Blog Active Directory

Utilisateurs et ordinateurs de l’Active Directory (ADUC) : installation et utilisations

ADUC (Active Directory Users and Computers) est un module de console d’administration Microsoft (snap-in) qui est utilisée pour administrer Active Directory (AD). Vous pouvez gérer des objets (utilisateurs, ordinateurs), des...
Michael Buckbee
5 minute de lecture
Dernière mise à jour 3 mars 2022

Contents

    ADUC (Active Directory Users and Computers) est un module de console d’administration Microsoft (snap-in) qui est utilisée pour administrer Active Directory (AD). Vous pouvez gérer des objets (utilisateurs, ordinateurs), des unités organisationnelles (UO) et les attributs de toutes ces entités.

    ADUC est l’un des nombreux outils que vous pouvez utiliser pour administrer AD, mais comme il existe depuis Windows 2000, il s’agit de l’un des plus utilisés. Cet article va vous expliquer comment lancer et utiliser ADUC pour administrer votre Active Directory.

    Téléchargez un Livre-Blanc sur la sécurité d'AD

    "Répondez enfin simplement aux questions 'Où sont mes données' ou 'Mes données sont-elles protégées ?' "

    Comment ajouter la console ADUC ?

    Il se peut que certains d’entre vous se soient empressés de chercher la console ADUC sur leur ordinateur pour réaliser qu’elle ne s’y trouve pas. Elle ne fait pas partie de l’installation par défaut, et la façon de l’installer dépend de votre version de Windows.

    Dans les versions actuelles de Windows, ADUC fait partie d’une suite d’outils d’administration appelée RSAT (Remote Server Administration Tools).

    Outils d’administration de serveur distant (RSAT)

    Dans une mise à jour datée d’octobre 2018, Microsoft a déplacé tous les outils d’administration Active Directory dans des « options à la demande » appelées RSAT. Les hackers font tout ce qu’ils peuvent pour réaliser des élévations de privilège et des exfiltrationsIls n’ont pas besoin de RSAT pour causer des dégâts majeurs à votre réseau, mais il est certain que ces outils leur facilitent la tâche ! Si un attaquant parvient à s’emparer d’un ordinateur ou ADUC est installée, il peut alors changer les mots de passe et disposer des droits d’accès qu’il veut. Un scénario vraiment catastrophique.

    Dans tous les cas, si vous voulez accéder à ADUC sur votre ordinateur, il vous faut installer RSAT. ADUC ne fait partie de l’installation par défaut d’aucune version de Windows. Pour l’installer, suivez les instructions ci-dessous :

    Installez ADUC sous Windows 10 Version 1809 et supérieure

    1. À partir du menu Démarrer, sélectionnez Paramètres > Applications.
    2. Cliquez sur l’hyperlien situé sur la partie droite et intitulé “Manage Optional Features” (Gérer les fonctionnalités facultatives) puis cliquez sur le bouton “Add feature” pour Ajouter une fonctionnalité.
    3. Sélectionnez “RSAT outils Active Directory Domain Services Directory et services LDS (Lightweight Directory Services)”.
    4. Cliquez sur Installer
    5. Au terme de l’installation, une entrée supplémentaire apparaît dans le menu Outils d’administration Windows accessible depuis le menu Démarrer.

    Installer ADUC sous Windows 8 et Windows 10 Version 1803 et inférieure

    1. Téléchargez et installez les Outils d’administration de serveur distant (RSAT) correspondant à votre version de Windows. Le lien fourni correspond à Windows 10 mais d’autres versions sont disponibles dans le Centre de téléchargement de Microsoft.
    2. Cliquez sur le bouton Démarrer et sélectionnez Panneau de configuration > Programmes > Activer ou désactiver des fonctionnalités Windows.
    3. Faites défiler la liste vers le bas et ouvrez Outils d’administration de serveur distant.
    4. Ouvrez Outils d’administration de rôles.
    5. Ouvrez Outils AD DS et AD LDS.
    6. Cochez Outils AD DS puis sélectionnez « OK ».
    7. Au terme de l’installation, vous aurez dans le menu Démarrer un dossier Outils d’administration. ADUC devrait se trouver dans cette liste.

    Résolution des problèmes liés à l’installation de RSAT

    Si un problème se produit et que vous ne parvenez pas à installer RSAT, cela peut être dû à deux problèmes d’installation fréquents. Tout d’abord, vérifiez que vous avez activé le pare-feu Windows. RSAT utilise l’infrastructure Windows Update et a donc besoin que le pare-feu Windows soit activé.

    Après l’installation, il arrive parfois qu’il manque des onglets et des éléments similaires. Désinstallez et réinstallez. Vous aviez peut-être une version plus ancienne et la mise à jour n’a pas fonctionné à 100 %. Dans le menu Démarrer, vous pouvez également faire un clic droit sur ADUC et vérifier que le raccourci pointe bien vers %SystemRoot%\system32\dsa.msc. Si ce n’est pas le cas, vous devrez certainement désinstaller et réinstaller.

    À quoi sert l’ADUC ?

    ADUC peut couvrir la plupart de vos responsabilités d’administrateur AD. La tâche manquante la plus importante est probablement la gestion des objets de stratégie de groupe (GPO), mais à part ça vous pouvez quasiment tout faire avec ADUC.

    Avec ADUC, vous pouvez gérer les rôles serveur FSMO, réinitialiser les mots de passe, déverrouiller les utilisateurs, changer l’appartenance aux groupes, et cette liste est loin d’être exhaustive. RSAT vous propose également d’autres outils que vous pouvez utiliser pour administrer AD.

    other rsat tools to manage active directory users and computers aduc

    • Centre d’administration Active Directory : permet d’administrer la corbeille AD (suppressions accidentelles), les politiques des mots de passe et d’afficher l’historique PowerShell.
    • Domaines et approbations Active Directory : vous permet d’administrer plusieurs domaines pour gérer le niveau fonctionnel, le niveau fonctionnel des forêts, les UPN (User Principle Names), ainsi que les approbations entre domaines et forêts.
    • Module Active Directory pour Windows PowerShell : permet d’administrer AD à partir de cmdlets PowerShell.
    • Sites et services Active Directory : vous permet de voir et administrer les sites et services. Vous pouvez définir la topologie d’AD et planifier la réplication.
    • ADSI Edit : ADSI Edit est un outil sommaire permettant de gérer les objets AD. Les experts AD déconseillent l’utilisation d’ADSI Edit et recommandent plutôt d’utiliser ADUC.

    Examinons maintenant quelques cas d’utilisation d’ADUC.

    ADUC pour la délégation de contrôle

    Scénario : vous cherchez à limiter la responsabilité de l’équipe sysadmin à la gestion de domaines spécifiques sur votre réseau. Vous voudriez affecter deux sysadmins par domaine, un principal et un remplaçant. Voici comment vous pourriez procéder :

    1. Ouvrez ADUC en tant qu’Admin.
    2. Faites un clic droit sur le domaine et sélectionnez Delegate Control.
      aduc for delegating control step 2
    3. Suivez l’assistant jusqu’à ce que vous obteniez cet écran. Ajoutez l’utilisateur ou les utilisateurs à qui vous voulez déléguer des responsabilités d’administration.
      aduc for delegating control step 3
    4. Sélectionnez l’utilisateur et cliquez sur Next.
      aduc for delegating control step 4
    5. Sélectionnez les tâches que vous déléguez à cet utilisateur.
      aduc for delegating control step 5
    6. L’écran suivant vous affiche un récapitulatif ; cliquez sur Finish si tout vous semble correct.
      aduc for delegating control step 6

    ADUC pour ajouter de nouveaux utilisateurs à un domaine

    Nous allons maintenant voir comment ajouter un nouvel utilisateur au domaine.

    1. Développez l’arborescence du domaine pour lequel vous voulez ajouter le nouvel utilisateur, faites un clic droit sur le dossier User et sélectionnez New -> User.
      aduc for adding new users to domain step 1
    2. Renseignez les champs vides et cliquez sur Next.
      aduc for adding new users to domain step 2
    3. Définissez un mot de passe, cochez les cases appropriées et cliquez sur Next.
      aduc new users to domain step 3
    4. Vérifiez que l’utilisateur est correctement paramétré et cliquez sur Finish.
      aduc for adding new users to domain step 4

    ADUC pour ajouter un nouveau groupe

    Et pour créer un nouveau groupe, procédez comme suit :

    1. Comme précédemment, développez l’arborescence du domaine pour lequel vous voulez ajouter un nouveau groupe, puis sélectionnez New -> Group.
    2. Renseignez les champs dans l’assistant, en vous assurant de sélectionner le bouton approprié pour « Security » ou « Distribution ».
      aduc for adding a new group step 2
    3. Cliquez sur OK, repérez ensuite votre nouveau groupe et ouvrez-le, sélectionnez l’onglet Members et ajoutez à ce groupe les utilisateurs appropriés.
      aduc for adding a new group step 3

    Plus vous en saurez sur les subtilités d’AD, mieux vous serez préparé pour le défendre.

    Varonis surveille et automatise les tâches que les utilisateurs réalisent avec ADUC. Varonis fournit un journal d’audit complet de tous les événements AD (ajouts d’utilisateurs, connexions, modifications de groupe, modifications de GPO, etc.) et compare au fil du temps l’activité actuelle avec un comportement normal de référence. Toute nouvelle activité qui ressemble à une cyberattaque (force brutecollecte de ticketsélévation de privilèges, et plus encore) déclenche des alertes qui vous aident à protéger votre réseau contre l’exposition et la fuite de données.

    Varonis permet d’autre part à vos propriétaires de données de contrôler qui a accès à leurs données. Varonis automatise le processus pour demander, approuver et vérifier l’accès aux données. Il s’agit d’une solution simple mais élégante à un problème de plus en plus important.

    Vous voulez découvrir tous les moyens par lesquels Varonis peut vous aider à gérer et sécuriser AD ? Ne manquez pas ce webinaire à la demande : Les 25 principaux indicateurs de risques qui vous aideront à protéger Active Directory.

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    Michael Buckbee
    Michael Buckbee Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    guide-de-l’éditeur-de-stratégie-de-groupe-locale-:-options-d’accès-et-utilisation
    Guide de l’Éditeur de stratégie de groupe locale : options d’accès et utilisation
    guide-de-l’éditeur-de-stratégie-de-groupe-locale-:-options-d’accès-et-utilisation
    Michael Buckbee
    22 mai 2021
    L’Éditeur de stratégie de groupe locale (gpedit) est un outil essentiel des administrateurs système Active Directory. Consultez cet article de blog pour en savoir plus sur gpedit.
    services-de-domaine-active-directory-(ad-ds)-:-présentation-et-fonctions
    Services de domaine Active Directory (AD DS) : présentation et fonctions
    services-de-domaine-active-directory-(ad-ds)-:-présentation-et-fonctions
    Michael Buckbee
    6 août 2019
    Les AD DS (Active Directory Domain Services) constituent les fonctions essentielles d’Active Directory pour gérer les utilisateurs et les ordinateurs et pour permettre aux administrateurs système d’organiser les données en...
    guide-de-l’éditeur-de-stratégie-de-groupe-:-configuration-et-utilisation
    Guide de l’Éditeur de stratégie de groupe : configuration et utilisation
    guide-de-l’éditeur-de-stratégie-de-groupe-:-configuration-et-utilisation
    Michael Buckbee
    31 mai 2019
    L’Éditeur de stratégie de groupe est un outil d’administration Windows permettant aux utilisateurs de configurer de nombreux paramètres importants de leurs ordinateurs ou réseaux. Les administrateurs peuvent y configurer les...
    utiliser-des-comptes-administrateur-local-windows,-partie-iii
    Utiliser des comptes Administrateur local Windows, Partie III
    utiliser-des-comptes-administrateur-local-windows,-partie-iii
    Michael Buckbee
    8 septembre 2017
    Utiliser des comptes Administrateur local Windows, Partie I Utiliser des comptes Administrateur local Windows, Partie II Utiliser des comptes Administrateur local Windows, Partie III Une des choses que nous ne...