Un domaine Windows Active Directory est régi par certain nombre de rôles, réparti sur un ou plusieurs serveurs. Ce sont les rôles
FSMO (Flexible Single Master Operations). Chacun d'eux doit exister, être sur un serveur fonctionnel et accessible. Pour afficher les
serveurs propriétaires de chacun de ces rôles, ouvrez une commande MS-DOS et tapez la commande :
netdom query fsmo /domain <votre-domaine>
Si l'on suppose que nous avons un seul domaine, voici ce que nous devrions obtenir :
Contrôleur de schéma DC.votre-domaine
Maître des noms de domaine DC.votre-domaine
Contrôleur de domaine princip. DC.votre-domaine
Gestionnaire du pool RID DC.votre-domaine
Maître d'infrastructure DC.votre-domaine
L'opération s'est bien déroulée.
Il peut être utile de transférer les rôles entre serveurs lorsque vous ajoutez des contrôleurs de domaine ou quand vous êtes amené à les remplacer.
Peut également se rencontrer le cas où l'AD est en panne et qu'il faut forcer le transfert de ces rôles. Dans tous les cas, les opérations
s'effectuent depuis le serveur d'origine.
Transférer les rôles peut se faire de deux façons :
regsvr32 schmmgmt.dll
ntdsutil
roles
connections
connect to server "dc2"
q
transfer pdc
transfer RID master
transfer infrastructure master
transfer schema master
transfer naming master
Si l'ancien contrôleur de domaine n'est plus disponible, remplacez "transfer" par "seize" pour forcer la prise de rôle.
Par défaut l'ouverture de session sur un ordinateur autorise un utilisateur à manipuler son ordinateur jusqu'à une certaine limite, le bloquant pour la majorité des installations ou désinstallations si son accréditation n'est pas suffisante. Le script suivant va intégrer un groupe AD dans le groupe des administrateurs locaux du poste. Il suffira de le faire exécuter par GPO pour automatiser le processus.
option Explicit Dim objGroup Dim strComputer On Error Resume Next strComputer = "." Set objGroup = GetObject("WinNT://" & strComputer & "/Administrateurs,group") objGroup.add("WinNT://DOMAINE/NOMDUGROUPE,group") Set objGroup = Nothing
Dans le script, remplacez DOMAINE par votre nom de domaine et NOMDUGROUPE par le nom du groupe PRE Windows 2000 du groupe à ajouter.
L'autre solution, plus moderne, consiste à :