Le Blog Technique

Powershell : Change the owner of my AD objects

par Mathieu Adelaide | 12 Avr 2021 | Active Directory, PowerShell

Comme évoqué dans l’article « Powershell : Who’s the owner of my AD objects« , il est possible que votre AD contienne des objets dont le propriétaire ne soit aucun des suivants :

« Enterprise Admins »
« Domain Admins«
« Administrators«

Afin de remettre « Domain Admins » comme propriétaire des objets, nous utiliserons Powershell pour chacun des types d’objets.

Attention : La variable $NoGood est issue des scripts du précédent article, pensez à vérifier ce qu’elle retourne au préalable.

Unités d’organisation

# Organizational Units
$NoGood | foreach {
    # Current OU
    $DistinguishedName = $_.DistinguishedName

    # Change Owner
    Try {
        # Define Target
        $TargetObject = Get-ADOrganizationalUnit -Identity $DistinguishedName
        $AdsiTarget = [adsi]"LDAP://$($TargetObject.DistinguishedName)"

        # Set new Owner
        $NewOwner = New-Object System.Security.Principal.NTAccount("DOMAINXXX", "Domain Admins")
        $AdsiTarget.PSBase.ObjectSecurity.SetOwner($NewOwner)
        $AdsiTarget.PSBase.CommitChanges()
        }
    Catch {
         Write-Warning $($_)
         $DistinguishedName
        }

    # Release variable
    $DistinguishedName = $null
    }

Les groupes

# Group
$NoGood | foreach {
    # Current Group
    $SamAccountName = $_.SamAccountName

    # Change Owner
    Try {
        # Define Target
        $TargetObject = Get-ADGroup $SamAccountName
        $AdsiTarget = [adsi]"LDAP://$($TargetObject.DistinguishedName)"

        # Set new Owner
        $NewOwner = New-Object System.Security.Principal.NTAccount("DOMAINXXX", "Domain Admins")
        $AdsiTarget.PSBase.ObjectSecurity.SetOwner($NewOwner)
        $AdsiTarget.PSBase.CommitChanges()
        }
    Catch {
        Write-Warning $($_)
        $SamAccountName
        }
    
    # Release variable
    $SamAccountName = $null
    }

Les utilisateurs

# Users
$NoGood | foreach {
    # Current User
    $SamAccountName = $_.SamAccountName

    # Change Owner
    Try {
        # Define Target
        $TargetObject = Get-ADUser $SamAccountName
        $AdsiTarget = [adsi]"LDAP://$($TargetObject.DistinguishedName)"

        # Set new Owner
        $NewOwner = New-Object System.Security.Principal.NTAccount("DOMAINXXX", "Domain Admins")
        $AdsiTarget.PSBase.ObjectSecurity.SetOwner($NewOwner)
        $AdsiTarget.PSBase.CommitChanges()
        }
    Catch {
        Write-Warning $($_)
        $SamAccountName
        }
    
    # Release variable
    $SamAccountName = $null
    }

Les ordinateurs

# Computers
$NoGood | foreach {
    # Current  Computer
    $SamAccountName = $_.SamAccountName

    # Change Owner
    Try {
        # Define Target
        $TargetObject = Get-ADComputer $SamAccountName
        $AdsiTarget = [adsi]"LDAP://$($TargetObject.DistinguishedName)"

        # Set new Owner
        $NewOwner = New-Object System.Security.Principal.NTAccount("DOMAINXXX", "Domain Admins")
        $AdsiTarget.PSBase.ObjectSecurity.SetOwner($NewOwner)
        $AdsiTarget.PSBase.CommitChanges()
        }
    Catch {
        Write-Warning $($_)
        $SamAccountName
        }

    # Release variable
    $SamAccountName = $null
    }

O365 : Forcer le changement de mot de passe

par Mathieu Adelaide | 1 Avr 2021 | Azure, PowerShell

Il arrive dans certain cas de figure que nous souhaitions forcer le changement de mot de passe des comptes O365.

S’il s’agit d’un seul utilisateur voici la commande :

Set-MsolUserPassword -UserPrincipalName jdupont@mondomaine.com -ForceChangePasswordOnly $true -ForceChangePassword $true

Prenez soin de modifier le Userprincipalname de la commande sous peine d’obtenir une erreur.

En revanche si l’on veut forcer l’intégralité de la société à changer de mot de passe cela va nécessiter quelques lignes de plus.

# Variables
$LogFolder = "C:\temp"
$LogFile = "$LogFolder\LogO365_Reset.txt"
$LogFileError = "$LogFolder\LogO365_Reset_Error.txt"

# check
If (!(Test-Path $LogFolder)) {
    New-Item $LogFolder -ItemType Directory
    }

# Exceptions
$FilteredUsers = "Userprincipalname1", "Userprincipalname2", "Userprincipalname3" # Ajouter les UPN à ne pas reset (exemple  le compte Admin du Tenant)

# Connect to O365
Connect-MsolService

# Get users
$AllUsers = Get-MsolUser -MaxResults 10000 | select UserPrincipalName

# Force to change Password
$AllUsers | foreach {
    $UPN = $_.UserPrincipalName
    If ($FilteredUsers -eq $UPN) {
        Write-Host "Do not reset Password For $UPN because we had filtered him" | Add-Content $LogFile
        }
    Else {
        Try {
            Set-MsolUserPassword -UserPrincipalName $UPN -ForceChangePasswordOnly $true -ForceChangePassword $true
            Write-Output "Succesfully reset Password For $UPN" | Add-Content $LogFile
            }
        Catch {
            $Date = Get-Date
            Write-Warning "At $Date the following Error Appear $($_)" | Add-Content $LogFileError
            }
        }
    }

Bon courage au service IT pour le nombre d’appel qu’il va recevoir.

O365 : Réaliser un hard match

par Mathieu Adelaide | 1 Avr 2021 | Active Directory, Azure, Azure AD Connect, PowerShell

Comme expliqué dans l’article précédent « O365 : Soft Match (SMTP) et Hard Match (ImmutableID) » le Hard Match intervient lorsque le Soft Match n’a pas fonctionné.

Les étapes à suivre sont les suivantes:

Récupérer le GUID du compte dans l’Active Direcotry
Convertir ce dernier en ImmutableID
Appliqué cet ImmutableID au compte Azure Active Directory
Relancer une synchronisation via Ad connect

Voici donc les commandes pour cela.

# Get GUID for User
$User = Get-ADUser jdupont | select ObjectGUID,UserPrincipalName
$Upn = $User.UserPrincipalName
$Guid = $User.ObjectGUID.Guid

# Convert GUID to ImmutableID
$ImmutableId = [System.Convert]::ToBase64String(([GUID]($User.ObjectGUID)).tobytearray())

# Connect MsolService
Connect-Msolservice

# Set ImmutableID to msoluser
Set-MsolUser -UserPrincipalName $Upn -ImmutableId $ImmutableId

Et voila, vous n’avez plus qu’a relancer une Synchor AD Connect via la commande suivante.

Start-ADSyncSyncCycle -PolicyType Delta

Toutes les astuces #tech des collaborateurs de PI Services.

Retrouvez les articles à la une

Powershell : Change the owner of my AD objects

Unités d’organisation

Les groupes

Les utilisateurs

Les ordinateurs

O365 : Forcer le changement de mot de passe

O365 : Réaliser un hard match

Derniers articles

[Powershell] Excel ne s’enregistre pas via le Planificateur de tâches

Sécurité : Local Admin Password Solution (LAPS) – Partie 3

Sécurité : Local Admin Password Solution (LAPS) – Partie 2

Sécurité : Local Admin Password Solution (LAPS) – Partie 1

Exchange 2013 – Update Rollup et redémarrage en boucle

Catégories

Archives

Auteurs/Autrices