mardi 9 janvier 2018

Comment créer le groupe "Cloneable Domain Controllers"

Le groupe Cloneable Domain Controllers est recommandé dans le processus de clonage, il permet de donner les permissions de clonage au niveau des contrôleurs de domaine source.
Le PDC crée automatiquement le groupe Cloneable Domain Controllers quand il est transféré sur un DC sous Windows 2012 ou plus.
Si la langue du système d'exploitation du PDC est française, ce dernier le crée avec le nom suivant :contrôleurs de domaine clonables. Pour éviter l'échec du processus de clonage, il faut le renommer en anglais : Cloneable Domain Controllers.



Si le groupe "Cloneable Domain Controllers" est supprimé par accident, et qu'aucune solution de restauration n'est configurée pour le récupérer rapidement comme la corbeille active directory, dans ce cas, il faut un autre groupe avec le même nom et les mêmes permissions.
Dans cet article nous allons expliquer comment recréer ce groupe et restaurer ces permissions manuellement en cas de suppression ou modification accidentelle.

Restaurer les permissions "Cloneable Domain Controllers" via l'interface graphique:

Pour restaurer les permissions du groupe "Cloneable Domain Controllers" via l'interface graphique il faut suivre les étapes suivantes:
  • Créer un nouveau groupe de type Global avec le même nom "Cloneable Domain Controllers":

  • Ouvrir la console Centre d'administration Active Directory


  • Cliquer avec le bouton droit de la souris puis sur Propriétés:

  • Cliquer sur Extension puis sur Avancé dans l'onglet sécurité :

  • Cliquer sur Ajouter:

  • Cliquer sur Sélectionner un principal:

  • Taper le nom du groupe "Cloneable Domain Controllers":

  • Cocher "Allow a DC to create a clone of itself" et cliquer sur OK:

  • Cliquer sur Appliquer pour valider les changements éffectués:


Restaurer les permissions "Cloneable Domain Controllers" via Powershell:

Il est possible de faire le même travail via Powershell en se basant sur le script proposé par le lien suivant FixVDCPermissions.ps1

import-module activedirectory  
cd ad:  
$domainNC = get-addomain  
$dcgroup = get-adgroup "Cloneable Domain Controllers"  
$sid1 = (get-adgroup $dcgroup).sid  
$acl = get-acl $domainNC  
$objectguid = new-object Guid 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e  
$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $sid1,"ExtendedRight","Allow",$objectguid  
$acl.AddAccessRule($ace1)  
set-acl -aclobject $acl $domainNC  
cd c: