GERBELOTBARILLON.COM

Gestion des rôles FSMO

Lister les rôles

Un domaine Windows Active Directory est régi par certain nombre de rôles, réparti sur un ou plusieurs serveurs. Ce sont les rôles FSMO (Flexible Single Master Operations). Chacun d'eux doit exister, être sur un serveur fonctionnel et accessible. Pour afficher les serveurs propriétaires de chacun de ces rôles, ouvrez une commande MS-DOS et tapez la commande :
netdom query fsmo /domain <votre-domaine>
Si l'on suppose que nous avons un seul domaine, voici ce que nous devrions obtenir :

Contrôleur de schéma DC.votre-domaine
Maître des noms de domaine DC.votre-domaine
Contrôleur de domaine princip. DC.votre-domaine
Gestionnaire du pool RID DC.votre-domaine
Maître d'infrastructure DC.votre-domaine

L'opération s'est bien déroulée.

Transférer les rôles FSMO

Il peut être utile de transférer les rôles entre serveurs lorsque vous ajoutez des contrôleurs de domaine ou quand vous êtes amené à les remplacer. Peut également se rencontrer le cas où l'AD est en panne et qu'il faut forcer le transfert de ces rôles. Dans tous les cas, les opérations s'effectuent depuis le serveur d'origine.
Transférer les rôles peut se faire de deux façons :

• Graphiquement, en utilisant les différentes fenêtres MMC :
  • Utilisateurs et Ordinateurs Active Directory
  • Domaines et Approbations Active Directory
  • La console MMC directement en ouvrant le composant Schéma Active Directory. S'il n'est pas visible dans la liste il faut l'ajouter en faisant regsvr32 schmmgmt.dll
• Depuis une commande MS-DOS et l'application ntdsutil.exe.

  ntdsutil
  roles
  connections
  connect to server "dc2"
  q
  transfer pdc
  transfer RID master
  transfer infrastructure master
  transfer schema master
  transfer naming master

  Si l'ancien contrôleur de domaine n'est plus disponible, remplacez "transfer" par "seize" pour forcer la prise de rôle.

Affecter un groupe AD dans un groupe Administrateurs locaux

Par défaut l'ouverture de session sur un ordinateur autorise un utilisateur à manipuler son ordinateur jusqu'à une certaine limite, le bloquant pour la majorité des installations ou désinstallations si son accréditation n'est pas suffisante. Le script suivant va intégrer un groupe AD dans le groupe des administrateurs locaux du poste. Il suffira de le faire exécuter par GPO pour automatiser le processus.

option Explicit
Dim objGroup
Dim strComputer
On Error Resume Next
strComputer = "."
Set objGroup = GetObject("WinNT://" & strComputer &  "/Administrateurs,group")
objGroup.add("WinNT://DOMAINE/NOMDUGROUPE,group")
Set objGroup = Nothing
      

Dans le script, remplacez DOMAINE par votre nom de domaine et NOMDUGROUPE par le nom du groupe PRE Windows 2000 du groupe à ajouter.

L'autre solution, plus moderne, consiste à :

1. Créer un groupe dans l'AD dans lequel vous allez mettre les utilisateurs qui devront être définis comme Administrateurs locaux des différentes machines.
2. Créer un nouvel objet GPO et l'affecter à l'OU des machines sur lesquelles la GPO doit être exécutée.
3. Dans le paramétrage de la nouvelle GPO, dérouler le chemin Configuration ordinateur > Stratégies > Paramètres Windows > Groupes restreints.
4. Dans la partie droite, faire un clic droit et Ajouter un groupe.
5. Dans l'assistant qui s'ouvre, ajouter le groupe créé dans l'Active Directory.
6. Dans l'assistant d'Appartenance au groupe, saisir simplement "Administrateurs" sans parcourir car ce groupe n'est pas un groupe AD (application sur une machine du domaine mais dans un groupe local à la machine).