none
Empêcher l'installation d'un DC sous WIndows 2016 RRS feed

  • Question

  • Bonjour,

    On a une forêt avec plusieurs, et chaque équipe gère toutes les tâches de son propre domaine (install, retrogradation patching ect..), notre équipe gère le domaine, après avoir consulté les éditeurs de nos application pour savoir vers quelle version on peut migrer nos contrôleur de domaine qui sont sur Windows 2008 SP2 et Windows 2008R2 SP1, on a décider de migrer vers Windows 2012 r2 et pas 2016.

    Notre objectif maintenant est d'empêcher les administrateur d'installer un DC sous WIndows 2016 pour éviter tout problème de compatibilité éventuel avec nos applications de métiers.

    Comment on peut assurer le contrôle de la version maximale de l'AD ?

    Merci d'avance pour vos aides

    lundi 14 août 2017 18:06

Réponses

  • Bonjour

    Pour information, la version minimale supporté dans une forêt est définie via le niveau fonctionnel de la forêt, et la version maximale est définie la version du schémas de la forêt.

    Vous savoir la version du schémas et via la commande suivante :

    dsquery * cn=schema,cn=configuration,dc=msft,dc=net -scope base -attr Objectversion

    En fonction de la valeur afficher vous pouvez savoir la version maximale du système d'exploitation pour les contrôleurs de domaine :

    L’augmentation de la version du schémas est possible via la commande adprep  /forestprep ou bien pendant l'installation du premier contrôleur de domaine  (option ajouter depuis Windows 2012) , et cela est possible qu'avec un compte membre du groupe administrateurs du schémas et administrateurs de l'entreprise. 

    Si la version du schémas est inférieur de la version 2016 (87), l'administrateur du domaine ( membre du groupe admin du domaine) sera incapable d'ajouter un contrôleur de domaine sous WIndows 2016, et aussi incapable de mettre à jour la version du schémas puisqu'il n'est pas membre du groupe administrateurs du schémas et administrateurs de l'entreprise. 

    Pour votre cas, si vous voulez garder WIndows 2012 R2 comme version maximale autorisée pour tous les contrôleurs de domaine de la forêt, il faut lancer lancer la commande adprep /forestprep  via un compte membre du groupe administrateurs du schéma et de l'entreprises depuis le CD d'installation de WIndows 2012 R2,et aussi de ne pas partager les comptes administrateur de l'entreprises et du schémas à vos collègues pour installer des nouveaux DC, un compte membre du groupe Admin du domaine peut faire l'affaire si la préparation de la forêt a été faite en avance.

    Si la version du shémas est déjà 87, dans ce cas l'administrateur du domaine (membre du groupe admin domaine), il est capable de lancer la préparation du domaine et l'installation d'un DC sous Windows 2016, et le retour en arrière nécessite une restauration de toute la forêt ce qui est compliqué. 



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    lundi 14 août 2017 18:41
    Modérateur
  • Bonsoir,

    il faut différencier le niveau de fonctionnalité des domaines et de la forêt, de la version de l'OS installé en tant que contrôleur de domaine !

    L'installation d'un contrôleur de domaine Windows 2016 dans un domaine de fonctionnalité Windows 2012 R2 n'est pas un problème qui nécessite la restauration du domaine ou de la forêt. Ce qu'il faut interdire, c'est la montée de fonctionnalité du domaine en Windows 2016 !

    Tant que le niveau de fonctionnalité du domaine n'est pas passé en Windows 2016, ce qui suppose normalement la suppression ou mise à jour de tous les DCs en ancienne version de ce domaine, il suffit de dépromouvoir le DC 2016 pour revenir à un situation "conforme".

    La logique est la même pour le niveau de fonctionnalité de la forêt. Tant que tous les domaines ne sont pas passés au niveau de fonctionnalité Windows 2016, il n'est pas possible de monter la forêt à ce niveau.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    • Marqué comme réponse S.FABOT mardi 15 août 2017 14:05
    lundi 14 août 2017 20:06
  • Notre objectif maintenant est d'empêcher les administrateur d'installer un DC sous WIndows 2016 pour éviter tout problème de compatibilité éventuel avec nos applications de métiers.

    Les administrateurs dont vous parlez sont administrateurs de serveurs, de domaine, d'applications ... ?

    Par défaut il faut être admin du domaine pur ajouter un DC. 

    A noter que pour installer le premier DC en 2016 dans la forêt, il faut mettre à niveau le schéma en 2016 (à l'avance ou automatiquement lors de l'installation de celui ci par l'assistant). Pour mettre àjour le schéma il faut être membre du groupe administrateur du schéma. Si vous n'avez pas mis à jour le schéma et si vos administrateurs ne sont pas membre de ce groupe, ils ne pourront installer de DC en 2016.

    Pour que les équipes qui gère le domaine ne fassent pas n'importe quoi  lorsqu'ils utilisent des comptes avec un haut niveau de droit, c'est la communication  qui est le meilleur allié.


    Sinon s'ils sont administrateur d'application, de base de données ou autres, ils n'est pas utile de leur donner des droits étendus dans l'AD.

    S'il gère les utilisateurs et les ordinateurs, il est possible de créer des délégations pour certaines opérations en fonction de leur besoin, mais n'essayer pas de bricoler en mettant des refus explicite sur des groupes comme admin du domaines. Les délégations de droits sont la pour affiner les éléments en fonction des besoins.

    Pour les problèmes de compatibilité avec 2016, avez vous des exemples ?

    lundi 14 août 2017 20:26
  • Bonjour,

    est ce que la langue du CD que vous utilisez pour lancer la commande adprep ,est la même par rapport à celle de l'OS du DC qui héberge le rôle maître du schémas?


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    • Marqué comme réponse S.FABOT mardi 15 août 2017 14:04
    mardi 15 août 2017 11:35
    Modérateur
  • Bonjour

    @Philippe: En faite on deux forêt:

    • une forêt pour les comptes utilisateurs avec des DC sous Windows 2008 R2 la plupart des DCs
    • et une forêt de ressource qui n'a que des DC sous Windows 2008 SP2 64 bit gérée par notre équipe.

    Problème résolu en utilisant un CD français même langue que le DC.

    Une dernière question pour ma culture :) ,  comment on peut préparer la forêt dans ce cas avec des les DCs 32bit?

    Bonjour

    A partir du Windows 2012, il n'est pas possible de lancer la préparation de la forêt et même du domaine manuellement depuis un DC 23 bit. Il faut avoir au moins un DC 64, si non utiliser un compte administrateur du schémas et de l'entreprise pour installer le premier DC 2012 ou 2016.

    Si votre problème est résolu merci de ne pas oublier de marquer les réponse qui vous semble utiles.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    • Marqué comme réponse S.FABOT mardi 15 août 2017 14:04
    mardi 15 août 2017 13:33
    Modérateur

Toutes les réponses

  • Bonjour

    Pour information, la version minimale supporté dans une forêt est définie via le niveau fonctionnel de la forêt, et la version maximale est définie la version du schémas de la forêt.

    Vous savoir la version du schémas et via la commande suivante :

    dsquery * cn=schema,cn=configuration,dc=msft,dc=net -scope base -attr Objectversion

    En fonction de la valeur afficher vous pouvez savoir la version maximale du système d'exploitation pour les contrôleurs de domaine :

    L’augmentation de la version du schémas est possible via la commande adprep  /forestprep ou bien pendant l'installation du premier contrôleur de domaine  (option ajouter depuis Windows 2012) , et cela est possible qu'avec un compte membre du groupe administrateurs du schémas et administrateurs de l'entreprise. 

    Si la version du schémas est inférieur de la version 2016 (87), l'administrateur du domaine ( membre du groupe admin du domaine) sera incapable d'ajouter un contrôleur de domaine sous WIndows 2016, et aussi incapable de mettre à jour la version du schémas puisqu'il n'est pas membre du groupe administrateurs du schémas et administrateurs de l'entreprise. 

    Pour votre cas, si vous voulez garder WIndows 2012 R2 comme version maximale autorisée pour tous les contrôleurs de domaine de la forêt, il faut lancer lancer la commande adprep /forestprep  via un compte membre du groupe administrateurs du schéma et de l'entreprises depuis le CD d'installation de WIndows 2012 R2,et aussi de ne pas partager les comptes administrateur de l'entreprises et du schémas à vos collègues pour installer des nouveaux DC, un compte membre du groupe Admin du domaine peut faire l'affaire si la préparation de la forêt a été faite en avance.

    Si la version du shémas est déjà 87, dans ce cas l'administrateur du domaine (membre du groupe admin domaine), il est capable de lancer la préparation du domaine et l'installation d'un DC sous Windows 2016, et le retour en arrière nécessite une restauration de toute la forêt ce qui est compliqué. 



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    lundi 14 août 2017 18:41
    Modérateur
  • Bonsoir,

    il faut différencier le niveau de fonctionnalité des domaines et de la forêt, de la version de l'OS installé en tant que contrôleur de domaine !

    L'installation d'un contrôleur de domaine Windows 2016 dans un domaine de fonctionnalité Windows 2012 R2 n'est pas un problème qui nécessite la restauration du domaine ou de la forêt. Ce qu'il faut interdire, c'est la montée de fonctionnalité du domaine en Windows 2016 !

    Tant que le niveau de fonctionnalité du domaine n'est pas passé en Windows 2016, ce qui suppose normalement la suppression ou mise à jour de tous les DCs en ancienne version de ce domaine, il suffit de dépromouvoir le DC 2016 pour revenir à un situation "conforme".

    La logique est la même pour le niveau de fonctionnalité de la forêt. Tant que tous les domaines ne sont pas passés au niveau de fonctionnalité Windows 2016, il n'est pas possible de monter la forêt à ce niveau.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    • Marqué comme réponse S.FABOT mardi 15 août 2017 14:05
    lundi 14 août 2017 20:06
  • Notre objectif maintenant est d'empêcher les administrateur d'installer un DC sous WIndows 2016 pour éviter tout problème de compatibilité éventuel avec nos applications de métiers.

    Les administrateurs dont vous parlez sont administrateurs de serveurs, de domaine, d'applications ... ?

    Par défaut il faut être admin du domaine pur ajouter un DC. 

    A noter que pour installer le premier DC en 2016 dans la forêt, il faut mettre à niveau le schéma en 2016 (à l'avance ou automatiquement lors de l'installation de celui ci par l'assistant). Pour mettre àjour le schéma il faut être membre du groupe administrateur du schéma. Si vous n'avez pas mis à jour le schéma et si vos administrateurs ne sont pas membre de ce groupe, ils ne pourront installer de DC en 2016.

    Pour que les équipes qui gère le domaine ne fassent pas n'importe quoi  lorsqu'ils utilisent des comptes avec un haut niveau de droit, c'est la communication  qui est le meilleur allié.


    Sinon s'ils sont administrateur d'application, de base de données ou autres, ils n'est pas utile de leur donner des droits étendus dans l'AD.

    S'il gère les utilisateurs et les ordinateurs, il est possible de créer des délégations pour certaines opérations en fonction de leur besoin, mais n'essayer pas de bricoler en mettant des refus explicite sur des groupes comme admin du domaines. Les délégations de droits sont la pour affiner les éléments en fonction des besoins.

    Pour les problèmes de compatibilité avec 2016, avez vous des exemples ?

    lundi 14 août 2017 20:26
  • Bonjour,

    Je vous remercie d'abord ce la qualité de vos réponses .

    @Philippe; chaque domaine est géré par une équipe différente, pour l'installation , le rétrogadation et les mise à jour des contrôleur de domaine, mon équipe gère le domaine root , et notre travaille consiste à définir les stratégie afin d'assurer la sécurité et continuité du service dans toutes la forêt. On a déjà communiqué avec les autres équipes par rapport les versions supportés par nos application ( comme par exemple Exchange 2010..ect), mais on veut aussi les empêcher techniquement si possible.

    La commande affiche que la version de notre schémas est 44 =>Windows 2008 selon tableau

    il y a que notre équipe qui sont membre de groupe administrateur du schémas , donc je suis rassuré.

    Par contre, quand je lance la commande adprep /forest, j'ai un message d'erreur que le compte que j'utilise n'a pas les droits suffisants malgré qu'il est bien dans le groupe administrateur du schémas et de l'entreprise et domaine admin.

    Avez vous rencontré ce souci?

    mardi 15 août 2017 11:03
  • Bonjour,

    est ce que la langue du CD que vous utilisez pour lancer la commande adprep ,est la même par rapport à celle de l'OS du DC qui héberge le rôle maître du schémas?


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    • Marqué comme réponse S.FABOT mardi 15 août 2017 14:04
    mardi 15 août 2017 11:35
    Modérateur
  • +

    Vos DC 2008 sont en 32 ou 64 bits ? A partir de 2008R2 seul la version 64bits du serveur est fournit. A partir de 2012 seul la version 64 bits de adprep est fournit . Si votre serveur est 32 bits vous ne pourrez exécuter directement le adprep de 2016 sur l'ancien serveur.

     nos contrôleur de domaine qui sont sur Windows 2008 SP2 et Windows 2008R2 SP1...

    La commande affiche que la version de notre schémas est 44 =>Windows 2008

    Vous avez des DCs en 2008 R2 avec un schéma qui s'arrête à 2008 ??

    Quel message d'erreur ?

    mardi 15 août 2017 12:31
  • Bonjour

    @Philippe: En faite on deux forêt:

    • une forêt pour les comptes utilisateurs avec des DC sous Windows 2008 R2 la plupart des DCs
    • et une forêt de ressource qui n'a que des DC sous Windows 2008 SP2 64 bit gérée par notre équipe.

    Problème résolu en utilisant un CD français même langue que le DC.

    Une dernière question pour ma culture :) ,  comment on peut préparer la forêt dans ce cas avec des les DCs 32bit?

    mardi 15 août 2017 13:17
  • Bonjour

    @Philippe: En faite on deux forêt:

    • une forêt pour les comptes utilisateurs avec des DC sous Windows 2008 R2 la plupart des DCs
    • et une forêt de ressource qui n'a que des DC sous Windows 2008 SP2 64 bit gérée par notre équipe.

    Problème résolu en utilisant un CD français même langue que le DC.

    Une dernière question pour ma culture :) ,  comment on peut préparer la forêt dans ce cas avec des les DCs 32bit?

    Bonjour

    A partir du Windows 2012, il n'est pas possible de lancer la préparation de la forêt et même du domaine manuellement depuis un DC 23 bit. Il faut avoir au moins un DC 64, si non utiliser un compte administrateur du schémas et de l'entreprise pour installer le premier DC 2012 ou 2016.

    Si votre problème est résolu merci de ne pas oublier de marquer les réponse qui vous semble utiles.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    • Marqué comme réponse S.FABOT mardi 15 août 2017 14:04
    mardi 15 août 2017 13:33
    Modérateur
  • Je vous remercie encore une fois pour toutes ces explications.

    Bonne fin de journée.

    mardi 15 août 2017 14:04