Le centre d'administration Active Directory (ADAC)

Envoyer

Sommaire

 

 

Introduction

Avec Windows Server 2008 R2, une nouvelle console de gestion Active Directory appelée « Centre d’Administration Active Directory » (Active Directory Administrative Center - ADAC) est apparue. Elle tend clairement à remplacer la fameuse mais non moins vieillissante console Utilisateurs et ordinateurs Active Directory (ADUC). En réalité, son apparition marque clairement le désir de Microsoft de pousser ADUC vers la sortie.

Sachant que cette nouvelle console risque de devenir incontournable d’ici peu, de part ses évolutions actuelles et futures, nous allons vous présenter dans cet article tout ce que vous devez savoir sur ADAC et comment l’appréhender.

 

 

Pourquoi remplacer ADUC ?

La console Utilisateurs et ordinateurs Active Directory est apparue voila plus de 11 ans avec la naissance d’Active Directory et Microsoft Windows Server 2000. Elle a très peu évolué et ne répond plus désormais aux besoins en termes d’efficacité, de fonctionnalité et de flexibilité.

ADAC s’appuie exclusivement sur PowerShell et plus particulièrement sur le module Active Directory apparu avec Windows Server 2008 R2. Cela sera sans doute la force majeure d’ADAC et de son évolution dans les prochaines années.

Bien entendu, la console n’en est qu’à ses premiers balbutiements, elle est loin d’être sans défauts et faiblesses. De plus, la console Utilisateurs et ordinateurs Active Directory reste toujours d'actualité parce qu’un grand nombre de composants tiers ne sont pas encore compatibles avec ADAC.

 

 

Prérequis

La console est construite autour de Powershell et de son module Active Directory. Elle est donc incompatible avec les systèmes antérieurs à Windows Server 2008 R2 ou Windows 7.  En effet, les cmdlets Active Directory ne peuvent être installées que sur ces versions.

Pour disposer de la console sous Windows Server 2008 R2, nous allons ouvrir la console « Gestionnaire de serveur » en exécutant « servermanager.msc » et sélectionner « Ajouter des fonctionnalités ». Il suffit ensuite de cocher les fonctionnalités « Centre d’administration Active Directory » et « Module Active Directory pour Windows PowerShell » depuis « Outils d’administration de serveur distant » | « Outils AD DS et AD LDS ».

 

 

 

 

 

 

 

Remarque : ces fonctionnalités sont installées automatiquement lors de l’installation du service d’annuaire Active Directory (AD DS).

Pour Windows 7, il faut passer par le RSAT (Remote Server Administrative Tools). Une fois installé, ouvrez le gestionnaire de fonctionnalités de Windows depuis « Panneau de configuration » | « Programmes » | « Activer ou désactiver des fonctionnalités Windows ». Activez les fonctionnalités « Le module Active Directory pour Windows PowerShell » et « Centre d’administration Active Directory » depuis « Outils d’administration de rôles » | « Outils AD DS et AD LDS ».

 

 

 

 

 

 

 

 

Pour communiquer avec le service d’annuaire, ADAC exige également de disposer des services web Active Directory (en anglais Active Directory Web Services ou ADWS) sur chaque contrôleur susceptible d’en traiter les requêtes. ADWS est installé par défaut sur tout contrôleur de domaine sous Windows Server 2008 R2. Il est toutefois possible d’installer ce service sur des serveurs en version 2003 ou 2008 (voir article sur le sujet Le service web Active Directory (ADWS)).

Le client ADAC envoie des requêtes PowerShell à un contrôleur de domaine disposant du service ADWS sur le port 9389, qui interrogera directement la base LDAP d’active directory sur le port 389 ou le catalogue global sur le port 3268.

 

 

 

 

 

 

Découverte de la console

Nous allons dans un premier temps lancer la console soit à partir du menu « Démarrer » | « Outils d’administration » | « Centre d’administration Active Directory », soit simplement en exécutant la commande « dsac.exe » depuis « Démarrer » | « Exécuter… ».

 

 

 

 

 

 

 

 

Lors de son lancement, ADAC recherche le premier contrôleur de domaine disponible associé à votre site Active Directory et disposant de ADWS (ou Active Directory Management Gateway Service). Bien entendu, si vous ne disposez pas de contrôleur de domaine exécutant ADWS sur le site concerné alors la console tentera d’en rechercher un sur l’ensemble du domaine.

Dans le cas donc où la console ne trouvera pas un contrôleur de domaine avec ADWS alors la console généra l’erreur « Impossible de trouver un serveur disponible dans le domaine [MONDOMAINE] qui exécute les services Web Active Directory ».

 

 

 

 

Remarque : En réalité et comme nous vous l’avons présenté dans notre section précédente, c’est bien PowerShell qui exige l’utilisation de ADWS pour pouvoir communiquer avec l’annuaire Active Directory.

D’un point de vue visuel, la console ADAC respecte les standards graphiques des autres consoles d’administration déjà présentes sur Windows Server 2008:

  • Une partie consacrée à la navigation au sein de l’arborescence.
  • Une partie centrale pour la visualisation et la recherche d’objets.
  • Une partie listant l’ensemble des actions possibles.

 

 

 

 

 

 

Lors de la première exécution de la console, nous arrivons automatiquement en page centrale  sur « Vue d’ensemble » permettant de réaliser certaines actions spécifiques et considérées comme les plus routinières par Microsoft.

 

 

 

 

 

 

 

 

La navigation

La partie de gauche relative à la navigation est une des évolutions majeures et un des grands intérêts de la console ADAC. Il est possible de visualiser une liste personnalisée !

 

 

 

 

 

 

 

Cette liste personnalisée peut regrouper tout conteneur désiré (unités d’organisation ou domaines) en fonction de vos usages. Chaque élément ajouté, appelé « nœud de navigation », n’est autre qu’un simple raccourci. En clair, plutôt que de naviguer constamment au sein de l’arborescence d’une OU à une autre, il vous est possible de passer en un simple clic de l’une à l’autre. Cela représente un gain de temps non négligeable.

Pour ajouter un nœud de navigation, il suffit donc simplement de sélectionner le conteneur que vous voulez rajouter dans la liste et de cliquer sur le bouton « >> ». Vous pouvez répéter l’opération autant de fois que vous le jugerez nécessaire. Un fois les nœuds de navigation ajoutés, ils sont désormais accessible depuis l’affichage « Liste ».

 

 

 

 

 

 

 

 

Vous pouvez également réorganiser la liste à tout moment à l’aide d’un clic droit sur un nœud de navigation afin d’en modifier l’ordre, le renommer, le dupliquer ou le supprimer.

 

 

 

 

 

 

 

Autre fonctionnalité intéressante introduite avec ADAC est la possibilité de pouvoir se connecter à plusieurs domaines simultanément depuis la console et à l’aide de l’option « Se connecter à d’autres domaines… » situé dans le coin inférieur droit de la fenêtre « Ajouter des nœuds de navigation ». Vous pouvez donc créer des nœuds de navigation pointant sur des conteneurs présents sur différents domaines. Dans l'exemple ci-dessus, nous avons créé deux nœuds de navigation pointant directement sur le domaine contoso et emea alors que le nœud de navigation de notre domaine par défaut est identifiable par le suffixe « (local) ».

 

 

 

 

 

Remarque : le domaine par défaut sur lequel se connecte ADAC est celui du compte utilisateur utilisé (visualisable sur la partie inférieure gauche de la console) pour l’exécution de la console.

Seul petit regret reste l’impossibilité de préciser des informations d’identification spécifiques pour chaque domaine ajouté. Notez également qu'il faudra disposer impérativement d’une relation d’approbation entre les différents domaines afin de pouvoir s’y connecter.

 

Vous pouvez également profiter du MRU (Most Recently Used) qui permet tout simplement d’afficher les trois derniers conteneurs parcourus sous chacun de vos nœuds de navigation.

 

 

 

 

 

Enfin, vous pouvez également utiliser la barre de navigation pour parcourir l’arborescence ou tout simplement obtenir le chemin ldap d’un conteneur.

 

 

 

 

 

La recherche et le filtrage

La recherche d’objets est également particulièrement intéressante sur ADAC. Elle est accessible depuis la partie navigation « Recherche globale » ou sur chaque conteneur depuis la partie « Tâches » | « Recherche sous ce nœud ».

 

 

 

 

 

 

Premier point fort est qu’il est désormais possible de réaliser une recherche sur plusieurs nœuds en même temps. Depuis la fonction « Recherche globale », il suffit simplement de sélectionner depuis la liste déroulante « Etendue » la liste des nœuds de navigation qui feront l’objet de notre recherche.

 

 

 

 

 

 

Remarque : vous pouvez également interroger directement le catalogue global depuis le menu déroulant « Etendue ».

ADAC simplifie aussi la gestion des critères de recherche et l’usage de requêtes LDAP. Les recherches accessibles depuis le champ « Recherche » peuvent s’appuyer ou simplement être complétées  par des critères de recherche proposés par défaut via « Ajouter des critères ».

 

 

 

 

 

 

ADAC permet de convertir vos recherches au format LDAP afin de mieux appréhender ce langage et d’améliorer vos requêtes. Il suffit pour cela de sélectionner l’option « Convertir en LDAP ».

 

 

 

 

Vous pouvez enfin sauvegarder vos requêtes (couplant plus critères par exemple) et y accéder par la suite depuis le bouton « Requêtes ».

 

 

 

 

 

 

 

 

Remarque : les requêtes converties en LDAP et modifiées ne peuvent pas être enregistrées.

 

La notion de filtrage est aussi introduite dans ADAC afin de simplifier la localisation de l’information. Vous noterez d’ailleurs avec l’usage que ces fonctions de filtrage se retrouvent un peu partout au sein d’ADAC. La plus visible étant celle disponible dans la partie visualisation et permettant de repérer rapidement les objets voulus au sein d’un conteneur. Le filtrage dans la partie visualisation dispose de l’ensemble des fonctionnalités disponible dans « Recherche globale » (hormis la conversion LDAP).

 

 

 

 

 

La consultation

Sur ADAC, la consultation des objets se veut plus efficace. Cela passe en particulier par le regroupement de l’ensemble des attributs d’un objet sur une même et seule fenêtre. L’usage des onglets sur ADUC a donc été en partie délaissé. Pour visualiser donc les propriétés d’un objet, il suffit de double cliquer sur l’objet concerné ou de sélectionner « Propriétés » à l’aide d’un clic droit.

 

 

 

 

 

 

 

Comme vous pouvez le voir ci-dessous, tout est fait pour vous permettre de consulter rapidement les informations nécessaires (gestion des sections, menu de navigation, consultation des données depuis une seule fenêtre…).

 

 

 

 

 

 

Remarque : les onglets restent toujours d’usage pour un ensemble de paramètres depuis la section « Extensions ».

Dernier point d’intérêt surtout si vous utilisiez acctinfo.dll sur ADUC (qui vous permettez de disposer de l’onglet supplémentaire « Additional Account Info » sur les propriétés utilisateur) alors vous serez ravi d’apprendre que la majorité des informations fournies par acctinfo.dll sont désormais disponibles par défaut sur ADAC en cliquant sur la flèche située dans le coin inférieur gauche.

Cela est doublement intéressant sachant que acctinfo.dll n’est plus supporté depuis Windows 2008 R2 et Windows 7 x64 (la version 2 nommé acctinfo2.dll - non supportée mais opérationnelle sur une version US - est disponible ici).

 

 

 

 

 

 

 

 

 

 

Conclusion

Nous avons donc vu au sein de cet article tous les possibilités de la nouvelle console de gestion Active Directory. Si vous désirez toutefois approfondir le sujet, nous vous conseillons deux articles depuis le blog « Ask the Directory Services Team »  :

Mise à jour le Vendredi, 07 Octobre 2011 16:20