Préambule

Toutes les commandes de la cheat sheet feront mention à des domaines et des noms de serveurs. En voici le détail :

• mondomaine.local : le nom du domaine active directory utilisé. Peut autrement s'écrire DC=mondomaine,DC=local.
• SRV-DC : le nom (NetBIOS) du serveur contrôleur de domaine. Le FQDN serait SRV-DC.mondomaine.local.

Cheat Sheet AD en Powershell

Ajouter un ordinateur dans un domaine

Add-Computer -DomaineName mondomaine.local
Restart-Computer

Auditer les mots de passe AD

Le prérequis sera de disposer d'un fichier de mots de passe avec un mot de passe par ligne. Il en existe un certain nombre sur Internet...

Install-Module -Name DSInternals
Import-Module DSInternals
$dictFile = "c:\scripts\passwordlist.txt"
$DC = "SRV-DC"
$Domain = "DC=mondomaine,DC=local"

# Auditer avec un dictionnaire
# Get-ADReplAccount nous retourne le hash du password que nous comparons avec la commande qui suit le '|' (pipe)
Get-ADReplAccount -All -Server $DC -NamingContext $Domain | Test-PasswordQuality -WeakPasswordsFile $dictFile -IncludeDisabledAccounts

Créer un domaine AD

Import-Module ADDSDeployment

Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "WinThreshold" `
-DomainName "mondomaine.local" `
-DomainNetbiosName "MONDOMAINE" `
-ForestMode "WinThreshold" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true
            

Les GPO

Les GPO sont généralement rencontrées pour ces usages :

• Déployer un logiciel automatiquement
• Connecter un lecteur réseau
• Déployer des imprimantes
• Désactiver la télémétrie Windows
• Préconfigurer la suite Office 365
• Copier un fichier sur le poste utilisateur
• Définir un fond d'écran

Elles s'appliquent selon le principe LSDOU :

• L : Local (la stratégie de groupe locale au poste comme en workgroup, celle gérée par gpedit.msc)
• S : Site (Site Active Directory)
• D : Domaine
• OU : Unité d'Organisation

C'est la GPO la plus proche de l'objet ciblé qui sera effective. Par exemple, une GPO bloquante sur le domaine mais non bloquante sur une OU. Dans ce cas, la GPO de l'OU viendra recouvrir la GPO du domaine. Il est possible de créer une exception à ce comportement en activant le paramètre "Appliquer" (ou "Enforced") sur la GPO,