Préambule

Dans un article précédent je décrivais comment installer Active Directory sur Windows Server 2008 Core. L’esprit est ici le même, mais en beaucoup plus simple

Installation

Lancer la commande dcpromo afin de démarrer l’assistant d’installation:

Je choisis ici d’installer le 1er serveur du 1er domaine d’un nouvelle forêt

J’ai choisis de nommer mon domaine domlab.com

Le nom NetBIOS correspond généralement au nom dns sans son extension , ici DOMLAB

Je n’ai pas d’autres contrôleurs de domaine dans des versions antérieures à Windows Server 2008 dans la même forêt, je choisi donc le niveau fonctionnel le plus élevé afin de profiter de toutes les spécificités propres à 2008.

DNS sera installé en même temps que l’AD.

Placer de préférence votre base NTDS dans un emplacement sécurisé. Dans un environnement de production un RAID 1 sera dédié exclusivement à cette base !

Il s’agit ici de spécifier un mot de passe de restauration. A conserver précieusement ! Ce mot de passe sera indispensable pour réaliser des opérations de maintenance sur la base de donnée ntds.dit

L’installation peut démarrer …

Une fois terminée vous êtes invité à redémarrer le système !

Lors du redémarrage vous pouvez d’ores et déja constater que la mire de connexion a changée puisque l’authentification se fait désormais sur le domaine DOMLAB. Vous devez utiliser le mot de passe du compte Administrator Local que vous utilisiez auparavant !

Vérifier l’installation

Une fois le redémarrage automatique effectué, l’Active Directory est installé et opérationnel

Félicitation ! Vous pouvez désormais administrer votre domaine grâce aux consoles de gestion MMC dédiés à Active Directory et directement accessibles depuis Server Manager.

Les 2 modes de fonctionnements de Outlook

Lorsque l’on utilise Outlook avec le mode cache désactivé ou que l’on accède à sa messagerie par l’interface Web de Outlook (OWA), on accède directement à la liste d’adresse globale Exchange, la Global Address List (GAL). Le délai de la mise à jour de la GAL dépendra uniquement de la topologie de réplication de votre annuaire Active Directory soit quelques minutes en général.

Si par contre Outlook est utilisé avec le mode cache actif, il va récupérer à intervalle donné une copie de la GAL depuis le serveur Exchange du client. Seulement cette copie appelée Offline Address Book (OAB) est générée par Exchange qu’une seule fois par jour !

Pour que vos changements soient pris en compte rapidement dans Outlook vous avez donc 2 opérations à effectuer:

• Mettre à jour le carnet d’adresses en mode autonome (OAB)
• Télécharger le mise à jour de OAB sur le client Outlook

Comment forcer la mise à jour de OAB?

Pour forcer la mise à jour de OAB connectez vous à Exchange System Manager (ESM), développez le contenaire Destinataires puis Liste d’adresses en mode hors connexion.

Ce contenaire contient au moins Default Offline Address List qui est le fichier OAB par défaut, mais il peut également contenir d’autres listes d’adresses définit sur chacun de vos serveurs Exchange. Pour mettre à jour OAB, faite un clic droit sur Default Offline Address List et cliquez sur Reconstruire. Un message vous informe que le temps de mise à jour peut réduire les performances de Exchange. Cliquez sur Oui pour lancer la mise à jour.

Vous pouvez modifier les paramètres de planification en double cliquant sur Default Offline Address List puis sur Personnaliser…

Comment recevoir la mise à jour de OAB sur Outlook?

Une fois le carnet d’adresses en mode autonome reconstruit il est nécessaire de le télécharger depuis votre client Outlook.

Pour cela ouvrez Outlook puis naviguez vers Outils \ Envoyer/recevoir \Télécharger le Carnet d’adresses et cliquez sur OK dans la fenêtre qui apparait.

Une fois la mise à jour effectuée vous pouvez constater, lorsque vous adressez un message, que vos modifications sont bien prises en compte (Présence d’un nouvel utilisateur, modification d’une adresse ou d’un display name effective, …)

Cet article n’a pas pour vocation de remettre en question l’intérêt de l’utilisation de scripts .VBS pour effectuer ses requêtes LDAP mais dans le cadre d’une utilisation quotidienne il est très pratique et bien plus souple d’utiliser les fonctionnalités proposée par la console ADUC pour construire ses requêtes.

Tout d’abord démarrez la console ADUC

Effectuez un clic droit sur Saved Query. C’est dans ce répertoire que vous aurez la possibilité de conservés vos différentes requêtes LDAP

Sélectionnez Nouveau puis Query

Spécifiez un nom et optionnellement une description à votre requête, puis cliquez sur Define Query

Il faut maintenant construire sa requête. Pour cette exemple j’ai choisi de construire une requête personnalisée en sélectionnant Recherche personnalisée dans le champ Rechercher

 Puis en insérant la requête LDAP suivante dans l’onglet Avancé , champ Entrez la requête LDAP

(&(objectCategory=person)(objectClass=user)(name=a*))

Cliquez sur OK une fois terminé

Cliquez de nouveau sur OK

 Vous constatez que votre requête apparait dans la liste Saved Query

Pour l’exécuter il suffit de la sélectionner, le résultat va apparaître quelques secondes plus tard selon la complexité de la recherche dans le panneau latéral droit.

Vous avez  ensuite la possibilité d’exporter le résultat dans un fichier texte afin d’exploiter les informations dans un logiciel tiers comme Microsoft Excel ou Open Office. Pour cela sélectionnez la requête dont vous souhaitez exporter le résultat, faites un clic droit puis sélectionnez Exporter la liste.

 Voila c’est terminé, il ne vous reste plus qu’à répéter l’opération afin de vous constituer votre collection de requête LDAP.

Dernièr point et pas des moindre, vous avez la possibilité de sauvegarder vos requêtes, individuellement malheureusement, vers un fichier .XML en sélectionnant l’option Export Query Definition proposée dans la copie d’écran ci dessus

Masquer une boite aux lettres Exchange du carnet d’adresse globale d’une organisation consiste à modifier l’attribut msExchHideFromAddressLists d’un compte Active Directory en lui attribuant la valeur TRUE. Plus simplement il suffit de cocher l’option Masquer dans la liste d’adresses Exchange située dans l’onglet Exchange - Paramètres avancés des propriétés d’un compte Active Directory

Pour rechercher l’ensemble des comptes pour lesquels cette option est activée une simple requête LDAP fera l’affaire. Pour cela

• Ouvrez la console Active Directory Users and Computers
• Effectuez un clic droit sur le nom de votre domaine et cliquez sur Find …
• Dans le champ Rechercher sélectionnez l’option Recherches Personnalisées (Custom Query) puis copiez la requête suivante dans le champ Entrez la requête LDAP :
  

(&(objectclass=user)(msExchHideFromAddressLists=TRUE))

• Lancez la recherche en cliquant sur Rechercher afin de lister l’ensemble des comptes concernés.

Cette fonctionnalité est fréquemment utilisée et devient très vite indispensable. Il est ainsi possible de mapper un lecteur réseau sur le poste d’un utilisateur selon l’appartenance de ce dernier à un groupe Active Directory, de spécifier la page par défaut du navigateur de l’utilisateur, d’installer un programme ou une mise à jour, etc …

Créer un fichier Logon Script

Un fichier de commande Logon Script peut être créé dans de nombreux langages (VBS, Fichier de commandes MS-DOS, Powershell, …). Il faut simplement bien comprendre que c’est le client sur lequel la session sera ouverte qui exécutera ce script, ce dernier devra donc être à même de l’exécuter .

Si vous créez un fichier Logon Script en Powershell, et bien … vous êtes un précurseur puisque Powershell n’est pas implémenté sur une station 2000, XP ou Vista. Si vous souhaitez le faire Powershell doit être installé sur la machine du client…

Nous allons créé un simple fichier de script nommé par exemple logonscript.vbs dans lequel nous allons mettre le code suivant:

'******************************************************************
'                  Fichier logonscript.vbs
'                  Version 1.0
'******************************************************************

On Error Resume Next

Set objNetwork = WScript.CreateObject("Wscript.Network")

WScript.sleep 1000    

objNetwork.RemoveNetworkDrive "R:"
objNetwork.MapNetworkDrive "R:" , "\\NOMDUSERVEUR\NOMDUPARTAGE"

Ce simple code en VBScript vous permet de mapper le partage \\NOMDUSERVEUR\NOMDUPARTAGE sur le lecteur réseau R:\ du poste client sur lequel le logon script va s’exécuter. Vous pouvez d’aileurs le tester sur votre machine avant de le “publier” son un contrôleur de domaine.

Mettre en place le fichier Logon Script sur un contrôleur de domaine

C’est on ne peut plus simple de mettre en place un fichier Logon Script. Il suffit en effet de le déposer dans le partage par défaut \\nomducontrôleur\NETLOGON de l’un de vos contrôleurs de domaine. Ce fichier sera automatiquement répliqué sur tous les contrôleurs de domaine du dit domaine.

Paramétrer le compte Active Directory des utilisateurs du domaine

Ouvrez la console d’administration Active Directory Users and Computers

Sélectionnez le compte auquel vous souhaitez attribuer le fichier logonscript.vbs et accédez auxpropriétés du compte

Dans l’onglet Profile, renseignez le nom du fichier logonscript.vbs dans le champ Logon Script. Inutile de spécifier le chemin complet puisque Active Directory va directement regarder dans le partage \\nomducontrôleur\NETLOGON

Validez en cliquant sur Appliquer puis OK.

Il est peut être nécessaire d’attendre plusieurs minutes avant que cela soit opérationnel, cela dépend de la topologie de réplication de votre environnement Active Directory. En effet le client qui va exécuter le script ne sera peut être pas authentifié sur le même controleur de domaine que celui sur lequel vous venez de modifier le compte

Tester le fonctionnement du Logon Script

Vous pouvez vérifier le bon fonctionnement du Logon Script en ouvrant une session avec le compte sur lequel vous avez attribuer le fichier logonscript.vbs

Un lecteur réseau R:\ doit apparaitre dans le poste de travail.

Ainsi même si l’utilisateur supprime son lecteur réseau, à chaque démarrage de sa session, le lecteur sera de nouveau présent !

Cette opération est particulièrement sensible et il est essentiel de faire très attention à l’utilisation de l’outil NTDSUTIL.

Prérequis:

• Il est nécessaire d’être administrateur du domaine auquel appartient votre serveur AD.
• Il faut connaitre le mot de passe du mode RESTORE. Ce mot de passe a été spécifié à l’installation.
• Transférez de préférence les rôles FSMO de votre serveur vers un autre serveur car l’opération est longue (1 heure environ)
• Pensez à effectuer une sauvegarde de votre serveur avant de commencer. Ce n’est jamais inutile

Démarrer en mode DSREPAIR

Il faut tout d’abord se connecter au serveur (en local, avec Terminal Server ou tout autre outil de prise en main à distance).

Une fois connecté ouvrez l’outil System Configuration Utility en tapant MSCONFIG à partir d’une ligne de commande.

Sélectionnez l’onglet BOOT.INI et cochez la case /SAFEBOOT et DSREPAIR. Validez en cliquant sur Apply puis sur OK

Procédez au reboot du serveur.

Une fois effectué, il faut s’authentifier avec le compte DSREPAIR spécifié lors de la promotion du serveur (DCPROMO).

Compacter la base Active Directory

La base Active Directory se présente sous la forme d’un fichier nommé ntds.dit. Localisez ce fichier sur votre serveur, par exemple D:\NTDS\ntds.dit, et notez bien l’emplacement et la taille du fichier.

Créez un répertoire temporaire sur un disque pouvant contenir un fichier d’une taille équivalente au fichier ntds.dit. Par exemple D:\NTDSTemp\

Ouvrez une ligne de commande et la commande suivante:

ntdsutil files

Puis tapez:

compact to D:\NTDSTemp\

Le processus démarre et la base D:\NTDS\ntds.dit va être défragmenté vers l’emplacement D:\NTDSTemp\ntds.dit

Une barre de progression vous indique le temps restant. Le processus peut être relativement long et dépend de la taille de la base.

Le message Operation completed successfully doit apparaitre à la fin de l’opération.

Mettre en place la nouvelle base

Vous pouvez constatez que la base D:\NTDSTemp\ntds.dit est plus petite que la base D:\NTDS\ntds.dit

Supprimez le fichier ntds.dit ainsi que l’ensemble des fichiers .log du répertoire D:\NTDS\ et copiez dedans la base ntds.dit du répertoire D:\NTDSTemp\

Redémarrer en mode normal

Ouvrez l’outil System Configuration Utility en tapant MSCONFIG à partir d’une ligne de commande.

Sélectionnez l’onglet BOOT.INI et décochez la case /SAFEBOOT. la case DSREPAIR doit se griser

Validez en cliquant sur Apply puis sur OK

Procédez au reboot du serveur.

L’opération est terminée !

Les attributs exportés sont les suivants:

• displayName
• givenName
• mailNickname
• mail
• homeMDB
• msExchHideFromAddressLists

L’attribut userAccountControl est utilisé ici afin de filtrer les comptes utilisateurs désactivés.

Dim ObjConnection, ObjCommand, ObjRecordSet
Dim objExcel
Const ADS_UF_ACCOUNTDISABLE = 2
Set ObjConnection = CreateObject("ADODB.Connection")
Set ObjCommand = CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection
oDomainControler = "EFESSYS101/ou=Quille,dc=byefe,dc=com"
sProperties="userAccountControl,displayName,givenName,mailNickname,mail,homeMDB,msExchHideFromAddressLists"
objCommand.Properties("Page Size") = 10000
ObjCommand.CommandText = "<LDAP://" & oDomainControler & ">;(&(objectCategory=person)(objectClass=user));" & sProperties & ";subtree"
ObjCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE
Set objExcel = WScript.CreateObject("Excel.Application")
objExcel.Visible = True
objExcel.Workbooks.Add
objExcel.ActiveSheet.Name = "Users"
objExcel.ActiveSheet.Range("A1").Activate
objExcel.ActiveCell.Value = "DisplayName"
objExcel.ActiveCell.Offset(0,1).Value = "Login"
objExcel.ActiveCell.Offset(0,2).Value = "Alias de messagerie"
objExcel.ActiveCell.Offset(0,3).Value = "Adresse email principale"
objExcel.ActiveCell.Offset(0,4).Value = "Banque d'information"
objExcel.ActiveCell.Offset(0,5).Value = "Masqué dans le carnet d'adresse"
objExcel.ActiveCell.Offset(1,0).Activate
Set ObjRecordSet = ObjCommand.Execute
Do until objRecordSet.EOF
intUAC=objRecordset.Fields("userAccountControl")
If intUAC AND ADS_UF_ACCOUNTDISABLE Then
objRecordSet.MoveNext
else
objExcel.ActiveCell.Value = objRecordSet.fields("displayName")
objExcel.ActiveCell.Offset(0,1).Value = objRecordSet.fields("givenName")
objExcel.ActiveCell.Offset(0,2).Value = objRecordSet.fields("mailNickname")
objExcel.ActiveCell.Offset(0,3).Value = objRecordSet.fields("mail")
objExcel.ActiveCell.Offset(0,4).Value = objRecordSet.fields("homeMDB")
objExcel.ActiveCell.Offset(0,5).Value = objRecordSet.fields("msExchHideFromAddressLists")
objExcel.ActiveCell.Offset(1,0).Activate
objRecordSet.MoveNext
End If
Loop
ObjConnection.Close
Set ObjConnection = Nothing
Set ObjCommand = Nothing
Set ObjRecordSet = Nothing
objExcel.Range("A1:F1").Select
objExcel.Selection.Interior.ColorIndex = 19
objExcel.Selection.Font.ColorIndex = 9
objExcel.Selection.Font.Bold = True
objExcel.Cells.EntireColumn.AutoFit
wscript.echo "Terminé"

Les attributs sélectionnés dans l’export sont les suivants:

• displayName
• Name
• sn
• givenName
• distinguishedName

L’attribut userAccountControl permet de savoir si le compte est désactivé ou non. Il sert donc de condition dans le IF/THEN/ELSE

Dim ObjConnection, ObjCommand, ObjRecordSet
Dim objExcel
Const ADS_UF_ACCOUNTDISABLE = 2
Set ObjConnection = CreateObject("ADODB.Connection")
Set ObjCommand = CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection
oDomainControler = "SRVPDC01/dc=domlab,dc=com"
sProperties="userAccountControl,displayName,Name,sn,givenName,distinguishedName"
objCommand.Properties("Page Size") = 10000
ObjCommand.CommandText = ";(&(objectCategory=person)(objectClass=user));" & sProperties & ";subtree"
ObjCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE
Set objExcel = WScript.CreateObject("Excel.Application")
objExcel.Visible = True
objExcel.Workbooks.Add
objExcel.ActiveSheet.Name = "Users"
objExcel.ActiveSheet.Range("A1").Activate
objExcel.ActiveCell.Value = "DisplayName"
objExcel.ActiveCell.Offset(0,1).Value = "Login"
objExcel.ActiveCell.Offset(0,2).Value = "Nom"
objExcel.ActiveCell.Offset(0,3).Value = "Prénom"
objExcel.ActiveCell.Offset(0,4).Value = "Emplacement de l'objet"
objExcel.ActiveCell.Offset(1,0).Activate
Set ObjRecordSet = ObjCommand.Execute
Do until objRecordSet.EOF
intUAC=objRecordset.Fields("userAccountControl")
If intUAC AND ADS_UF_ACCOUNTDISABLE Then
objExcel.ActiveCell.Value = objRecordSet.fields("displayName")
objExcel.ActiveCell.Offset(0,1).Value = objRecordSet.fields("Name")
objExcel.ActiveCell.Offset(0,2).Value = objRecordSet.fields("sn")
objExcel.ActiveCell.Offset(0,3).Value = objRecordSet.fields("givenName")
objExcel.ActiveCell.Offset(0,4).Value = objRecordSet.fields("distinguishedName")
objExcel.ActiveCell.Offset(1,0).Activate
objRecordSet.MoveNext
Else
objRecordSet.MoveNext
End If
Loop
ObjConnection.Close
Set ObjConnection = Nothing
Set ObjCommand = Nothing
Set ObjRecordSet = Nothing
objExcel.Range("A1:E1").Select
objExcel.Selection.Interior.ColorIndex = 19
objExcel.Selection.Font.ColorIndex = 9
objExcel.Selection.Font.Bold = True
objExcel.Cells.EntireColumn.AutoFit
wscript.echo "Terminé"

Préambule

L’installation d’un Active Directory sur un serveur Core n’est guère différente sur le principe qu’une installation Active Directory Standard. Cette fois seulement il n’y aura pas la possibilité d’utiliser un assistant pour y parvenir, ni la souplesse d’un Shell pour préparer un fichier de paramétrage; tout se fera en mode ligne de commande. Mais l’installation en elle même n’est guère très compliquée !

Prérequis

Avant de pouvoir continuer vous devez avoir effectué les tâches suivantes:

Comment installer Windows Server 2008 Core

Premiers pas avec Windows Server 2008 Core

Créer un fichier de réponse

L’installation d’Active Directory sur un serveur Core nécessitera l’utilisation d’un fichier de réponse (fichier unattend). C’est finalement l’une des seules grandes différences par rapport à une installation standard : l’obligation d’utiliser un fichier de réponse.

Pour ce faire créez un fichier nomdefichier.txt contenant l’un des modèles de fichiers de réponses présentés ci après. Vous pouvez créer ce fichier depuis la ligne de commande de Server Core en utilisant l’outil edit

Fichier de réponse du premier serveur d’une nouvelle forêt :

Il s’agit de votre tout premier Active Directory que l’on pourrait nommer domlab.com. C’est lui qui définit le nom de la forêt, la toute première arborescence de votre AD

[DCINSTALL]
ReplicaOrNewDomain=Domain
NewDomain=forest
InstallDNS=yes
NewDomainDNSName= domlab.com
DomainNetbiosName=domlab
ForestLevel=3
DomainLevel=3
SiteName= Site1
DatabasePath=%systemroot%\ntds
LogPath=%systemroot%\ntds
SYSVOLPath=%systemroot%\sysvol
SafeModeAdminPassword=S3cr3tP@55word
RebootOnCompletion=Yes

Fichier de réponse du premier serveur d’une nouvelle arborescence dans une forêt existante:

Ce serveur sera le premier serveur d’un nouveau domaine qui se situera hiérarchiquement parlant au même niveau que le domlab.com mais appartiendra à la forêt définit par domlab.com. On pourrait nommer ce domaine second.com

[DCINSTALL]
UserName=administrator
UserDomain=domlab
Password=S3cr3tP@55word
NewDomain=tree
NewDomainDNSName=second.com
SiteName=Default-First-Site-Name
DomainNetBiosName=second.com
ReplicaOrNewDomain=Domain
DomainLevel=3
DatabasePath=”%systemroot%\NTDS”
LogPath=”%systemroot%\NTDS”
SYSVOLPath=”%systemroot%\SYSVOL”
InstallDNS=yes
CreateDNSDelegation=yes
DNSDelegationUserName=administrator
DNSDelegationPassword= S3cr3tP@55word
SafeModeAdminPassword=S3cr3tP@55word
RebootOnCompletion=yes

Fichier de réponse du premier serveur d’un nouveau domaine enfant dans une forêt existante:

Ce serveur sera le premier d’un domaine enfant (child domain), il appartiendra donc à une arborescence (tree) déja définit. Il pourrait ainsi être enfant de l’arborescence de domlab.com, on pourrait le nommer alors entreprise.domlab.com ou être l’enfant de l’arborescence second.com et on pourrait le nommer child.second.com.

[DCINSTALL]
ParentDomainDNSName=domlab.com
UserName=administrator
UserDomain=domlab
Password=S3cr3tP@55word
NewDomain=child
ChildName=entreprise
SiteName=Default-First-Site-Name
DomainNetBiosName=entreprise
ReplicaOrNewDomain=domain
DomainLevel=3
DatabasePath=”%systemroot%\NTDS”
LogPath=”%systemroot%\NTDS”
SYSVOLPath=”%systemroot%\SYSVOL”
InstallDNS=yes
CreateDNSDelegation=yes
DNSDelegationUserName=administrator
DNSDelegationPassword= S3cr3tP@55word
SafeModeAdminPassword=S3cr3tP@55word
RebootOnCompletion=yes

Fichier de réponse du second serveur d’un domaine

Ce serveur sera intégré à un domaine déja définit. Que ce domaine soit racine, secondaire, ou enfant, il conviendra de spécifier des informations concernant le domaine auquel vous souhaitez le joindre afin d’être autorisé à l’intégrer.

[DCINSTALL]
UserName=administrator
UserDomain=domlab
Password=S3cr3tP@55word
SiteName=Default-First-Site-Name
ReplicaOrNewDomain=replica
DatabasePath=”%systemroot%\NTDS”
LogPath=”%systemroot%\NTDS”
SYSVOLPath=”%systemroot%\SYSVOL”
InstallDNS=yes
ConfirmGC=yes
SafeModeAdminPassword=S3cr3tP@55word
RebootOnCompletion=yes

Lancer le DCPROMO

Pour lancer le DCPROMO, entrez la commande suivante, toujours depuis l’invite de commande de Server Core.

dcpromo /unattend:C:\nomdefichier.txt

L’installation de l’active directory démarre alors. Différentes étapes vont se dérouler:

“Checking if Active Directory Domain Services binaries are installed…”

“Active Directory Domain Services binaries are being installed. Please Wait”

“Validating Environment and parameters”

etc ..

L’installation est relativement rapide, 10mn environ. L’option RebootOnCompletion=yes spécifiée dans le fichier de réponses provoquera le redémarrage de votre serveur à la fin de l’installation.

Lors du redémarrage vous pouvez d’ores et déja constater que la mire de connexion a changée puisque l’authentification se fait désormais sur le domaine DOMLAB. Vous devez utiliser le mot de passe du compte Administrator Local que vous utilisiez auparavant !

Vérifier l’installation

Une fois le redémarrage automatique effectué, l’Active Directory est installé et opérationnel

Pour lister l’état des rôles sur un serveur Core entrez la commande suivante:

oclist

Si Active Directory est bien installé on devrait obtenir quelque chose de similaire:

Les packages suivant attestent de la présence de l’active Directory sur le server:

DirectoryServices-DomainController-ServerFoundation
DNS-Server-Core-Role

Vous disposez désormais d’un Active Directory prêt à l’emploi. Vous pouvez maintenant administrer vos utilisateurs en ligne de commande … ou par l’intermédiaire d’une station d’administration sous Windows Vista en utilisant les outils RSAT (Remote Server Administration Tools) ou encore des scripts powershell. Je vous invite pour cela à consulter les articles suivants:

Découvrez les outils d’administration disponibles sur Windows Server 2008:

Les outils d’administrations de Windows Server 2008

Pour administrer l’active directory de votre Server Core depuis un serveur Windows Server 2008 Standard:

Installer les outils d’administration RSAT sur Windows Server 2008

Pour administrer l’active directory de votre Server Core depuis une station d’administration Windows Vista:

Installer les outils d’administration RSAT Windows Server 2008 sur Windows Vista

netdom query FSMO /Domain DOMLAB

Le résultat retourné est de la forme suivante:

Schema owner DC01.domlab.com
Domain role owner DC01.domlab.com
PDC role DC02.domlab.com
RID pool manager DC02.domlab.com
Infrastructure owner DC02.domlab.com
The command completed successfully.
C:\>