Le centre d’administration Active Directory (ADAC)

Sommaire

 

 

Introduction

Avec Windows Server 2008 R2, une nouvelle console de gestion Active Directory appelée « Centre d’Administration Active Directory » (Active Directory Administrative Center – ADAC) est apparue. Elle tend clairement à remplacer la fameuse mais non moins vieillissante console Utilisateurs et ordinateurs Active Directory (ADUC). En réalité, son apparition marque clairement le désir de Microsoft de pousser ADUC vers la sortie.

Sachant que cette nouvelle console risque de devenir incontournable d’ici peu, de part ses évolutions actuelles et futures, nous allons vous présenter dans cet article tout ce que vous devez savoir sur ADAC et comment l’appréhender.

 

 

Pourquoi remplacer ADUC ?

La console Utilisateurs et ordinateurs Active Directory est apparue voila plus de 11 ans avec la naissance d’Active Directory et Microsoft Windows Server 2000. Elle a très peu évolué et ne répond plus désormais aux besoins en termes d’efficacité, de fonctionnalité et de flexibilité.

ADAC s’appuie exclusivement sur PowerShell et plus particulièrement sur le module Active Directory apparu avec Windows Server 2008 R2. Cela sera sans doute la force majeure d’ADAC et de son évolution dans les prochaines années.

Bien entendu, la console n’en est qu’à ses premiers balbutiements, elle est loin d’être sans défauts et faiblesses. De plus, la console Utilisateurs et ordinateurs Active Directory reste toujours d’actualité parce qu’un grand nombre de composants tiers ne sont pas encore compatibles avec ADAC.

 

 

Prérequis

La console est construite autour de Powershell et de son module Active Directory. Elle est donc incompatible avec les systèmes antérieurs à Windows Server 2008 R2 ou Windows 7.  En effet, les cmdlets Active Directory ne peuvent être installées que sur ces versions.

Pour disposer de la console sous Windows Server 2008 R2, nous allons ouvrir la console « Gestionnaire de serveur » en exécutant « servermanager.msc » et sélectionner « Ajouter des fonctionnalités ». Il suffit ensuite de cocher les fonctionnalités « Centre d’administration Active Directory » et « Module Active Directory pour Windows PowerShell » depuis « Outils d’administration de serveur distant » | « Outils AD DS et AD LDS ».

{gallery}35_ADAC/01{/gallery}

 

 

 

 

 

 

 

Remarque : ces fonctionnalités sont installées automatiquement lors de l’installation du service d’annuaire Active Directory (AD DS).

Pour Windows 7, il faut passer par le RSAT (Remote Server Administrative Tools). Une fois installé, ouvrez le gestionnaire de fonctionnalités de Windows depuis « Panneau de configuration » | « Programmes » | « Activer ou désactiver des fonctionnalités Windows ». Activez les fonctionnalités « Le module Active Directory pour Windows PowerShell » et « Centre d’administration Active Directory » depuis « Outils d’administration de rôles » | « Outils AD DS et AD LDS ».

{gallery}35_ADAC/02{/gallery}

 

 

 

 

 

 

 

 

Pour communiquer avec le service d’annuaire, ADAC exige également de disposer des services web Active Directory (en anglais Active Directory Web Services ou ADWS) sur chaque contrôleur susceptible d’en traiter les requêtes. ADWS est installé par défaut sur tout contrôleur de domaine sous Windows Server 2008 R2. Il est toutefois possible d’installer ce service sur des serveurs en version 2003 ou 2008 (voir article sur le sujet Le service web Active Directory (ADWS)).

Le client ADAC envoie des requêtes PowerShell à un contrôleur de domaine disposant du service ADWS sur le port 9389, qui interrogera directement la base LDAP d’active directory sur le port 389 ou le catalogue global sur le port 3268.

{gallery}35_ADAC/03{/gallery}

 

 

 

 

 

 

Découverte de la console

Nous allons dans un premier temps lancer la console soit à partir du menu « Démarrer » | « Outils d’administration » | « Centre d’administration Active Directory », soit simplement en exécutant la commande « dsac.exe » depuis « Démarrer » | « Exécuter… ».

{gallery}35_ADAC/04{/gallery}

 

 

 

 

 

 

 

 

Lors de son lancement, ADAC recherche le premier contrôleur de domaine disponible associé à votre site Active Directory et disposant de ADWS (ou Active Directory Management Gateway Service). Bien entendu, si vous ne disposez pas de contrôleur de domaine exécutant ADWS sur le site concerné alors la console tentera d’en rechercher un sur l’ensemble du domaine.

Dans le cas donc où la console ne trouvera pas un contrôleur de domaine avec ADWS alors la console généra l’erreur « Impossible de trouver un serveur disponible dans le domaine [MONDOMAINE] qui exécute les services Web Active Directory ».

{gallery}35_ADAC/05{/gallery}

 

 

 

 

Remarque : En réalité et comme nous vous l’avons présenté dans notre section précédente, c’est bien PowerShell qui exige l’utilisation de ADWS pour pouvoir communiquer avec l’annuaire Active Directory.

D’un point de vue visuel, la console ADAC respecte les standards graphiques des autres consoles d’administration déjà présentes sur Windows Server 2008:

  • Une partie consacrée à la navigation au sein de l’arborescence.
  • Une partie centrale pour la visualisation et la recherche d’objets.
  • Une partie listant l’ensemble des actions possibles.

{gallery}35_ADAC/06{/gallery}

 

 

 

 

 

 

Lors de la première exécution de la console, nous arrivons automatiquement en page centrale  sur « Vue d’ensemble » permettant de réaliser certaines actions spécifiques et considérées comme les plus routinières par Microsoft.

{gallery}35_ADAC/07{/gallery}

 

 

 

 

 

 

 

 

La navigation

La partie de gauche relative à la navigation est une des évolutions majeures et un des grands intérêts de la console ADAC. Il est possible de visualiser une liste personnalisée !

{gallery}35_ADAC/08{/gallery}

 

 

 

 

 

 

 

Cette liste personnalisée peut regrouper tout conteneur désiré (unités d’organisation ou domaines) en fonction de vos usages. Chaque élément ajouté, appelé « nœud de navigation », n’est autre qu’un simple raccourci. En clair, plutôt que de naviguer constamment au sein de l’arborescence d’une OU à une autre, il vous est possible de passer en un simple clic de l’une à l’autre. Cela représente un gain de temps non négligeable.

Pour ajouter un nœud de navigation, il suffit donc simplement de sélectionner le conteneur que vous voulez rajouter dans la liste et de cliquer sur le bouton « >> ». Vous pouvez répéter l’opération autant de fois que vous le jugerez nécessaire. Un fois les nœuds de navigation ajoutés, ils sont désormais accessible depuis l’affichage « Liste ».

{gallery}35_ADAC/09{/gallery}

 

 

 

 

 

 

 

 

Vous pouvez également réorganiser la liste à tout moment à l’aide d’un clic droit sur un nœud de navigation afin d’en modifier l’ordre, le renommer, le dupliquer ou le supprimer.

{gallery}35_ADAC/10{/gallery}

 

 

 

 

 

 

 

Autre fonctionnalité intéressante introduite avec ADAC est la possibilité de pouvoir se connecter à plusieurs domaines simultanément depuis la console et à l’aide de l’option « Se connecter à d’autres domaines… » situé dans le coin inférieur droit de la fenêtre « Ajouter des nœuds de navigation ». Vous pouvez donc créer des nœuds de navigation pointant sur des conteneurs présents sur différents domaines. Dans l’exemple ci-dessus, nous avons créé deux nœuds de navigation pointant directement sur le domaine contoso et emea alors que le nœud de navigation de notre domaine par défaut est identifiable par le suffixe « (local) ».

{gallery}35_ADAC/11{/gallery}

 

 

 

 

 

Remarque : le domaine par défaut sur lequel se connecte ADAC est celui du compte utilisateur utilisé (visualisable sur la partie inférieure gauche de la console) pour l’exécution de la console.

Seul petit regret reste l’impossibilité de préciser des informations d’identification spécifiques pour chaque domaine ajouté. Notez également qu’il faudra disposer impérativement d’une relation d’approbation entre les différents domaines afin de pouvoir s’y connecter.

 

Vous pouvez également profiter du MRU (Most Recently Used) qui permet tout simplement d’afficher les trois derniers conteneurs parcourus sous chacun de vos nœuds de navigation.

{gallery}35_ADAC/12{/gallery}

 

 

 

 

 

Enfin, vous pouvez également utiliser la barre de navigation pour parcourir l’arborescence ou tout simplement obtenir le chemin ldap d’un conteneur.

{gallery}35_ADAC/13{/gallery}

 

 

 

 

 

La recherche et le filtrage

La recherche d’objets est également particulièrement intéressante sur ADAC. Elle est accessible depuis la partie navigation « Recherche globale » ou sur chaque conteneur depuis la partie « Tâches » | « Recherche sous ce nœud ».

{gallery}35_ADAC/14{/gallery}

 

 

 

 

 

 

Premier point fort est qu’il est désormais possible de réaliser une recherche sur plusieurs nœuds en même temps. Depuis la fonction « Recherche globale », il suffit simplement de sélectionner depuis la liste déroulante « Etendue » la liste des nœuds de navigation qui feront l’objet de notre recherche.

{gallery}35_ADAC/15{/gallery}

 

 

 

 

 

 

Remarque : vous pouvez également interroger directement le catalogue global depuis le menu déroulant « Etendue ».

ADAC simplifie aussi la gestion des critères de recherche et l’usage de requêtes LDAP. Les recherches accessibles depuis le champ « Recherche » peuvent s’appuyer ou simplement être complétées  par des critères de recherche proposés par défaut via « Ajouter des critères ».

{gallery}35_ADAC/16{/gallery}

 

 

 

 

 

 

ADAC permet de convertir vos recherches au format LDAP afin de mieux appréhender ce langage et d’améliorer vos requêtes. Il suffit pour cela de sélectionner l’option « Convertir en LDAP ».

{gallery}35_ADAC/17{/gallery}

 

 

 

 

Vous pouvez enfin sauvegarder vos requêtes (couplant plus critères par exemple) et y accéder par la suite depuis le bouton « Requêtes ».

{gallery}35_ADAC/18{/gallery}

 

 

 

 

 

 

 

 

Remarque : les requêtes converties en LDAP et modifiées ne peuvent pas être enregistrées.

 

La notion de filtrage est aussi introduite dans ADAC afin de simplifier la localisation de l’information. Vous noterez d’ailleurs avec l’usage que ces fonctions de filtrage se retrouvent un peu partout au sein d’ADAC. La plus visible étant celle disponible dans la partie visualisation et permettant de repérer rapidement les objets voulus au sein d’un conteneur. Le filtrage dans la partie visualisation dispose de l’ensemble des fonctionnalités disponible dans « Recherche globale » (hormis la conversion LDAP).

{gallery}35_ADAC/19{/gallery}

 

 

 

 

 

La consultation

Sur ADAC, la consultation des objets se veut plus efficace. Cela passe en particulier par le regroupement de l’ensemble des attributs d’un objet sur une même et seule fenêtre. L’usage des onglets sur ADUC a donc été en partie délaissé. Pour visualiser donc les propriétés d’un objet, il suffit de double cliquer sur l’objet concerné ou de sélectionner « Propriétés » à l’aide d’un clic droit.

{gallery}35_ADAC/20{/gallery}

 

 

 

 

 

 

 

Comme vous pouvez le voir ci-dessous, tout est fait pour vous permettre de consulter rapidement les informations nécessaires (gestion des sections, menu de navigation, consultation des données depuis une seule fenêtre…).

{gallery}35_ADAC/21{/gallery}

 

 

 

 

 

 

Remarque : les onglets restent toujours d’usage pour un ensemble de paramètres depuis la section « Extensions ».

Dernier point d’intérêt surtout si vous utilisiez acctinfo.dll sur ADUC (qui vous permettez de disposer de l’onglet supplémentaire « Additional Account Info » sur les propriétés utilisateur) alors vous serez ravi d’apprendre que la majorité des informations fournies par acctinfo.dll sont désormais disponibles par défaut sur ADAC en cliquant sur la flèche située dans le coin inférieur gauche.

Cela est doublement intéressant sachant que acctinfo.dll n’est plus supporté depuis Windows 2008 R2 et Windows 7 x64 (la version 2 nommé acctinfo2.dll – non supportée mais opérationnelle sur une version US – est disponible ici).

{gallery}35_ADAC/22{/gallery}

 

 

 

 

 

 

 

 

 

 

Conclusion

Nous avons donc vu au sein de cet article tous les possibilités de la nouvelle console de gestion Active Directory. Si vous désirez toutefois approfondir le sujet, nous vous conseillons deux articles depuis le blog « Ask the Directory Services Team »  :

Le service web Active Directory (ADWS)

Introduction

Le service web Active Directory, en anglais « Active Directory Web Service (ADWS) », a été introduit avec Windows Server 2008 R2. Son apparition est liée à celle du module PowerShell Active Directory de Microsoft et à la nouvelle console d’administration « Centre d’administration Active Directory (ADAC) ». Si l’une de ces deux nouveautés vous intéresse alors vous  le serez également par ADWS.

Nous allons donc vous expliquer dans cet article son fonctionnement et comment en disposer. 

 

Fonctionnement de ADWS

Les cmdlets PowerShell passent par le biais de ce service pour interroger un contrôleur de domaine ou une instance AD LDS. Sans le service web Active Directory vous n’aurez pas de prise en charge de ces cmdlets PowerShell sur un contrôleur de domaine, sur un serveur hébergeant AD LDS ou sur une base montée via Dsamain.

{gallery}34_ADWS{/gallery}

 

 

 

 

 

Remarque: La nouvelle console « Centre d’administration Active Directory » s’appuie sur les cmdlets PowerShell Active Directory et donc exige que vous disposiez de ADWS au sein de votre infrastructure Active Directory.

ADWS se matérialise sous la forme d’un service Windows accessible depuis la console de gestion de services (services.msc).

Concernant Active Directory, un seul contrôleur de domaine par domaine équipé de ce service suffira pour répondre à vos attentes mais il sera judicieux d’assurer une tolérance de panne surtout pour l’exécution de scripts d’administration au quotidien. Pour des besoins de performances, il saura également judicieux de placer le service sur chaque site Active Directory susceptible de devoir prendre en charge des requêtes PowerShell, d’autant plus si vous désirez utiliser ADAC.

ADWS s’installe automatiquement sur Windows Server 2008 R2 dès lors que vous installez le service AD DS (Active Directory Directory Service) ou AD LDS (Active Directory Lightweight Service). Vous n’aurez donc aucune opération supplémentaire à réaliser.

ADWS ne nécessite pas de configuration particulière. Il fonctionne de façon transparente. Il reste toutefois possible de modifier certains paramètres  directement en éditant le fichier de configuration « Microsoft.ActiveDirectory.WebServices.exe.config » depuis le dossier « %WINDIR%\ADWS ». Vous avez le détail de chaque paramètre depuis l’article Microsoft What’s New in AD DS: Active Directory Web Services. Il reste fortement recommandé de conserver les paramètres par défaut.

 

 

Le service web Active Directory sur Windows Server 2003 et 2008

Afin d’éviter de se doter de contrôleurs de domaine ou d’héberger vos instances AD LDS sur des serveurs équipés avec Windows Server 2008 R2, Microsoft offre la possibilité de pouvoir installer ce service web sur les versions Windows Server 2003 ou Windows Server 2008. Le service s’appelle alors « Active Directory Management Gateway Service ».

Hormis l’outil de montage Dsamain qui n’est pas supporté sur « Active Directory Management Gateway Service », ses fonctionnalités restent en tout point comparable à celles de ADWS.

Pour en disposer, il suffit simplement le télécharger depuis ce lien mais son installation exige quelques prérequis spécifiquement pour chaque version de Windows.

 

Prérequis Windows Server 2003 / 2003 R2 :

 

Prérequis Windows Server 2008 :

Espace disque insuffisant avec Windows Backup Server (code 0x8004231f)

Symptôme

Lorsque vous utilisez l’outil de sauvegarde Microsoft inclus sous Windows 7,  Windows Server 2008 R2 et Windows SBS 2011, vous rencontrez une erreur d’espace disque insuffisant durant la tâche de sauvegarde sans explication apparente.

 

 

Etape 1 : vérifier l’espace disponible sur la destination

Reflexe plavlovien oblige, lorsque nous obtenons une erreur d’espace disque insuffisant durant la réalisation d’une sauvegarde, nous vérifions si la destination de la sauvegarde n’est pas pleine où insuffisante. Bien que cette action est nécessaire, cela s’avère souvent insuffisant.

 

 

Etape 2 : vérifier l’espace disponible sur les volumes inclus dans la sauvegarde

Si vous utilisez la console pour réaliser vos sauvegardes alors vous n’aurez pas forcément toutes les informations à votre disposition.  Avec wbadmin (outil en ligne de commande pour la gestion des sauvegardes avec WBS),  nous obtenons un message d’erreur plus détaillé.

{gallery}33_WBS_FreeSpace_err/01{/gallery}

 

 

 

 

 

Première information importante dans cette explication est que le message d’erreur ne s’applique pas uniquement à la destination de votre sauvegarde mais également aux volumes inclus dans la sauvegarde. Etonnant?  Certes… mais en réalité cela est dû au service VSS utilisé par défaut avec l’outil de sauvegarde Microsoft et permettant d’assurer au maximum la consistance de votre sauvegarde.

Afin que VSS puisse opérer sur chacun des volumes inclus dans la sauvegarde, Microsoft recommande de respecter les prérequis suivants :

  • 50 Mo d’espace libre minimum pour les partitions de moins de 500 Mo.
  • 320 Mo d’espace libre minimum pour les partitions situées entre 500 Mo et 1 Go.
  • 1 Go d’espace libre minimum pour les partitions d’1 Go ou plus.

Il faudra donc vérifier que chaque volume à sauvegarder dispose de suffisamment d’espace.

 

 

Etape 3 : vérifier l’espace disponible sur le volume « Réservé au système »

Vous  constatez que vous respectez bien les prérequis exigés… cependant, vous avez oublié sans doute une chose : la partition « réservé au système » introduite sous Windows 2008 R2, Windows 7 et Windows SBS 2011.

En effet cette partition, d’une taille de 100 Mo, est la partition de démarrage et a été introduite entre autres pour l’utilisation de la console de récupération (WinRE) et pour la fonctionnalité d’encryption BitLocker. Elle est d’ailleurs incorporée dans la sauvegarde de l’état système.

Nous ouvrons donc la console « gestion de l’ordinateur » et nous vérifions depuis « Stockage » | « Gestion des disques » si l’espace disponible respecte les prérequis exigés pour la réalisation de la sauvergarde, soit 50 Mo, et nous constatons que cela n’est pas le cas!

{gallery}33_WBS_FreeSpace_err/02{/gallery}

 

 

 

 

 

Etape 4 : libérer de l’espace sur le volume « Réservé au système »

Aussi étrange que cela puisse paraître la partition ne dispose plus suffisamment d’espace pour réaliser une sauvegarde et il va être nécessaire de libérer de l’espace. Dans un premier temps, nous attribuons une lettre de lecteur à cette partition pour pouvoir l’explorer. Réalisez un clic droit sur la partition, sélectionnez l’option « Modifier la lettre de lecteur et les chemins d’accès… » et attribuez la lettre de votre choix.

{gallery}33_WBS_FreeSpace_err/03{/gallery}

 

 

 

 

 

Une fois la partition visible depuis l’explorateur, il va falloir rendre visible les fichiers cachés et du système depuis le menu « Outils » | « Options des dossiers… »  de la barre d’outil. Allez dans l’onglet « Affichage », sélectionnez « Afficher les fichiers, les dossiers et les dossiers cachés » et décochez « Masquer les fichiers protégés du système d’exploitation (recommandé) ».

{gallery}33_WBS_FreeSpace_err/04{/gallery}

 

 

 

 

 

 

 

 

 

Vous pouvez désormais visualiser le contenu de la partition « réservé au système » et vérifier qu’il soit strictement identique à l’imprime-écran ci-dessous. Tout autre fichier pourra faire l’objet d’un nettoyage sans risque de compromission du système.

{gallery}33_WBS_FreeSpace_err/05{/gallery}