Tester l’authentification d’un compte AD avec PowerShell

I. Présentation

Dans ce tutoriel, nous allons voir comment tester l'authentification d'un compte AD avec PowerShell, afin de vérifier si un couple "nom d'utilisateur" et "mot de passe" est correct, sans avoir à s'authentifier sur une machine.

Prenons l'exemple suivant : vous avez en votre possession un compte utilisateur et son mot de passe, et vous avez besoin de savoir si les informations sont correctes. Plutôt que d'ouvrir une session en local sur une machine du domaine avec le compte en question, pour vérifier s'il est valide ou non, on peut s'appuyer sur PowerShell. Ce sera surement plus rapide puisque l'on a le résultat en direct, sans avoir à attendre que la session s'ouvre, etc... Vous voyez l'idée.

II. Tester un compte AD avec PowerShell

Pour atteindre notre objectif, nous ne pouvons pas utiliser un cmdlet prêt à l'emploi du module Active Directory, car il n'en existe pas aujourd'hui. Ce n'est pas très grave, nous allons créer un objet spécifique et créer notre propre fonction. Plus précisément, nous allons créer un objet de type "DirectoryServices.DirectoryEntry" qui permet de récupérer différentes informations auprès d'un annuaire Active Directory. Notre objectif, c'est simple de voir si les informations d'authentifications sont correctes.

Nous avons besoin de définir 3 arguments pour créer cet objet :

  • Le nom du domaine, de la racine (nous laisserons vide, il prendra le domaine actuel)
  • Le nom d'utilisateur
  • Le mot de passe

Si l'on parvient à créer notre objet, c'est que l'authentification a réussi, et donc que les informations sont bonnes. Dans le cas où ce n'est pas correct, la création de l'objet retournera le message "L'exception suivante s'est produite lors de la récupération du membre « distinguishedName » : « Le nom d’utilisateur ou le mot de passe est incorrect.". Nous allons récupérer la base DN du domaine et si elle n'est pas nulle, c'est que l'on a pu s'authentifier et récupérer la valeur.

Appelons cette fonction "Test-ADUserAuthentication" (ou "Test-ADAuthentication" comme on peut trouver sur le net). Cette fonction va avoir deux paramètres obligatoires pour le nom d'utilisateur et le mot de passe. Ce qui donne :

Function Test-ADUserAuthentication {
    param(
        [parameter(Mandatory=$true)]
        [string]$ADUserLogin,
        [parameter(Mandatory=$true)]
        [string]$ADUserPassword)

        ((New-Object DirectoryServices.DirectoryEntry -ArgumentList "",$ADUserLogin,$ADUserPassword).psbase.name) -ne $null
}

Si la fonction retourne "True" c'est que les informations sont bonnes, sinon elle retournera "False". Il ne reste plus qu'à définir les deux variables :

$ADUserLogin = "NomUtilisateur"
$ADUserPassword = "MotDePasse"

Puis, on appelle notre fonction :

Test-ADUserAuthentication -ADUserLogin $ADUserLogin -ADUserPassword $ADUserPassword

Si l'on préfère avoir une jolie phrase, ou effectuer une action dans le cas où le mot de passe est bon/pas bon, on peut utiliser une condition if :

if(Test-ADUserAuthentication -ADUserLogin $ADUserLogin -ADUserPassword $ADUserPassword){
     Write-Host "Le compte est valide !" -ForegroundColor Green
}else{
     Write-Host "Le compte est invalide !" -ForegroundColor Red
}

Voici un exemple :

Tester authentification AD avec PowerShell

Il faut savoir que si l'authentification échoue, cela peut être dû à plusieurs choses : l'identifiant ou le mot de passe est incorrect (ou les deux), le compte AD est désactivé, le compte AD est verrouillé, ou l'utilisateur doit changer son mot de passe à la prochaine connexion.

Notre fonction est prête, vous n'avez plus qu'à l'utiliser au besoin ! 🙂

Je vous rappelle que le cours sur l'Administration de l'Active Directory avec PowerShell est toujours disponible !

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4110 posts and counting.See all posts by florian

2 thoughts on “Tester l’authentification d’un compte AD avec PowerShell

  • Bonjour,

    Est-il possible de faire en sorte que le mot de passe soit masqué svp ?
    Exemple: un utilisateur souhaite tester son compte sur mon poste mais ne veux pas qu’il soit tapé en clair

    Merci

    Répondre
    • Bonjour Mehdy,

      C’est possible avec la déclaration de variable comme ci-dessous :
      Write-Host « Entrer le matricule : » -ForegroundColor « Yellow »
      $ADUserLogin = Read-Host -Prompt ‘Matricule’

      Write-Host « Entrer le mot de passe : » -ForegroundColor « Yellow »
      $ADUserPassword = Read-Host -Prompt ‘Mot de passe’

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.