OpenRSAT est une alternative open source aux habituels outils d’administration à distance de Microsoft, appelés communément RSAT (Remote Server Administration Tools). Son point fort : elle est compatible Windows, Linux et MacOS, contrairement aux outils de Microsoft dont la compatibilité est exclusive à Windows.

Ce projet, porté par l’entreprise française Tranquil IT (déjà reconnue pour sa solution de déploiement WAPT), propose une alternative aux consoles de gestion dans une approche open source et multi-OS. Pour en savoir plus sur OpenRSAT, je vous invite à poursuivre la lecture de cet article puisque ses fonctionnalités, ses avantages et ses limites actuelles seront évoqués.

— La rédaction de cet article a été sponsorisée par Tranquil IT.

Qu’est-ce qu’OpenRSAT ?

OpenRSAT est une application autonome écrite en Pascal et compatible avec Windows, Linux et macOS. Cela signifie qu’un administrateur système peut intervenir sur son Active Directory depuis n’importe quel poste de travail, indépendamment du système d’exploitation. A contrario, les outils RSAT officiels de Microsoft sont des composants natifs du système d’exploitation Windows (considérés commes des fonctionnalités facultatives).

OpenRSAT se présente comme une interface graphique (GUI) qui permet d’accompagner l’administrateur système dans son quotidien pour :

• La gestion des utilisateurs et des ordinateurs Active Directory (équivalent à dsa.msc),
• La visualisation du schéma Active Directory,
• La gestion partielle des sites et services Active Directory,
• La gestion des enregistrements DNS.

La solution est compatible avec l’Active Directory de Microsoft, ainsi qu’avec l’alternative open source : Samba 4.

Avant de passer à l’utilisation, je tiens à préciser que cet outil est disponible sous licence GPL-3.0. Voici quelques liens utiles :

• GitHub / OpenRSAT
• Tranquil IT – OpenRSAT

Prise en main d’OpenRSAT

Installation de OpenRSAT

L’installation de l’outil a été simplifiée au maximum par l’équipe de Tranquil IT. Sur Windows et Mac, vous n’avez qu’à télécharger le programme d’installation et à le lancer. Je vous invite à le récupérer depuis le GitHub officiel :

• GitHub / OpenRSAT / Releases

Il existe des versions pour Windows et Linux en 32 et 64 bits, ainsi qu’une version ARM pour Linux. Côté macOS, deux versions sont proposées : 64 bits et ARM. Pour effectuer l’installation, il existe aussi un paquet applicatif prêt à l’emploi pour la solution WAPT : .

Si vous souhaitez installer OpenRSAT sur Linux, vous pouvez compter sur les paquets et prêts à l’emploi.

Découverte de l’interface

Au lancement de l’application, OpenRSAT vous demandera de vous authentifier. Tout est fait pour permettre l’authentification auprès d’un Active Directory ou d’un annuaire Samba 4, grâce aux différentes options proposées.

OpenRSAT dispose d’un système de profils, ce qui est un avantage en comparaison des outils Microsoft. Grâce à cette fonctionnalité, vous pouvez facilement basculer entre plusieurs environnements et identités.

Il est important de comprendre qu’OpenRSAT ne “bricole” pas votre Active Directory. Il utilise des protocoles habituels. En effet, OpenRSAT supporte plusieurs méthodes d’authentification : Simple, Kerberos, y compris avec TLS, et il peut soit utiliser votre compte Windows actuel, soit vous laisser spécifier des identifiants. Le poste d’administration n’a pas besoin d’être intégré au domaine à administrer.

L’interface se veut familière. Elle ne cherche pas à réinventer le design, mais plutôt à imiter l’agencement des consoles MMC pour faciliter la prise en main. Néanmoins, OpenRSAT offre un vrai confort sur un point : une console unique permet de basculer de l’AD au DNS. Autrement dit, vous n’avez pas besoin de passer d’une console à une autre. Ici, il suffit de passer d’un onglet à l’autre.

Gestion des utilisateurs et ordinateurs

L’onglet “Utilisateurs et Ordinateurs“, c’est probablement là que vous passerez le plus de temps. Comme avec la console Microsoft, vous retrouverez l’arborescence de votre annuaire sur la gauche, avec vos unités d’organisation (OU). Les actions possibles sont elles aussi similaires :

• Création d’objets : vous pouvez créer des utilisateurs, des ordinateurs, des contacts, des groupes de sécurité et des unités d’organisation.
• Modification : le clic droit sur un utilisateur permet de réinitialiser son mot de passe, de le désactiver, de l’ajouter à un groupe ou de modifier ses attributs.
• Recherche : l’outil intègre un moteur de recherche pour trouver rapidement un objet dans l’annuaire sans parcourir toute l’arborescence. Il y a plusieurs modes de recherche, notamment par mots-clés ou directement via une requête LDAP.

Si vous consultez les propriétés d’un utilisateur, vous retrouvez les onglets habituels, présentés de la même façon qu’avec les outils Microsoft. Avec OpenRSAT, vous ne serez pas perdu.

Toujours côté administration Active Directory, sachez qu’OpenRSAT remonte les informations liées à BitLocker et LAPS. Cependant, il ne permet pas encore de déchiffrer les mots de passe LAPS.

Une fonction de recherche est aussi pleinement intégrée à OpenRSAT. Il y a deux barres de recherche : celle de gauche pour rechercher dans l’arborescence et celle de droite pour rechercher dans la liste des objets. D’ailleurs, la recherche est flexible puisqu’elle cible tous les champs affichés d’un objet (autant le nom, le DistinguishedName, que le type d’objet, la description, etc.).

Le bémol, c’est qu’il n’y a pas d’intitulé au niveau de ces deux barres de recherche, donc au premier abord, on ne sait pas trop comment s’articule la recherche, mais maintenant vous savez.

Gestion des GPO (stratégies de groupe)

OpenRSAT peut aussi afficher les stratégies de groupe directement dans la vue des utilisateurs et des ordinateurs (ce que les outils Microsoft ne savent pas faire). Ainsi, vous pouvez naviguer dans votre annuaire, tout en ayant un aperçu sur les GPO liées à chaque OU. Si la GPO est activée, l’icône est vert, si elle est désactivée, il sera rouge, et si elle est activée et appliquée, l’icône sera bleu.

Note : vous remarquerez que l’application OpenRSAT dispose également d’un thème sombre.

Via un clic droit sur une GPO, trois actions sont disponibles : activer, désactiver ou forcer la GPO. Cela agit directement sur la liaison de la GPO avec cette OU et avec l’option “Enforced” (Appliqué).

Bien que l’édition complète de tous les paramètres de GPO ne soit pas encore possible, cet affichage offre une approche hybride intéressante. Cela évite de basculer entre les deux consoles pour voir quelles sont les machines ou les utilisateurs affectés par une GPO.

La console de gestion des stratégies de groupe restera encore indispensable dans votre quotidien, mais jusqu’à quand ? Ce ne sera pas simple pour OpenRSAT de la remplacer, car les fonctionnalités de cette console sont nombreuses.

Gestion des sites et services

La console “Sites et services Active Directory” permet de gérer les sites Active Directory et les sous-réseaux, ce qui est directement lié à la topologie de réplication du domaine AD. Via l’onglet “Sites et Services“, OpenRSAT offre une première approche pour tenter de remplacer cette console. La création d’un nouveau site est possible, tandis que vous ne pourrez pas créer un nouveau subnet. Néanmoins, cet onglet présente un intérêt pour visualiser la configuration actuelle, toujours en restant dans le même outil.

Gestion des DNS

OpenRSAT intègre un module pour la gestion du DNS permettant d’effectuer les opérations de base :

• Visualiser les zones de recherche directe et inversée.
• Créer des enregistrements A, CNAME, TXT, etc.
• Supprimer des entrées.

La création d’une nouvelle zone DNS n’est pas autorisée pour le moment. Ce n’est pas une opération que l’on effectue tous les matins, mais c’est à noter.

Limitations actuelles

Pour rester objectif, il faut souligner qu’OpenRSAT ne remplace pas à 100% de la suite RSAT de Microsoft. Je dirais même qu’il en est loin si l’on prend en considération l’ensemble du périmètre couvert par les outils de Microsoft.

Il ne permet pas de gérer le DHCP, Hyper-V, IPAM, WSUS, les serveurs de fichiers, ou encore les autorités de certification (CA). Néanmoins, dans le contexte de l’administration Active Directory, il est déjà très intéressant, même s’il manque la possibilité de gérer les stratégies de groupe (GPO).

OpenRSAT reste un projet jeune, développé activement par l’équipe de Tranquil IT, donc de nouvelles fonctionnalités sont ajoutées progressivement. N’oublions pas qu’il s’agit d’un projet open source : vous êtes donc libre d’y contribuer.

Pourquoi choisir OpenRSAT face aux outils natifs ?

Si les outils Microsoft restent la référence absolue, OpenRSAT compte bien tirer son épingle du jeu. Voici quelques avantages à son utilisation :

Indépendance vis-à-vis de la version de Windows

L’un des problèmes des RSAT officiels est leur lien avec la version (à savoir la “build”) de Windows 11 (Windows 10) ou Windows Server utilisée. Une mise à jour de Windows peut parfois perturber les RSAT, et vous obliger à effectuer une réinstallation. OpenRSAT est une application standard : elle fonctionne indépendamment de la version du noyau Windows.

Portabilité

OpenRSAT est extrêmement léger : le programme d’installation pèse à peine 11 Mo. Il s’exécute rapidement et ne nécessite pas de redémarrage suite à son installation, contrairement aux outils de Microsoft. D’ailleurs, la version Windows ne s’installe pas : c’est une application portable !

La gestion des profils renforce ce côté portable et flexible, puisque vous pouvez basculer facilement d’un environnement à un autre. C’est aussi une façon de pouvoir changer d’identité rapidement pour l’administration courante.

Une solution agnostique

Historiquement, l’administration d’une infrastructure Windows Server s’effectue à partir d’une machine Windows (bien que Windows Admin Center redistribue les cartes via son approche web). OpenRSAT de son côté peut tourner autant sur Windows, Linux que macOS, comme je l’évoquais précédemment. Il est donc adapté aux environnements hétérogènes, y compris sur les postes d’administration sous Linux.

Conclusion

OpenRSAT est une initiative remarquable de Tranquil IT. Si l’Active Directory est un sujet que vous appréciez : c’est l’un des projets à suivre dans les prochains mois. Dès à présent, OpenRSAT se présente comme une alternative crédible pour réaliser les tâches basiques et quotidiennes sur un domaine Active Directory.

Sa légèreté et son indépendance vis-à-vis des versions de Windows lui permettent de se démarquer des outils Microsoft. Désormais, on peut s’attendre aussi à ce qu’il y a plus loin que les outils natifs pour booster nos capacités d’administration.

Qu’en pensez-vous ?