Découvrez les dix commandes PowerShell qui pourraient vous être utiles pour gérer votre serveur AD DS et ses objets (utilisateurs, ordinateurs, groupes), en gagnant du temps dans sa maintenance, tout en gardant un contrôle total.
La configuration et le contrôle d’une infrastructure informatique sont des tâches ardues qui impliquent de grands efforts, avec des centaines d’heures consacrées à la planification et à la configuration et des centaines, voire des milliers d’heures, consacrées à la maintenance, avec des tâches de différents types.
Parmi toutes ces tâches, la gestion des services de domaine Active Directory (AD DS) devrait toujours être prioritaire, car il s’agit de l’un des points les plus sensibles de toute installation.
Une mauvaise gestion de la sécurité de ces services centraux pourrait compromettre la sécurité de toute l’entreprise. Par conséquent, gardez toujours un œil sur l’état des services AD DS.
Dans cet article, nous allons explorer quelques commandes PowerShell qui vous aideront à vérifier l’état des différents éléments de nos services d’annuaire afin d’effectuer cette surveillance de manière rapide et efficace.
Cette compilation n’est pas exhaustive, mais les commandes choisies vous permettront d’effectuer un contrôle de base de l’infrastructure. Vous pourrez ensuite ajouter petit à petit d’autres commandes ou même préparer des scripts qui vous permettront d’effectuer ces contrôles de manière automatisée.
Par ailleurs, cet article se concentre uniquement sur les tâches de surveillance, d’audit ou de contrôle. Toutes les tâches de configuration sont abordées, au moins en guise d’introduction, dans un autre article concernant les services AD DS.
REMARQUE : Les commandes et les scripts ci-dessous ont été testés sur Windows Server 2022. Il est possible que vous obteniez des résultats différents avec d’autres versions de Windows. Ces différences sont dues aux diverses versions de PowerShell. Pour identifier la version en cours d’exécution sur votre système, vous pouvez exécuter l’une des commandes suivantes dans une fenêtre Windows PowerShell : « Get-Host » ou « $PSVersionTable » ou « $PSVersionTable.PSVersion ».
Commandes PowerShell pour évaluer la sécurité de votre serveur AD DS
Pour commencer, soulignons que les commandes suivantes servent à vérifier les différents objets de votre infrastructure AD DS :
- Utilisateurs
- Ordinateurs
Même si nous allons aborder ces deux types d’objet, nous allons nous centrer davantage sur les utilisateurs, car ils sont généralement plus enclins à compromettre la sécurité de notre entreprise.
REMARQUE : Avant de pouvoir travailler avec PowerShell dans la gestion des services de domaine Active Directory (AD DS), vous devez importer le module. Pour cela, exécutez la commande suivante depuis une console PowerShell avec des droits d’administrateur : « Import-Module ActiveDirectory ».
Les requêtes que vous allez effectuer sont les suivantes :
- Liste des utilisateurs d’une OU spécifique
- Liste des comptes utilisateurs expirés
- Liste des comptes utilisateurs désactivés
- Liste des comptes utilisateurs verrouillés
- Liste des utilisateurs inactifs
- Liste des utilisateurs dont le mot de passe n’expire jamais
- Liste des utilisateurs dont le mot de passe est faible
- Liste des nouveaux utilisateurs
- Liste des ordinateurs inactifs du domaine
- Liste des ordinateurs désactivés
1. Liste des utilisateurs d’une OU spécifique
Dans ce premier exemple, vous allez établir la liste des utilisateurs appartenant à une unité organisationnelle (OU) spécifique, afin de savoir quels utilisateurs font partie de cette OU et bénéficient des GPO qui lui sont appliquées.
Il existe différentes méthodes. La première, plus pratique, permet de lancer plusieurs requêtes rapidement à l’aide d’une variable qui précise l’OU.
Supposons par exemple que vous travaillez avec le domaine « test-pierre.com » et que vous souhaitez connaître les utilisateurs de l’unité organisationnelle de « Lyon » au sein des « succursales ». Voici comment déclarer la variable :
$OU = ‘ou=Lyon,ou =Succursales,dc=test-pierre,dc=com’
Exécutez ensuite la commande suivante :
Get-ADUser -Filter * -SearchBase $OU | Select-object Name,DistinguishedName,UserPrincipalName,Enabled,SID | Export-CSV « C:\Temp\UtilisateursOU1.CSV » –NoTypeInformation
Liste des utilisateurs d’une OU spécifique du serveur AD DS via PowerShell
La deuxième méthode, un peu moins « orthodoxe », consiste à placer directement les données de l’OU dans la commande :
Get-ADUser -Filter * -SearchBase ‘ou=Lyon,ou =Succursales,dc=test-pierre,dc=com’ | Select-object Name,DistinguishedName,UserPrincipalName,Enabled,SID | Export-CSV « C:\Temp\UtilisateursOU1.CSV » –NoTypeInformation
Où :
- Get-ADUser : effectue une requête sur les utilisateurs des services AD DS.
- SearchBase : permet de modifier la portée de la requête pour montrer uniquement les utilisateurs qui vous intéressent, dans ce cas, ceux d’une OU spécifique.
- Select-object : permet de sélectionner les champs que vous souhaitez voir apparaître dans la requête que vous effectuez. Pour connaître les champs, vous pouvez lancer la commande d’origine sans modificateurs pour voir les informations que vous pouvez obtenir « Get-ADUser -Filter * ».
- Export-CSV : permet d’extraire les informations vers un fichier CSV délimité par des virgules (,). Vous pourrez ensuite l’utiliser pour des scripts ultérieurs ou l’ouvrir et le visualiser dans Excel.
- NoTypeInformation : ce modificateur supprime la première ligne du fichier CSV. Cette ligne fournit des informations sur l’exécution de la commande et peut gêner l’utilisation du fichier au cas où il serait nécessaire pour l’exécution d’un autre script.
Exemple de fichier CSV obtenu après l’exécution de la commande PowerShell sur votre serveur AD DS
De la même manière, vous pouvez aussi obtenir tous les utilisateurs de l’ensemble des OU (autrement dit, de tout le domaine) en éliminant « SearchBase » :
Get-ADUser -Filter * | Select-object Name,DistinguishedName,UserPrincipalName,Enabled,SID | Export-CSV « C:\Temp\UtilisateursOU1.CSV » –NoTypeInformation
2. Liste des comptes utilisateurs expirés
Voyons maintenant comment établir la liste des utilisateurs de l’annuaire dont le compte a expiré. Il s’agit des utilisateurs qui ne devraient plus exister, car leur délai d’expiration s’est écoulé.
Pour lancer cette requête, utilisez la commande « Search-ADAccount » qui, contrairement à « Get-ADUser », permet d’interroger la date d’expiration des accès.
Voici la commande :
Search-ADAccount -AccountExpired | Select-Object Name,DistinguishedName,UserPrincipalName,Enabled,SID,AccountExpirationDate
Ce cas est beaucoup plus simple, car il y a moins de modificateurs et de paramètres à prendre en compte :
- Search-ADAccount : affiche les comptes Active Directory qui répondent à un certain nombre de conditions.
- AccountExpired : identifie les comptes expirés. Vous pouvez également consulter manuellement ce champ en accédant aux propriétés d’un utilisateur et en vérifiant le champ « Date d’expiration du compte » sous l’onglet « Compte ».
- Select-Object : permet de sélectionner les champs que vous souhaitez voir apparaître dans la requête que vous effectuez. Pour connaître les champs, vous pouvez lancer la commande d’origine sans modificateurs pour voir les informations que vous pouvez obtenir. Dans ce cas, vous pouvez inclure le nom, le compte, le SID, etc. Il est recommandé d’inclure également « AccountExpirationDate » pour voir la date d’expiration du compte.
Champ « Date d’expiration du compte » sous l’onglet « Compte » du serveur AD DS
Vous pouvez également ajouter le modificateur « UsersOnly » après l’expiration afin de ne répertorier que les utilisateurs.
Personnellement, nous utiliserions toujours la fonction « Export-CSV » pour extraire les informations vers un fichier, car nous préférons sauvegarder les requêtes afin de pouvoir vérifier les modifications, les erreurs, etc. Dans cet exemple, comme dans certains des cas suivants, nous n’allons pas l’utiliser pour des questions de simplicité, afin que les captures d’écran comprennent la totalité de l’exécution.
Liste des comptes utilisateurs expirés du serveur AD DS via PowerShell
3. Liste des comptes utilisateurs désactivés
Parmi les points à contrôler, il faut également prendre en compte les comptes qui ont été désactivés. Il s’agit généralement des comptes des utilisateurs qui ont quitté l’entreprise, ont été licenciés, ne sont plus utilisés, etc. En principe, ces utilisateurs ne devraient représenter aucun danger, car ils ne peuvent plus se connecter à l’annuaire. Il est toutefois vivement recommandé de les supprimer pour des questions de sécurité.
Pour répertorier les comptes désactivés, utilisez la commande « Get-ADUser » et vérifiez que la propriété « Enabled » est définie sur booléen faux. Aucun autre paramètre n’est nécessaire. Voici la ligne de commande :
Get-ADUser -Filter {(Enabled -eq $False)} | Select-Object Name,DistinguishedName,UserPrincipalName,Enabled,SID,LastLogon
Dans ce cas, il suffit d’utiliser « Select-Object » pour sélectionner les champs que vous souhaitez voir apparaître dans la requête que vous effectuez. De nouveau, pour connaître les champs, vous pouvez lancer la commande d’origine sans modificateurs pour voir les informations que vous pouvez obtenir. Dans ce cas, vous pouvez inclure le nom, le compte, le SID, etc. Il peut être aussi intéressant de répertorier également le « LastLogon » pour savoir quand l’utilisateur s’est connecté pour la dernière fois au système.
Liste des comptes utilisateurs désactivés du serveur AD DS via PowerShell
Vous pouvez également rechercher manuellement un utilisateur spécifique à l’aide de la commande Get-ADUser :
Get-ADUser <nom_utilisateur> | select Name,DistinguishedName,UserPrincipalName,Enabled,SID,LastLogon
Où <nom_utilisateur> indique l’utilisateur objet de la requête.
Par exemple, voici la commande si vous voulez rechercher l’utilisateur « Sandra » :
Get-ADUser Sandra | select Name,DistinguishedName,UserPrincipalName,Enabled,SID,LastLogon
Vérifiez si un compte utilisateur du serveur AD DS est désactivé
4. Liste des comptes utilisateurs verrouillés
Un autre point à examiner est celui des comptes qui ont été verrouillés après un certain nombre de tentatives de connexion infructueuses. Cela peut être le signe d’utilisateurs malveillants qui essaient d’accéder à un compte en testant des mots de passe, mais il peut aussi simplement s’agir d’utilisateurs qui tentent de se connecter sans succès ou qui ont oublié leur mot de passe.
La commande à exécuter est assez simple et se base de nouveau sur « Search-ADAccount ».
Search-ADAccount -LockedOut | Select-Object Name,DistinguishedName,UserPrincipalName,Enabled,SID,LastLogon
Elle comprend les modificateurs suivants :
- LockedOut : permet de sélectionner uniquement les comptes verrouillés.
- Export-CSV : permet d’extraire les informations vers un fichier CSV en vue de leur traitement ultérieur.
- UsersOnly : affiche uniquement les utilisateurs verrouillés.
Liste des comptes utilisateurs verrouillés du serveur AD DS via PowerShell
5. Liste des utilisateurs inactifs
Examinons maintenant le cas où vous souhaiteriez rechercher les utilisateurs qui ne se sont pas connectés pendant une période donnée, par exemple 90 jours, et qui sont donc considérés comme des utilisateurs inactifs sur le domaine.
Effectuez la recherche à l’aide de la commande « Recherche-ADAccount » :
Search-ADAccount –AccountInActive –TimeSpan 90:00:00:00 | Select-Object Name,DistinguishedName,SID,LastLogon
Où :
- AccountInActive : permet de répertorier les comptes inactifs.
- TimeSpan : période après laquelle un utilisateur est considéré comme inactif. Dans ce cas, il s’agit de 90 jours, soit « 90:00:00:00:00 ».
- Select-Object : filtrez les propriétés que vous voulez obtenir dans la recherche. Dans ce cas, nous avons sélectionné Name, DistinguishedName, SID et LastLogon.
Recherchez des utilisateurs inactifs sur le serveur AD DS
6. Liste des utilisateurs dont le mot de passe n’expire jamais
Dans le cadre du contrôle de l’infrastructure, il est essentiel de prendre également en compte les utilisateurs dont le mot de passe n’expire jamais. Le mécanisme d’expiration des mots de passe permet de sécuriser les mots de passe par une rotation qui empêche les utilisateurs d’utiliser les mêmes mots de passe pour tous les systèmes, sites Web, banques, etc.
Les seuls comptes qui doivent avoir un mot de passe permanent sont ceux associés aux services, car leur expiration pourrait entraîner un arrêt des services.
Pour localiser les autres utilisateurs dont le mot de passe n’expire jamais, utilisez la commande « get-aduser » avec une série de paramètres et configurez une sélection basée sur les utilisateurs dont le mot de passe n’expire pas. Voici la commande :
get-aduser -filter * -properties PasswordNeverExpires | where {via l’option « PasswordNeverExpires »
$_.passwordNeverExpires -eq « true » } | Select-Object Name,DistinguishedName,UserPrincipalName,Enabled,SID
Comme précédemment, nous avons sélectionné Name, DistinguishedName, UserPrincipalName, Enabled et SID, mais vous pouvez afficher d’autres propriétés. Pour voir les options disponibles, vous pouvez exécuter la commande « get-aduser -filter * ».
Liste des comptes utilisateur qui n’expirent jamais sur le serveur AD DS
7. Liste des utilisateurs dont le mot de passe est faible
L’une des plus grandes erreurs en matière de gestion des utilisateurs consiste à autoriser l’utilisation de mots de passe faibles, car ils seront exposés aux attaques par force brute, par dictionnaire, etc.
Pour résoudre ce problème, il est nécessaire de mettre en place une stratégie de mot de passe fort, qui est généralement activée par défaut dans les dernières versions de Windows Server. Pour en savoir plus sur les stratégies de mot de passe de Microsoft, consultez ce lien.
La question qui se pose alors est la suivante : si vous avez mis en place une stratégie de mot de passe qui oblige les utilisateurs à utiliser des mots de passe forts, pourquoi certains utilisateurs utilisent des mots de passe faibles ? Dans certains cas spéciaux, il peut être nécessaire de créer des mots de passe pour des dirigeants ou d’autres utilisateurs dotés de privilèges. Cela se traduit souvent par la création d’une stratégie de mot de passe spéciale qui autorise des mots de passe ridiculement faibles, ce qui est une pratique à éradiquer à tout prix.
Pour effectuer cette recherche, importez le module « DSInternals » en exécutant la commande suivante :
Install-Module DSInternals
Importez le module DSInternals de PowerShell en acceptant les options
Utilisez ensuite un fichier pour charger un dictionnaire de mots de passe. Vous pouvez utiliser l’un des nombreux modèles disponibles sur Internet ou créer le vôtre. Si vous en téléchargez un sur Internet, il est conseillé d’inclure, par exemple, le nom de l’entreprise, la ville, etc.
$Passwords = « C:\Users\Administrador\Desktop\passwords.txt »
Une fois le dictionnaire chargé, exécutez la commande de requête suivante :
Get-ADReplAccount -All -Server ‘<SERVEUR_AVEC_FQDN>’ | Test-PasswordQuality -WeakPasswordsFile $Passwords -IncludeDisabledAccounts
Où :
- <SERVEUR_AVEC_FQDN> : à remplacer par le nom du serveur AD DS (contrôleur de domaine) avec son FQDN, selon le format suivant : « WIN-Q28KD6B1DN2.test-pierre.com ».
- Test-PasswordQuality : permet de tester la qualité des mots de passe.
- WeakPasswordsFile : les mots de passe faibles sont recherchés sur la base d’un fichier en tant que fichier de paramètres indiqué par la variable « $Passwords » chargée précédemment.
- IncludeDisabledAccounts : incluez les comptes désactivés pour que le test soit le plus complet possible.
Voici à quoi ressemblerait la commande :
Get-ADReplAccount -All -Server ‘WIN-Q28KD6B1DN2.test-pierre.com’ | Test-PasswordQuality -WeakPasswordsFile $Passwords -IncludeDisabledAccounts
Exécutez la requête PowerShell pour trouver les mots de passe faibles sur le serveur AD DS
Comme ce cas est relativement complexe, nous avons choisi d’utiliser le script créé par Adam Bertram.
8. Liste des nouveaux utilisateurs
Lors de l’audit de notre annuaire actif, vous devriez également garder un œil sur tous les nouveaux utilisateurs créés. De plus, si tout est bien organisé, vous devriez savoir quand un nouvel utilisateur est créé.
En répertoriant, par exemple une fois par semaine, les nouveaux utilisateurs du serveur AD DS et en comparant la liste à celle du service informatique, vous pouvez détecter les utilisateurs créés sans autorisation.
Pour effectuer cette recherche, créez au préalable une variable où est stockée l’ancienneté des utilisateurs. Par exemple, si vous voulez afficher ceux créés au cours des 7 derniers jours, utilisez une valeur de « 7 » pour « AddDays », car cette variable calcule la date courante et soustrait la valeur que vous lui avez attribuée.
Une fois cette variable déclarée, utilisez la commande « Get-ADUser » pour lancer une requête basée sur le paramètre de création du compte « whenCreated », où la date est comparée à la date que vous avez déclarée dans la variable précédente. Si la comparaison détermine que la valeur obtenue est plus grande (-ge), elle affiche le compte, avec uniquement les propriétés qui ont été indiquées dans le filtre.
Voici à quoi ressemblerait la commande avec une valeur d’un jour :
$Fecha = ((Get-Date).AddDays(-1)).Date
Get-ADUser -Filter {whenCreated -ge $Fecha} -Properties *| Select-Object Name,DistinguishedName,SID,Enabled,whenCreated
Liste des nouveaux utilisateurs sur notre serveur AD DS via PowerShell
9. Liste des ordinateurs inactifs du domaine
En ce qui concerne les ordinateurs enregistrés sur le domaine, vous pouvez lancer une requête qui vous permettra d’extraire leurs données et de les répertorier afin de les inventorier ou de pouvoir les traiter ultérieurement.
Cette requête est assez simple et consiste essentiellement à exécuter la commande « Get-ADComputer » qui répertorie les ordinateurs et les serveurs (tous les éléments enregistrés comme en tant que « computer ») en filtrant leurs propriétés et en extrayant les éléments qui semblent pertinents.
Voici la commande :
Get-ADComputer -Filter * -Property * | Select-Object Name,DNSHostName,OperatingSystem,ipv4Address
Dans ce cas, nous avons décidé d’extraire les propriétés ou champs suivants :
- Name : nom de l’ordinateur. Il s’agit du nom qui apparaît sous « Poste de travail ».
- DNSHostName : nom complet utilisé dans l’annuaire. Il s’agit de ce que l’on appelle un nom de domaine complet ou FQDN (Fully Qualified Domain Name).
- OperatingSystem : système d’exploitation de l’ordinateur, renseigné en fonction du champ « Nom » sous l’onglet « Système d’exploitation » dans les propriétés de l’objet de domaine.
- ipv4Address : adresse IPv4 attribuée à l’ordinateur.
Liste des ordinateurs enregistrés sur le serveur AD DS via PowerShell
Vous devriez également veiller à supprimer du domaine les ordinateurs qui sont inactifs depuis longtemps. Ces ordinateurs sont généralement de vieux PC qui ont été retirés du parc informatique ou qui ont été amortis, mais ce dont personne n’a informé.
Ces ordinateurs finissent souvent par être donnés aux employés, à des ONG ou à des établissements scolaires, afin de promouvoir leur marque, de montrer leur engagement envers la société, etc. et de mener une politique conforme à la responsabilité sociale des entreprises (RSE).
Le problème est que beaucoup de ces ordinateurs, lorsqu’ils sont mis au rebut, le sont sans avoir été « nettoyés », autrement dit sans avoir été formatés pour garantir la destruction des données.
La détection de ces ordinateurs devrait donc être une priorité, afin de les retirer au plus vite en s’assurant qu’ils ne pourront pas être utilisés de manière frauduleuse.
Pour les détecter, utilisez la commande « Get-ADComputer », mais en ajoutant une variable permettant de calculer le temps, de manière similaire à la façon dont vous avez calculé les nouveaux utilisateurs du domaine.
Si la condition est remplie, la commande filtre et affiche les champs que vous souhaitez voir. Dans cet exemple, nous avons choisi uniquement le nom de l’ordinateur et la date de sa dernière connexion.
$time = (Get-Date).Adddays(-(180))
Get-ADComputer -Filter {LastLogonTimeStamp -lt $time} -Properties Name ,LastLogonDate
Pour effectuer cette recherche, comme dans le cas des utilisateurs inactifs, vous pouvez préalablement créer une variable et y indiquer le temps qui s’écoule entre aujourd’hui et la période donnée. Par exemple, pour utiliser une période de filtrage de 180 jours (6 mois), utilisez une valeur de « 180 » pour « AddDays », car cette variable calcule la date courante et soustrait la valeur que vous lui avez attribuée.
Liste des ordinateurs inactifs sur le serveur AD DS via PowerShell
10. Liste des ordinateurs désactivés
Dans ce dernier exemple, vous allez contrôler les ordinateurs qui ont été désactivés au sein du domaine, car ce sont des ordinateurs qui, en théorie, auraient dû être supprimés.
Pour les localiser, il suffit de lancer une requête avec « Get-ADComputer » en filtrant ceux dont la propriété « Enabled » est fausse.
Voici à quoi ressemblerait la commande :
Get-ADComputer -Filter {(Enabled -eq $False)} | Select-Object Name
Comme toujours, indiquez les propriétés que vous voulez afficher à l’aide de « Select-Object ». Dans ce cas, nous avons choisi d’afficher uniquement le nom de l’ordinateur, mais nous vous recommandons de sélectionner celles qui fournissent les informations les plus utiles.
Liste des ordinateurs désactivés sur le serveur AD DS via PowerShell
REMARQUE : Le nombre de jours qui s’écoulent avant qu’un ordinateur ne soit considéré comme inactif dépend des particularités de chaque entreprise. Il faut donc bien y réfléchir.
Conclusion
Comme vous l’aurez remarqué, la liste donnée n’est pas exhaustive. Nous aurions pu inclure beaucoup d’autres commandes, mais nous avons choisi les 10 principales que vous pouvez utiliser pour extraire des informations pertinentes pour la sécurité des utilisateurs et des ordinateurs.
Nous aurions également pu passer en revue de nombreux aspects, comme l’intégrité des serveurs Domain Controller (contrôleurs de domaine), ou bien examiner les événements système liés à AD DS, la synchronisation entre les DC, la synchronisation du service horaire et bien d’autres choses encore. Mais l’objectif étant de rester concis, ces aspects sont couverts dans d’autres articles du blog.
À l’aide des commandes décrites précédemment, vous pouvez commencer à prendre le contrôle des objets (utilisateurs et ordinateurs) sur votre serveur AD DS. Vous pouvez les inclure dans le cadre d’une tâche planifiée que vous ajouterez aux tâches de maintenance habituelles et que vous devriez exécuter au moins une fois par mois pour répertorier les changements qui se sont produits et détecter ceux qui auraient pu vous échapper.
Nous vous recommandons vivement d’explorer la suite PowerShell, au potentiel illimité, car elle vous permet de gérer efficacement l’ensemble de l’infrastructure Microsoft, qu’il s’agisse de clients, de serveurs ou de services, ainsi que certains éléments GNU/Linux.
