Configuration pour Windows

v. 20160107
ASSET VIEW SUITE
Prérequis d’accès distant
Configuration pour Windows
Solution complète de gestion de vos équipements informatiques et de vos services IT
www.clarilog.com
TABLE DES MATIERES
Ce document vous permettra de répondre aux erreurs courantes d’audits
liées au prérequis d’accès distant.
1.
2.
RPC non disponible ............................................................................................................................................................................. 3
1.1.
Vérifier la résolution de nom........................................................................................................................................ 3
1.2.
Un pare-feu bloque l’accès .......................................................................................................................................... 3
Accès refusé........................................................................................................................................................................................... 4
2.1.
Compte administrateur .................................................................................................................................................. 4
2.2.
DCOM ................................................................................................................................................................................. 4
2.1.
En Workgroup .................................................................................................................................................................. 5
2.2.
Couche WMI endommagée ......................................................................................................................................... 6
Accès distant | Configuration pour Windows
p. 2/6
1.
RPC NON DISPONIBLE
1.1.
Vérifier la résolution de nom
Une erreur de résolution de nom empêche Windows de contacter le bon poste.
Vérifiez dans votre serveur DNS si le nom NETBIOS du poste impacté est associé à plusieurs adresses IP différentes
et inversement si l’adresse IP actuelle du poste impactée est associée à d’autres noms NETBIOS.
Faites un ping NomNetBIOS.domaine.local
(Nom de domaine complètement qualifié(FQDN) de l’ordinateur)
Faites un ping -a AdresseIP
Puis vérifiez qu’ils correspondent.
Si ce n’est pas le cas, supprimez les entrées obsolètes et nettoyez le cache du poste à partir duquel vous exécutez
Fast Inventory via la commande :
ipconfig /flushdns
1.2.
Un pare-feu bloque l’accès
1.2.1. Pare-feu Windows
Pour un firewall Windows (XP, Vista, 7, 8, 10, 2008, 2012 …), vous pouvez utiliser les commandes suivantes
(manuellement, dans un script ou en GPO) :
netsh firewall set service fileandprint enable
netsh firewall set service remoteadmin enable
1.2.2. Autre pare-feu
Vérifier que d’autres logiciels (antivirus, sécurité …) ne bloquent pas les ports nécessaires, par exemple :
-
Symantec EndPoint Protection
-
McAfee VirusScan
-
Nvidia Forceware Firewall
-
…
Accès distant | Configuration pour Windows
p. 3/6
2.
ACCES REFUSE
2.1.
Compte administrateur
Vérifier que le compte utilisé est administrateur du poste distant, par exemple en accédant à son C$
\\AdresseIP\C$
Ou
\\NomNetBIOS\C$
Vérifiez également que le compte n’est pas désactivé ou que le mot de passe n’a pas expiré sur le poste distant.
NB : Sur Windows 7, le compte administrateur est désactivé par défaut
2.2.
DCOM
L’utilisation de commandes distantes nécessite l’activation du DCOM sur le poste distant.
Dans les Outils d’administration Windows puis Services de composants (ou Exécuter > DCOMCNFG) :
-
développez Services de composants puis Ordinateur
-
faites un clic droit sur Poste de travail puis Propriétés
- dirigez-vous dans l’onglet Propriétés par défaut
- vérifiez ou cochez la case Activer Distributed COM
(DCOM) sur cet ordinateur
- les deux listes déroulantes doivent être dans l’ordre sur
Connecter puis Identifier
- dirigez-vous dans l’onglet Sécurité COM
- dans le bouton Modifier… du cadre Autorisations
d’accès, vous devez avoir autorisé :

SELF et le groupe Administrateurs
en Accès local et Accès distant

Système en Accès local
- dans le bouton Modifier… du cadre Autorisations
d’exécution et d’activation, vous devez avoir :
Système, le groupe Administrateurs et INTERACTIF
avec tous les droits
Si vous avez modifié le paramétrage du DCOM, un redémarrage est nécessaire pour sa prise en compte
Accès distant | Configuration pour Windows
p. 4/6
2.3.
En Workgroup
2.3.1. Contrôle de compte utilisateur (UAC)
Sur les systèmes Windows Vista, Windows 7, 2008 ou 2008 R2 en groupe de travail il faut désactiver le contrôle de
compte utilisateur (UAC) :
http://msdn.microsoft.com/en-us/library/aa826699(VS.85).aspx#handling_remote_connections_under_uac
Il est possible de désactiver l’UAC uniquement pour les administrateurs distants via la base de registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system
Créer une nouvelle valeur DWORD LocalAccountTokenFilterPolicy à 1
2.3.1. Stratégie locale de modèle de sécurité pour les comptes locaux
Dans le menu Démarrer puis Exécuter :
secpol.msc
Dans Stratégies locales > Options de sécurité
Fixez à Classique la stratégie suivante :
Accès réseau : modèle de partage et de sécurité pour les comptes locaux
Si vous avez modifié le paramétrage de stratégie, un redémarrage est nécessaire pour sa prise en compte
Accès distant | Configuration pour Windows
p. 5/6
2.4.
Couche WMI endommagée
2.4.1. Outil de diagnostic Windows
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=7684
2.4.1. Réparer WMI
Veuillez sauvegarder les données du poste avant toute manipulation, la réparation n’est pas
opérationnelle à 100%.
Les commandes suivantes peuvent être copiées dans un fichier .bat avant d’être exécutées en local sur le poste en
erreur :
NET STOP SharedAccess
NET STOP winmgmt
CD %WINDIR%\System32\Wbem\Repository
DEL /F /Q /S %WINDIR%\System32\Wbem\Repository\*.*
CD %WINDIR%\system32\wbem
REGSVR32 /s %WINDIR%\system32\scecli.dll
REGSVR32 /s %WINDIR%\system32\userenv.dll
MOFCOMP cimwin32.mof
MOFCOMP cimwin32.mfl
MOFCOMP rsop.mof
MOFCOMP rsop.mfl
FOR /f %%s IN ('DIR /b /s *.dll') DO REGSVR32 /s %%s
FOR /f %%s IN ('DIR /b *.mof') DO MOFCOMP %%s
FOR /f %%s IN ('DIR /b *.mfl') DO MOFCOMP %%s
MOFCOMP exwmi.mof
MOFCOMP -n:root\cimv2\applications\exchange wbemcons.mof
MOFCOMP -n:root\cimv2\applications\exchange smtpcons.mof
MOFCOMP exmgmt.mof
rundll32 wbemupgd, UpgradeRepository
NET STOP Cryptsvc
DEL /F /Q /S %WINDIR%\System32\catroot2\*.*
DEL /F /Q C:\WINDOWS\security\logs\*.log
NET START Cryptsvc
msiexec /unregister
msiexec /regserver
REGSVR32 /s msi.dll
NET START winmgmt
NET START SharedAccess
Accès distant | Configuration pour Windows
p. 6/6