Note IT
December 20th, 2007

AD: Windows Server 2003 R2, Mise a  jour du Schema

  • Version du Schéma:

La version R2 passe le Schéma de la Version 9 Révision 30 à la Version 9 Révision 31.

Une petite vérification avec ADSI Edit pour vérifier la version de votre schéma:

Si la valeur de la Clé “Proprieties” de “CN=Schema,CN=Configuration,DC=forest_root_domain” est à 31, votre serveur est en R2.

  • Modification du Schéma:

Le R2 apporte 3 modifications au Schéma lié à 3 services:

  • DFS Replication Service: Ajoute une classe contenant les “Replication groups” et une nouvelle classe d’objet dans la classe “Computer” permettant de supporter la réplication du DFS.
  • Identity Management for Unix: Ajoute des nouvelles classe d’objet permettant de représenter de nouveaux éléments dans la map du Network Information Service (NIS)
  • The Deployed Printers functionality of the Print Management console: Ajoute une nouvelle Classe d’objet contenant les informations des imprimantes pouvant être déployé par l’intermédiaire de GPO

  • Mise à jour du Schéma:

La mise à jour du schéma vers la Version 9 Révision 31 peut se faire
manuellement à l’aide de la commande adprep.

Les mises à jour effectuées sont définies dans le fichier Sch31.ldf présent
dans le répertoire \cmpnents\R2\adprep du second CD d’installation de Windows Server 2003 R2.

La mise à jour du schéma vers la version 31 n’est pas obligatoire sur tous
les controleurs de domaine existant. DC en NT 4, 2000, 2003 et 2003 R2
peuvent cohabituer sans aucun problème.

Le DFS Replication Service et la Print Management Console peuvent être installé
sur n’importe quel Windows Server 2003 R2.

Par contre, l’Identity Management for Unix doit impérativement être installé
sur un controlleur domaine Windows Server 2003 R2

Tags: , ,
Posted in Active Directory | No Comments »

December 20th, 2007

Access-Based Enumeration (ABE): Filtrer les partages en fonction des droits des utilisateurs

Petit outils Microsoft méconnu mais très pratique, ABE permet de filtrer la liste des dossiers d’un partage en fonction des droits des utilisateurs.

En résumé, l’utilisateur ne voit QUE ce dont il a le droit.

Source:

Cet outils est présent sur le 2ème CD de Windows Server 2003 R2 et sur le site de Microsoft

Pré-requis:

Windows Server 2003 Sp1 ou R2.

Installation:

L’installation est très simple et déploie 3 éléments:

  • le composant ABE (abeui.dll)
  • le commande ABEcmd.exe
  • le fichier d’aide ABEWhitePaper.doc, (copié par défaut dans : Program Files\Microsoft Corporation\Windows Server 2003 Access-based Enumeration)

Le Wizard propose de configurer tous les partages présent sur le serveur ou la configuration manuelle.

Configuration:

L’installation de l’outils ajoute un onglet dans les propriétés des dossiers partagés et toutes la configuration se passe par là.

Remarque:

ABE ne fonctionne pas en local
ABE est activé en natif sur Vista et Windows Server 2008
Il est évident que ce processus demande des resources système et qu’il ne doit pas être négligé dans de grosses structures.

Outils à mon sens indispensable pour améliorer la sécurité de vos données évitant aux petits curieux de fouiller les interminables arborescences de dossiers à la recherche de fichiers accessibles.

Tags: , ,
Posted in Active Directory | No Comments »

December 18th, 2007

Astuce: Recréer l’icone Bureau (bureau.scf)

desktop.scf

Un clic droit un peu rapide, et l’icone du Bureau présente dans la barre de lancement rapide disaparait à jamais.

Impossible de la faire ré-appaitre.

La petite Astuce qui va bien :

  1. Ouvrir un notepad
  2. Coller :

    3. [Shell]
    Command=2
    IconFile=explorer.exe,3
    [Taskbar]
    Command=ToggleDesktop

  3. Enregister en nommant le fichier Bureau.scf

Tags: ,
Posted in Astuce | No Comments »

December 14th, 2007

Ldifde : Modification de masse de l’AD

Dn: cn= dan dinicolo, cn=users, dc=win2000trainer, dc=com
DisplayName: Dan DiNicolo
ObjectClass: user
SAMAccountName: dinicolo
UserPrincipalName: dan@2000trainers.com
TelephoneNumber: 416-555-5555

Dn: cn= jown doe, cn=users, dc=2000trainers, dc=com
DisplayName: John Doe
ObjectClass: user
SAMAccountName: doe
UserPrincipalName: doe@2000trainers.com
TelephoneNumber: 416-555-5556

Lot Parser:

http://www.microsoft.com/technet/scriptcenter/tools/logparser/default.mspx

exemple de template.tpl :

<LPBODY>
dn: CN=%FIELD_2% %FIELD_1%,OU=Americas,DC=Corp,DC=Net
changetype: add
add: userPrincipalName
userPrincipalName: %FIELD_4%
-
</LPBODY>

type c:\output.csv | logparser “SELECT * FROM STDIN” -i:CSV -o:tpl -tpl:c:\template.tpl -q:on -stats:off >c:\output.ldf

Importation dans AD: ldifde -i -f c:output.ldf

http://technet.microsoft.com/en-us/library/aa997520.aspx

http://www.networksappers.com/nuke/

Posted in Uncategorized | No Comments »

December 13th, 2007

WMI: Creer un filtre pour l’application de GPO

Filtre WMI:

Afin de mieux cibler l’application d’un GPO dans un domaine, il est intéressant de créer un filtre WMI.

Le filtre se compose d’une requête semblable à celle SQL.
Le résultat de la renvoie les éléments pour lequel la GPO sera appliqué.

Par exemple:

Une GPO doit être déployé sur tous les PC sauf sur celui du PDG, PC_PDG est le nom de son poste.

SELECT * FROM Win32_ComputerSystem WHERE Name <> ‘PC_PDG’

La requête vérifie le nom du PC (l’entrée WMI Win32_ComputerSystem)

et renvoie le nom en sortie si celui ci est différent de ‘PC_PDG’

Si la sortie est non nulle, la GPO s’appliquera à l’objet, dans notre exemple, le PC.

Il ne reste plus qu’a créé une requête adaptée à vos besoins.

Classe et Entrées WMI:

Microsoft fourni un outils permettant de simplifier la recherche des entrées WMI qui pourrait être intéréssante à filtré

WMI Code Creator v1.0

WMI Code Creator permet de fouiller dans les Classes et de faire des recherches dans les entrées WMI.

Dans notre exemple,

l’entrée “Domain” de la Classe “Win32_ComputerSystem” est extraite et retourne en sortie “fr.gedas-grp”.

Il est facile de voir que le nombre de possibilité de filtre est quasi infinie

(appartenance à un domaine, date de dernière connexion …)

L’ensemble des entrées est listé sur le MSDN: http://msdn2.microsoft.com/en-us/library/aa394572.aspx

Tags: , ,
Posted in Scripting | No Comments »

December 13th, 2007

VM: VmWare Converter, Le P2V ou comment convertir une machine Physique en VM

1) VmWare Converter, ca sert à quoi ?

VmWare Converter est un logiciel fourni par VmWare permettant d’utiliser la technologie du P2V (Physic to Virtual).

En résumé, de convertir une machine physique en une machine virtuelle exploitable avec VmWare ESX, Server, WorkStation.

2) Source

Cette outils est fourni gratuitement par VmWare

http://www.vmware.com/download/converter/

3) Pré-requis

Afin de pouvoir faire une image d’un serveur ou d’un poste de travail, il est impérative d’avoir un compte ayant le droit administrateur local du poste à convertir.

Un agent sous forme de service (VMware Converter Service) va être installé à distance afin d’opérer à la conversion.

Enfin, une espace de stockage réseau accessible par la machine d’où est lancé VmWare Converter et par la machine à convertir.

4) Fonctionnement

L’utilisation est plutôt simple et sous forme de Wizard.

Sélection de la source: Distante ou local

Sélection de la source de données

Sélection du nom, de la destination, du type de VM.

Ensuite, des options de Customisation de la VM sont proposé avec un fichier Sysrep.
Si vous ne souhaitez pas utiliser ses options, il sera indispensable après le clonage de la machine, de changer son nom et de re-générer son SID (à l’aide NewSID)

Tags: ,
Posted in VM | No Comments »

December 13th, 2007

XP: Erreur 0×800704b8 lors de l’installation de l’ipv6

Erreur que j’ai rencontré lors de l’installation de l’ipv6 sur XP:


La commande “ipv6 install” renvoyait l’erreur suivante:

Failed to complete the action. Error 0×800704b8




L’erreur provient de la corruption de la base de données “Sécurité” de Windows (secedit.sdb) ce qui devient bloquant lors de l’installation du package Ipv6 sur la machine.


L’utilitaire “esentutl” permet de réparer la base de données.


Lancer esentutl /r %windir%\Security



Si le résultat de cette commande est l’erreur “1003 (JET_errInvalidParameter, Invalid API parameter”

Il va valoir procéder à la réparation de la base

Lancer esentutl /p %windir%\Security\Database\Secedit.sdb

Une fois l’opération effectuée, relancer la commande “ipv6 install”

Tags: ,
Posted in XP | 5 Comments »

December 11th, 2007

Astuce: Enlever le fond d’ecran sur les serveur DELL

Petit astuce très pratique pour enlever le fond d’écran DELL qui apparait lorsque l’on se connecte en TSE sur le serveur ce qui engendre un chargement de plusieurs secondes voir minute en fonction de la vitesse de votre connexion (ceux qui ont déjà bossé sur des serveurs DELL comprennent surement de quoi je parle ^^)

Un petit tour dans la base de registre :

1. Lancer Regedit sur le serveur.

2.  HKEY_USERS\.DEFAULT\Control Panel\Desktop.

3. Effacer la valeur de la clé “Wallpaper”. Par défaut: “C:\WINDOWS\system32\DELLWALL.BMP.”

Tags: , , ,
Posted in Astuce | No Comments »

December 2nd, 2007

Active Director: Edition massive avec import CVS

Active Director est un outils Open-Source très puissant permettant en autre d’effectuer des modification dans l’AD à partir d’une liste préalablement converti en CVS.

En résumé, si vous avez une liste de compte a désactivé, il suffit de la convertir en cvs, de l’importer dans Active Director et d’effectuer un matching entre votre liste importe et les objets AD correspondant.

Une fois la liaison effectué, les modifications possibles des objects sont énormes, de la désactivation du compte à l’ajout d’une adresse, tout devient très simple.

Source: http://acdir.sourceforge.net

1) Importation de donnée à partir de fichier CVS:

“Processing-Unit” – “New DataTable”

Une nouvelle fenêtre s’ouvre “Data Table”

“DataTable” – “Import Data” – “CSV Handler”

Vérification de l’import CVS, la colonne “AD Object” est vide, aucune association (matching) avec un objet AD n’a été encore faite.

Matching AD:

“Edit” – “Associate Table” – “Associate with Search-Result”

Ajouter un filtre:
Clic droit sur “(AND) Group” – “Add Filter”

Le champs “Name” corresnpond au champs de l’annuaire AD auquel la donnée doit correspondre (matché).
Le champs “Value” propose la liste des colonnes de la “Data Table”.

Dans notre exemple, “name” correspond au champs “nom prénom” dans l’annuaire AD
et “<Name>” à la colonne Name du fichier CVS.

Vérification du matching:

Si un matching a été trouvé dans l’annuaire, la colonne “AD Object” contient l’entrée LDAP correspondante.

2) Ajouter une colone avec un attribue de l’objet:

Une fois le matching réalisé, il est possible d’insérer des colonnes avec les champs que vous souhaitez (numéro de téléphone, adresse etc)

“Edit” – “Columns” – “Add attributes of associated object”

La liste déroulante propose des champs de l’annuaire AD

Dans notre exemple, le champs “telephoneNumber” correspondant au numéro de téléphone.

Le résultat:

3) Requêtes pour édition massive:

“Tasks” – “Apply ChangeRequests” – “Request TemplateSet”

La fenêtre “Request Template Set” s’ouvre :

Cliquer sur la page blanche pour créer un nouveau Template:

La fenêtre “Request Template” s’ouvre et propose les modifications possibles:

“Change Type” liste les modification possible allant du changement d’attribue à l’ajout dans un groupe.

“Ressource Identifier or Property Name” indique la ressource ou l’attribue de l’annuaire AD impacté.
Dans notre exemple: “physicalDeliveryOfficeName” correspondant au champs “Office”.

“Change Parameter” permet d’indiquer la valeur qui sera donné à la ressource ou l’attribue indiqué.

Une fois que le template finalisé, un “ProcessQueue”  est créé.
Il ne reste plus qu’a l’exécuter ou le sauvegarder pour temporiser l’exécution.

Une fois le Processus exécuté, le fenêtre “ProcessQueue” donne un aperçu du bonne exécution du script.

Une petite vérification du bon déroulement du changement en ajoutant l’attribut “pysicalDeliveryOfficeName” (vu dans le chapitre 2)

Dans l’interface dsa.msc:

4) Attribue de l’annuaire AD

Ce qui peut paraitre compliqué, c’est de trouvé quel champs vous voulez mettre à jour.
On voit dans notre exemple que “Office” correspond à “pysicalDeliveryOfficeName”, pas forcément évident de lié les 2 au première abord.

Les attribues sont listés sur le MSDN: http://msdn2.microsoft.com/en-us/library/ms675090.aspx

Active Director contient un editeur ADSI permettant de connaitre le nom des champs AD et leur valeur.

Dans l’interface de gestion des objets AD, un bouton en bas à droite permet d’avoir accès auxdonnées AD pures.

Dans notre exemple, le champs “giveName” correspond au prénom de l’utilisateur.

Tags: ,
Posted in Active Directory | No Comments »

This work is licensed under GPL - 2009 | Powered by Wordpress using the theme aav1