FAQ Magret

2011
MAGRET –Rassemblements des Gestionnaires réseau
Foire aux Questions
GP - TC
Mission TICE
11/2011
Table des Matières
1 PARAMETRAGE ET FONCTIONNEMENT DES OUTILS PEDAGOGIQUES ....................... 2
2 PARAMETRAGES DES OUTILS DE GESTION ............................................................... 3
3 PARAMETRAGES DES GPO ....................................................................................... 4
4 PROFILS DES UTILISATEURS...................................................................................... 5
5 INSTALLATION DE LOGICIELS .................................................................................... 5
6 PARAMETRAGE DES NAVIGATEURS .......................................................................... 6
7 PARAMETRAGES DU SERVEUR ................................................................................. 6
8 DEPLOIEMENT DES IMPRIMANTES........................................................................... 6
9 DIVERS .................................................................................................................... 7
Introduction
Cette FAQ est issue des échanges entre les Gestionnaires des réseaux pédagogiques de l’Académie de Toulouse
lors des rassemblements de novembre 2011. Elle traite des points soulevés couramment et essaye d’apporter
des réponses constructives.
De nombreuses suggestions d’évolutions de Magret nous ont été faites et seront bientôt concrétisées dans une
nouvelle sous-version de la V8.
N’hésitez pas à nous faire part de vos remarques sur la liste de diffusion de Magret : [email protected] (inscription auprès de [email protected])
1
1. PARAMETRAGE ET FONCTIONNEMENT DES OUTILS PEDAGOGIQUES
Chaque fois qu’un utilisateur se connecte ou qu’il lance un outil pédagogique, il doit acquitter un message
« La sécurité de cette application n’a pas été vérifiée. Voulez-vous l’exécuter ? »
C’est parce que Magret a été mis à jour sans prendre la précaution de « Débloquer » l’archive téléchargée. Tous
les composants sont alors marqués comme potentiellement dangereux, d’où l’avertissement. Il faut refaire une
mise à jour en débloquant l’archive ou dans les cas graves, utiliser l’outil stream.exe
(http://technet.microsoft.com/en-us/sysinternals/bb897440 ) pour nettoyer les modules de Magret.
Comment paramétrer la taille des pièces jointes dans la messagerie interne ?
Ce paramétrage s’effectue dans la stratégie Utilisateurs (ou Enseignants, Elèves) : Applications
Magret\Fonctionnalités Magret Utilisateurs\Messagerie interne.
On observe des dysfonctionnements de la Messagerie V8 : Vous avez un nouveau message et rien dans le
dossier réception !?
Dans la version V8 de Magret, les dossiers de la messagerie interne sont maintenant dans le partage de
l’utilisateur. Mais si subsistent les clients V7 sur la station en parallèle avec les clients V8, et si le partage BAL$
n’a pas été supprimé on observe de tels dysfonctionnements...
Adminsta n’est plus averti lorsqu’il reçoit de nouveaux messages !
Vérifier que magretclientutilisateur est bien activé par GPO pour l’OU Administrateurs, ce qui est souvent
oublié lors des migrations V7 V8.
Contrôle Stations fonctionne mal ?
Bien vérifier qu’aucun pare-feu n’est actif sur la station.
Ecran noir ne fonctionne pas (Magret 8 OS 2008) ?
Vérifier l’homogénéité des clients magret (utilisateur et station) sur les stations et des consoles, pas de clients
V7 et V8 simultanés, pas de pare-feu actif.
Comment avoir plusieurs propriétaires dans un atelier Magret ?
Il n’y a qu’un propriétaire d’un atelier, celui qui l’a créé. Mais avec l’outil de gestion des ateliers (dans la
rubrique Mes Outils de la console enseignant) un clic droit sur le nom d’un atelier ouvre une boîte de gestion
des droits qui permet de donner des droits équivalents au propriétaire à un membre. Il y a beaucoup d’autres
possibilités : se référer au fichier d’aide.
Quels sont les fichiers à diffuser pour utiliser les outils déportés de Magret sur une machine hors domaine?
Sur le site de Magret http://pedagogie.ac-toulouse.fr/tice/reseaux/reseaulocal/magret/Usages.htm on peut
télécharger les packages à implanter sur des stations ou portables hors domaine. Il suffira de lancer un
raccourci vers la console enseignant ou utilisateur avec le paramètre /p.
Comment implémenter des boutons d’accès à l’ENT, ou à des sites Web dans les consoles enseignant ou
utilisateur ?
Le paramétrage de ces boutons s’effectue dans MagretServeur, rubrique Services extérieurs. On peut détourner
certains boutons en éditant directement le fichier magret.cfg.
Comment imposer le navigateur pour ouvrir l’ENT ?
Une directive européenne interdit d’imposer un navigateur par défaut aux éditeurs d’OS.... Il n’y a donc pas de
stratégie pour imposer un navigateur à l’utilisateur mais seulement pour éviter les questions redondantes « XX
n’est pas votre navigateur par défaut, voulez-vous...etc. ». Par contre on peut paramétrer le fichier magret.cfg
pour qu’il ouvre les sites Web paramétrés dans les consoles avec un navigateur préféré : rajouter Navigateur1
(2) (3) (4) = <chemin>\<exe> dans la section correspondante de magret.cfg.
2
2 PARAMETRAGES DES OUTILS DE GESTION
Mon inventaire remonte- t’il ? Comment le mettre en œuvre ?
Dans le Menu démarrer\programmes\démarrage des modèles, on place un raccourci vers
J:\Ressource\litstation.exe. Une erreur fréquente : ce raccourci pointe vers Y:\Winappli ou D:\Winappli. Les
utilisateurs du domaine doivent également avoir des droits en modification sur J:\Ressource\Gestion du Parc.
Un fichier Envoi.txt consigne les événements d’envoi dans C:\Magret\Commun\Services.
Comment inventorier des stations hors-domaine ?
On place l’exécutable LitStation.exe sur une clef USB et on créée un raccourci avec le paramètre /1.
Comment diffuser un message général à l’ensemble des utilisateurs ?
Dans C:\Magret\Commun\Messagerie il suffit de placer un fichier Infoconnect.txt. Il sera lu une fois par chaque
utilisateur jusqu’à ce qu’il soit modifié.
Il existe également un logiciel AVE (avé, salut en latin, merci à F. CABANEL), qui permet d’afficher texte et image
pendant le déroulement du script de connexion de l’utilisateur. Voir http://www.prtice.info/?Presentation,129
La fonctionnalité « Fermer votre session distante » lorsqu’un utilisateur tente de se connecter sur une
deuxième station échoue. A l’inverse, un utilisateur qui vient de se déconnecter a un message comme quoi il
est toujours connecté ailleurs !?
Le nouveau service SrvLogPwd inclut une option DSC (disable shadows connections) plus efficace
qu’auparavant. Il ferme d’autorité les fichiers laissés ouverts sur le serveur par divers processus, à la fermeture
de session. Pour activer cette option, à partir de MagretServeur, dans la rubrique Gestion avancée\Mise à jour
d’un service Magret, choisir Srvlogpwd et cocher la case DSC. Même si le service n’a pas changé de version, le
paramètre DSC sera alors actif. Il est également nécessaire que le correctif UPHClean soit installé sur les
stations XP.
Dans Ecran Noir, la fonction Eveil des stations n’a aucun effet sur les vieilles machines ?
Il faut que le bios des stations intègre le Wake On Lan et l’activer.
Comment allumer les stations automatiquement ? Comment ne pas éteindre les stations pour la soirée des
conseils de classe ?
L’heure d’extinction des stations est gérée par une GPO Ordinateurs. Si l’on désire allumer ou éteindre les
machines selon un planning précis, on dispose de l’outil MagEveilStations. On élabore un planning avec
MagFicEveil qui génère des scripts d’allumage ou d’extinction des stations utilisant les commandes de tâches
planifiées :
-avec MagFicEveil créer le fichier des stations que l'on veut éveiller (ou éteindre) et celui des jours où
on veut le faire
-copier MagEveilStations.exe sur le serveur dans C:\Magret avec les deux fichiers txt
pour éveiller :
-en ligne de commande, programmer la tâche à 7h55 les jours ouvrables
AT 07:55 /interactive /every:lundi,mardi,mercredi,jeudi,vendredi C:\Magret\MagEveilStations.exe
stations.txt dates.txt
pour éteindre :
-en ligne de commande, programmer la tâche à 21h05 les jours ouvrables (options /off)
AT 21:05 /interactive /every:lundi,mardi,mercredi,jeudi,vendredi C:\Magret\MagEveilStations.exe
stations.txt dates.txt /off
pour effacer les tâches programmées
AT /DELETE
Attention, selon l’OS et l’option régionale des serveurs, le paramètre /every attend lundi, mardi,...ou Monday,
Tuesday,....
Une prochaine version des clients Magret, permettra d’éteindre les stations inutilisées au bout d’un laps de
temps à paramétrer par GPO.
3
Comment interdire l’exécution de certains programmes par les utilisateurs ?
Il existe l’outil Applications Interdites, accessible aussi bien à l’administrateur des stations (Adminsta) qu’aux
enseignants lorsqu’on sélectionne dans les consoles un ensemble d’élèves, mais cela suppose qu’Adminsta ait
renseigné la liste des applications.
Il existe également une GPO « Ne pas exécuter les applications Windows spécifiés », ou l’on peut déclarer des
programmes génériques install.exe, setup.exe, etc..
Si l’on souhaite maîtriser également le lieu de lancement d’un exécutable (clef usb, CD,..) il existe un outil
paramétrable : Trust-no-Exe (http://www.beyondlogic.org/solutions/trust-no-exe/trust-no-exe.htm ).
Mode d’emploi (JM BIANSAN) :
1) - Mise en œuvre de TNE: on télécharge sur une station, on décompresse, et on lance le install.exe.
- Une fois installé, dans le panneau de configuration, il y a une icone "trust no exe" qui permet d'accéder à la
configuration.
- On complète "access list": on donne la liste des dossiers qui seront les seuls contenant des exe qui pourront
être exécutés. On peut mettre des chemins UNC. Il faut y mettre entre autres c:\program files, c:\windows,
\\serveur01\winappli, \\serveur01\netlogon, le répertoire des packages si on utilise des msi installé par gpo, le
répertoire partagé de trend sur le serveur...et d'autres selon votre situation. Attention pour les lecteurs mappés
sur un partage, il faut mettre le nom UNC du partage, pas le lecteur mappé.
La "deny list" permet d'interdire un sous-dossier à l'intérieur d'un dossier de la "access list".
- Le logiciel fonctionne en service, mais il n'apparait pas dans la liste des services des outils d'administration, il
faut passer par l'icone TNE du panneau de configuration pour l'arrêter (il démarre automatiquement). Seul un
administrateur peut l'arrêter.
- On peut aussi lui dire d'aller écrire une alerte dans le journal des événements en cas de tentative de
lancement d'un exécutable à partir d'un dossier non autorisé.
- Une fois installé et bien configuré sur un poste, on peut récupérer la clé
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bltrust]
avec les chaines "DenyExeString", "UseEventLog" et la sous-clé
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bltrust\allow] avec tout son contenu pour en
faire un reg et le diffuser par magsys.bat sur les autres machines.
- Depuis cette 1ère machine, on peut aussi lancer l'installation à distance sur les autres machines, ou la faire
directement sur chaque machine (pas besoin de configurer si on descend le reg fabriqué sur la 1ère machine,
l'installation est donc très rapide).
2) Avantage: très efficace, plus de problème d'exe lancés depuis des clés usb
3) Inconvénient : très efficace. Je veux dire par là que tout se monde se prend les restrictions, administrateur
compris; si on veut accéder au x: ou au y: en adminsta, il faut arrêter TNE en passant par le panneau de
configuration.
Faut-il mettre systématiquement les Utilisateurs du domaine dans le groupe des utilisateurs avec pouvoir
des stations, pour être certain du lancement de certaines applications locales?
Non, car dans ce cas, les stations seront rapidement dégradées par les utilisateurs... Il vaut mieux privilégier le
lancement des applications complexes (ex : Solidworks, manuels numériques, applications utilisant une source
Twain,etc..) par MagicUser qui lance le programme avec le compte System Local. Voir la documentation Outils
Divers.
Où trouver une documentation d’utilisation de la console de l’antivirus TREND ?
On ne trouve sur le site Web du CRIA qu’une documentation d’installation. Pour l’usage de la console TREND
voir : http://www.ac-nantes.fr/27647957/0/fiche___pagelibre/&RH=1241420395549 .
3 PARAMETRAGES DES GPO
Existe-t-il une GPO pour paramétrer le bouton d’arrêt des stations W7 ?
Modèle d’administration Magret Utilisateurs 8002 : Menu Démarrer et Barre des tâches\ Fonctionnalités
Menu Démarrer et barre des tâches spécifiques W7\Paramétrer le bouton d’alimentation de W7.
4
Existe-t-il une GPO pour bloquer l’envoi de messages par Net Send ?
Modèle d’administration Magret Ordinateurs 8002 : Services \Désactiver le service d'affichage des messages
NET SEND.
Peut-on gérer le papier peint par GPO sur XP et W7 ?
Oui, par la GPO « Laisser Magret gérer le papier peint ». C’est le « magretclientstation » qui se chargera
d’afficher à l’ouverture de session l’image choisie.
Pourquoi y-a-t ‘il plusieurs Mes Documents dans le volet droit du menu démarrer ?
Parce que les GPO de redirections d’environnement vers Mes Documents, Ma Musique, Mes Images, Mes
vidéos pointent toutes vers %HOMESHARE%\Travail. On peut les rediriger vers %HOMESHARE%\Travail\Mes
Images, etc.
Depuis le passage à Magret V8, Open Office ne fonctionne plus, on ne peut plus télécharger depuis les
navigateurs, etc. !??
Si les GPO de redirections des caches de fichiers temporaires sont activées et les redirigent vers C:\Cache ou
C:\Windows\Temp au lieu de les enregistrer chez l’utilisateur (ce qui évite un accroissement exagéré des
espaces personnels), il faut s’assurer que les utilisateurs du domaine aient des droits d’écriture sur ces dossiers
de caches. La pose des sécurités sur ces dossiers peut s’effectuer de manière centralisée, par GPO
Ordinateurs\Paramètres Windows\Options de sécurité\Système de fichiers.
4 PROFILS DES UTILISATEURS
OOo demande l'enregistrement de l'utilisateur systématiquement !
C’est parce que l’utilisateur Mod_loc qui a servi à mettre en place le profil centralisé dans
\\serveur01\Netlogon\Default User n’avait pas ouvert et paramétré OOo. Les nouveaux utilisateurs qui
récupèrent ce profil devront donc suivre les étapes d’enregistrement du logiciel, ce qui est néanmoins
formateur...
Deux solutions :
- reprendre la fabrication du profil centralisé, effacé le profil (Winconf) de tous les utilisateurs avec
MagretConsole en sélectionnant tous les élèves puis tous les profs, en utilisant l’onglet
Environnement.
- Connecter Mod_elv ou Mod_prof, paramétrer l’ouverture d’OOo et transmettre avec cet onglet
Environnement le dossier Appdata\Open Office à tous les utilisateurs.
A noter que les versions récentes (3.3 et 3.4) ne sont pas compatibles avec les profils itinérants. Leur préférer
la suite Libre Office http://fr.libreoffice.org/ .
OOo affiche un message à l'ouverture concernant la récupération d’un fichier ! Le lancement d’OOo est très
lent ?
Effacer soit tout le profil de l’utilisateur, ou rechercher et éradiquer des fichiers de type ~fichier.odt dans son
espace personnel.
5 INSTALLATION DE LOGICIELS
Comment mettre à jour Adobe Flashplayer, Java, etc... ?
Consulter l’excellent site de Thierry BERNES : http://thierry.bernes.free.fr/reseau/articles.php?lng=fr&pg=69
Faut-il tout déployer par GPO et msi ?
Non, l’emploi des msi doit être mesuré. Trop de packages nuisent à la rapidité du démarrage de la station. Un
paquet msi supprimé empêche la désinstallation du logiciel (dans ce cas il faut utiliser des outils tiers comme
http://www.pcloisirs.eu/windows_installer_cleanup.htm ).
5
Il faut également éviter de surcharger Netlogon en paquets msi, ce qui grève énormément ensuite le temps de
réplication d’Active Directory lors d’une migration de serveur. Magret génère à son installation une ressource
sur D : \\Serveur01\Packages destinée au déploiement.
Charly graal ne fonctionne plus sous W7 !
On peut tenter l’encapsulation du logiciel dans un micro-système d’exploitation avec ThinAPP de VMWARE, ou
générer une application portable avec http://freewares-tutos.blogspot.com/2006/12/crez-vos-propresapplications.html
6 PARAMETRAGE DES NAVIGATEURS
Comment rendre accessible YouTube aux profs et pas aux élèves ?
Si la liaison Magret Slis est en place, on peut créer une règle de filtrage spécifique pour la salle des profs avec
You Tube dans une base qui sera en « Laisser Passer », au sommet de la règle. Pour les autres stations, la base
You Tube sera en « Bloquer » dans la règle par défaut.
Comment transférer les paramètres d’Internet Explorer à Firefox ?
Tous ces paramétrages ont été développés dans la documentation « Mise en œuvre de la complémentarité
Magret ENT » sur http://pedagogie.ac-toulouse.fr/tice/reseaux/reseaulocal/magret/gestion.htm .
7 PARAMETRAGES DU SERVEUR
L’observateur d’évènement affiche de nombreuses erreurs W32time ?
Il faut réaliser la synchronisation temporelle du serveur sur une source de temps externe fiable.
Sur les serveurs W2003, en ligne de commande :
Net stop W32time
Net time \\serveur01 /domain :d-Etablissement /setsntp :ntp.laas.fr
Net Start W32time
Sur les serveurs W2008 R2 x64, en ligne de commande :
Net stop W32time
W32tm /config /syncfromflags:manual /manualpeerlist:ntp.laas.fr
Net Start W32time
8 DEPLOIEMENT DES IMPRIMANTES
Les scripts habituels pour des imprimantes partagées utilisant Con2prt depuis
\\Serveur01\Netlogon\Stations\Imp et appelés dans les scripts de connexion des utilisateurs ne fonctionnent
pas sous W7 !!
C’est vrai...mais ils fonctionnent s’ils sont implantés directement sur la station dans le menu démarrage de
l’utilisateur %Public%. Ce menu est accessible dans C:\Program Data\Microsoft\Windows\Menu
Démarrer\Programmes\Démarrage. (parfois dans ...\Start Menu\.... si les options régionales n’ont pas été
activées).
Attention à la première exécution du script sur les stations, si le driver est envoyé par la station qui partage
l’imprimante, il faudra accepter l’installation du driver, en ayant connecté Adminsta.
6
De plus en plus fréquemment, les équipes Aidat installent des serveurs d’impression (souvent virtualisés).
Prochainement une documentation plus complète sera consacrée à ce vaste sujet du déploiement
d’imprimantes....
9 DIVERS
Quels sont les quantités de RAM utilisables sous W2003 et W2008 ?
Pour les éditions Standard : 4Gb pour W2003 (x86) et jusqu’à 32Gb pour W2008 R2 (x64).
Certaines de mes stations Fujitsu s’arrêtent et redémarrent inopinément !
Le problème est connu et lié à un condensateur sur la carte mère....
Une station refuse son intégration au domaine !
Vérifier si elle ne possède pas déjà un compte dans Active Directory, si oui le supprimer. Recloner la station par
précaution.
Comment peuvent cohabiter sur le réseau les stations XP et W7 ? Quel est ce dossier Environnement créé
chez les utilisateurs ?
Les documentations d’installation des stations W7 et les documentations de migration V7 V8 expliquent ces
points en détail. Elles sont disponibles dans le CD de Magret : Outils\Documents\Fichiers PDF.
7