¶ VIII – Administration par script
¶ A – Présentation
¶ 1 – Présentation
Création de scripts PowerShell « classiques » :
Il s’agit de créer des scripts PowerShell « classiques » intégrant des commandes Exchange.
Dû au fait qu’ils contiennent des commandes Exchange, ce type de scripts ne se lance que depuis une console Exchange management Shell (EMS)
Création de scripts PowerShell avec module Exchange :
Il s’agit d’ajouter le module Exchange à PowerShell.
C’est-à-dire que les scripts vont intégrer la connexion à l’importation du module Exchange.
- Permet de lancer les scripts depuis presque n’importe où
- Permet le lancement des scripts depuis des outils comme le planificateur de tâches par exemple
- Il est conseillé d’utiliser une URL passant par des équipements d’équilibrage de charge (VIP)
¶ 2 – En pratique
- Changer la stratégie de sécurité pour le lancement de scripts PowerShell. La définir en « remoteSigned »
Set-ExecutionPolicy RemoteSignedDéfinition des options du « Set-ExecutionPolicy » (source Microsoft):
Restricted
- The default execution policy for Windows client computers.
- Permits individual commands, but will not run scripts.
- Prevents running of all script files, including formatting and configuration files (.ps1xml), module script files (.psm1), and PowerShell profiles (.ps1).
AllSigned
- Scripts can run.
- Requires that all scripts and configuration files be signed by a trusted publisher, including scripts that you write on the local computer.
- Prompts you before running scripts from publishers that you have not yet classified as trusted or untrusted.
- Risks running signed, but malicious, scripts.
RemoteSigned
- The default execution policy for Windows server computers.
- Scripts can run.
- Requires a digital signature from a trusted publisher on scripts and configuration files that are downloaded from the Internet which includes e-mail and instant messaging programs.
- Does not require digital signatures on scripts that you have written on the local computer (not downloaded from the Internet).
- Runs scripts that are downloaded from the Internet and not signed, if the scripts are unblocked, such as by using the Unblock-File cmdlet.
- Risks running unsigned scripts from sources other than the Internet and signed, but malicious, scripts.
Unrestricted
- The default execution policy for non-Windows computers and cannot be changed.
- Unsigned scripts can run. There is a risk of running malicious scripts.
- Warns the user before running scripts and configuration files that are downloaded from the Internet.
Bypass
- Nothing is blocked and there are no warnings or prompts.
- This execution policy is designed for configurations in which a PowerShell script is built in to a a larger application or for configurations in which PowerShell is the foundation for a program that has its own security model.
Undefined
- There is no execution policy set in the current scope.
- If the execution policy in all scopes is Undefined, the effective execution policy is Restricted, which is the default execution policy.
- Création d’une variable $UserCredential
$UserCredential = Get-Credential- Création d’une variable $Session. Elle permet de créer une nouvelle session PowerShell en prenant la configuration du module « Microsoft.Exchange » avec une authentification Kerberos
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://«FQDN_serveur_Exchange/PowerShell/ -Authentication Kerberos -Credential $UserCredential- Import de la session PowerShell avec le module Exchange (généralement cette commande est en début de script)
Import-PSSession $Session- Suppression de la session PowerShell avec le module Exchange (généralement cette commande est en fin de script)
Remove-PSSession $SessionExemple de script PowerShell en utilisant les commandes précédentes :
Clic droit créer un fichier « .txt » et changer l’extension en « .ps1 » qui est l’extension de PowerShell
Clic droit « modifier », l’outil Windows PowerShell ISE ouvre le fichier
Une fois le fichier ouvert, il ne reste plus qu’a le remplir pour créer le script.
A titre informatif, il est bon de savoir que l’ISE permet d’avoir une complétion automatique lors de l’ajout de commandes
Enregistrer puis cliquer sur l’icône
pour lancer et tester le script.
Attention le contenu du script sera exécuté
Le script va se connecter pour récupérer le module Exchange PowerShell
Puis il va exécuter le contenu du script
¶ B – Création de boites aux lettres
Création de boites aux lettres depuis une liste d’entrée :
- New-Mailbox
- Enable-Mailbox
Exemple :
Dans un premier temps créer le fichier pour la création des boites aux lettres.
Clic droit créer un fichier « .txt » et changer l’extension en « .ps1 » qui est l’extension de PowerShell
Dans un second temps créer un fichier « .csv » pour lister les boites aux lettres qui seront créées.
Ouvrir le fichier
Dans le fichier il est possible de mettre une liste d’utilisateurs n’existant pas. Ils seront créés et leur boite aux lettres aussi.
Il est également possible d’y ajouter des utilisateurs existant dont la boite aux lettres n’est pas encore activée ou inexistante.
Cette liste doit comprendre plusieurs informations qui devront être positionnées dans un ordre précis ainsi que la nomenclature :
- Nom d’utilisateur
- Base de données de la boite aux lettres
- Organizational Unit ( par exemple : domaine.com/domaine/Utilisateurs)
- Le séparateur (ou délimiteur) est le « ; »
Enregistrer le fichier.
Pour les nouveaux utilisateurs, la commande utilisée sera « New-Mailbox ».
Pour les utilisateurs existant, la commande utilisée sera « Enable-Mailbox »
Ouvrir le fichier « .ps1 » précédemment créé et le remplir
- Configuration des paramètres
- Ouverture de la session Exchange
- Importation de la liste précédemment créée
- Création de boites aux lettres et vérification des boites aux lettres existantes pour activation
- Fermeture de la session Exchange
Teste du script :
Vérification dans l’Active Directory :
Le compte Laurent a bien été créé
Il possède bien une boite aux lettres
¶ C – Inventaire des boites aux lettres
Marche à suivre :
- Inventaire des boites aux lettres
- Export de ces informations
- Inventaire des groupes de distribution
- Export de ces informations
Clic droit puis créer un fichier « .txt » et changer l’extension en « .ps1 » qui est l’extension de PowerShell
Ouvrir le fichier « .ps1 » précédemment créé et le remplir
- Configuration des paramètres en indiquant le chemin du fichier qui servira à l’export des données
- Ouverture de la session Exchange
- Création du fichier de sortie (pour l’export des données)
- Création du script
- Vérification des informations des boites aux lettres (il y a de nombreux paramètres, il suffit de choisir ceux que l’on veut vérifier)
- Vérification des informations des groupes de distribution (il y a de nombreux paramètres, il suffit de choisir ceux que l’on veut vérifier)
- Fermeture de la session Exchange
¶ D – Gestion des groupes
Marche à suivre :
- Créer des groupes
- Configuration des groupes
- Ajouter des membres dans des groupes depuis un liste prédéfinie
- Supprimer des membres dans de groupes depuis un liste prédéfinie
Dans un premier temps, créer un créer un fichier d’entrées « .csv ».
Il contiendra les informations concernant les membres.
Ouvrir le fichier pour le remplir en suivant ce format :
« Action;Name;Group;Type;OU;Owner;Moderate »
Pour ignorer un élément, il suffit de ne pas mettre d’information. Toutefois il est IMPERATIF de laisser les séparateurs (ici les « ; » ce qui donnera « ;; »)
Enregistrer
Dans un second temps, il faudra créer le fichier du script PowerShell.
Clic droit puis créer un fichier « .txt » et changer l’extension en « .ps1 » qui est l’extension de PowerShell
Ouvrir avec Windows PowerShell ISE le fichier « .ps1 » précédemment créé et le remplir
- Configuration des paramètres en indiquant l’utilisation d’un fichier d’entrées
- Ouverture de la session Exchange
- Import de la liste via le fichier d’entrées
- Mise en place des actions a effectuer avec les données importées
- Création d’un groupe après vérification de son existence ou non
- Modification d’un groupe s’il existe. S’il n’existe pas un message préviendra que le groupe n’existe pas
- Ajout de membres dans un groupe, après vérification de l’existence du groupe.
- Suppression de membres dans un groupe, après vérification de l’existence du groupe
- Fermeture de la session Exchange
¶ E – Personnalisation de boites aux lettres
En pratique :
- Modification de quota
- Désactivation de certains accès clients (ex : IMAP, POP, ActiveSync)
- Activation de la « super corbeille »
Dans un premier temps, créer un créer un fichier d’entrées. Il contiendra les informations nécessaires à la personnalisation des boites aux lettres.
Ouvrir le fichier pour le remplir en suivant ce format :
« Action;Name;OU;CASparam;WarningQuota;SendQuota;SendReceiveQuota »
WarningQuota : envoi un message d’alerte quand une certaine taille est atteinte (quota qui doit être le plus bas).
SendQuota : valeur qui bloque l’envoi des mails depuis la boite aux lettres lorsque le quota est atteint (quota qui doit être de valeur moyenne).
SendReceiveQuota : interdit l’envoi et la réception de mail depuis la boite aux lettres (quota qui doit être le plus élevé).
Pour ignorer un élément, il suffit de ne pas mettre d’information. Toutefois il est IMPERATIF de laisser les séparateurs (ici les « ; » ce qui donnera « ;; »)
Créer le fichier du script PowerShell.
Clic droit puis créer un fichier « .txt » et changer l’extension en « .ps1 » qui est l’extension de PowerShell
Ouvrir avec Windows PowerShell ISE le fichier « .ps1 » précédemment créé et le remplir
- Configuration des paramètres en indiquant l’utilisation d’un fichier d’entrées
- Ouverture de la session Exchange
- Import de la liste via le fichier d’entrées
- Ecriture du script
- Parcours des lignes écrites dans la liste
- Déclaration des variables
- Mise en place des actions à effectuer
- Fermeture de la session Exchange
Attention : lorsqu’on souhaite changer un quota sur une boite aux lettres il fait d’abord changer sa stratégie sinon c’est celle de la base de données qui sera prise en compte
¶ F – Administration de serveurs Exchange
Exemples par la pratique :
- Modification des accès client
Se connecter au serveur Exchange puis se rendre dans le répertoire qui contient les scripts.
Le script qui permet de gérer les accès client est « ConfigureExchangeURLs.ps1 »
Ouvrir le script si on souhaite le modifier :
Pour utiliser le script :
Se rendre dans le répertoire qui contient le script.
Ouvrir EMS et dans un premier temps vérifier les URLs d’accès client avant de les changer
Lancer le script avec la commande suivante
Pour changer les URLs il faut lancer le script avec certaines options et répondre aux différentes questions qui seront posées
¶ G – Rapport de santé
Cette section permettra de mettre en place un script PowerShell générant un rapport de santé pour l’environnement Exchange.
Les étapes :
- Récupérer le script validé par Microsoft
https://gallery.technet.microsoft.com/office/database-Availability-9a23e9a1
- Génération du rapport
- Configuration d’un compte de service avec les doits nécessaires
- Configuration de la génération automatique de rapport
Une fois le script récupéré, le position dans C:/Tools/
Le contenu du dossier Get-DAGHeath est le script en lui-même ainsi qu’un fichier xml qui permettra d’avoir les settings.
Remplacer les informations par défaut par celles de l’organisation :
- Le serveur SMTP
- L’expéditeur du mail
- Le destinataire du mail
- Le sujet du rapport (optionnel)
Pour générer le rapport, lancer l’EMS.
Se placer dans le dossier contenant le script et le lancer avec la commande suivante
.\Get-DAGHealth.ps1Le rapport sera généré sous la forme d’un fichier HTML qui sera par défaut dans le dossier courant.
Il est possible lors du lancement du script de spécifier un chemin de destination pour le fichier HTMP si l’on rajoute -HTMLFile «Chemin» à la fin de la commande
Pour créer un compte de service qui possèdera les droits nécessaires, il faut se connecter à un contrôleur de domaine et lancer l’outil « utilisateurs et ordinateurs Active Directory ».
Dans le domaine de l’organisation, créer une nouvelle OU
La nommer par exemple « « ServiceAccount »
Dans cette nouvelle OU, créer un compte.
Remplir les informations nécessaires
Une fois le compte créé, il va être configuré comme étant membre du groupe Exchange « View-Only Organization Management ».
Pour cela, se rendre l’OU « Microsoft Exchange Security Groups »
Faire un double clic sur « View-Only Organization Management » puis cliquer sur « membre » puis sur « ajouter »
Ajouter le compte de service précédemment créé
Pour configurer la génération automatique de rapport, se connecter au serveur Exchange et lancer le planificateur de tâches
Faire un clic droit sur « bibliothèque du planificateur de tâches » puis cliquer sur « créer un nouveau dossier »
Par exemple le nommer « Exchange »
Cliquer sur le dossier puis à droite, cliquer sur « créer une tâche »
Dans l’onglet « générale », donner un nom à la tâche et lui mettre une description.
Cliquer sur « utilisateur ou groupe » et sélectionner le compte de service précédemment créé
Cocher la case « exécuter même si l’utilisateur n’est pas connecté »
Dans l’onglet déclencheurs, cliquer sur « nouveau » et configurer les informations pour déclencher la tâche
Dans l’onglet Action, cliquer sur « nouveau » et dans « programme/script » sélectionner PowerShell.
Remplir les arguments :
-Command «& C:\Tools\Get-DAGHealth\Get-DAGHealth.ps1 -Detailed -SendEmail»
Dans l’onglet « Conditions » laisser par défaut sauf si on souhaite mettre en place des conditions.
Dans l’onglet « paramètres » modifier le temps d’arrêt de la tâche à 12h.
Cliquer sur OK et valider par le mot de passe du compte de service
La tâche est maintenant prête
Il est possible d’effectuer un test et de lancer la tâche manuellement pour voir si elle fonctionne.
Faire un clic droit sur la tâche et cliquer sur « exécuter »
La boite mail qui a été configurée devrait recevoir le rapport par email.
¶ H – Gestion des connecteurs
En pratique
- Ajout d’adresses IP depuis une liste d’entrées
- Suppression d’adresses IP depuis une liste d’entrées
Se connecter sur un contrôleur de domaine pour y créer le script.
Clic droit puis créer un fichier « .txt » et changer l’extension en « .ps1 » qui est l’extension de PowerShell
Créer un fichier d’entrées
Ouvrir le fichier d’entrées pour y mettre les informations nécessaires en suivant ce format :
« Action;Connector;IP »
ADD : ajout des informations
REMOVE : suppression des informations
Ouvrir avec Windows PowerShell ISE le fichier « .ps1 » précédemment créé et le remplir
- Configuration des paramètres en indiquant l’utilisation d’un fichier d’entrées
- Ouverture de la session Exchange
- Import de la liste via le fichier d’entrées
- Ecriture du script
- Création d’une fonction pour vérifier si l’adresse IP est valide et disponible
- Ecriture du script en lui-même
- Fermeture de la session Exchange
