quelques bonnes ressources et tutoriels sur l’utilisation de groupes restrictifs\nhttps://social.technet.microsoft.com/wiki/contents/articles/20402.active-directory-group-policy-restricted-groups.aspx\n17. Bien gérer son temps de domaine\nPourquoi devriez-vous vous soucier de l'heure?\nSi l'heure n'est pas synchronisée sur tous les contrôleurs de domaine, serveurs membres et machines, vous rencontrerez des problèmes.\nAlors, comment définissez-vous l'heure correctement?\nVoici quelques astuces de synchronisation dans le temps\n1 Définissez l’émulateur PDC sur une source de temps\nw32tm / config / manualpeerlist: serveur de temps / syncfromflags: manuel / fiable: oui / mise à jour\nToutes les machines de jointure de domaine obtiendront son heure du PDC.\n2 Désactivez la synchronisation de l'heure entre le système hôte et les systèmes d'exploitation invités.\nLes ordinateurs virtuels ont tendance à se synchroniser avec les hôtes (VMware ou Hyper-v). Il est recommandé de désactiver cette option afin que les systèmes joints à un domaine continuent à utiliser la hiérarchie de domaine pour la synchronisation de l’heure.\nJe me souviens d’avoir combattu des problèmes de temps jusqu’à ce que nous sachions où les hôtes VMware changeaient d’heure et ne se synchronisaient plus avec le PDC.\nVous pouvez lire sur la définition de l'heure avec la stratégie de groupe. Sauf si vous avez manipulé les réglages de l'heure sur des ordinateurs, vous n'en avez pas besoin.\nLes ordinateurs joints à un domaine seront synchronisés par défaut avec le PDC.\nRessources supplémentaires\nhttps://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd363553(v=ws.10)https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple- time-configuration-in-active-directory/\n18. Documenter Active Directory et la stratégie de groupe\nActive Directory est essentiel pour l'authentification des utilisateurs, l'accès autorisé à de nombreuses ressources telles que le courrier électronique, les imprimantes, les fichiers, l'accès distant et bien plus encore.\nIl serait donc logique de documenter Active Directory.\nVoici quelques points que je vous recommande de documenter
"},{"id":"text-43","type":"text","heading":"","plain_text":"Nom de la forêt\nNom de domaine\nNom NetBIOS\nNiveau fonctionnel de la forêt\nTous les domaines de la forêt\nServeurs du catalogue global\nDétenteurs de rôle FSMO\nDiagramme de topologie\nSites et sous-réseaux\nConvention de nommage pour tous les objets\nObjets de stratégie de groupe et description de ce qu'ils font","html":"Nom de la forêt\nNom de domaine\nNom NetBIOS\nNiveau fonctionnel de la forêt\nTous les domaines de la forêt\nServeurs du catalogue global\nDétenteurs de rôle FSMO\nDiagramme de topologie\nSites et sous-réseaux\nConvention de nommage pour tous les objets\nObjets de stratégie de groupe et description de ce qu'ils font
"},{"id":"text-44","type":"text","heading":"","plain_text":"Le diagramme de topologie Microsoft Active Directory est un petit outil utile pour la documentation.\nhttps://www.microsoft.com/en-us/download/details.aspx?id=13380\n19. Implémenter correctement les stratégies de groupe\nJ'aime la politique de groupe.\nC’est un moyen simple de contrôler et d’appliquer les paramètres sur tous les ordinateurs appartenant à un domaine.\nIl peut même être utilisé pour déployer un logiciel.\nPour réussir avec la stratégie de groupe, vous devez suivre quelques règles.\nVoici mes conseils de stratégie de groupe.\nConseil n ° 1 Tout d’abord, ne modifiez pas la stratégie de domaine par défaut\nConseil n ° 2 Ne modifiez pas la stratégie de contrôleur de domaine par défaut\nAstuce # 3 utiliser une bonne structure OU\nConseil n ° 4 Ne définissez pas les objets de stratégie de groupe au niveau du domaine\nConseil n ° 5 Appliquer la stratégie de groupe au niveau racine de l'unité d'organisation\nVoir la liste complète des meilleures pratiques de stratégie de groupe \n20. Implémenter le contrôle du changement\nLes modifications apportées à Active Directory et à la stratégie de groupe peuvent perturber les services et affecter les opérations commerciales.\nIl est important de soumettre ces modifications à un processus de contrôle des modifications pour éviter les temps d'arrêt.\nIl est également utile de documenter vos modifications en cas de problème et d’annuler les modifications.\nLors de modifications critiques, je recommande ce qui suit.","html":"Le diagramme de topologie Microsoft Active Directory est un petit outil utile pour la documentation.\nhttps://www.microsoft.com/en-us/download/details.aspx?id=13380\n19. Implémenter correctement les stratégies de groupe\nJ'aime la politique de groupe.\nC’est un moyen simple de contrôler et d’appliquer les paramètres sur tous les ordinateurs appartenant à un domaine.\nIl peut même être utilisé pour déployer un logiciel.\nPour réussir avec la stratégie de groupe, vous devez suivre quelques règles.\nVoici mes conseils de stratégie de groupe.\nConseil n ° 1 Tout d’abord, ne modifiez pas la stratégie de domaine par défaut\nConseil n ° 2 Ne modifiez pas la stratégie de contrôleur de domaine par défaut\nAstuce # 3 utiliser une bonne structure OU\nConseil n ° 4 Ne définissez pas les objets de stratégie de groupe au niveau du domaine\nConseil n ° 5 Appliquer la stratégie de groupe au niveau racine de l'unité d'organisation\nVoir la liste complète des meilleures pratiques de stratégie de groupe \n20. Implémenter le contrôle du changement\nLes modifications apportées à Active Directory et à la stratégie de groupe peuvent perturber les services et affecter les opérations commerciales.\nIl est important de soumettre ces modifications à un processus de contrôle des modifications pour éviter les temps d'arrêt.\nIl est également utile de documenter vos modifications en cas de problème et d’annuler les modifications.\nLors de modifications critiques, je recommande ce qui suit.
"},{"id":"text-45","type":"text","heading":"","plain_text":"Qui est responsable du changement\nDescription du changement\nTemps de mise en oeuvre\nDurée du changement\nImpact attendu\nA changé été testé\nProcédures de sauvegarde","html":"Qui est responsable du changement\nDescription du changement\nTemps de mise en oeuvre\nDurée du changement\nImpact attendu\nA changé été testé\nProcédures de sauvegarde
"},{"id":"text-46","type":"text","heading":"","plain_text":"Je conseillerais de rendre le processus de changement aussi simple que possible. Rien ne ralentit la progression plus qu’un tas de paperasserie et de paperasserie.\n21. Utilisez Active Directory comme source d’authentification centralisée pour tout.\nSi vos applications sur site ou dans le cloud prennent en charge l’authentification Active Directory, utilisez-la.\nIl facilite grandement les autorisations et l’accès aux ressources lorsqu’il est contrôlé de manière centralisée par Active Directory.\nC’est également un avantage considérable pour les utilisateurs finaux: ils peuvent s’authentifier avec un seul nom d’utilisateur et mot de passe.\nDes questions? Laissez un commentaire ci-dessous.","html":"Je conseillerais de rendre le processus de changement aussi simple que possible. Rien ne ralentit la progression plus qu’un tas de paperasserie et de paperasserie.\n21. Utilisez Active Directory comme source d’authentification centralisée pour tout.\nSi vos applications sur site ou dans le cloud prennent en charge l’authentification Active Directory, utilisez-la.\nIl facilite grandement les autorisations et l’accès aux ressources lorsqu’il est contrôlé de manière centralisée par Active Directory.\nC’est également un avantage considérable pour les utilisateurs finaux: ils peuvent s’authentifier avec un seul nom d’utilisateur et mot de passe.\nDes questions? Laissez un commentaire ci-dessous.
"},{"id":"text-47","type":"text","heading":"","plain_text":"Outil recommandé: SolarWinds Server et Application Monitor (SAM)\nCet utilitaire a été conçu pour surveiller Active Directory et d’autres applications critiques. Il détectera rapidement les problèmes de contrôleur de domaine, empêchera les échecs de réplication, suivra les tentatives de connexion infructueuses et bien plus encore.\nCe que j’aime le plus chez SAM, c’est la facilité d’utilisation des fonctions de tableau de bord et d’alerte. Il a également la capacité de surveiller les machines virtuelles et le stockage.\nTéléchargez votre version d'évaluation gratuite de SolarWinds Server & Application Monitor.","html":"Outil recommandé: SolarWinds Server et Application Monitor (SAM)\nCet utilitaire a été conçu pour surveiller Active Directory et d’autres applications critiques. Il détectera rapidement les problèmes de contrôleur de domaine, empêchera les échecs de réplication, suivra les tentatives de connexion infructueuses et bien plus encore.\nCe que j’aime le plus chez SAM, c’est la facilité d’utilisation des fonctions de tableau de bord et d’alerte. Il a également la capacité de surveiller les machines virtuelles et le stockage.\nTéléchargez votre version d'évaluation gratuite de SolarWinds Server & Application Monitor.
"},{"id":"text-48","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Voici la liste la plus complète des conseils de gestion Active Directory en ligne.\nDans cet article, je partagerai mes astuces sur la conception, les conventions de dénomination, l'automatisation, le nettoyage AD, la surveillance, la vérification de la santé d'Active Directory et bien plus encore.\nVérifiez-le:\n1. Organisez votre Active Directory\nSi vous n'avez pas une bonne conception d'unité d'organisation Active Directory, vous allez avoir des problèmes.\nTout d’abord, j’expliquerai rapidement les trois principales raisons pour lesquelles une bonne conception des unités d’équipement est si importante.\nRaison n ° 1 Stratégies de groupe\nUne bonne conception des unités d'organisation facilitera grandement la mise en œuvre et la gestion des stratégies de groupe. J'ai constaté une diminution drastique des problèmes liés à la conception appropriée de l'unité d'organisation.\nRaison n ° 2 autorisations de délégué\nVotre service d’assistance doit-il réinitialiser les mots de passe, ajouter et supprimer des ordinateurs du domaine? Avez-vous besoin de non administrateurs pour gérer des groupes? Les ressources humaines ont-elles besoin d'un accès pour mettre à jour les comptes d'utilisateurs?\nPouvoir déléguer les droits à un niveau granulaire et les auditer sont indispensables.\nUne conception appropriée de l'unité d'organisation vous permettra de déléguer facilement des autorisations à un niveau granulaire.\nRaison n ° 3 tâches administratives\nLa modification des comptes d'utilisateurs, l'utilisation de requêtes LDAP, la création de rapports et les modifications globales sont toutes des tâches administratives courantes. Si Active Directory est un désordre, ces tâches quotidiennes simples peuvent devenir difficiles pour toute l'équipe.\nMaintenant que j’ai expliqué pourquoi la conception des unités d’équipement est si importante, laissez-moi vous montrer mes conseils pour bien les concevoir.\nConseil de conception n ° 1: Séparer les utilisateurs et les ordinateurs\nNe regroupez pas les utilisateurs et les ordinateurs dans la même unité d'organisation, il s'agit d'une pratique recommandée par Microsoft.\nAu lieu de cela, créez une nouvelle unité d'organisation pour les utilisateurs et une unité d'organisation pour les ordinateurs."},{"id":"text-2","heading":"Text","content":"Ensuite, créez des sous-OU pour chaque département.\nFaites cela pour les ordinateurs et les utilisateurs."},{"id":"text-3","heading":"Text","content":"Ensuite, je vais créer des unités d’organisation pour des fonctions spécifiques ou pour regrouper des objets similaires. Voici quelques exemples que j'utilise:"},{"id":"text-4","heading":"Text","content":"Ordinateurs de salle de conférence\nVDI (bureaux virtuels)\nOrdinateurs de test\nComptes génériques\nComptes de service"},{"id":"text-5","heading":"Text","content":"Je vais créer une unité d'organisation pour chacune de ces fonctions."},{"id":"text-6","heading":"Text","content":"C’est tout pour l’organisation des utilisateurs et des ordinateurs.\nC’est très simple, flexible et facile à naviguer."},{"id":"text-7","heading":"Text","content":"Rérecommandé: ensemble de gestion du système SolarWinds (Essai GRATUIT de 30 jours)\nLe pack de gestion de systèmes est la solution de surveillance ultime pour la surveillance des performances des serveurs, applications, stockage et Web virtuels.\nBénéficiez d'une visibilité instantanée sur vos systèmes pour vous aider à diagnostiquer et à résoudre rapidement les problèmes de performances. Surveillance de l'infrastructure pour la technologie sur site et dans le cloud.\nCe qui me plaît le plus chez SolarWinds, c’est sa configuration rapide et facile, et sa compréhension des tableaux de bord."},{"id":"text-8","heading":"Text","content":"Voici un exemple qui démontre la flexibilité de cette conception. \nJ'ai une stratégie de domaine qui verrouille les ordinateurs après 15 minutes d'inactivité.\nCela est devenu un problème pour les ordinateurs de salle de conférence, les utilisateurs enseignaient ou donnaient une présentation et l'écran continuait à se verrouiller.\nPour résoudre ce problème, je viens de créer une sous-unité d'organisation appelée ordinateurs de la salle de conférence et de déplacer les ordinateurs concernés vers cette unité d'organisation. J'ai créé un nouvel objet de stratégie de groupe qui a modifié le délai de verrouillage à 60 minutes et l'a appliqué à cette nouvelle unité d'organisation.\nDésormais, ces ordinateurs héritent toujours des stratégies de leur parent lors de l'application de la nouvelle stratégie de délai d'attente.\nConseil de conception n ° 2: Créer une unité d'organisation pour les groupes de sécurité\nAu début, je mets des groupes de sécurité dans des dossiers de département.\nC'était logique à l'époque.\nMais je me trompais\nCe qui s’est passé est que j’aurais des groupes qui ne sont pas spécifiques à un département. Où vont-ils?\nIls se retrouveraient à divers endroits et personne ne pourrait les trouver.\nPour réparer ce gâchis, j'ai créé un groupe juste pour les groupes de sécurité.\nTout comme les utilisateurs et les ordinateurs, je peux créer des sous-unités organisationnelles pour regrouper des services ou des groupes fonctionnels."},{"id":"text-9","heading":"Text","content":"Cela fonctionne très bien, je sais exactement où se trouvent tous les groupes et je peux les organiser comme je le veux avec les sous-unités organisationnelles.\nConseil de conception n ° 3: Créer une unité d'organisation pour les serveurs\nVous voulez garder vos serveurs dans leur propre unité d'organisation. Vous aurez des stratégies de groupe qui doivent s’appliquer uniquement aux serveurs et non aux stations de travail et inversement. Je peux également créer des sous-unités d'organisation pour regrouper des serveurs spécifiques en fonction de vos besoins.\nMaintenant, je peux appliquer des stratégies à tous les serveurs ou à des serveurs spécifiques."},{"id":"text-10","heading":"Text","content":"En gardant Active Directory organisé, tous les administrateurs sauront comment trouver facilement des objets. J'ai la possibilité d'appliquer des stratégies de groupe, de déléguer le contrôle et d'administrer les objets.\n2. Utiliser une convention de dénomination standardisée\nQue votre entreprise soit grande ou petite, vous devez normaliser la dénomination des objets Active Directory.\nVoici mes astuces pour de bonnes conventions de nommage.\nUtilisateurs\nL'option la plus populaire est la première initiale + le nom de famille.\nJe vais utiliser "Joe Smith" comme exemple.\nLe nom d'utilisateur serait: jsmith\nLa prochaine option populaire est complète prénom + nom (utilisez un caractère spécial pour séparer le nom).\nLe nom d'utilisateur serait: joe.smith\nLes deux méthodes fonctionnent bien et sont conviviales. Le seul problème que vous pouvez rencontrer est les noms d'utilisateurs en double.\nPour résoudre ce problème, ajoutez simplement l'initiale du milieu.\nPar exemple, j'ai Joe Smith, puis un nouvel employé s'appelle Jane Smith. Le nom d’utilisateur de Jane sera identique à celui de Joe. Par conséquent, j’ai besoin de l’initiale du deuxième prénom de Jane.\nL’initiale du prénom Jane est A, le nom d’utilisateur serait donc jasmith. ou jane.a.smith\nJ'éviterais les conventions de dénomination qui tronquent les noms ou incluent des nombres. C’est trop déroutant pour tout le monde.\nGroupes\nVoici mon modèle pour créer des groupes.\nDépartement ou groupe + ressource + autorisations\nLaisse moi décomposer ça"},{"id":"text-11","heading":"Text","content":"Département ou groupe – Vous pouvez utiliser le nom complet du département ou une abréviation. Dans certains cas, il peut ne pas s'agir d'un service spécifique, mais peut-être des utilisateurs de différents services. Il vous suffit donc de nommer ce groupe.\nRessource – Cela devrait définir ce pour quoi le groupe est utilisé, cela pourrait être un mot ou quelques mots (mots séparés avec un trait d'union)\nPréfixe de groupe: lorsque vous créez un groupe, vous devez sélectionner un type de groupe. J'utilise un préfixe pour définir le groupe que j'utilise."},{"id":"text-12","heading":"Text","content":"Domaine local = L\nGlobal = G\nUniversel = U"},{"id":"text-13","heading":"Text","content":"Permissions – Les permissions que vous appliquerez à la ressource"},{"id":"text-14","heading":"Text","content":"R = Lecture seule\nRW = lire, écrire"},{"id":"text-15","heading":"Text","content":"Voici quelques exemples\nExemple 1 – Le personnel du centre d'assistance a besoin de droits pour réinitialiser les mots de passe.\nLe nom du groupe de sécurité serait: Helpdesk-PasswordReset-G\nExemple 2 – Le service des ressources humaines a besoin d'un dossier de formation verrouillé\nNom du groupe de sécurité: HR-Training-Folder-G-RW\nExemple 3 – Le service commercial souhaite que l'agenda partagé soit verrouillé\nNom du groupe de sécurité: Sales-Shared-Calendar-G-RW\nUne fois que tous mes groupes ont été renommés conformément à cette convention d'appellation, il a été beaucoup plus facile de les trouver et de les utiliser.\nOrdinateurs, serveurs et autres objets AD\nPour la plupart des autres objets, je suis la convention de nommage suivante:\nTapez + code du département ou de l'emplacement + numéro d'actif"},{"id":"text-16","heading":"Text","content":"Type"},{"id":"text-17","heading":"Text","content":"W = poste de travail\nL = ordinateur portable\nP = imprimante\nS = serveur\nV = VDI ou machine virtuelle"},{"id":"text-18","heading":"Text","content":"Département: utilisez deux lettres pour les départements ou un code d'emplacement."},{"id":"text-19","heading":"Text","content":"RH = ressources humaines\nMR = Marketing\nSA = Ventes"},{"id":"text-20","heading":"Text","content":"Voici quelques exemples\nStation de travail dans l'actif de service informatique n ° 1234\nW-IT-1234\nOrdinateur portable dans l'actif du département RH n ° 1235\nL-HR-1235\nImprimante dans l'actif du service vente n ° 1233\nP-SA-1233\nCréez une convention de dénomination claire que toute l’équipe peut suivre. Je ne parle pas seulement d’utilisateurs et d’ordinateurs. Créer une convention de nommage pour tous les objets\n3. Surveillez Active Directory avec les outils Premium\nActive Directory est le cœur du réseau. S'il cesse de battre, tout le reste meurt.\nJe sais que les outils GRATUITS sont excellents (j'en utilise beaucoup), mais pour ce qui est de la surveillance, je compte sur des outils professionnels.\nPourquoi?\nCela me fait gagner un temps précieux et fournit aux autres équipes informatiques des métriques faciles à lire sur les serveurs et les applications.\nVoici quelques favoris:\nSolarWinds Server & Application Monitor – J'aime cet outil car il me permet de surveiller n'importe quelle application sur n'importe quel serveur. Surveille tous les composants et services qui font fonctionner Active Directory. Si Active Directory rencontre des problèmes ou est lent, ce programme identifiera rapidement le problème.\nSolarWinds Network Performance Monitor – Excellent outil pour surveiller le réseau, la bande passante, le processeur, la mémoire et bien d’autres métriques sur tout périphérique prenant en charge le protocole SNMP.\nNetfort Languardian – Il s'agit d'un programme d'inspection approfondie des paquets qui surveille l'activité du réseau et des utilisateurs. Bien qu'il puisse être considéré comme un outil de réseau, il a des tonnes de cas d'utilisation. Je peux savoir qui a supprimé un fichier, surveiller DNS, trouver des serveurs DNS rouges, surveiller la bande passante vers les serveurs et Active Directory et bien plus encore.\nManageEngine Audit Plus – Fournit un audit en temps réel à Active Directory. Suivez les modifications apportées aux objets AD, à l'activité des utilisateurs, au DNS, aux objets de stratégie de groupe, etc.\nIl existe de nombreux outils professionnels sur le marché, je vous recommande de rechercher ceux qui correspondent le mieux à vos besoins.\n4. Utiliser les serveurs principaux (si possible)\nLe coeur de serveur a une empreinte plus petite, est plus sécurisé et ne nécessite pas autant de mises à jour.\nBonus bénéfice moins de redémarrages!\nJ'étais sceptique au début lorsque Microsoft a déclaré qu'il s'agissait de l'option d'installation préférée. Mais après avoir exploité des serveurs centraux pendant quelques années, ils sont ROCK. Ils sont stables et ils ont vraiment moins de mises à jour.\nMalheureusement, ils ne fonctionnent pas dans toutes les situations.\nToutes les applications tierces ne prennent pas en charge les serveurs principaux.\nIls fonctionnent très bien pour les serveurs Windows tels que les contrôleurs de domaine, DHCP, DNS.\nDonc, installez les serveurs principaux quand vous le pouvez et profitez des avantages.\nVoici un joli tableau qui résume les avantages du coeur de serveur\nhttps://msdn.microsoft.com/en-us/library/hh846314(v=vs.85).aspx\n5. Savoir comment vérifier la santé des AD\nDes problèmes avec les contrôleurs de domaine, le DNS et la réplication vont causer toutes sortes de problèmes.\nVoici quelques astuces rapides pour vérifier la santé de Active Directory.\nUtilisez dcdiag pour vérifier les contrôleurs de domaine\nDcdiag est un outil de ligne de commande qui analyse l'état des contrôleurs de domaine d'une forêt ou d'une entreprise et signale les problèmes éventuels. Il est intégré à la plupart des systèmes d'exploitation serveur Windows. Il est également inclus si le rôle ADDS ou ADLDS est installé.\nUtilisez la commande suivante pour analyser la santé de vos contrôleurs de domaine.\ndcdiag / s: nom_serveur / a\nCela exécutera plusieurs tests sur divers composants et services exécutés sur un contrôleur de domaine."},{"id":"text-21","heading":"Text","content":"Vous obtiendrez un échec sur tous les tests qui ne passeront pas.\nUtilisez dcdiag pour tester le DNS\nUtilisez la commande ci-dessous pour tester le DNS\ndcdiag / test: dns / s: nom_serveur\nVous pouvez dans la capture d'écran, le test a détecté des problèmes avec mon DNS"},{"id":"text-22","heading":"Text","content":"En parcourant les tests, il me manque des enregistrements DNS A et SRV"},{"id":"text-23","heading":"Text","content":"Utilisez repadmin pour tester la réplication\nUtilisez la commande suivante pour tester la réplication entre vos contrôleurs de domaine.\nrepadmin / showrepl\n6. Utiliser des groupes de sécurité pour appliquer des autorisations aux ressources\nN'utilisez PAS des comptes individuels pour appliquer des autorisations sur des ressources (imprimantes, dossiers partagés, applications, calendrier, etc.).\nUtilisez plutôt des groupes de sécurité.\nCela facilite l’ajout et la suppression d’utilisateurs aux ressources. Cela facilite également les rapports et les audits.\nUne fois que les groupes sont configurés sur les ressources, il n’est pas nécessaire d’aller à chaque ressource pour modifier l’accès. Vous venez de mettre à jour le groupe.\nEn utilisant la convention de dénomination de groupe du conseil n ° 3, cela fonctionne comme un charme.\nVoici un exemple.\nJ'ai un dossier appelé formation dans le département des ventes.\nJe vais créer un groupe appelé HR-Training-SG-RW (Ceci suit mes conseils de convention de dénomination #)\nJ'ajouterai ensuite ce groupe aux autorisations sur ce dossier."},{"id":"text-24","heading":"Text","content":"Maintenant, chaque fois que je veux donner des autorisations ou révoquer les droits d’un utilisateur sur ce dossier, je modifie simplement les membres de ce groupe.\nJe peux utiliser la méthode pour toutes les ressources.\n7. Nettoyer Active Directory (au moins une fois par mois)\nAu fil du temps, Active Directory aura des utilisateurs, des ordinateurs et des comptes de groupe obsolètes.\nPour garder Active Directory sécurisé et ordonné, vous devez trouver ces comptes obsolètes et les supprimer.\nIl existe de nombreux scripts et outils graphiques permettant de rechercher et de supprimer les anciens comptes.\nJ'ai quelques outils de nettoyage disponibles sur ma page d'outils et de ressources.\nJe lance ce processus de nettoyage une fois par mois.\n8. Ajouter des descriptions aux objets Active Directory\nC’est frustrant de voir des objets dans Active Directory sans savoir à quoi ils servent.\nMême si vous utilisez une bonne convention d'appellation, j'aime toujours ajouter des descriptions aux objets. Évidemment, pas tous les objets, mais les serveurs, les groupes, les comptes de service et les comptes génériques, je leur mets des descriptions.\nCela ne m'aide pas seulement à identifier rapidement l'utilisation de l'objet, cela aide également toute l'équipe à comprendre.\nVous pouvez voir dans les captures d'écran ci-dessous que j'ai ajouté des descriptions à certains groupes et comptes de service."},{"id":"text-25","heading":"Text","content":"Voici quelques comptes non standard, en utilisant à nouveau le champ de description, je peux facilement voir dans Active Directory à quoi ils servent."},{"id":"text-26","heading":"Text","content":"Encore une fois, je ne le fais pas pour tous les objets, principalement les groupes, les serveurs et les comptes non standard.\nC’est un autre grand gain de temps.\n9. Utiliser l'Assistant Contrôle de délégation pour définir les autorisations pour les non-administrateurs (helpdesk)\nLa délégation Active Directory est importante à comprendre pour que les autorisations puissent être accordées sans ajouter d'utilisateurs à des groupes privilégiés tels que les administrateurs de domaine.\nÀ l'aide des autorisations déléguées, vous pouvez utiliser la méthode d'accès le moins privilégié. (Ne donnez que les droits nécessaires)\nCela contribue à la sécurité et à la conformité.\nVoici quelques exemples de la nécessité de déléguer des droits."},{"id":"text-27","heading":"Text","content":"Helpdesk doit réinitialiser les mots de passe\nMettre à jour les informations du compte utilisateur telles que le numéro de téléphone ou l'adresse\nDonner le droit d'ajouter et de supprimer des ordinateurs de domaines.\nCréer, supprimer et gérer des comptes d'utilisateurs\nModifier l'appartenance à un groupe"},{"id":"text-28","heading":"Text","content":"Dans cette vidéo, je vais donner à notre groupe d'assistance les droits de réinitialiser les mots de passe."},{"id":"text-29","heading":"Text","content":"10. Modifiez les modifications apportées à Active Directory\nL'audit Active Directory est le processus de journalisation des modifications et des événements dans Active Directory.\nL'audit est important pour des raisons de sécurité et de conformité.\nVous devriez au moins auditer Active Directory pour les événements suivants:"},{"id":"text-30","heading":"Text","content":"Échec des tentatives d'ouverture de session\nToute modification des objets\nConnexions réussies\nModifications aux comptes privilèges\nChangements de stratégie de groupe\nSuppression de fichier / dossier"},{"id":"text-31","heading":"Text","content":"Avant de pouvoir auditer Active Directory, vous devez d'abord configurer une stratégie d'audit.\nÉtapes pour auditer Active Directory\nÉtape 1: Activer l'audit sur le contrôleur de domaine\nÉtape 2: Activer les événements à auditer\nÉtape 3: examiner et gérer les journaux d'audit\nLes étapes ci-dessus constituent une vue d'ensemble de haut niveau.\nPour des étapes détaillées, consultez ces ressources\nhttps://www.lepide.com/how-to/enable-active-directory-security-auditing.html\nhttps://technet.microsoft.com/en-us/library/dd277403.aspx\n11. Retrouver la source des verrouillages de compte\nLes verrouillages de compte aléatoires sont non seulement frustrants pour les utilisateurs finaux, mais également pour le service d'assistance et l'administrateur qui le résolvent.\nTous les administrateurs système ont besoin de savoir comment localiser la source des verrouillages de compte.\nLes appareils mobiles et les comptes d'utilisateurs configurés pour exécuter un service sont les raisons les plus courantes de verrouillage de compte.\n12. Automatiser les tâches courantes Active Directory\nJe vous encourage à automatiser tout ce que vous pouvez.\nL'administration Active Directory implique de nombreuses tâches de routine, telles que la création de compte d'utilisateur, les modifications, la suppression de compte, la gestion de l'ordinateur, la sécurité, etc. Certaines de ces tâches quotidiennes prennent beaucoup de temps.\nLa plupart des tâches routinières peuvent être automatisées pour vous rendre plus efficace.\nVoici quelques tâches courantes que vous devez automatiser:"},{"id":"text-32","heading":"Text","content":"Création de compte utilisateur\nSuppression de compte\nModification du compte\nGestion des membres du groupe\nNettoyage AD\nCopies de fichiers, nettoyage de répertoires\nDéploiement de logiciels\nCorrectifs Windows et tiers\nInventaire\nMise hors service des actifs"},{"id":"text-33","heading":"Text","content":"Il peut être difficile d'automatiser l'intégralité du processus de certaines tâches, mais automatisez ce que vous pouvez. L'automatisation d'une partie d'une tâche répétitive vous fera gagner du temps.\nPowerShell est un outil permettant d’automatiser bon nombre de ces tâches.\nMon équipe a récemment automatisé l’ensemble du processus de création de compte utilisateur à l’aide de PowerShell. Cela impliquait de nombreuses étapes telles que la création du compte, l'ajout de groupes, la création d'une boîte aux lettres Office 365 et la création d'un dossier partagé personnel.\nCréer des comptes utilisateurs n'a jamais été aussi simple.\n13. Comprendre les chemins de noms distinctifs LDAP\nActive Directory est un service de répertoire LDAP (Lightweight Directory Access Protocol), ce qui signifie que tous les accès aux objets se font via LDAP.\nLDAP utilise des chemins pour localiser des objets, le chemin complet d’un objet étant défini par son nom distinctif.\nLors de l'intégration d'autres systèmes à Active Directory, certaines informations LDAP sont souvent nécessaires.\nMalheureusement, chaque programme fait cela différemment. Avoir un peu de connaissance des chemins distingués vous aidera à intégrer d’autres systèmes à Active Directory.\nDans la plupart des cas, vous avez besoin du nom distinctif des éléments suivants:"},{"id":"text-34","heading":"Text","content":"Nom de domaine\nCompte d'utilisateur (ayant un accès en lecture à AD)\nOU où se trouvent les utilisateurs"},{"id":"text-35","heading":"Text","content":"Voici comment trouver le nom distinctif\nÉtape 1: Ouvrez ADUC et accédez au compte.\nÉtape 2: Faites un clic droit sur le compte et sélectionnez les propriétés\nÉtape 3: Sélectionnez l'éditeur d'attribut"},{"id":"text-36","heading":"Text","content":"Étape 4: Recherchez le nom distinctif de l'attribut, puis cliquez sur le bouton Afficher."},{"id":"text-37","heading":"Text","content":"Le nom distinctif de l'utilisateur Pam Smith est:\nCN = Pam Smith, OU = Comptabilité, OU = Utilisateurs ADPRO, DC = ad, DC = activedirectorypro, DC = com\nRépétez ces étapes pour tout autre objet nécessaire.\n14. Utiliser les comptes de service (avec le moins de privilèges)\nIl y aura un moment où vous devrez exécuter une tâche, un script ou un programme avec un compte utilisateur (domaine ou local).\nCeux-ci sont appelés comptes de service.\nTout d’abord, n’utilisez ni compte de domaine ni autre compte d’utilisateur pour ces derniers.\nAu lieu de cela, créez un nouveau compte à utiliser pour chaque service spécifique. Vos comptes d'utilisateur doivent avoir une politique pour changer leur mot de passe tous les x jours. Si un compte est utilisé et que le mot de passe change, ce service cessera de fonctionner.\nVoici quelques conseils supplémentaires:"},{"id":"text-38","heading":"Text","content":"Utilisez un nom descriptif\nDocumenter le compte et ajouter une description dans Active Directory\nCréer des mots de passe longs et complexes\nDéfinir le compte pour qu'il n'expire jamais\nRestreindre ce que le compte peut connecter\nAuditer et surveiller l'utilisation des comptes de service\nSi possible, créez des comptes de service locaux au lieu de comptes de domaine\nDonnez le compte de service le moins de privilèges\nN'utilisez pas un compte pour plusieurs services."},{"id":"text-39","heading":"Text","content":"15. Déléguer des tâches quand vous le pouvez\nNon, je ne parle pas de délégation de droits au service d’assistance.\nAu fil des ans, les responsabilités des administrateurs système et réseau ont explosé. Certains administrateurs système sont responsables de presque tout, du serveur à l’imprimante.\nPour préserver votre santé mentale, acceptez de déléguer certaines tâches à des personnes extérieures à votre équipe.\nRegardez:\nJ'ai hésité pendant des années. J'ai travaillé dur pour mettre de l'ordre dans tout le processus, réduire les procédures et faire fonctionner les systèmes 24h / 24 et 7j / 7.\nMAIS, à mesure que les responsabilités augmentaient, la productivité était à la baisse. Les nouveaux projets ont été lents à se développer.\nPour résoudre ce problème, j'ai appris qu'il était normal de déléguer des tâches en dehors de mon équipe.\nVoici quelques tâches que j'ai déléguées:"},{"id":"text-40","heading":"Text","content":"Configuration du compte et suppression\nGestion des serveurs d'impression\nModification des attributs du compte\nAjout et suppression d'ordinateurs du domaine\nDistribution de logiciels\nModification des membres du groupe\nPatching des postes de travail"},{"id":"text-41","heading":"Text","content":"Parlez aux superviseurs, parlez aux autres membres du personnel qui sont prêts à assumer ces rôles.\nSi cela ne fonctionne pas, révoquez simplement leurs droits et reprenez la tâche en main (je dois le faire plusieurs fois).\n16. Utiliser des groupes restrictifs pour contrôler les groupes locaux\nLes groupes restreints vous permettent de gérer de manière centralisée les membres des groupes locaux sur les postes de travail et les serveurs.\nUne utilisation courante de cette méthode consiste à ajouter un groupe Active Directory au groupe de l’administrateur local sur tous les ordinateurs. C’est un moyen simple de donner à votre service d’assistance ou à d’autres administrateurs du personnel informatique des droits sur tous les postes de travail.\nC’est également un excellent moyen d’empêcher les utilisateurs ou d’autres membres du personnel d’ajouter des utilisateurs au groupe d’administrateurs locaux.\nLes utilisateurs normaux ne devraient pas avoir de droits d’administrateur, j’ai vu cela échapper à tout contrôle. Vous pouvez utiliser des groupes restreints pour y mettre fin.\nVoici un didacticiel vidéo illustrant l’ajout d’un groupe de domaine au groupe de l’administration locale sur des ordinateurs joints à un domaine."},{"id":"text-42","heading":"Text","content":"Voici quelques bonnes ressources et tutoriels sur l’utilisation de groupes restrictifs\nhttps://social.technet.microsoft.com/wiki/contents/articles/20402.active-directory-group-policy-restricted-groups.aspx\n17. Bien gérer son temps de domaine\nPourquoi devriez-vous vous soucier de l'heure?\nSi l'heure n'est pas synchronisée sur tous les contrôleurs de domaine, serveurs membres et machines, vous rencontrerez des problèmes.\nAlors, comment définissez-vous l'heure correctement?\nVoici quelques astuces de synchronisation dans le temps\n1 Définissez l’émulateur PDC sur une source de temps\nw32tm / config / manualpeerlist: serveur de temps / syncfromflags: manuel / fiable: oui / mise à jour\nToutes les machines de jointure de domaine obtiendront son heure du PDC.\n2 Désactivez la synchronisation de l'heure entre le système hôte et les systèmes d'exploitation invités.\nLes ordinateurs virtuels ont tendance à se synchroniser avec les hôtes (VMware ou Hyper-v). Il est recommandé de désactiver cette option afin que les systèmes joints à un domaine continuent à utiliser la hiérarchie de domaine pour la synchronisation de l’heure.\nJe me souviens d’avoir combattu des problèmes de temps jusqu’à ce que nous sachions où les hôtes VMware changeaient d’heure et ne se synchronisaient plus avec le PDC.\nVous pouvez lire sur la définition de l'heure avec la stratégie de groupe. Sauf si vous avez manipulé les réglages de l'heure sur des ordinateurs, vous n'en avez pas besoin.\nLes ordinateurs joints à un domaine seront synchronisés par défaut avec le PDC.\nRessources supplémentaires\nhttps://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd363553(v=ws.10)https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple- time-configuration-in-active-directory/\n18. Documenter Active Directory et la stratégie de groupe\nActive Directory est essentiel pour l'authentification des utilisateurs, l'accès autorisé à de nombreuses ressources telles que le courrier électronique, les imprimantes, les fichiers, l'accès distant et bien plus encore.\nIl serait donc logique de documenter Active Directory.\nVoici quelques points que je vous recommande de documenter"},{"id":"text-43","heading":"Text","content":"Nom de la forêt\nNom de domaine\nNom NetBIOS\nNiveau fonctionnel de la forêt\nTous les domaines de la forêt\nServeurs du catalogue global\nDétenteurs de rôle FSMO\nDiagramme de topologie\nSites et sous-réseaux\nConvention de nommage pour tous les objets\nObjets de stratégie de groupe et description de ce qu'ils font"},{"id":"text-44","heading":"Text","content":"Le diagramme de topologie Microsoft Active Directory est un petit outil utile pour la documentation.\nhttps://www.microsoft.com/en-us/download/details.aspx?id=13380\n19. Implémenter correctement les stratégies de groupe\nJ'aime la politique de groupe.\nC’est un moyen simple de contrôler et d’appliquer les paramètres sur tous les ordinateurs appartenant à un domaine.\nIl peut même être utilisé pour déployer un logiciel.\nPour réussir avec la stratégie de groupe, vous devez suivre quelques règles.\nVoici mes conseils de stratégie de groupe.\nConseil n ° 1 Tout d’abord, ne modifiez pas la stratégie de domaine par défaut\nConseil n ° 2 Ne modifiez pas la stratégie de contrôleur de domaine par défaut\nAstuce # 3 utiliser une bonne structure OU\nConseil n ° 4 Ne définissez pas les objets de stratégie de groupe au niveau du domaine\nConseil n ° 5 Appliquer la stratégie de groupe au niveau racine de l'unité d'organisation\nVoir la liste complète des meilleures pratiques de stratégie de groupe \n20. Implémenter le contrôle du changement\nLes modifications apportées à Active Directory et à la stratégie de groupe peuvent perturber les services et affecter les opérations commerciales.\nIl est important de soumettre ces modifications à un processus de contrôle des modifications pour éviter les temps d'arrêt.\nIl est également utile de documenter vos modifications en cas de problème et d’annuler les modifications.\nLors de modifications critiques, je recommande ce qui suit."},{"id":"text-45","heading":"Text","content":"Qui est responsable du changement\nDescription du changement\nTemps de mise en oeuvre\nDurée du changement\nImpact attendu\nA changé été testé\nProcédures de sauvegarde"},{"id":"text-46","heading":"Text","content":"Je conseillerais de rendre le processus de changement aussi simple que possible. Rien ne ralentit la progression plus qu’un tas de paperasserie et de paperasserie.\n21. Utilisez Active Directory comme source d’authentification centralisée pour tout.\nSi vos applications sur site ou dans le cloud prennent en charge l’authentification Active Directory, utilisez-la.\nIl facilite grandement les autorisations et l’accès aux ressources lorsqu’il est contrôlé de manière centralisée par Active Directory.\nC’est également un avantage considérable pour les utilisateurs finaux: ils peuvent s’authentifier avec un seul nom d’utilisateur et mot de passe.\nDes questions? Laissez un commentaire ci-dessous."},{"id":"text-47","heading":"Text","content":"Outil recommandé: SolarWinds Server et Application Monitor (SAM)\nCet utilitaire a été conçu pour surveiller Active Directory et d’autres applications critiques. Il détectera rapidement les problèmes de contrôleur de domaine, empêchera les échecs de réplication, suivra les tentatives de connexion infructueuses et bien plus encore.\nCe que j’aime le plus chez SAM, c’est la facilité d’utilisation des fonctions de tableau de bord et d’alerte. Il a également la capacité de surveiller les machines virtuelles et le stockage.\nTéléchargez votre version d'évaluation gratuite de SolarWinds Server & Application Monitor."},{"id":"text-48","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2019/09/Active-Directory-Management-Tips.jpg"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/09/06/21-conseils-de-gestion-efficaces-pour-active-directory-serveur-dimpression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/09/06/21-conseils-de-gestion-efficaces-pour-active-directory-serveur-dimpression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/09/06/21-conseils-de-gestion-efficaces-pour-active-directory-serveur-dimpression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}