ADInit : un script PowerShell pour déployer une organisation dans AD
Quand il s’agit de déployer une organisation complète dans un annuaire Active Directory (OU, Groupes, délégations, etc.), il est souvent impensable de faire ça à la main dans la console d’administration AD de la MMC ou autre navigateur LDAP. Et à moins d’embaucher des chinois dans un cave, pour créer les quelques centaines d’objets dans AD, la solution passe généralement par un script.
Oui mais voilà, généralement on créé des structures relativement identiques, et si on pouvais disposer d’un script suffisamment générique pour créer tout ça ?
Eh bien oui c’est possible, voilà donc un script PowerShell à base de PS 2.0, qui reçoit en entrée un fichier texte décrivant les opérations à faire dans l’annuaire AD de son choix. Ce script m’a été inspiré par un script VBS que j’ai eu l’occasion d’utiliser il y a bientôt deux ans dans un grand groupe international, merci à l’auteur de ce premier script dont j’ai malheureusement complétement oublié le nom Oo.
J’ai créé une page dédiée à ce script, n’hésitez pas à l’utiliser et à me faire part de vos remarques ^^
La page du script ADInit : ADInit
La page de téléchargement : ADInit Download
Protéger un objet des suppressions accidentelles avec PowerShell
Lorsque l’on utilise PowerShell pour créer des objets dans ActiveDirectory, il peut être intéressant dans le cas d’une OU ou d’un container d’appliquer le paramètres de Protection de l’objet des suppressions accidentelles, comme le fait si bien la case à cocher disponible dans la MMC.
Bon, une case à cocher c’est très bien, mais quand on viens de faire un joli script qui nous créé en une seule passe les 150 OU de notre organisation AD, quand viens le moment de cocher 150 cases il viens comme une envie de se pendre (surtout qu’avant d’atteindre la case à cocher il aura fallu malmener sérieusement le clic gauche de la souris -_-)
En réalité, derrière cette case à cocher se cache trois ACE très simples, l’octroi du refus pour le groupe Builtin « Tout le monde » sur l’objet en question:
- Delete
- DeleteChild
- DeleteTree
Maintenant il ne me reste plus qu’à vous montrer comment appliquer des ACE sur un objet de l’AD avec un script PowerShell.
FIM Custom Activity – Guide de création (partie 3)
Voici la suite de mon article sur la création d’une Custom Activity pour FIM 2010.
Cette activité a été créé dans la FIMCustomActivityLibrary préparée dans la première partie de ce guide : FIM Custom Activity – Guide de création (partie 1)
Un deuxième article montre comment ajouter des activités et écrire le code source de ces activités : FIM Custom Activity – Guide de création (partie 2)
Dans cette troisième partie, je vais décrire comment créer l’interface homme machine (plus communément appelé GUI) de cette activité. Cette interface est un formulaire qui sera affiché dans le portail FIM et nous permettra d’ajouter des activités dans l’éditeur de Worklfow de FIM 2010.
Guide des bonnes pratiques des Stratégies de Groupes ou les GPO chez MS
Après le guide sur la fédération d’identité voici le tour des Stratégies de Groupes. Microsoft utilise évidement un grand nombre de GPO en interne pour des besoins diverses et variés, mais comment gérer efficacement des GPO pour un société internationale de cette taille ?
Par exemple en suivant un ensemble de bonnes pratiques (et également avec une bonne dose de rigueur ^^).
Si vous aussi vous cherchez à instaurer des bonnes pratiques pour la mise en place de vos GPO, et quelques soit vos besoins, voici un livre blanc fourni par un ami décrivant les bonnes pratiques en place chez MS pour leur gestion des GPO.
Télécharger le pdf ici : GPO_Best Practices_How MSdoit
Guide sur la fédération d’identité et le contrôle d’accès
Si vous vous intéressez de près ou de loin à la fédération d’identité avec ADFS, sachez que la version 2.0 du guide “A Guide to Claims-Based Identity and Access Control” écrit par l’équipe Microsoft Patterns and Practices est disponible en téléchargement sur le site de MS:
A Guide to Claims-Based Identity and Access Control
Merci à Henrik Nilsson pour l’info 
Centrify Suite 2012 Update 1 disponible
La version 2012 de la suite Centrify est disponible depuis fin septembre, j’attendais la version mise à jour pour m’étendre sur le sujet. Voilà l’Update 1 disponible.
La Suite 2012 intègre un grand nombre de nouveautés : DirectControl 5.0, DeployManager 2.0, DirectAudit 2.0, etc.
Dans les nouveautés les plus attendues, on peut noter les Zones hiérarchiques, le contrôle d’accès et la gestion des privilèges en s’appuyant sur des groupes AD (rôles fonctionnels), le support par l’agent DirectControl des services d’automontage et des netgroups via NSS, la possibilité d’auditer les serveurs Windows avec DirectAudit, le support d’ADFS 2.0 et pleins d’autres bonnes choses.
Pour découvrir ou redécouvrir le produit : Centrify products overview
Comment manipuler simplement une SecureString en PowerShell
Lorsque l’on écrit un script PowerShell il y a toujours un moment où l’on préfèrera demander une authentification utilisateur par prompt plutôt que de mettre un mot de passe en dur dans le code (sisi c’est mieux 
)
Sauf que lorsque l’on veut demander un mot de passe à l’utilisateur il n’y a pas dix mille façon de le faire proprement : il faut le stocker dans une chaîne de type System.Security.SecureString
Ok… C’est super… Mais comment faire pour ensuite donner ce mot de passe en paramètre à des fonctions ou actions puisque le contenu de ce chaîne est haché ?
Et bien pour effectuer un reverse du hash il existe une classe : System.Runtime.InteropServices.Marshal
Utiliser les GPO de préférence pour personnaliser l’affichage Explorer
Si comme moi vous en avez marre, à chaque fois que vous utilisez une nouvelle VM d’un serveur Windows ou d’une station, de systématiquement modifier les paramètres d’affichage de l’Explorateur et de modifier ces foutus paramètres d’Economiseur d’écran qui vous mettent en pause les machines : alors voici LA solution pour personnaliser l’Explorer par GPO.
En effet si l’utilisateur lambda n’a aucune envie de voir les fichiers cachés du système, ni les extensions de fichiers, mon sang de Geek m’oblige à aller paramétrer tout ca à chaque fois que je me fait une VM Windows (et d’ailleurs ces pareils pour les machines physiques dans l’absolue). Lorsque l’on travaille au quotidien sur des environnement de démo ou de qualification, il est pénible de reparamérter tout ca à chaque fois.
Voici donc une astuce pour le faire ue bonne fois pour toute pour un environnement AD, et le tout par GPO évidement
Créer des certificats SAN avec une CA Windows
Lorsque l’on a besoin de certificats pour authentifier un serveur windows ou linux lors d’une connexion SSL ou un autre service, et que l’on dispose d’une CA Windows, par défaut on ne peut déclarer d’alias DNS (ou nom secondaires) lors de la demande de certificat. Que l’on utilise l’assistant présent dans la console d’administration IIS ou le site Web d’inscription de la CA Windows (certserv), le constat est le même, l’option n’est pas disponible.
Pire encore, par défaut une CA Windows ne prend pas en compte le champs SAN (Subject Alternative Name) lors de l’émission d’un certificat.
Pour émettre un certificat SAN avec une CA Windows il est donc nécessaire de procéder comme suit.
Problème de fonctionnement d’ADRMS avec Windows 7
Lorsque vous utilisez ADRMS avec des postes de travail Windows 7, il est fréquent de rencontrer des lenteurs lors de la protection ou la consultation de documents, voir même de ne pas réussir à contacter le cluster RMS.
Ce problème ne survient que sur Windows 7 et est fortement accentué si vous êtes sur un réseau sans accès à Internet. L’utilisateur ne parviens alors pas à obtenir son certificat de gestion des droits, le RAC, qui est nécessaire pour protéger des documents Office ou des messages Outlook avec RMS. L’utilisateur à également du mal à obtenir sa licence de publication, lui permettant d’avoir accès au document ou au message.
Il est possible de résoudre cela en réglant la valeur de timeout de la validation de la chaîne de certificats du cluster RMS, le tout par GPO évidement