Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

[SCCM 2012] Les méthodes de découverte Active Directory

 

Je vous parlais dans un article précédent de la nouvelle découverte de forêts Active Directory. Aujourd’hui, je reviens sur les autres découvertes pour aborder les changements et leurs configurations dans System Center 2012 Configuration Manager. Le but des méthodes de découverte est de « provisionner » la base de données du produit et obtenir une vision du parc informatique. On distingue deux types de méthodes de découverte : La méthode de découverte réseau et les méthodes de découverte Active Directory. Nous allons étudier celles qui permettent de scanner Active Directory pour remonter des ressources comme des groupes, des utilisateurs ou des ordinateurs.

Les méthodes de découverte sont associées à chaque site d’une hiérarchie et peuvent être ainsi activées à plusieurs niveaux. Les données sont ensuite répliquées de manière globale. Il faut ainsi bien étudier sa stratégie de découverte.

System Center 2012 Configuration Manager introduit un changement sur cette dernière stratégie. Les découvertes Active Directory ne sont plus disponibles au niveau des sites secondaires. Seule la découverte réseau est encore offerte pour pouvoir être initiée localement.

Les méthodes de découverte Active Directory sont au nombre de quatre:

  • Active Directory System Discovery : La découverte de systèmes Active Directory cherche l’ensemble des enregistrements de type systèmes (Ordinateurs, serveurs, Contrôleurs de domaine …). La recherche peut renvoyer des informations supplémentaires comme le système d’exploitation, le domaine, la classe ou encore, le nom DNS de l’objet.
  • Active Directory User Discovery : La découverte des utilisateurs Active Directory cherche l’ensemble des utilisateurs. La recherche peut renvoyer des informations comme le nom d’utilisateur, le nom d’hôte DNS, la classe d’objet, le domaine, le nom du conteneur Active Directory.
  • Active Directory Group Discovery : La méthode de découverte de groupes Active Directory cherche l’ensemble des groupes de sécurité des ressources (utilisateurs ou systèmes) découverts par les autres méthodes en interrogeant le contrôleur de domaine le plus proche.  La méthode renvoi des informations sur les unités d’organisation, les groupes globaux, universels, imbriqués, ou les groupes de distribution. Cette méthode est issue de la fusion des méthodes Active Directory System Group Discovery et Active Directory Security Group Discovery de System Center Configuration Manager 2007
  • Active Directory Forest Discovery : Cette nouvelle méthode permet de découvrir des informations cruciales comme les domaines et les sites Active Directory associés de toutes les forêts de confiance ou forêts que vous auriez pu ajouter à la liste des forêts connues.
    Pour plus d’information, vous pouvez lire mon article : 
    http://microsofttouch.fr/blogs/js/archive/2011/11/02/sccm-2012-la-d-233-couverte-de-for-234-t-active-directory.aspx

 

Pour chacune de ces méthodes de découverte, vous pouvez configurer :

  • L’activation de la découverte (désactivée par défaut),

  • Les conteneurs Active Directory que vous ciblez dans la découverte,
  • La programmation de la découverte complète (par défaut tous les 7 jours à minuit),

  • L’activation de la découverte incrémentale – Delta Discovery(par défaut activée) pour un intervalle donné (5 minutes par défaut), Cette méthode spécifique a été introduite dans System Center Configuration Manager 2007 R3 pour parer aux problèmes de rafraichissement des informations provenant d’Active Directory. En effet, le processus de découverte est très consommateur en ressources à la fois pour le serveur ConfigMgr mais aussi pour l’infrastructure Active Directory. Lorsque les entreprises souhaitaient avoir des informations les plus à jour possibles (notamment sur les appartenances aux groupes), ils devaient planifier des découvertes de manière très agressive. Avec cette nouvelle fonctionnalité, le produit ne procède à la découverte que des nouvelles ressources ou les ressources ayant changées. Pour cela, le produit regarde la valeur de la propriété USNChanged  de l’objet (pour le contrôleur de domaine cible) et la compare avec la valeur stockée dans la base de données. C’est ainsi que le produit détermine si un changement a eu lieu.

 

Plus en détail, on retrouve quelques particularités :

La découverte Active Directory des systèmes :

Cette méthode propose plusieurs options lors de l’ajout d’un conteneur :

  • « Recursively search Active Directory child containers  permet de rechercher les ressources dans les sous conteneurs.
  • « Discover objects within Active Directory groups” permet de découvrir les objets appartenant aux groupes découverts durant le cycle.

Enfin petite nouveauté, vous pouvez spécifier un compte de service utilisé par la méthode de découverte pour lire les informations dans le conteneur spécifié. Par défaut, la méthode utilisera le compte ordinateur du serveur de site.

 

L’onglet Active Directory Attributes permet de choisir les attributs Active Directory que vous souhaitez récupérer sur les objets que vous importez. Les attributs disponibles par défaut sont les suivants : objectGUID, name, sAMAccountName, operatingSystem, objectSID, primarygroupID, dNSHostName, userAccountControl, operatingSystemVersion, lastloginTimestamp.

Vous pouvez aussi ajouter tous les attributs référencés ou des attributs personnalisés.

Enfin cette découverte propose de nouvelles options permet d’améliorer le processus de découverte en excluant les ordinateurs qui ont eu une activité récente avec votre infrastructure Active Directory. Ces options offrent la possibilité aux entreprises qui n’ont pas de politique de « nettoyage » de leur annuaire d’assurer un premier tri. On retrouve deux options (désactivée par défaut) :

  • « Only discover computers that have logged on to a domain in a given period of time” : Vous pouvez ainsi spécifier un intervalle (90 jours par défaut) pour ne remonter que les ordinateurs ayant procédé à une connexion sur le domaine.  Cette méthode est à configuré avec prudence si vous avez des profils externes (consultants, commerciaux…) qui n’ont pas l’occasion de se ré authentifier fréquemment. La méthode de découverte va alors regarder la valeur de l’attribut « lastlogontimestamp ».

Note :  Cette option requière un niveau fonctionnel de domaine équivalent à Windows Server 2003 ou plus.

Information : Cet attribut n’est pas toujours mis à jour lors d’une connexion.  Pour plus d’information, vous pouvez consulter cet article : http://blogs.technet.com/b/askds/archive/2009/04/15/the-lastlogontimestamp-attribute-what-it-was-designed-for-and-how-it-works.aspx

 

  • « Only discover computers that have updated their computer account password in a given period of time” Cette méthode permet de ne procéder à la découverte de la machine uniquement si elle a mis à jour le mot de passe (par défaut elle doit le faire tous les 30 jours) de son compte Active Directory dans un intervalle donné (90 jours par défaut). La découverte va donc explorer l’attribut « lastpwdset » pour définir ce comportement.

 

Passons à la méthode de découverte Active Directory des utilisateurs :

On retrouve les mêmes options que pour la méthode de découverte de systèmes.
Les attributs Active Directory découverts par défaut sont les suivants : objectGUID, name, userAccountControl, sAMAccountName, objectSID, primaryGroupID, dNSHostName, mail.

 

En outre, cette méthode de découverte ne propose pas d’option permettant de filtrer les comptes utilisateurs périmés. Il appartient à l’entreprise d’assurer une stratégie de gestion du cycle de vie des comptes.

Enfin, nous allons aborder la méthode de découverte Active Directory des groupes.

L’onglet général varie des deux précédentes avec la notion « d’étendue ». Vous pouvez choisir de découvrir des groupes de façon précise et des emplacements (Location).

Pour ce qui est des groupes, on retrouve les options suivantes :

  • Le nom permet de donner une indication à l’étendue (par exemple RH).
  • Vous pouvez ensuite spécifier quel est le domaine utilisé pour effectuer la découverte. Vous pouvez préciser un contrôleur de domaine ou un domaine spécifique.
  • Le cadre Groups permet d’indiquer les groupes qui seront découverts. La fenêtre vous propose de rechercher les groupes dans l’arborescence Active Directory ou d’ajouter le distinguished name.
  • Enfin, vous pouvez aussi renseigner le compte utilisé pour opérer cette découverte (par défaut le compte ordinateur du serveur de site).

Pour l’assistant d’ajout d’emplacements, il regroupe les informations suivantes :

  • Le nom permet de donner une indication à l’étendue (par exemple Lyon).
  • Vous devez ensuite spécifier le chemin de l’emplacement (unité d’organisation ou conteneur) découverts.
  • L’option « Recursively search Active Directory child containers  permet de rechercher les ressources dans les sous conteneurs.
  • Enfin, vous pouvez aussi renseigner le compte utilisé pour opérer cette découverte (par défaut le compte ordinateur du serveur de site).

 

De la même manière que pour la découverte des systèmes, on retrouve des options permettant d’exclure des machines. De plus, on retrouve l’option « Discover the membership of distribution groups” (désactivée par défaut) qui permet d’assurer la découverte des groupes de distribution.

 

C’est tout pour les méthodes de découverte Active Directory.

 

Facebook Like
Anonymous