Skip to content

Exercice 01 : Exploration de la Structure Active Directory

Niveau de Difficulté

Débutant (Guidé)

Objectifs PĂ©dagogiques

  • Naviguer dans la console Active Directory Users and Computers (ADUC) pour explorer une arborescence d'OUs
  • Identifier et distinguer les diffĂ©rents types d'objets AD : utilisateurs, groupes, comptes de service, unitĂ©s d'organisation
  • ExĂ©cuter des commandes PowerShell de base pour interroger l'annuaire AD

Durée Estimée

45 minutes

Prérequis

  • Script MonitoringLab_Setup.ps1 exĂ©cutĂ© avec succĂšs sur le contrĂŽleur de domaine
  • AccĂšs Ă  la console du contrĂŽleur de domaine avec un compte Administrateur
  • Module ActiveDirectory disponible dans PowerShell

Contexte / Scénario

Scénario réel

Vous venez d'ĂȘtre recrutĂ© comme administrateur junior chez MonitoringTech SPRL. Votre responsable vous demande de vous familiariser avec la structure Active Directory existante avant de commencer Ă  effectuer des modifications. Votre premiĂšre mission est de rĂ©aliser un inventaire complet de ce qui a Ă©tĂ© mis en place.

TĂąches Ă  RĂ©aliser

Partie 1 : Exploration via l'interface graphique (ADUC)

Étape 1 : Ouvrir la console ADUC

  1. Cliquez sur DĂ©marrer
  2. Tapez dsa.msc dans la barre de recherche et appuyez sur Entrée

RĂ©sultat attendu

La console "Utilisateurs et ordinateurs Active Directory" s'ouvre. Vous voyez le domaine maxtec.be dans le volet gauche.

Étape 2 : Localiser l'OU racine MonitoringTech

  1. Dans le volet gauche, développez le noeud maxtec.be
  2. Repérez et cliquez sur l'OU MONITORING

RĂ©sultat attendu

Vous voyez l'OU MONITORING avec plusieurs sous-OUs correspondant aux départements.

Étape 3 : Explorer les dĂ©partements

  1. DĂ©veloppez l'OU MONITORING pour voir ses sous-OUs
  2. Notez les 4 départements présents :
    • ITOperations
    • Security
    • RH
    • Finance
  3. Cliquez sur le département ITOperations pour le développer
  4. Explorez ses 3 sous-OUs : Users, Computers, Groups

RĂ©sultat attendu

Chaque département contient exactement 3 sous-OUs : Users, Computers et Groups.

Étape 4 : Consulter les utilisateurs du dĂ©partement ITOperations

  1. Cliquez sur OU=Users sous ITOperations
  2. Observez le contenu dans le volet droit

RĂ©sultat attendu

Le volet droit affiche les 5 utilisateurs du département ITOperations.

Astuce

Pour afficher plus de colonnes (Description, Email, etc.), cliquez sur Affichage > Ajouter/Supprimer des colonnes.

Étape 5 : Consulter les propriĂ©tĂ©s d'un utilisateur

  1. Double-cliquez sur le premier utilisateur de la liste
  2. Parcourez les onglets : Général, Adresse, Compte, Membre de
  3. Notez Ă  quel(s) groupe(s) cet utilisateur appartient (onglet Membre de)
  4. Fermez la fenĂȘtre de propriĂ©tĂ©s

RĂ©sultat attendu

L'utilisateur est membre d'au moins un groupe dont le nom commence par GG-MONITORING-ITOperations.

Étape 6 : Explorer les groupes

  1. Cliquez sur OU=Groups sous ITOperations
  2. Double-cliquez sur le groupe GG-MONITORING-ITOperations-Users pour voir ses propriétés
  3. Allez dans l'onglet Membres pour voir la liste des membres
  4. Notez la portée du groupe (onglet Général : Portée du groupe)

RĂ©sultat attendu

Le groupe est de portée Globale et contient les 5 utilisateurs du département.

Étape 7 : Explorer les comptes de service

  1. Dans le volet gauche, développez OU=ServiceAccounts sous OU=MONITORING
  2. Cliquez sur OU=ServiceAccounts
  3. Observez les 4 comptes de service présents

RĂ©sultat attendu

Vous voyez 4 comptes de service : svc_monitoring, svc_backup, svc_audit, svc_replication.

Information

Les comptes de service sont des comptes AD spéciaux utilisés par des applications ou services Windows. Ils ne correspondent pas à des personnes physiques.

Étape 8 : VĂ©rifier les propriĂ©tĂ©s d'un compte de service

  1. Double-cliquez sur svc_monitoring
  2. Observez l'onglet Général : notez la description
  3. Allez dans l'onglet Compte : notez les options cochées
  4. Fermez la fenĂȘtre

RĂ©sultat attendu

Le compte svc_monitoring a une description indiquant son rÎle et les options du compte sont configurées pour un compte de service (ex. : le mot de passe n'expire pas).

Partie 2 : Exploration via PowerShell

Étape 9 : Ouvrir PowerShell en tant qu'administrateur

  1. Cliquez avec le bouton droit sur Windows PowerShell dans le menu DĂ©marrer
  2. Choisissez Exécuter en tant qu'administrateur

RĂ©sultat attendu

Une fenĂȘtre PowerShell s'ouvre avec le titre "Administrateur".

Étape 10 : Afficher l'arborescence des OUs

Copiez et exécutez la commande suivante :

Get-ADOrganizationalUnit -Filter * -SearchBase "OU=MONITORING,DC=maxtec,DC=be" |
    Select-Object Name, DistinguishedName |
    Sort-Object DistinguishedName

RĂ©sultat attendu

Une liste de toutes les OUs sous MONITORING s'affiche, avec leur nom et leur chemin complet (Distinguished Name).

Étape 11 : Compter les utilisateurs par dĂ©partement

Exécutez cette commande pour obtenir un résumé :

$departements = @("ITOperations", "Security", "RH", "Finance")
foreach ($dept in $departements) {
    $count = (Get-ADUser -Filter * -SearchBase "OU=Users,OU=$dept,OU=MONITORING,DC=maxtec,DC=be").Count
    Write-Host "DĂ©partement $dept : $count utilisateur(s)" -ForegroundColor Cyan
}

RĂ©sultat attendu

Chaque département affiche exactement 5 utilisateurs.

Étape 12 : Lister les comptes de service

Get-ADUser -Filter * -SearchBase "OU=ServiceAccounts,OU=MONITORING,DC=maxtec,DC=be" |
    Select-Object Name, SamAccountName, Enabled, Description

RĂ©sultat attendu

Les 4 comptes de service s'affichent avec leur nom, leur identifiant de connexion et leur statut.

Étape 13 : Afficher les groupes et leurs membres

Get-ADGroup -Filter * -SearchBase "OU=MONITORING,DC=maxtec,DC=be" |
    Where-Object { $_.Name -like "GG-*" } |
    Select-Object Name, GroupScope |
    Sort-Object Name

RĂ©sultat attendu

Une liste de tous les groupes dont le nom commence par GG- s'affiche. Tous sont de portée Global.

VĂ©rification de la RĂ©ussite

Commandes PowerShell de VĂ©rification

# VĂ©rification complĂšte de la structure
Write-Host "=== VĂ©rification Structure MonitoringLab ===" -ForegroundColor Cyan

# Nombre d'OUs
$ous = Get-ADOrganizationalUnit -Filter * -SearchBase "OU=MONITORING,DC=maxtec,DC=be"
Write-Host "Nombre d'OUs sous MONITORING : $($ous.Count)" -ForegroundColor Yellow

# Nombre total d'utilisateurs
$users = Get-ADUser -Filter * -SearchBase "OU=MONITORING,DC=maxtec,DC=be"
Write-Host "Nombre total d'utilisateurs : $($users.Count)" -ForegroundColor Yellow

# Nombre de groupes GG-
$groups = Get-ADGroup -Filter { Name -like "GG-*" } -SearchBase "OU=MONITORING,DC=maxtec,DC=be"
Write-Host "Nombre de groupes GG- : $($groups.Count)" -ForegroundColor Yellow

# Comptes de service
$svc = Get-ADUser -Filter * -SearchBase "OU=ServiceAccounts,OU=MONITORING,DC=maxtec,DC=be"
Write-Host "Comptes de service : $($svc.Count)" -ForegroundColor Yellow

CritĂšres de RĂ©ussite

  • Vous avez localisĂ© l'OU racine MONITORING dans la console ADUC
  • Vous avez identifiĂ© les 4 dĂ©partements (ITOperations, Security, RH, Finance)
  • Vous avez vĂ©rifiĂ© que chaque dĂ©partement contient 5 utilisateurs
  • Vous avez examinĂ© les propriĂ©tĂ©s d'un utilisateur et de son groupe
  • Vous avez localisĂ© et examinĂ© les 4 comptes de service
  • Vous avez exĂ©cutĂ© avec succĂšs les commandes PowerShell de l'exploration

Solution ComplĂšte (Pour Instructeur)

MĂ©thode GUI

L'exercice est entiÚrement guidé via l'interface graphique. Les étapes détaillées dans la section "Tùches à Réaliser" constituent la solution complÚte.

Points d'attention pour l'instructeur :

  • VĂ©rifier que les Ă©tudiants distinguent bien les OUs des conteneurs par dĂ©faut (CN=Users, CN=Computers)
  • S'assurer que les Ă©tudiants repĂšrent la convention de nommage GG- des groupes
  • Faire remarquer la diffĂ©rence entre comptes utilisateurs standards et comptes de service

MĂ©thode PowerShell

# Inventaire complet de la structure MonitoringLab
Import-Module ActiveDirectory

# 1. Arborescence complĂšte
Write-Host "`n--- OUs de MonitoringLab ---" -ForegroundColor Cyan
Get-ADOrganizationalUnit -Filter * -SearchBase "OU=MONITORING,DC=maxtec,DC=be" |
    Select-Object Name, DistinguishedName |
    Sort-Object DistinguishedName |
    Format-Table -AutoSize

# 2. Utilisateurs par département
Write-Host "`n--- Utilisateurs par DĂ©partement ---" -ForegroundColor Cyan
$departements = @("ITOperations", "Security", "RH", "Finance")
foreach ($dept in $departements) {
    $users = Get-ADUser -Filter * -SearchBase "OU=Users,OU=$dept,OU=MONITORING,DC=maxtec,DC=be" `
        -Properties Description, EmailAddress
    Write-Host "`nDĂ©partement : $dept ($($users.Count) utilisateurs)" -ForegroundColor Yellow
    $users | Select-Object Name, SamAccountName, Enabled | Format-Table -AutoSize
}

# 3. Groupes de sécurité
Write-Host "`n--- Groupes de Sécurité (GG-) ---" -ForegroundColor Cyan
Get-ADGroup -Filter * -SearchBase "OU=MONITORING,DC=maxtec,DC=be" |
    Where-Object { $_.Name -like "GG-*" } |
    ForEach-Object {
        $members = (Get-ADGroupMember $_.Name).Count
        [PSCustomObject]@{
            Nom = $_.Name
            Portée = $_.GroupScope
            Membres = $members
        }
    } | Format-Table -AutoSize

# 4. Comptes de service
Write-Host "`n--- Comptes de Service ---" -ForegroundColor Cyan
Get-ADUser -Filter * -SearchBase "OU=ServiceAccounts,OU=MONITORING,DC=maxtec,DC=be" `
    -Properties Description, PasswordNeverExpires, PasswordLastSet |
    Select-Object Name, SamAccountName, Enabled, Description, PasswordNeverExpires |
    Format-Table -AutoSize

Points Clés à Retenir

  • L'arborescence AD de MonitoringTech SPRL suit une hiĂ©rarchie logique : domaine > OU racine > dĂ©partements > types d'objets
  • La convention de nommage GG- pour les groupes globaux est obligatoire et permet de les identifier instantanĂ©ment
  • Les comptes de service (svc_) sont sĂ©parĂ©s des comptes utilisateurs normaux dans leur propre OU pour faciliter la gestion et l'audit
  • PowerShell permet d'interroger l'AD de façon rapide et exhaustive, ce qui est essentiel pour l'administration quotidienne

DĂ©pannage (Erreurs Courantes)

Erreur Possible Cause Solution
"Le module ActiveDirectory n'est pas reconnu" Le module RSAT AD n'est pas importé Exécuter Import-Module ActiveDirectory en premier
L'OU MONITORING n'apparaßt pas dans ADUC Vue non actualisée Appuyer sur F5 pour actualiser la console
La commande PowerShell retourne 0 résultats Chemin (SearchBase) incorrect Vérifier l'orthographe exacte du DistinguishedName
"AccÚs refusé" lors de la consultation Compte utilisé sans droits suffisants Se connecter avec un compte Administrateur du domaine

Exercice Suivant Suggéré

Exercice 02 - Analyse des ÉvĂ©nements de SĂ©curitĂ© : Maintenant que vous connaissez la structure AD, vous allez apprendre Ă  consulter les journaux d'Ă©vĂ©nements Windows pour surveiller l'activitĂ© des utilisateurs et dĂ©tecter des comportements suspects.