Auditer vos serveurs de fichiers,Protocole SMB: les différentes

Auditer vos serveurs de fichiers
Une question taraude beaucoup de DSI à ce jour, comment garder une trace des différentes
modifications telles que la lecture, l’écriture, le partage, la création, le renommage, la suppression,
le déplacement, etc. des fichiers, des dossiers, des autorisations et des ressources partagées ?
J’ai testé une solution qui permet de répondre à cette question.
LepideAuditor for File Server de l’éditeur LEPIDE est une solution globale qui réponds à des
problématiques de reporting des accès à la donnée. Quelques caractéristiques du produit:
■
■
■
■
Respect des conformités : la surveillance permanente, les alertes instantanées lors de
changements critiques, et le stockage à long terme des logs permet à LepideAuditor for File Server
de répondre aux conformités réglementaires telles que PCI, GLBA, HIPAA, etc
Stockage des logs à long terme : Les données de vérification récupérées sont stockées dans une
base de données centralisée à long terme. Aucune saisie ne sera écrasée, même après des années.
Les administrateurs peuvent également spécifier une base de données différente pour chaque
serveur de fichiers. De plus, tous les réglages peuvent être sauvegardés dans un fichier et
restaurés par la suite
Surveillance en temps réel : La surveillance en temps réel des serveurs de fichiers avec des
listes personnalisées : date, lecteur, répertoire, nom de fichier, type de fichier, processus et
événement
Génération de rapport: au format DOC, PDF, HTML et TXT
Ce logiciel nécessite des prérequis « assez » faibles: Windows Server 2000 -> 20012, SQL 2000 ->
2012 (y compris Express).
Bref, un outil indispensable pour surveiller l’accès à la donnée, je vous invite à télécharger une
version d’évaluation à l’adresse suivante.
Protocole SMB: les différentes versions
Avec l’arrivée du protocole SMB 3.0, partie intégrante de Windows 8 et Windows Server 2012, voici
un tour d’horizon sur l’évolution de SMB et la compatibilité entre les différentes versions.
Versions
■
■
■
■
■
CIFS – Microsoft Windows NT 4.0
SMB 1.0 – Windows 2000, Windows XP, Windows Server 2003 et Windows Server 2003 R2
SMB 2.0 – Windows Vista (SP1) et Windows Server 2008
SMB 2.1 – Windows 7 et Windows Server 2008 R2
SMB 3.0 (ou SMB2.2) – Windows 8 and Windows Server 2012
L’historique
■
De SMB 1.0 à SMB 2.0 – Redesign majeur
Increased file sharing scalability
Performances accrues
Request compounding
Asynchronous operations
■
■
■
■
Larger reads/writes
Plus sécurisé et robuste
Small command set
Signing now uses HMAC SHA-256 instead of MD5
SMB2 durability
De SMB 2.0 à SMB 2.1
File leasing improvements
Support MTU large
BranchCache
From SMB 2.1 to SMB 3.0
Disponibilité
SMB Transparent Failover
SMB Witness
SMB Multichannel
Performances
SMB Scale-Out
SMB Direct (SMB 3.0 over RDMA)
SMB Multichannel
Directory Leasing
BrachCache V2
Sauvegarde
VSS pour Remote File Shares
Sécurité
Encryption SMB
o Management
SMB PowerShell
Compteurs de Performances améliorés
Evénements améliorés
■
■
■
■
■
■
■
■
■
■
■
■
■
■
■
■
■
■
■
■
■
■
■
■
■
■
■
■
Correspondance client/serveur
Vérifier la version SMB employée
Il convient de lancer la commande suivante:
Pour en savoir davantage, rendez-vous ici et ici.
Migration Active Directory : retour
d'expérience
Voici un billet concernant mon retour d’expérience à propos de migration Active Directory et surtout
l’utilisation de l’outil de Microsoft ADMT. Je vais me concentrer sur les principaux points d’attention,
les pièges, etc…
Vous y trouverez également des recommandations pour migrer vos serveurs de fichiers,
d’impressions, etc… Certains scripts seront utiles car ils concernant les migrations inter forêt et non
intra domaine ou intra forêt, scénario plus simple.
Voici la liste des principales recommandations d’une migration Active Directory:
■
■
Assurez-vous que le DC cible sur le site qui va être utilisée pour les migrations a un service de
serveur DNS installé
Créer un DNS Fowarder conditionnel intégré à L’AD « Cible.com » pour rediriger les requêtes
■
■
■
■
■
■
■
■
■
■
■
DNS du domaine source vers le serveur DNS du domaine source
Créer un DNS Fowarder conditionnel intégré à L’AD « Source.com » pour rediriger les requêtes
DNS de « Cible.com » domaine vers le serveur DNS du domaine cible
Vérifiez la résolution DNS entre les domaines à laide de NSLOOKUP
Créer une approbation externe bidirectionnelle entre les deux domaines en utilisant un utilisateur
membre du groupe Administrateurs du Domaine cible et l’utilisateur Administrateur du domaine
que vous avez créé sur le domaine source
Assurez-vous que si vous utilisez le même utilisateur « nom » sur les deux domaines, le mot de
passe de l’utilisateur doit être identique sur les deux domaines, sinon vous recevrez une erreur
sans RPC en essayant de créer la relation d’approbation (Trust Relationship)
Désactiver le filtrage des SID (SID Filetring) sur la relation d’approbation sortante sur les deux
domaines
Modifier / Création de la clé de registre suivante « AllowPasswordExport » avec une valeur
DWORD=1 sur HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA sur
l’émulateur PDC de domaine source et/ou sur le contrôleur de domaine source qui serait utilisé
pour la migration des mots de passe (PES Password Export Service – démarrage manuel –
attention donc !)
Si le contrôleur de domaine source utilisé pour la migration fonctionne sous Windows 2000, vous
devez ajouter sur le contrôleur de domaine la clé de Registre suivante: « HKEY_LOCAL_MACHINE
\ SYSTEM \ CurrentControlSet \ Control \ LSA » => Modifier / Créer l’entrée de Registre
TcpipClientSupport, du type de données REG_DWORD, en définissant la valeur à 1
Installez ADMT sur un serveur membre – l’installation sur un DC n’est pas recommandé, à cause
de l’instance SQL, mais j’y reviendrais plus tard
Déléguer des autorisations sur le domaine « Cible.com » le droit « migrer l’historique SID » pour le
groupe/utilisateur qui va être en charge de la migration
L’audit Succès et Echec doit être activé sur les domaine , pour cela il convient de modifier la GPO
=> « Stratégie de contrôleur de domaine par défaut » – Configuration de l’ordinateur> ->
Paramètres Windows -> Paramètres de sécurité -> Stratégies locales – Politique sur la
vérification> -> «Gestion Compte d’audit »
Sur le domaine source, créer un groupe local de domaine « SourceDomaine$$$ » (Nom do domaine
NetBios), exemple: mondomaine$$$
Désactiver le SID Filtering
Voici la syntaxe pour désactiver cette fonction
[shell]
Netdom
trust
domainecible
/domain:domainesource
/userD:domainesource\adminaccount /password:password
[/shell]
Pour tester:
[shell]
nltest /server:nomduserveur /domain_trusts
/quarantine:no
[/shell]
l’attribut attr: QUARANTINED apparait si le SID Filtering est actif
Installation du service PES
Sur le domaine cible, il convient de créer la clé permettant l’export des mot de passe avec la
syntaxe suivante:
[shell]
admt
key
/option:create
/keypassword:motdepasse
/sourcedomain:domainesource
/keyfile:c:\macle.pes
[/shell]
Cette clé générée vous servira pour le setup de PES.
Changer la liste des domaines par défaut
Après la migration d’un poste de travail, l’ancien domaine apparait au moment de la connexion
(CTRL ALT SUPPR), voici comment modifier le Defaut Logon List afin de faire apparaitre en priorité
votre domaine cible
Méthode 1 – déploiement VBS
[vb]
Dim sDomName
Set oWshShell = CreateObject(« Wscript.Shell »)
sDomName = « nouveaudomaine »
oWshShell.RegWrite
«
HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\DefaultDomainName »,sDomName
[/vb]
Méthode 2 – déploiement GPO
Il convient donc de créer une GPO et d’activer le paramètre suivant en renseignant le nom du
domaine cible (qu’à partir de Vista, d’où mon VBS ci-dessus )
Computer – Policies- Administrative Template – System – Logon => Assign a defaut domain for logon
Traitement d’une erreur récurrente
ADMT est un outil puissant mais les journaux/messages d’erreurs sont souvent assez peu explicites
voir indiquent une mauvaise direction à investiguer. Voici la plus courante:
Voici ce qu’il faut vérifier pour résoudre l’erreur:
■
■
■
■
■
Les suffixes DNS du domain source doivent être présent/déployés sur le domaine cible – cela
corrige les problème de résolution de noms
S’assurer que l’on a les droits sur le domaine AD source depuis le domaine cible
S’assurer que l’on fait partie du groupes BUILTIN\Administrators du domaine source
Attendre la réplication si vous disposez de plusieurs DC
Autre point: l’heure (w32time) doit être correcte entre les domaines ! Sinon l’ADMT renverra un
message d’incompatibilité avec les domaines NT4.0…
Autre erreur
ERR3:7075 Failed to change domain affiliation, hr=800704f1. The system detected a possible
attempt to compromise security. Please ensure that you can contact the server that authenticated
you.
Cette erreur provient soit du fait d’algorithmes d’encryption avec des serveurs Windows NT 4.0 ou
de la présence de contrôleur RODC (Read Only Domain Controller) mais cela abaisse la sécurité du
domaine… (sans pour autant être dramatique) Il convient de se reporter à la KB Microsoft 942564
ou 944043.
Migration des spools
Je pense que vous connaissez PRINTBRM (Management des impressions) ou printmigrator (Windows
2003) permettent de générer des fichiers d’export incluant les ports IP (par contre oubliez les ports
HP ou spécifiques à un constructeur), les drivers, les files d’impressions etc… Magique !
Oubliez la migration d’un serveur 32 bits sur 64 bits, vérifiez que les drivers existent bien en 64 bits,
et dans le cadre d’une migration pré-déployer les pilotes sur le nouveau serveur.
Mais quand on change de domaine ou de serveur, les postes clients pointent sur les anciens noms de
serveurs. Le script ci-dessous permet d’analyser les imprimantes installées et de remplacer le nom
du vieux serveur par le nouveau automatiquement. Enjoy (j’ai également trouvé une page
sympathique à ce sujet)
[vb]
Option Explicit
Dim from_sv, to_sv, PrinterPath, PrinterName, DefaultPrinterName, DefaultPrinter
Dim DefaultPrinterServer, SetDefault, key
Dim spoint, Loop_Counter, scomma
Dim WshNet, WshShell
Dim WS_Printers
DefaultPrinterName = « »
spoint = 0
scomma = 0
SetDefault = 0
set WshShell = CreateObject(« WScript.shell »)
from_sv = « \\vieuxmoche » ‘Mettre ici le nom de l’ancien serveur
to_sv = « \\nouveau » ‘Mettre ici le nom du nouveau serveur
On Error Resume Next
key = « HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Device »
DefaultPrinter = LCase(WshShell.RegRead (key))
If Err.Number <> 0 Then
DefaultPrinterName = « »
else
spoint = instr(3,DefaultPrinter, »\ »)+1
DefaultPrinterServer = left(DefaultPrinter,spoint-2)
if lcase(DefaultPrinterServer) = from_sv then
DefaultPrinterName = mid(DefaultPrinter,spoint,len(DefaultPrinter)-spoint+1)
scomma = instr(DefaultPrinterName, », »)
DefaultPrinterName = left(DefaultPrinterName,scomma -1)
end if
end if
Set WshNet = CreateObject(« WScript.Network »)
Set WS_Printers = WshNet.EnumPrinterConnections
For Loop_Counter = 0 To WS_Printers.Count – 1 Step 2
PrinterPath = lcase(WS_Printers(Loop_Counter + 1))
if lcase(LEFT(PrinterPath,len(from_sv))) = from_sv then
spoint = instr(3,PrinterPath, »\ »)+1
PrinterName = mid(PrinterPath,spoint,len(PrinterPath)-spoint+1)
WshNet.RemovePrinterConnection from_sv+ »\ »+PrinterName
if lcase(PrinterName) <> « c6100″ then
WshNet.AddWindowsPrinterConnection to_sv+ »\ »+PrinterName
if DefaultPrinterName = PrinterName then
WshNet.SetDefaultPrinter to_sv+ »\ »+PrinterName
end if
end if
end if
Next
Set WS_Printers = Nothing
Set WshNet = Nothing
Set WshShell = Nothing
[/vb]
Configuration de réseau Wifi
Le déploiement de réseau Wifi par GPO ne prends en charge que les scénarios certificat/Radius.
Néanmoins, il est possible de créer des profiles Wifi par scripot à l’aide de netsh. Pour cela, créez
manuellement votre profile sur un poste et exportez le à l’aide de la commande suivante
[shell]
netsh wlan export profile name= »nomduprofile » folder=c:\SSID
[/shell]
Pour déployer le profile, utilisez la syntaxe suivante
[shell]
netsh wlan add profile filename= »\\serveur\netlogon\SSID.xml »
[/shell]
Voici à quoi ressemble le fichier XML:
[xml]
<?xml version= »1.0″?>
<WLANProfile xmlns= »http://www.microsoft.com/networking/WLAN/profile/v1″>
<name>NOMDUPROFILE</name>
<SSIDConfig>
<SSID>
<hex>536F666964656C</hex>
<name>NOMDUSSID</name>
</SSID>
<nonBroadcast>false</nonBroadcast>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<autoSwitch>false</autoSwitch>
<MSM>
<security>
<authEncryption>
<authentication>WPA2PSK</authentication>
<encryption>AES</encryption>
<useOneX>false</useOneX>
</authEncryption>
<sharedKey>
<keyType>passPhrase</keyType>
<protected>true</protected>
<keyMaterial>CLEPSKENCODEEENASCII</keyMaterial>
</sharedKey>
</security>
</MSM>
</WLANProfile>
[/xml]
SECURITE NTFS / FICHIER
Ici, quelques exemples de migration de fichier en complément de la fonctionnalité de translation de
SID de l’outil ADMT.
Copie d’une arborescence vide en conservant les droits NTFS (pour les
profiles utilisateurs par exemple)
[shell]
robocopy \\cheminsource \\chemincible /E /XF * /SEC /LEV:2
[/shell]
Ajout de droit NTFS utilisateur à un dossier dont le nom du dossier
correspond à un compte utilisateur (toujours pour les profiles)
[powershell]
$AllUsers = Get-ChildItem -Path « C:\CHEMIN » | where {$_.Attributes -eq « Directory »}
foreach ($AllUser in $AllUsers)
{
try{
$acl = Get-Acl $AllUser.FullName
$permission
=
« DOMAINE\$($AllUser.Name) », »FullControl », »ContainerInherit,ObjectInherit”, »None », »Allow
»
$accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
$acl.SetAccessRule($accessRule)
$acl | Set-Acl $AllUser.FullName
}
catch
{
continue
}
}
[/powershell]
Ajout de droit NTFS utilisateur + Administrateur local à un dossier et
l’ensemble de ses sous-dossiers dont le nom du dossier correspond à un
compte utilisateur (toujours et encore pour les profiles par exemple ou
dossier utilisateurs contenant leur Mes Documents, …)
[powershell]
$AllUsers = Get-ChildItem -Path « C:\CHEMIN » | where {$_.Attributes -eq « Directory » }
:nextuser foreach ($AllUser in $AllUsers)
{
write-host $AllUser.name
try{
$Items = Get-ChildItem -Path $AllUser.FullName | where {$_.name -notlike « Profile* »} | getchilditem -recurse | select fullname
:nextitem foreach ($item in $Items)
{
write-host $item
try{
$acl = Get-Acl $item.FullName
$acl.SetOwner([system.security.principal.ntaccount]« Administrators »)
$acl | Set-Acl $item.FullName
}
catch
{
continue nextitem
}
}
$acl = Get-Acl $AllUser.FullName
$acl.SetOwner([system.security.principal.ntaccount]« Administrators »)
$acl | Set-Acl $AllUser.FullName
$permission
=
« DOMAINE\$($AllUser.Name) », »FullControl », »ContainerInherit,ObjectInherit”, »inheritOnly », »
Allow »
$accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
$acl.SetAccessRule($accessRule)
$acl | Set-Acl $AllUser.FullName
}
catch
{
continue nextuser
}
}
[/powershell]
Installer ADMT sur un DC
Malheuresement, nous n’avons pas toujours les licences pour installer ADMT sur un serveur
membre. Cependant, ADMT ne peut pas s’installer sur un DC sous peine d’obtenir l’erreur
Unable to check for failed actions. BManager.IManageDB.1 : Cannot open database « ADMT »
requested by the login. The logon failed.
OU ENCORE
MMC could not create the snap-in. MMC could not create the snap-in. The snap-in might not have
been installed correctly. Name: Active Directory Migration Tool CLSID: {E1975D70-3F8E-113-99EE-00C04F39BD92}
En fait, il convient d’installer manuellement SQL Express 2008 SP1 avec son CU4 …
Voici les commandes à utiliser à l’issue de l’installation de SQL et ensuite installer ADMT
■
NET LOCALGROUP SQLServerMSSQLUser$DC1$SQLEXPRESS /ADD
(syntaxe: SQLServerMSSQLUser$<DCComputerName>$<InstanceName>)
■
■
■
SC SHOWSID MSSQL$SQLEXPRESS => renvoi un SID
MD %SystemRoot%\ADMT\Data
ICACLS %systemroot%\ADMT\Data /grant *SID:F
Bien sûr, ces quelques conseils ne doivent pas vous empêcher de lire la documentation
Bon courage !!!
PS: Merci à Florent COMBETTES pour son aide précieuse sur les scripts PowerShell
MDT - Déploiement vraiment Zéro Touch
J’ai eu l’occasion de travailler sur un projet de déploiement d’une salle de formation et notamment
sur la migration en MDT2012. Je suis assez peu familier avec le déploiement orienté poste de travail,
et la première chose qui m’a choqué, c’est que MDT ne saurait pas (d’après les documentations)
déployer des images de façon complétement automatisée contrairement à SCCM (Configuration
Manager)…
Mon but étaient de déployer de façon automatique des images selon les salles avec un minimum de
manipulation. Pour cela, je me base sur les adresses MAC des postes et de les regrouper ensuite par
salle.
Bref, j’avais créée un post sur les forums Technet pour questionner les experts du domaine, mais les
réponses ne me convenaient pas. Pour résumer, c’est possible en utilisant la base de donnée, mais
rien n’est documenté, sinon, tous les exemple renvoient vers une modification du fichier
CustomSettings.ini par l’ajout de section d’adresses MAC par exemple.
[text]
[00:03:FF:64:17:41]
; Poste XP
BuildID=XPSP3
TaskSquenceID=XPSP3
CapturedImageIndex=3
ComputerName=xppro%HALNAME%
[/text]
Cette solution m’hallucine: si notre parc est composé de 200 machines par exemple, et bien il faut
rajouter 200 sections ! Je veux impérativement me baser sur une TaskSequence qui est affecté à
une Locations (salle).
Voici donc le CustomSettings.ini qui permettra de déployer de façon complétement automatisée
vos postes en fonctions de leur localisation.
[text]
[Settings]
Priority=CSettings, CRoles, RSettings, Default
Properties=MyCustomProperty
[Default]
WipeDisk=TRUE
OSInstall=Y
SkipAppsOnUpgrade=YES
SkipCapture=YES
SkipAdminPassword=YES
SkipProductKey=YES
SkipTaskSequence=YES
SkipComputerName=YES
SkipLocaleSelection=YES
SkipTimeZone=YES
SkipSummary=YES
SkipFinalSummary=YES
KeyboardLocale=fr-FR
SkipDomainMembership=YES
JoinDomain=ENOVATIC.local
DomainAdmin=MDT2012
DomainAdminDomain=ENOVATIC.LOCAL
DomainAdminPassword=************
MachineObjectOU=ou=Nouveaux Ordinateurs,dc=enovatic,dc=local
WSUSServer=http://DEPL
EventService=http://DEPL:9800
[CSettings]
SQLServer=SRV-SQL
Instance=SQLExpress
Database=MDT2012
Netlib=DBNMPNTW
SQLShare=DeploymentShare$
Table=ComputerSettings
Parameters=UUID, AssetTag, SerialNumber, MacAddress
ParameterCondition=OR
[CRoles]
SQLServer=SRV-SQL
Instance=SQLExpress
Database=MDT2012
Netlib=DBNMPNTW
SQLShare=DeploymentShare$
Table=ComputerRoles
Parameters=UUID, AssetTag, SerialNumber, MacAddress
ParameterCondition=OR
[RSettings]
SQLServer=SRV-SQL
Instance=SQLExpress
Database=MDT2012
Netlib=DBNMPNTW
SQLShare=DeploymentShare$
Table=RoleSettings
Parameters=Role
[/text]
N’oubliez pas de modifier également le fichier Bootstrap.ini (paramètres permettant d’accéder au
dossier partagé et à la base SQL)
[text]
[Settings]
Priority=Default
[Default]
DeployRoot=\\DEPL\DeploymentShare$
SkipBDDWelcome=YES
UserDomain=ENOVATIC.local
UserID=mdt2012
UserPassword=**********
KeyboardLocale=fr-FR
[/text]
Créez vos machines dans Computers en renseignant l’adresse MAC de vos postes.
Créez ensuite autant de TaskSequence que d’images que vous souhaitez déployer. Au niveau des
Locations, renseignez le champ TaskSequenceID par le nom exact de votre TaskSequence.
Au préalable, il convient d’ajouter des rôles à vos ordinateurs.
Pour résumer:
■
■
Les PC disposent du paramétrage de leur adresse MAC et des leurs rôles (une salle)
Les Locations/Roles indique le paramétrage de la TaskSequenceId
Ainsi, lorsque vous désirez déployer une image particulière dans une salle, il suffit de changer le
TaskSequenceID de votre Locations.
Si vous rencontrez des problèmes d’ajout au domaine, créez un rôle d’ajout au domaine en
renseignant les champs suivants:
■
■
Section Domain And Workgroup: DomainAdmin, DomainAdminDomain, JoinDomain,
MachineObjectOU
Miscellaneous: FinishAction = LOGOFF
Microsoft MAP et les interactions WMI
Vous n’êtes pas sans savoir que Microsoft vient de publier la version 7.0 de son outil Microsoft
Assessment and Planning Toolkit (ici), utilitaire génial pour faire un peu de planification de capacité.
Par contre, j’ai eu quelque soucis avec la connexion entre la machine MAP et quelques serveurs,
celle-ci s’opérant via des requêtes WMI… Get-WmiObject : Access is denied. (Exception from
HRESULT: 0×80070005 (E_ACCESSDENIED))
Voici donc quelques astuces.
La première est de tester les identifiants, c’est assez simple, il suffit de lancer la commande
suivante:
[bash]
net use \\monserveur \ADMIN$ /u: »mondomaine\monuser » « monmotdepasse »
[/bash]
Bien entendu les services RPC et WMI doivent être lancés:
[bash]
net start rpcss && net start winmgmt
[/bash]
Utilitaire de test WMI
Microsoft propose en standard l’utilitaire WBEMtest mais reste assez « barbare », mais l’éditeur de
PRTG propose gratuitement un utilitaire de requête WMI pour tester des connexions vers des
machines.
Cet outil est disponible ici.
Activation des DCOM distribués
Lancez la console dcomcnfg, et vérifier que le premier paramètre est bien activé !
Vérifications des autorisations WMI
Si vous utilisez un service ou un compte devant accéder en WMI à une machine, il faut s’assurer que
cela soit bien déclarér au niveau des sécurités WMI. Pour cela, lancer la console wmimgmt.msc.Il
faut au minimum les autorisations »activer le compte » et « appel à distance autorisé ».
Reconstruire le service WMI
J’ai trouvé ce script sur le net, à prendre avec des pincettes pour vos environnements, mais il m’a
l’air assez clean. Mais avant lancez la commande suivante pour effectuer une vérification de
cohérence de l’espace de stockage WMI et reconstruit celui-ci si une incohérence est détectée. S’il
est lisible, le contenu de l’espace de stockage incohérent est fusionné à l’espace de stockage
reconstruit.
[bash]
winmgmt /salvagerepository
[/bash]
Le script en question:
[bash]
Echo Rebuilding WMI… Please wait. > c:\SW_Setup.log
net stop sharedaccess >> c:\SW_Setup.log
net stop winmgmt /y >> c:\SW_Setup.log
cd %systemroot%\system32\wbem >> c:\SW_Setup.log
del /Q Repository >> c:\SW_Setup.log
c:
cd %systemroot%\system32\wbem >> c:\SW_Setup.log
rd /S /Q repository >> c:\SW_Setup.log
regsvr32 /s %systemroot%\system32\scecli.dll >> c:\SW_Setup.log
regsvr32 /s %systemroot%\system32\userenv.dll >> c:\SW_Setup.log
mofcomp cimwin32.mof >> c:\SW_Setup.log
mofcomp cimwin32.mfl >> c:\SW_Setup.log
mofcomp rsop.mof >> c:\SW_Setup.log
mofcomp rsop.mfl >> c:\SW_Setup.log
for /f %%s in (‘dir /b /s *.dll’) do regsvr32 /s %%s
for /f %%s in (‘dir /b *.mof’) do mofcomp %%s
for /f %%s in (‘dir /b *.mfl’) do mofcomp %%s
mofcomp exwmi.mof >> c:\SW_Setup.log
mofcomp -n:root\cimv2\applications\exchange wbemcons.mof >> c:\SW_Setup.log
mofcomp -n:root\cimv2\applications\exchange smtpcons.mof >> c:\SW_Setup.log
mofcomp exmgmt.mof >> c:\SW_Setup.log
net stop winmgmt >> c:\SW_Setup.log
net start winmgmt >> c:\SW_Setup.log
gpupdate /force >> c:\SW_Setup.log
Echo Setting up fireall… Please wait. >> c:\SW_Setup.log
netsh firewall set service remoteadmin enable >> c:\SW_Setup.log
Echo Enable Ping >> c:\SW_Setup.log
netsh firewall set icmpsetting 8 >> c:\SW_Setup.log
Echo Dcom setup >> c:\SW_Setup.log
reg add HKLM\SOFTWARE\Microsoft\Ole /v LegacyAuthenticationLevel /t REG_DWORD /d « 2″ /f >>
c:\SW_Setup.log
reg add HKLM\SOFTWARE\Microsoft\Ole /v LegacyImpersonationLevel /t REG_DWORD /d « 3″ /f >>
c:\SW_Setup.log
Echo Windows7 / Vista Stuff… Please ignore if you are not using. >> c:\SW_Setup.log
Echo Disable UAC >> c:\SW_Setup.log
%windir%\System32\reg.exe
ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t
REG_DWORD /d 0 /f >> c:\SW_Setup.log
Echo Win7 Firewall setup >> c:\SW_Setup.log
netsh advfirewall set currentprofile settings remotemanagement enable >> c:\SW_Setup.log
netsh advfirewall firewall set rule group= »windows management instrumentation (WMI) » new
enable=Yes >> c:\SW_Setup.log
netsh advfirewall firewall set rule group= »remote administration » new enable=yes >>
c:\SW_Setup.log
Echo Please check the log c:\SW_Setup.log for any issues. >> c:\SW_Setup.log
Echo If using Windows7 or Vista please reboot. >> c:\SW_Setup.log
Echo Check winmgmt is started, there were problems with it not starting on win7 >>
c:\SW_Setup.log
net start winmgmt >> c:\SW_Setup.log
echo Resetting Automatic Updates >> c:\SW_Setup.log
net stop bits
net stop « Automatic Updates »
REM Automatic Updates for those German Users
net stop wuauserv
del /f /s /q %windir%\SoftwareDistribution\*.*
echo.
echo.
net start bits
net start « Automatic Updates »
net start wuauserv
echo Forcing AU detection and resetting authorization tokens… >> c:\SW_Setup.log
wuauclt.exe /resetauthorization /detectnow
[/bash]
Sinon, pour faire plus simple, il suffit de détruire le dossier contenant WMI
[bash]
Net Stop WinMgmt /y
Ren %WinDir%\System32\Wbem\Repository %WinDir%\System32\Wbem\OldRepository
Net Start WinMgmt /y
[/bash]
Un ré-enregistrement des binaires et DLL peut être également nécessaire
[bash]
for %i in (*.dll) do RegSvr32 -s %i
for %i in (*.exe) do %i /RegServer
[/bash]
Windows 8 - raccourcis clavier & How-To
J’espère ne pas vous apprendre que Windows 8 est désormais
téléchargeable (ici) en version CTP. Windows 8, c’est comparable
au saut que nous avons connu entre Windows XP et Vista, nouvelle
interface, gros changements des habitudes, etc… Windows 8
n’échappe pas à la règle, et la nouvelle interface METRO en déroute certains, moi le premier. Il faut
dire que Microsoft nous a habitué au menu démarrer depuis Windows 95, soit plus de 15 ans !
Difficile donc, de ne plus avoir avoir à traiter avec notre bouton « démarrer » adoré/détesté (rayer la
mention inutile).
Bref, voici un billet regroupant l’ensemble des raccourcis clavier censés nous aidez à palier à la
disparition du défunt menu démarrer, quelques How-To, mais aussi un tuyau pour faire réapparaitre
le menu démarrer.
Les raccourcis clavier
– Retour à l’interface Metro
+ 1,
vers la droite
+ 2, … - Lance les programmes dans la barre des tâches en partant de la gauche
+ C - Apparition du menu « Charms »
+ E – Affiche l’explorateur
+ F et/ou W - Lance la recherche
+ I - Lance la panneau de configuration rapide
+ L - Verrouillage de la session
+ M et/ou D – Minimise l’application sélectionnée – Basculer en mode classique –
Cache/affiche toutes les applications
+ O - Modification/verrouillage de l’orientation (tablette)
+ P - Affiche le menu de projection / affichage
+ A - Affiche le panneau des applications
+ R - Lance une fenêtre de commande
+ U - Lance les options d’ergonomie
+ H - Lance le panneau de partage
+ X - Affichage des principales fonctionnalités
+ ← → ↑ ↓ - Manipulation de fenêtres
+ ← → - Bascule d’une fenêtre d’un écran à l’autre
+ HOME - Minimise toutes les fenêtres sauf celle active
+ K - Affiche les options de certains périphériques
+ ESPACE – Basculer la/les langue(s) du clavier
+ ENTREE – Affiche le narrateur
+ + / – - Affiche la loupe (zoom avant/arrière)
+ PAUSE – Affiche la fenêtre « système »
+ IMPR ECR – Capture l’écran et l’enregistre dans Mes Images au format PNG
CTRL + SHIFT + ESC - Affiche le gestionnaire des tâches
+ . – Basculer entre les applications du bureau (à droite de l’écran ajouter SHIFT pour la
gauche)
+ TAB – Basculer entre toutes les applications (bureau & Metro)
Vous pouvez télécharger ici un document synthétique.
Les How-To – spécial Windows 8
Pour aider les utilisateurs à monter rapidement en puissance vis-à-vis de leur expérience de travail
avec Windows 8 mais aussi de trouver des raccourcis, Microsoft vient de publier une série de HowTo sur Windows 8 ! Merci à Laurent Gébeau pour le lien !
Windows 8 How To: 1. Switch Between Metro UI and Desktop Mode
Windows 8 How To: 2. Switch Between Apps or Snap Apps
Windows 8 How To: 3. How to Power Off Your Device
Windows 8 How To: 4. Show and Access the Control Panel
Windows 8 How To: 5. Show and Access Administrative Tools
Windows 8 How To: 6. Show All Apps
Windows 8 How To: 7. Switch Between Windows Accounts and Local Accounts
Windows 8 How To: 8. Set up a Picture Password
Windows 8 How To: 9. Set Up a Printer
Windows 8 How To: 10. Customize Metro UI – App Tiles and Groups
Windows 8 How To: 11. Install Language Packs for Multilingual Support
Windows 8 How To: 12. Show and Use “Run” Command
Windows 8 How To: 13. Show and Use cmd Prompt (DOS Mode)
Windows 8 How To: 14. Show and Use PowerShell
Windows 8 How To: 15. Show and Use Desktop Applications
Windows 8 How To: 16. Install .NET 3.5 and Windows Live Essentials
Windows 8 How To: 17. Add New Tab or New InPrivate Tab in Metro Style IE Browser
Windows 8 How To: 18. Configure WiFi Connection and Airplane Mode
Windows 8 How To: 19. Show Hidden Files, Folders and Drives
Windows 8 How To: 20. How to Start Windows 8 in Safe Mode
Windows 8 How To: 21. Install and Uninstall Metro Style Apps
Windows 8 How To: 22. Enable or Disable Sharing Between PCs Using HomeGroup
Windows 8 How To: 23. Find and Use Windows Help and Support
Windows 8 How To: 24. Show and Configure Free Anti-Virus App (Windows Defender)
Windows 8 How To: 25. Show and Enable Split Touch Keyboard (On-Screen)
Windows 8 How To: 26. Set up Remote Desktop Connection
Windows 8 How To: 27. Backup your Files Using File History
Windows 8 How To: 28. Restore Files Using File History
Windows 8 How To: 29. Restore System to a Previous State Using Restore Point
Windows 8 How To: 30. Restore your Device using Refresh and Reset
Restaurer le menu démarrer
L’excellent Lee Chantrey nous gratifie d’un utilitaire simple qui permet de restaurer le menu
démarrer, pour ceux qui sont perdus. J’ai testé d’autres utilitaires, celui-ci fonctionne le mieux car
les autres ne fonctionnent pas ou sont détectés comme étant des Malwares.
+ L - Verrouillage de la session
Pilotez jusqu'à 4 PC à l'aide d'un
clavier/souris
Nous sommes nombreux, je pense, à disposer de plusieurs ordinateurs sur un seul et même bureau.
Du coup, on a 2 voire plusieurs ensemble clavier/souris sur notre (petit ?) bureau… A titre personnel,
acheter un KVM peut représenter un certain budget. Et bien sachez que Microsoft peut vous faire
faire l’économie d’un KVM. En effet, le logiciel Microsoft Garage Mouse Without Borders est une
solution KVM logicielle qui peut piloter jusqu’à 4 PC.
Cette application permet ainsi de passer naturellement d’un écran à un autre, c’est assez bluffant !
Et même d’en prendre le contrôle, de capturer des écrans (screenshots).
Les étapes d’installation sont très simples à mettre en oeuvre !
Lancez l’installation sur les Pc
Un code peut être trouvé en allant dans les settings
(systray) du Pc distant
A télécharger ici.
Utilitaire de réparation pour Windows
Je vous avais présenté à l’époque Dial-a-fix qui est un petit logiciel tout simple qui peut
vous sortir de bien des situations embarrassantes lorsque Windows est perturbé.
Malheuresement, cet excellente utilitaire n’est pas compatible avec les versions les plus
récentes de Windows.
*** FRENCH *** Suite à différents messages postés sur Internet, je tiens à rendre à César ce qui
appartiens à César, et pour éviter toute confusion, cet utilitaire n’a pas été crée par mes soins,
mais par Team Rocket Ops, c’est très important à mes yeux ! Je n’ai fais que relayer l’information
à propos de cet excellent utilitaire !
*** ENGLISH *** I’m not the developper of CAT ! It’s an absolute confusion !!!!! The real
developper is teamrocketops from https://sourceforge.net/projects/crisistool/ It’s important for me
to precise this point !
Je vous présente donc CAT – Crisis Aversion Tool, toujours portable et permet de réparer Windows
Installer, bien pratique quand vous ne pouvez pas implanter un nouveau programme dans votre
système. Il peut également retaper Windows Update et Windows Automatic Update (WU et WAU),
jeter un œil sur une implémentation SSL endommagée, de corriger les problème avec certaines DLL
(ActiveX, DirectX, Explorer, etc), ou encore d’activer Windows Installer en mode sans échec !
Bref, un must have à télécharger d’urgence ici.
BOOT on VHD - Configuration rapide
Cette fonctionnalité sympathique permet de booter sur un VHD. Quelques lignes de commandes
seulement pour arriver à vos fins:
■
■
■
■
■
■
■
■
Disposer d’une image préalablement « Sysprepée » (SYSPREP /GENERALIZE)
Lancez un invite de commande
Rajout de l’entrée dans le boot manager => bcdedit /copy {Default} /d « Mon Windows 7″
un GUID sera généré – copier/coller la valeur
Déclarez ensuite les emplacements de fichiers VHD
bcdedit /set {guid_généré} device vhd=[c:]\dossier\monwindows7.vhd
bcdedit /set {guid_généré} osdevice vhd=[c:]\dossier\monwindows7.vhd
Pour vérifier bcdedit /v ou /enum
Diagnostiquez vos machines avec perfmon
en 60 secondes chrono
Perfmon ou Performance Monitor est l’outil intégré par excellence pour monitorer les performances
d’une machine. L’outil a fait beaucoup de progrès depuis les premières versions, et une commande
peu connue vous permettra d’obtenir une rapport complet en 60 secondes de n’importe quelle
machine.
La commande perfmon /report analyse votre machine pendant 60 secondes et génère à l’issue de
l’analyse un rapport complet qui peut peut même être envoyé par email.
L’outil collecte des informations sur:
■
■
■
■
les performances à l’instant T
les services lancés
les ports TCP/IP ouverts….
bref, toutes les informations habituellement disponibles avec perfmon
A noter que le rapport généré en HTML n’est pas statique, il est donc possible de trier des valeurs
par ordre logique.
Bref, le genre d’outil à lancer avec netdiag et dcdiag pour avoir un état précis du serveur.