Installer le module Active Directory sur Windows 10 et Windows Server :
À partir de Windows Server 2012 R2, le module Active Directory de PowerShell est installable depuis le Gestionnaire de serveur en suivant l’assistant d’ajout d’un rôle/d’une fonctionnalité.
Source : https://www.it-connect.fr/modules/gerer-les-utilisateurs-active-directory-avec-powershell/
Néanmoins, puisque l’on est là pour faire du PowerShell, nous allons réaliser l’installation directement via la console. Sur un serveur où le module n’est pas installé, si j’essaie de l’importer, j’obtiens bien une erreur :
Import-Module ActiveDirectory
Pour installer le module sous Windows Server, il suffit d’utiliser la commande « Add-WindowsFeature » et de spécifier la fonctionnalité correspondante :
Add-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature
Il ne reste plus qu’à importer le module et à l’utiliser ! Passons maintenant au cas Windows 10.
Sur Windows 10, l’installation dépend de la version de votre système. Bien que la tendance soit plutôt d’être sur les dernières versions de cet OS si l’on suit les upgrades au fur et à mesure, je vais vous indiquer les deux méthodes.
Pour Windows 10 jusqu’à la version 1803
Note : cette méthode s’applique aussi à Windows 7 et Windows 8.1
Les outils d’administration à distance « RSAT » doivent être téléchargés et installés sur le poste avant de pouvoir ajouter le module.
Pour Windows 10, les outils RSAT sont téléchargeables à cette adresse : RSAT Windows 10
Une fois les outils RSAT téléchargés et installés sur l’hôte, il devient possible d’activer la fonctionnalité « Module Active Directory pour PowerShell » avec l’assistant qui permet d’activer et désactiver des fonctionnalités Windows.
Sinon, et c’est ce que nous allons faire, après avoir installé les outils RSAT, l’installation du module PowerShell est réalisable via PowerShell avec cette commande :
Enable-WindowsOptionalFeature -Online -FeatureName RSATClient-Roles-AD-Powershell
Pour Windows 10 à partir de la version 1809
Depuis cette version, les outils RSAT sont devenus une fonctionnalité à la demande de Windows 10, ce qui change la donne quant à l’installation du module. L’installation s’effectue via la section « Fonctionnalités facultatives » des paramètres de Windows, ou alors en PowerShell : bonne nouvelle !
La commande est légèrement différente, car cette fois-ci c’est le cmdlet « Add-WindowsCapability » que nous allons utiliser. Voici la commande à exécuter en tant qu’administrateur sur votre PC :
Add-WindowsCapability –Online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"
Suite à l’installation du module PowerShell, vous pouvez l’importer. Bien entendu, la commande reste la même que sous Windows Server :
Import-Module ActiveDirectory
Enfin, vous pouvez lister les commandes du module ActiveDirectory de PowerShell grâce à cette commande :
Get-Command -Module ActiveDirectory
Récupérer des informations sur les utilisateurs avec PowerShell :
Suite à l’installation du module PowerShell « Active Directory » que l’on a vu dans le chapitre précédent, nous allons maintenant rentrer dans le vif du sujet et manipuler l’annuaire Active Directory.
Pour commencer, nous allons jouer avec les utilisateurs et dans ce chapitre nous allons voir comment récupérer des informations sur les utilisateurs.
Le cmdlet Get-ADUser est disponible depuis PowerShell 2.0 dans le module Active Directory et il sera notre principal allié pour récupérer des informations sur les utilisateurs de l’annuaire. Autrement dit, ce cmdlet est disponible depuis Windows Server 2008 R2. Il offre une excellente alternative aux autres outils que l’on pouvait utiliser jusqu’ici, notamment des scripts VBS ou dsquery.
Nous pouvons récupérer différentes informations grâce à la lecture des attributs :
- L’identifiant d’un utilisateur, son nom, son prénom
- L’adresse e-mail associée au compte utilisateur
- La date de dernière connexion au domaine Active Directory
- La date de dernière modification d’un compte utilisateur
- La date de création de l’objet
- Etc.
Tout dépend aussi des données renseignées dans les comptes de vos utilisateurs.
Avant de commencer, si besoin vous pourrez retrouver l’aide de Get-ADUser :
- Dans la console PowerShell avec : Get-Help Get-ADUser
- Dans la documentation officielle de Microsoft : Aide – Get-ADUser
Syntaxe de Get-ADUser :
Il est à noter que la commande Get-ADUser utilise un paramètre -Filter pour créer une requête et rechercher nos utilisateurs. Nous verrons qu’il y a deux façons de filtrer. Pour ne pas filtrer et donc récupérer la liste de tous les utilisateurs du domaine, il suffit d’exécuter cette commande :
Get-ADUser -Filter *
Attention : cette commande peut s’avérer très gourmande et durer un certain temps si votre annuaire Active Directory est peuplé de nombreux comptes. Méfiance donc avant de l’exécuter !
Pour la suite, si vous voulez tester au fur et à mesure, voici la syntaxe pour filtrer sur un seul utilisateur en se basant sur son login (attribut saMAccountName). Exemple avec le compte « Administrateur » :
Get-ADUser -Filter "SamAccountName -eq 'Administrateur'"
Une alternative serait d’utiliser le paramètre -Identity pour réaliser le filtre, en lui spécifiant le login de l’utilisateur :
Get-ADUser -Identity Administrateur
Enfin, il y a une autre alternative, tout simplement :
Get-ADUser Administrateur
Pour ma part, je préfère préciser un contrôleur de domaine spécifique lorsque je requête l’annuaire Active Directory. Au moins, je sais où part ma requête. Pour spécifier un serveur, nous utiliserons cette syntaxe (nom du serveur à adapter) :
Get-ADUser -Filter "SamAccountName -eq 'Administrateur'" -Server SRV-ADDS-01.it-connect.local
Ce paramètre existe sur l’ensemble des commandes liées à l’AD donc je vous recommande de prendre l’habitude de l’utiliser. En déclarant une variable $DC au début de votre script par exemple, et il suffit ensuite de l’appeler dans chaque commande ce qui facilite le changement de DC si nécessaire.
Comme nous avons pu le voir sur la première copie d’écran, par défaut il y a 10 propriétés basiques retournées dans la console, mais tout n’est pas là : il y en a plus de 100 pour un objet utilisateur.
Vous allez me dire, ce filtre par défaut est plutôt intéressant pour éviter de charger des données inutilement… Néanmoins, nous pouvons ajouter un ou plusieurs attributs supplémentaires à afficher.
Le paramètre -Properties doit être ajouté à la commande. Si l’on indique « * » on peut charger toutes les propriétés, alors si en plus on utilise « * » pour le filtre, je vous laisse imaginer la lourdeur de la requête.
Pour spécifier un attribut supplémentaire à charger, il suffit d’indiquer son nom. Voici un exemple pour afficher l’attribut « mail » :
Get-ADUser -Filter "SamAccountName -eq 'Administrateur'" -Server SRV-ADDS-01.it-connect.local -Properties mail
S’il y a plusieurs attributs à ajouter, il suffit de séparer les noms par une virgule. Par exemple :
Get-ADUser -Filter "SamAccountName -eq 'Administrateur'" -Server SRV-ADDS-01.it-connect.local -Properties mail,lastLogon
Après avoir vu ces premiers paramètres, indispensables à l’utilisation de la commande Get-ADUser, je vous propose de voir d’autres exemples.
Rechercher des utilisateurs dans une OU avec -SearchBase :
Pour réaliser une action sur un lot d’utilisateurs, il peut s’avérer très utile d’utiliser un filtre basé sur une unité d’organisation (OU).
Le cmdlet Get-ADUser intègre un paramètre nommé -SearchBase qui va permettre de répondre à ce besoin. Ce qui donne :
Get-ADUser -Filter * -SearchBase "CN=Users,DC=IT-CONNECT,DC=LOCAL" -Server SRV-ADDS-01.it-connect.local
Pour l’unité d’organisation, vous devez préciser son « chemin » correspondant à son DN (DistinguishedName). Vous pouvez le retrouver dans les propriétés de l’OU via l’onglet « Editeur d’attributs » ou en PowerShell grâce à la commande :
Get-ADOrganizationalUnit -Filter * | Format-Table DistinguishedName
Il suffit de copier la valeur correspondante à votre unité d’organisation cible et de l’utilisation dans la commande Get-ADUser.
Obtenir la liste des adresses e-mails des utilisateurs :
Si l’attribut « mail » est renseigné dans vos comptes utilisateurs alors vous pouvez récupérer facilement une liste des adresses e-mails. Nous allons utiliser la propriété “EmailAddress” ou “mail” : les deux fonctionnent pour récupérer l’adresse e-mail.
Enfin, pour que ce soit plus lisible, nous allons sortir le résultat dans un tableau avec seulement deux colonnes via la commande Format-Table (que l’on peut raccourcir en ft).
Get-ADUser -Filter * -SearchBase "CN=Users,DC=IT-CONNECT,DC=LOCAL" -Properties EmailAddress | Format-Table Name,EmailAddress
Pour que ce soit plus pertinent, nous pouvons ajouter un filtre pour récupérer seulement les utilisateurs actifs et où l’attribut EmailAddress n’est pas vide (null). Ce qui donne :
Get-ADUser -Filter {(EmailAddress -ne "null") -and (Enabled -eq "true")} -SearchBase "CN=Users,DC=IT-CONNECT,DC=LOCAL" -Properties EmailAddress | Format-Table Name,EmailAddress
Afficher la date de création des comptes :
Pour récupérer la date de création d’un ou plusieurs comptes Active Directory, il faut lire la valeur de l’attribut « whenCreated » car il contient la date de création de l’objet dans l’Active Directory.
Ainsi, il suffit de l’appeler via le paramètre -Properties pour l’afficher. J’aime bien utiliser Select-Object en complément pour affiner le résultat qui s’affiche dans la console.
Voici la commande, avec le filtre à adapter à vos besoins comme à chaque fois :
Get-ADUser -Filter * -Properties WhenCreated | Select-Object Name, whenCreated
Quels sont les groupes dont l’utilisateur est membre ?
Une autre chose qui est utile, c’est de récupérer la liste des groupes dont un utilisateur est membre. Là encore, on va pouvoir s’appuyer sur un attribut : memberof. Pour afficher la liste des groupes dont un utilisateur spécifique est membre, voici la commande à utiliser :
Get-ADUser -Identity Administrateur -Properties memberof | Select-Object memberof -ExpandProperty memberof
Nous pouvons vérifier ensuite si l’utilisateur est membre du groupe « Admins du domaine » (ou un autre groupe) et si c’est le cas, réaliser un ensemble d’actions sur ce compte. Voici un exemple :
$MemberOf = Get-ADUser -Identity Administrateur -Properties memberof | Select-Object SamAccountName,memberof if($MemberOf.memberof -match "Admins du domaine"){ Write-Host "attention il s'agit d'un compte Administrateur !" }
Coupler l’utilisation du Filter et du Like :
Comme vu précédemment, le paramètre -Filter sert à appliquer un filtre sur la requête exécutée par la commande Get-ADUser afin d’affiner la recherche sur un ou plusieurs attributs. Cela est intéressant pour rechercher un compte précis notamment, même si l’on peut préférer l’utilisation du paramètre -Identity.
Si l’on associe le paramètre -Filter à l’utilisation de l’opérateur Like nous pouvons appliquer un filtre plus large. Par exemple, récupérer la liste de tous les utilisateurs qui ont un prénom ou un nom spécifique, ou un caractère spécifique dans le nom, etc.
Pour rechercher les utilisateurs qui ont la chaîne de caractères “connect” dans l’attribut Name, on utilisera :
Get-ADUser -Filter "Name -Like '*connect*'" -Properties Name,SamAccountName | Select Name,SamAccountName
À noter l’importance des astérisques avant et après le terme à rechercher pour signifier qu’il peut y avoir X caractères avant et X caractères après. Nous n’avons pas utilisé l’opérateur -match car il n’est pas compatible avec le paramètre -Filter, donc avec l’opérateur -like cela permet de contourner cette contrainte.
Lorsque l’on définit un filtre, il est tout à fait possible de se baser sur plusieurs conditions, séparées par un opérateur comme -and (et) ou -or (ou) afin d’affiner la requête.
Si l’on veut rechercher la chaîne “itconnect” à la fois dans l’attribut Name et dans l’attribut saMAccountName, cela donnera la commande suivante :
Get-ADUser -Filter "(Name -Like '*connect*') -or (SamAccountName -Like '*connect*')" -Properties * | Select Name,SamAccountName
Récupérer la liste des comptes utilisateurs désactivés :
Lorsque vous souhaitez faire un état des lieux de votre Active Directory, vous pouvez vous poser la question suivante : combien ai-je de comptes utilisateurs désactivés au sein de mon annuaire ? Là encore, PowerShell et le cmdlet Get-ADUser sont là pour nous permettre de répondre à cette question.
L’attribut « Enabled » est un booléen présent au sein de la fiche de chaque utilisateur, donc si sa valeur est égale à « false » cela signifie que le compte est désactivé : il ne reste plus qu’à filtrer en ce sens.
Ce qui donne :
Get-ADUser -Filter { Enabled -eq $False } | Format-Table SamAccountName , Name
Dans cet exemple, nous allons retourner un tableau avec deux attributs.
Dans cet exemple, nous allons retourner un tableau avec deux attributs. Sur l’image ci-dessous, on peut voir que cela fonctionne aussi avec « False » plutôt que $False, mais il vaut mieux préférer l’écriture $False qui est plus correcte (valeur booléenne).
Récupérer la liste des comptes où le mot de passe est expiré :
En termes de reporting sur l’état de vos comptes et en complément de la liste des comptes désactivés, il est intéressant d’obtenir la liste des comptes où le mot de passe est expiré. Uniquement pour les comptes actifs pour que ce soit plus pertinent.
Nous devons charger la propriété « PasswordExpired » et réaliser un filtre sur cette propriété. J’en profite pour vous indiquer que pour faire un filtre, il y a à chaque fois la possibilité d’inclure la condition dans -Filter ou alors de réaliser un filtre via un Where (Where-Object), voire même de mixer les deux…
Voici la commande associée à la requête que l’on recherche :
Get-ADUser -Filter { Enabled -eq "True" } -Properties PasswordExpired | Where {$_.PasswordExpired -eq $true }
Note : le caractère $_ permet d’utiliser une variable automatique qui reprend l’occurrence courante renvoyée par la commande avant le « | », c’est-à-dire Get-ADUser.
Pour finir ce chapitre, nous allons réaliser deux requêtes d’un style différent. Je vous laisse lire la suite sans plus attendre.
Compter le nombre d’utilisateurs dans l’Active Directory :
Avoir la liste des comptes désactivés, des comptes où le mot de passe est expiré, etc… C’est bien, mais il peut être intéressant de tout simplement savoir combien il y en a. Pour obtenir cette information, nous pouvons faire appel à la propriété « count » qui va simplement nous retourner le nombre de résultats, sans nous les afficher.
Imaginons que nous prenons cette requête toute simple pour afficher les comptes actifs dans l’AD :
Get-ADUser -Filter { Enabled -eq $True }
Si l’on souhaite savoir combien il y a de comptes actifs dans l’AD, il suffit d’exécuter cette commande :
(Get-ADUser -Filter { Enabled -eq $True }).Count
Note : comme je le disais précédemment, lorsque l’on filtre sur un attribut booléen comme Enabled, on peut soit indiquer « false » ou « true » entre guillemets, soit indiquer $false ou $true.
Si l’on veut récupérer la liste des utilisateurs, et ensuite dans un second temps, compter le nombre d’objets retournés par la commande sans multiplier les requêtes dans l’annuaire, il faut passer par une variable « intermédiaire ». Ce qui donne :
$ADUsersEnabled = Get-ADUser -Filter { Enabled -eq $True } ($ADUsersEnabled).Count
Exporter les utilisateurs dans un fichier CSV :
Pour finir ce chapitre, nous allons voir comment exporter dans un fichier CSV les résultats d’une requête Get-ADUser. Pour cela, le résultat de la commande sera envoyé via le pipeline dans une commande Select-Object pour sélectionner les propriétés à inclure au fichier CSV puis grâce à un second pipeline, nous allons réaliser l’export grâce au cmdlet Export-Csv.
Ce cmdlet sera accompagné de trois paramètres : -Path pour indiquer le nom du fichier CSV et le dossier dans lequel le créer ; -Encoding pour le type d’encodage des données (utile pour les accents) ; -NoTypeInformation pour ne pas inclure une ligne sur la provenance des données intégrées : cela est préférable pour avoir une première qui correspond à nos en-têtes de colonnes du fichier CSV. Si nous n’indiquons pas le paramètre -NoTypeInformation la première ligne du CSV serait :
#TYPE Selected.Microsoft.ActiveDirectory.Management.ADUser
Le paramètre -Delimiter peut être ajouté si l’on désire modifier le type de délimiteur : celui par défaut est la virgule.
Voici un exemple pour exporter dans un fichier CSV « Users_Disabled.csv » les comptes désactivés en intégrant trois propriétés : SamAccountName, Name, EmailAddress.
Get-ADUser -Filter {Enabled -eq $False} -Properties EmailAddress | ` Select-Object SamAccountName, Name, EmailAddress | ` Export-Csv -Path "C:\Temp\Users_Disabled.csv" -Encoding Default ` -NoTypeInformation
Suite à l’exécution de cette commande, nous obtenons le fichier suivant :
Enfin, sachez que les données dans le fichier CSV peuvent être triées sur la base d’un attribut, pour cela il faut insérer une commande supplémentaire : Sort-Object, suivie de l’attribut à utiliser pour réaliser le tri alphabétique. Voici un exemple :
Get-ADUser -Filter {Enabled -eq $False} -Properties EmailAddress | ` Select-Object SamAccountName, Name, EmailAddress | ` Sort-Object Name | ` Export-Csv -Path "C:\Temp\Users_Disabled.csv" -Encoding Default ` -NoTypeInformation
Grâce aux différents exemples d’utilisation de la commande Get-ADUser, vous êtes désormais en mesure de réaliser des requêtes dans l’Active Directory pour récupérer des informations sur vos users.
La notion de filtre via le paramètre -Filter est très importante et c’est grâce à ce filtrage que l’on va pouvoir récupérer ceux que l’on souhaite. Ensuite, l’utilisation de Select-Object ou Format-Table sert à affiner la sortie et avoir un résultat plus synthétique.
Enfin, pensez à utiliser le paramètre -Server pour préciser le contrôleur de domaine que vous souhaitez interroger, je considère cela comme étant une bonne pratique.