RÉCUPÉRATION DOMAINES CONTRÔLEURS DE DOMAINE DANS UNE FORÊT ACTIVE DIRECTORY
econs
Messages postés4030Date d'inscriptionmardi 13 mai 2003StatutMembreDernière intervention23 décembre 2008
-
7 mars 2006 à 14:10
Baddante
Messages postés33Date d'inscriptionmercredi 1 mars 2006StatutMembreDernière intervention24 février 2008
-
29 juin 2006 à 19:37
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
Baddante
Messages postés33Date d'inscriptionmercredi 1 mars 2006StatutMembreDernière intervention24 février 2008 29 juin 2006 à 19:37
Salut,
faudrait savoir si les schémas AD et OpenLDAP sont identiques (DIT).
Dans Quel sens ce fait la synchro ? Es-ce que tu fais un import / export binaire en mode brut / trace (diag) avec quel jeux de caractères, unicode ? as-tu les permissions aux niveaux des 2 annuaires. Es-ce que tu as une session LDAP v. 2 ou 3 port LDAP standard (389) ou SSL ?
En ce qui concerne les "id" cela correspond à des comptes LDAP / AD mais pas forcément on peut avoir un ou plusieurs comptes LDAP et un ou plusieurs comptes NT liés ou pas.
Les mots de passe en général (API: NTLM et ADSI) ne sont pas exportable, sauf peut-être crypté mais j'en doute.
En général c'est une propriétée en "écriture seulement" et non lecture.
Extrait ADSI2.5 SDK:
unicodePwd :(property)
The unicodePwd property is the password for the user.
For setting the password of the user, you should use the IADsUser::ChangePassword method (if your script or application is allowing the user to change his/her own password) or IADsUser::SetPassword method (if your script or application is allowing an administrator to reset a password).
The password of the user in Windows NT (NT) one-way format (OWF). Windows 2000 uses the NT OWF. This property is used only by operating system. Note that you cannot derive the clear password back from the OWF form of the password.
(iads.h)
Enfin il faut pas oublier que même si c'est AD il utilise encore les SID sur certains objets : ACL (permissions) NTFS, ACL registre NT, ACL sur des shares.
cs_toutou2000
Messages postés3Date d'inscriptionmercredi 28 juin 2006StatutMembreDernière intervention29 juin 2006 29 juin 2006 à 14:55
bonjour a tout le monde
est ce quelqu'un peus me aidé SVP
j'entraine de faire une synchronisation entre AD et open LDAP. pour ce faire
1.j'ai importer les objet d'AD sous format d'un fichiers LDIf et j'ai commancé à traité ce fichier par des scripte awk mais le probléme que j'ai rencontrer et le suivant. dans cette fichies il y a pas un champs qui répresente les mots de passe des utilisateurs meme crypté. est ce que quelle qu'un à des aidés comment récupérer les id/mots de passe d'AD sous format text meme si ce sont cryptés
merci.
Baddante
Messages postés33Date d'inscriptionmercredi 1 mars 2006StatutMembreDernière intervention24 février 2008 13 mars 2006 à 18:09
Bonjour,
attention à vérifier la réussite de la connexion ADO, dans le cadre d'une supervision cela pourrait déclencher des alertes non légitime.
objCommand.Timeout=60 'pour les serveurs qui seraient derrière une routeur
objCommand.State = State_Enum ' valeurs possible : adStateClosed,adStateOpen,adStateConnecting,adStateExecuting
,adStateFetching.
Un check routeur / IP en amont permet d'isoler immédiatement les problèmes de réseau / routeur : (les APIs SENS (sensapi) IsNetworkAlive , sont très simple à implémenter.
le script checkrepl.vbs fournit dans le Windows Resource kit de windows 2000 (20003 ?) est plus appropriée à mon avis, il utilise un composant COM dédié à ces opérations iadstools.dll.
Voir aussi le script FRSFLAGS.VBS à utilisé pour vérifier les réplications du GC (Global catalog) et aussi l'outil NTDSUTIL.exe en mode console.
enfin dernier petit conseil, s'il y a des mots de passe très sensible, sécurisé le stockage des scripts avec des permissions NTFS et crypter vos scripts contenant des comptes et mot de passe (Script Encoder).
Bravo à l'auteur tous mes encouragements.
econs
Messages postés4030Date d'inscriptionmardi 13 mai 2003StatutMembreDernière intervention23 décembre 200825 7 mars 2006 à 14:10
C'est propre, bien construit, bien commenté. Bref, agréable à lire.
C'est malheureusement spécifique à un problème que tu as rencontré, donc pas forcément réutilisable par tous.
Ton code est cependant tellement clair qu'il pourrait bien inspirer de futurs débutants avec ADO.
29 juin 2006 à 19:37
faudrait savoir si les schémas AD et OpenLDAP sont identiques (DIT).
Dans Quel sens ce fait la synchro ? Es-ce que tu fais un import / export binaire en mode brut / trace (diag) avec quel jeux de caractères, unicode ? as-tu les permissions aux niveaux des 2 annuaires. Es-ce que tu as une session LDAP v. 2 ou 3 port LDAP standard (389) ou SSL ?
En ce qui concerne les "id" cela correspond à des comptes LDAP / AD mais pas forcément on peut avoir un ou plusieurs comptes LDAP et un ou plusieurs comptes NT liés ou pas.
Les mots de passe en général (API: NTLM et ADSI) ne sont pas exportable, sauf peut-être crypté mais j'en doute.
En général c'est une propriétée en "écriture seulement" et non lecture.
Extrait ADSI2.5 SDK:
unicodePwd :(property)
The unicodePwd property is the password for the user.
For setting the password of the user, you should use the IADsUser::ChangePassword method (if your script or application is allowing the user to change his/her own password) or IADsUser::SetPassword method (if your script or application is allowing an administrator to reset a password).
The password of the user in Windows NT (NT) one-way format (OWF). Windows 2000 uses the NT OWF. This property is used only by operating system. Note that you cannot derive the clear password back from the OWF form of the password.
(iads.h)
Enfin il faut pas oublier que même si c'est AD il utilise encore les SID sur certains objets : ACL (permissions) NTFS, ACL registre NT, ACL sur des shares.
29 juin 2006 à 14:55
est ce quelqu'un peus me aidé SVP
j'entraine de faire une synchronisation entre AD et open LDAP. pour ce faire
1.j'ai importer les objet d'AD sous format d'un fichiers LDIf et j'ai commancé à traité ce fichier par des scripte awk mais le probléme que j'ai rencontrer et le suivant. dans cette fichies il y a pas un champs qui répresente les mots de passe des utilisateurs meme crypté. est ce que quelle qu'un à des aidés comment récupérer les id/mots de passe d'AD sous format text meme si ce sont cryptés
merci.
13 mars 2006 à 18:09
attention à vérifier la réussite de la connexion ADO, dans le cadre d'une supervision cela pourrait déclencher des alertes non légitime.
objCommand.Timeout=60 'pour les serveurs qui seraient derrière une routeur
objCommand.State = State_Enum ' valeurs possible : adStateClosed,adStateOpen,adStateConnecting,adStateExecuting
,adStateFetching.
Un check routeur / IP en amont permet d'isoler immédiatement les problèmes de réseau / routeur : (les APIs SENS (sensapi) IsNetworkAlive , sont très simple à implémenter.
le script checkrepl.vbs fournit dans le Windows Resource kit de windows 2000 (20003 ?) est plus appropriée à mon avis, il utilise un composant COM dédié à ces opérations iadstools.dll.
Voir aussi le script FRSFLAGS.VBS à utilisé pour vérifier les réplications du GC (Global catalog) et aussi l'outil NTDSUTIL.exe en mode console.
enfin dernier petit conseil, s'il y a des mots de passe très sensible, sécurisé le stockage des scripts avec des permissions NTFS et crypter vos scripts contenant des comptes et mot de passe (Script Encoder).
Bravo à l'auteur tous mes encouragements.
7 mars 2006 à 14:10
C'est malheureusement spécifique à un problème que tu as rencontré, donc pas forcément réutilisable par tous.
Ton code est cependant tellement clair qu'il pourrait bien inspirer de futurs débutants avec ADO.