Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Les services AD LDS
  3. Présentation des outils d’administration
Extrait - Les services AD LDS Mise en oeuvre d'un annuaire LDAP sur Windows Server 2019
Extraits du livre
Les services AD LDS Mise en oeuvre d'un annuaire LDAP sur Windows Server 2019 Revenir à la page d'achat du livre

Présentation des outils d’administration

Introduction

Comme pour l’annuaire Active Directory, les services AD LDS sont dotés d’un large éventail d’outils d’administration dont vous ne manquerez pas de profiter pleinement. Ces outils sont utilisés pour configurer l’annuaire AD LDS, gérer ses objets, importer et exporter les données, répliquer les partitions et contrôler les accès.

L’orientation prise par Microsoft en matière d’administration de ses services d’annuaire (AD DS et AD LDS) est de laisser le choix entre une interface graphique et une interface de ligne de commande (CLI). Introduit avec Windows Server 2008, PowerShell est un outil puissant qui permet de simplifier les tâches administratives système fastidieuses et répétitives. Les interfaces graphiques d’administration, quant à elles, mettent en œuvre certains concepts bien connus (les menus, les conteneurs, les listes…) de la plupart des administrateurs pour accéder à des fonctionnalités.

Il existe en effet de nombreux outils d’administration de l’annuaire AD LDS. En voici une liste non exhaustive.

L’éditeur ADSI

Console de référence pour l’administration et le paramétrage de l’annuaire AD LDS, il est également utilisé pour la gestion des services AD DS....

L’éditeur ADSI

Les outils AD LDS dont nous disposons aujourd’hui remontent aux versions antérieures de Windows Server. Par exemple, l’outil ADSI EDIT qui existe dans Windows Server 2019 a très peu changé au fil des années.

L’utilitaire LDAP ADSI Edit peut être comparé à la console « Utilisateurs et ordinateurs Active Directory », qui n’est malheureusement pas encore disponible dans AD LDS. Il permet non seulement de créer et de gérer les objets et les attributs, mais aussi d’offrir une vue globale sur les différentes partitions d’annuaire.

L’outil ADSI Edit est intégré de base à Windows Server 2019 et Windows 10. Il existe plusieurs façons d’y accéder : soit en exécutant Adsiedit.msc, soit en se rendant dans le Gestionnaire de Serveur.

La figure suivante illustre les différentes partitions d’annuaire que l’on peut trouver dans un serveur AD LDS.

images/06RI01.png

Par défaut, ADSI Edit tente de charger les données du domaine Active Directory auquel l’utilisateur est connecté. Vous devez alors spécifier les paramètres de connexion de votre instance AD LDS et enregistrer le fichier de console MMC en vue d’une utilisation ultérieure. Ces paramètres de connexion peuvent être définis au moment de la connexion...

L’outil LDP

LDP est un utilitaire gratuit fourni par Microsoft pour afficher, rechercher et modifier le contenu d’un annuaire AD LDS. Plus précisément, LDP peut être utilisé pour effectuer des requêtes LDAP complexes, ainsi que pour spécifier des options avancées d’authentification et de liaison. Il peut également être utilisé pour afficher toutes les propriétés d’un objet et ses métadonnées.

L’un des plus grands avantages de LDP, en plus d’être gratuit c’est qu’il s’agit d’un outil client conforme à la norme LDAP, ce qui permet aux administrateurs d’effectuer des opérations (connexion, modification, ajout, suppression…) sur un serveur de service d’annuaire compatible LDAP tel qu’AD LDS.

Il s’agit d’un outil fort utile qui permet de voir ce que l’annuaire AD LDS a sous le capot. Il peut être utilisé pour effectuer une analyse de sécurité de base, mais ce n’est sans doute pas le meilleur moyen pour réaliser un audit de sécurité.

Pour accéder à l’outil LDP, il suffit d’ouvrir une invite de commandes et de taper la commande LDP.exe.

images/06RI02.png

La barre de menu fournit un accès facile aux différentes fonctionnalités de l’outil. Elle est composée de six rubriques.

Dans le menu Connexion, nous trouvons les commandes listées ci-dessous :

Commande

Description

Se connecter

Permet de se connecter sur le serveur LDAP. Un clic dessus permet d’afficher une boîte de dialogue et de saisir les informations de connexion. Il est possible d’établir la connexion en UDP en cochant la case Non connecté.

Lier

Permet d’authentifier un utilisateur sur un serveur LDAP. La boîte de dialogue affichée comporte plusieurs options :

Méthode : spécifie la méthode d’authentification que le serveur LDAP utilise pour authentifier les utilisateurs.

Synchrone : spécifie que le mode de communication utilisé est synchrone (TCP).

Utiliser l’identité faisant autorité : autorise l’utilisation d’autres informations d’identification.

Se déconnecter

Permet de se déconnecter...

L’outil Adamsync

Dans certains scénarios spécifiques, il se peut que vous ayez besoin de synchroniser les données des services AD DS avec celles de l’AD LDS. Ceci peut être réalisé avec l’outil Adamsync.

Adamsync utilise un fichier XML qui définit les données qui seront synchronisées de l’Active Directory vers les services AD LDS. Ce fichier comprend le nom de la partition Active Directory, les types d’objets (classes ou catégories) et les attributs, etc. Le contenu de ce fichier sera examiné d’une manière plus détaillée dans le chapitre Mise en place de l’authentification AD LDS.

Il est important de rappeler que l’utilisation de l’outil Adamsync exige l’importation des définitions de classes utilisateur qui sont contenues dans le fichier MS-AdamSyncMetadata.LDF.

Voici la syntaxe de l’outil Adamsync :

adamsync [/?] [/l] [/d configuration_dn] [/i input_file] [/download 
configuration_dn output_file] [/export configuration_dn output_file] 
[/sync configuration_dn] [/reset configuration_dn] [/mai  
configuration_dn] [/fs configuration_dn] [/ageall configuration_dn] 
[/so configuration_dn object_dn] [/passPrompt]

Le tableau suivant fournit une description des différents paramètres de la commande Adamsync :

Paramètre

Description

/?

Affiche...

L’outil Csvde

Csvde est un outil en ligne de commande qui permet d’importer et d’exporter en masse les objets AD DS ou AD LDS depuis ou vers un fichier. Son principal avantage par rapport à l’outil LDIFDE est que les données générées sont représentées sous forme de valeurs séparées par des virgules et importées dans Excel pour une visualisation plus conviviale. Toutefois, Csvde présente parfois certaines limites :

  • Il ne peut pas être utilisé pour modifier les objets existants.

  • Il ne peut pas être utilisé pour créer de nouveaux objets (en mode import).

  • Il ne peut pas définir le mot de passe des utilisateurs.

Csvde est l’acronyme qui désigne Comma (virgule), Separated (séparé), Value (valeur), Data (données), Exchange (échange).

La syntaxe de l’outil Csvde est la suivante :

Csvde [-i] [-f <FileName>] [-s <ServerName>] [-c <String1> 
<String2>] [-v] [-j <Path>] [-t <PortNumber>] [-d <BaseDN>] 
[-r <LDAPFilter>] [-p <Scope] [-l <LDAPAttributeList>] 
[-o <LDAPAttributeList>] [-g] [-m] [-n] [-k] [-a 
<UserDistinguishedName> {<Password> | *}] [-b <UserName> 
<Domain> {<Password> | *}]

Ci-dessous les paramètres...

L’outil Ldifde

Ldifde (LDAP Data Interchange Format Directory Export) est aussi un utilitaire qui permet d’importer et d’exporter des données AD DS/AD LDS depuis ou vers un fichier. Il se distingue de Csvde par sa capacité à modifier les objets et les attributs d’annuaire, et il convient mieux aux besoins d’extension de schéma.

Avec Ldifde, il est possible de manipuler les objets d’annuaire en utilisant la même syntaxe (les mêmes paramètres) que celle employée par Csvde.

ldifde [-i] [-f NomFichier] [-s NomServeur] [-c Chaîne1 Chaîne2] 
[-v] [-j CheminAccès] [-t NuméroPort] [-d NomUniqueBase] [-r 
FiltreLDAP] [-p Étendue] [-l ListeAttributsLDAP] [-o 
ListeAttributsLDAP] [-g] [-m] [-n] [-k] [-a NomUniqueUtilisateur 
MotDePasse] [-b NomUtilisateur Domaine MotDePasse] [-?]

L’outil DSACLS

DSACLS (Directory Service ACLs) est un utilitaire en ligne de commande qui permet d’afficher et de modifier les autorisations de sécurité des objets AD DS/AD LDS. Il s’agit de l’équivalent de l’onglet Sécurité qui se trouve dans la boîte de dialogue des propriétés d’un objet d’annuaire.

Une des fonctionnalités principales de DSACLS est la possibilité de visualiser les autorisations effectives sur les objets AD LDS. Ces autorisations permettent de déterminer les droits de l’utilisateur sur l’objet de l’annuaire.

La syntaxe de la commande DSACLS est la suivante :

dsacls "[\\<Computer>\]<ObjectDN>" [/A] [/D <PermissionStatement>  
[<PermissionStatement>]...] [/G <PermissionStatement>  
[<PermissionStatement>]...] [/I:{T | S | P}] [/N] [/P:{Y | N}]  
[/R {<User> | <Group>} [{<User> | <Group>}]...] [/S [/T]] [/?]

Ci-dessous les paramètres de la commande DSACLS :

Paramètre

Description

"[\\<Computer>\] <ObjectDN>"

Représente le chemin LDAP qui permet de trouver l’objet dans l’annuaire AD LDS.

/A

Ajoute au résultat de recherche les informations de l’utilisateur propriétaire de l’objet.

/D

Refuser...

Conclusion

Nous venons de passer en revue les principaux outils auxquels vous pouvez accéder pour gérer votre annuaire AD LDS. Certains usages ont été présentés, d’autres, comme adamsync, sont décrits dans le chapitre Mise en place de l’authentification AD LDS.

Quoi qu’il en soit, l’outil LDP constitue une base pour comprendre les annuaires LDAP, en particulier les services AD LDS. Il a su présenter des fonctionnalités adaptées aux attentes concrètes des administrateurs et aux divers besoins techniques.