Vue d’ensemble d’Active Roles 7 et présentation du module Office 365 de Metsys

Bonjour à tous

Cet article a pour but de vous présenter les nouveautés d’Active Roles 7 ainsi que les principales fonctionnalités du module Office 365 développé par Metsys.

1. Active Roles 7 :
Active Roles peut être téléchargé (version d’évaluation sans limitation de fonctionnalités) depuis le site de Dell Software à l’adresse suivante :
http://software.dell.com/products/active-roles
On notera que le produit ne s’appelle plus ActiveRoles Server mais Active Roles.

2. Un déploiement simplifié avec la console Active Roles Configuration Center
Le nouveau mode de déploiement est top. On installe tout d’abord la console Active Roles Configuration Center et les modules PowerShell associés. La configuration du service d’administration et de l’interface web se font ensuite depuis cette nouvelle interface ou en PowerShell.

image012

image014

image016

Depuis la console Active Roles Configuration Center, il est maintenant possible de configurer le mappage entre les répertoires virtuels IIS et les différentes configurations d’interface web Active Roles (outil d’administration séparé dans les versions précédentes).

image018

Il est aussi possible d’activer tous les différents fichiers de logs pour le dépannage avancé de la solution.

image028

3. Une nouvelle interface web plus moderne !
La nouvelle interface est au standard Dell.
Le menu centrale (avec toutes les commandes comme Rename user, Edit user…) disparaît au profit d’un menu à droite de l’écran.
Ce menu de droite peut être masqué (très pratique sur les petits écrans).
On notera qu’il est maintenant nécessaire de sélectionner les objets (comptes utilisateurs, groupes, comptes ordinateurs) pour effectuer les changements.
Le menu de droite affiche uniquement par défaut les commandes pour l’OU / conteneur parent.
Les fonctionnalités de personnalisation de l’interface web évoluent peu cependant (toujours basées sur des fichiers XML stockés au niveau de l’objet CN=Web Interface,CN=Application Configuration,CN=Configuration.
On peut créer des nouvelles commandes, masquer certains éléments dans le menu de gauche comme l’affichage du conteneur Managed Unit ou AD LDS.

image029

image030

image032

image033

On peut limiter le nombre d’objets à pré-calculer. Cela permet de bien meilleure performance dans l’affichage des OU contenant un très grand nombre d’objets.

image037

4. Les Workflows, policies et les scripts modules
Les workflows s’appuient sur des activités (Modify user, Move User, Create object, Add to group, exécution de scripts).
Active Roles permet maintenant de disposer de 2 nouvelles activités Save Objects Properties et Modify Requested Change.
Ces deux activités permettent de comparer la valeur d’un objet avant et après le changement effectué par une activité du workflow (change user). Cela permet d’éviter l’utilisation de scripts modules Active Roles basés sur les objets $Request, $DirObj et $Workflow (SDK d’Active Roles 7). Metsys peut vous accompagner dans l’écriture de script modules pour Active Roles.
On notera qu’il est maintenant possible de lancer un script PowerShell avant le démarrage du workflow.

image038

image039

Active Roles 7 n’intègre pas de changement au niveau du moteur de scripts, Policies. Les anciens scripts / Policies Active Roles fonctionnent donc toujours avec la version 7.

5. Refonte complète du module Exchange / Lync
L’intégration de Lync est maintenant simplifiée avec Active Roles .
On notera cependant qu’Active Roles 7 ne supporte toujours pas Exchange 2016 et Skype for Business 2015 comme expliqué dans cette article :
https://support.software.dell.com/active-roles/kb/181755
Metsys peut cependant sur demande développer des commandes web personnalisées (basées sur des scripts modules) pour prendre en charge Exchange 2016 et/ou Skype For Business.

6. Intégration de Quick Connect dans Active Roles
Quick Connect
(produit séparé) est maintenant intégré à Active Roles 7, se nomme maintenant Active Roles Synchronization Services et devient gratuit.
Dell a  cependant arrêté le développement de tous les connecteurs non Microsoft (Oracle…). Ces derniers ne sont donc pas inclus / compatibles avec Active Roles 7.
On notera qu’il y a toujours une console séparée pour Active Roles Synchronization Services. Le module PowerShell pour Active Roles Synchronization Services est aussi installé de base maintenant.

image047

7. Le module Office 365 de Metsys
Dell fournit un module Office 365 pour Active Roles mais ce dernier permet en pratique que d’assigner des licences Office 365. Il est disponible à l’adresse suivante : https://support.software.dell.com/active-roles/kb/196052
Il s’appuie sur Synchronization Services et son connecteur Office 365 pour exécuter des commandes PowerShell Azure Active Directory.

Le module Office 365 de Metsys part d’un principe totalement différent.
La solution Active Roles est une sorte d’interface web personnalisable qui s’appuie sur un interpréteur de commande PowerShell.
Il est donc tout à fait possible de créer des fomulaires web personnalisés qui exécutent des commandes PowerShell Exchange Online, Skype For Business Online, Azure Active Directory.
Le module Office 365 de Metsys est présenté en détail à l’adresse suivante :
https://experiences.microsoft.fr/channel/metsys-organise-ladministration-des-comptes-office-365-de-technip/7744f48d-7044-4470-b9fc-90935db4d0c7#rgVYJhm1ik676CuB.97

Bonne journée et bon test.

Guillaume MATHIEU
Directeur Technique Metsys
http://www.metsys.fr

Publié dans Active Directory, ActiveRoles for Server, Annuaire, Messagerie, Outils, Sécurité, Système | Laisser un commentaire

Migrer vos ressources Exchange vers une nouvelle organisation sans impacter vos utilisateurs

Bonjour à tous

Lorsque qu’un client souhaite migrer ses comptes utilisateurs, ses groupes et ses machines vers une nouvelle forêt Active Directory, une question revient systématiquement. Disposez-vous d’une messagerie Microsoft Exchange ? Nous allons voir dans cet article que cette question à priori hors sujet est très structurante pour ce type de projet.
Exchange stocke en effet sa configuration dans la partition de configuration d’Active Directory (exemple : CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=metsys,DC=intra). Pour cette raison, il ne peut y avoir qu’une seule organisation Exchange par forêt et une organisation Exchange ne peut pas s’étendre sur 2 forêts Active Directory différentes.

Dans notre cas, le client disposait d’Exchange et il souhaitait migrer toutes ses ressources (comptes utilisateurs, groupes, comptes ordinateurs, boîtes aux lettres Exchange et dossiers publics) vers une nouveau domaine / forêt Active Directory. Le client souhaitait aussi que la migration se fasse progressivement et sans perte de fonctionnalités pendant la phase de migration. Un utilisateur migré devait par exemple pouvoir accéder au(x) calendrier(s) d’un utilisateur non migré et à ses données sur un serveur de fichiers non migré.
Le client souhaitait aussi utiliser uniquement des outils de migration fournis par Microsoft (outils gratuits) pour des raisons budgétaires principalement.

Comment migrer les comptes utilisateurs, groupes et les machines dans la nouvelle forêt sans impacter les utilisateurs ?
Microsoft fournit gratuitement un outil appelé Microsoft ADMT (actuellement en version 3.2) qui permet de migrer de manière relativement transparente les comptes utilisateurs, les groupes et les comptes ordinateurs d’un domaine / forêt Active Directory source vers un domaine / forêt Active Directory cible.
Cet outil dispose d’une fonctionnalité appelée SIDHistory qui permet à un utilisateur migré de continuer à accéder à ses données même si elles sont hébergées sur un serveur non migré.

Comment migrer les boîtes aux lettres et les dossiers publics vers la nouvelle forêt Exchange sans impacter les utilisateurs ?
La réponse est simple. Cela ne se fera pas sans impact. Il est en effet nécessaire dans ce cas de créer une nouvelle organisation Exchange dans le domaine / forêt cible et d’effectuer une migration inter-organisation Exchange.
Hors une migration inter-organisation Exchange est tout sauf sans impact.

Ce qui marche avec les outils natifs de migration inter-organisation Exchange :
Microsoft fournit deux scripts PowerShell pour déplacer une boîte aux lettres entre 2 organisations Exchange différentes. Je vous invite à lire l’article http://msexchangeguru.com/2013/11/03/e2013crossforestmigration.
Microsoft fournissait avec Exchange 2003  un outil pour migrer les dossiers publics entre 2 organisations Exchange différentes. Cet outil bien que non supporté sous Exchange 2007 / 2010 semble fonctionner (non testé). On notera que l’on est obligé de déployer un serveur Windows 2003 comme expliqué dans l’article :
https://blog.gothamtg.com/2012/10/19/interorg-public-folder-replication-exchange-2007-to-exchange-2010/
Une autre technique consiste à recréer une topologie de dossiers publics vierge à l’aide de commandes PowerShell puis de migrer le contenu des dossiers publics à l’aide d’un client Outlook ! Il faut pour cela configurer le client Outlook avec un compte dans l’organisation Exchange source et un compte dans l’organisation Exchange cible. Les amoureux des scripts PowerShell basés sur les objets COM Outlook pourront toujours automatiser cette tâche mais c’est bien compliqué tout de même !

Ce qui marche partiellement ou pas du tout lors d’une migration inter-organisations Exchange :
Microsoft permet depuis Exchange 2010 de fédérer 2 organisations Exchange différentes. Cette fonctionnalité permet de partager les informations de disponibilité entre les 2 organisations Exchange et de partager le calendrier entre utilisateurs de 2 organisations Exchange différentes.
On notera cependant qu’un utilisateur de l’organisation Exchange A ne peut pas ouvrir la boîte aux lettres d’un utilisateur d’une organisation Exchange B.
Il n’est pas non plus possible de synchroniser le contenu des dossiers publics entre serveurs de 2 organisations Exchange différentes.
Le point le plus critique reste cependant le besoin de reconfigurer les clients Outlook et les terminaux mobiles après la migration de la boîte aux lettres sur le nouveau serveur.
On comprend donc à la lecture de ces quelques lignes qu’une migration inter-organisation est tout sauf sans impact. Nous allons maintenant voir quelques astuces pour contourner ces différentes problématiques.

Comment limiter les impacts d’une migration inter-organisations Exchange :
Il faut pour cela réduire au maximum la durée de la migration des boîtes aux lettres / dossiers publics entre les 2 organisations.
Il est cependant difficile d’envisager une migration Active Directory sur quelques jours / semaines surtout quand on dispose de plusieurs milliers de stations de travail / serveurs à migrer. L’outil ADMT permet en plus de faire coexister très correctement les utilisateurs migrés / non migrés.
Pour cette raison, la bonne approche est de séparer complètement la migration Exchange et la migration Active Directory et de les traiter comme 2 tâches indépendantes. Pour cela, il faut découper le projet en 4 phases.

Phase 1 : configuration du serveur ADMT 3.2 et mise en œuvre de la fédération entre les 2 organisations Exchange
La première étape est de créer une relation d’approbation entre les 2 forêts, déployer l’outil Microsoft ADMT et d’activer la prise en charge du SID History.
La seconde étape sera de créer la relation (fédération) entre les 2 organisations Exchange comme expliqué dans l’article Microsoft :
https://technet.microsoft.com/fr-fr/library/dd351260(v=exchg.141).aspx
La troisième étape sera d’exporter les permissions sur les boîtes aux lettres Exchange et sur les dossiers publics.

Phase 2 : migration des dossiers publics de l’organisation Exchange source vers l’organisation Exchange cible
Il n’est pas possible de synchroniser les dossiers publics entre deux organisations Exchange 2007 et versions ultérieures. En conséquence il est nécessaire de :
- Sauvegarder le contenu de la base de dossiers publics de l’organisation Exchange source au format PST à l’aide du client Outlook.
- Exporter la topologie de dossiers publics (script Metsys) de l’organisation Exchange source et la recréer dans l’organisation Exchange cible (script Metsys).
- Migrer le contenu des dossiers publics à l’aide d’un client Outlook (script Metsys).
- Convertir tous les accès en lecture / écriture au niveau des dossiers publics de l’organisation Exchange source en accès en lecture seule (script Metsys).
Le but est de migrer les dossiers publics sur les serveurs de l’organisation Exchange cible et d’empêcher les modifications par des utilisateurs de l’organisation Exchange source.

Remarque :
A titre personnel, je préconise de ne pas migrer les dossiers publics vers des boîtes aux lettres de site car cette solution nécessite l’achat de licences SharePoint Server Standard ou Entreprise. De plus, elle est complexe à paramétrer et limitée en terme de fonctionnalités. Un pas à pas complet est disponible à cette adresse :
https://spasipe.wordpress.com/2013/03/19/sharepoint-2013-les-site-mailboxes-44-limitations-et-utilisation-de-logiciels-tiers

Phase 3 : migration des boîtes aux lettres et reconfiguration des clients Outlook / terminaux mobiles puis suppression de l’organisation Exchange source
La première étape sera d’utiliser le script Microsoft pour créer le compte utilisateur avec adresse de messagerie externe. Pour cela, il faut appliquer la procédure expliquée dans cet article :
http://msexchangeguru.com/2013/11/03/e2013crossforestmigration/
La seconde étape est de lancer une migration de tous les comptes utilisateurs et de tous les groupes du domaine / forêt Active Directory source vers le domaine / forêt Active Directory cible. Il faudra configurer l’outil Microsoft ADMT pour faire une fusion avec le compte créé par le script de migration Exchange (étape précédente).
La troisième étape sera de migrer toutes les boîtes aux lettres de l’organisation Exchange source en tant que boîte aux lettres liée dans l’organisation Exchange cible. Les utilisateurs accéderont à leur nouvelle boîte aux lettres en s’authentifiant avec leur compte utilisateur du domaine / forêt source. L’article Microsoft ci-dessous présente la fonctionnalité de boîte aux lettres liées :
https://technet.microsoft.com/fr-fr/library/jj673532(v=exchg.150).aspx
La quatrième étape sera d’importer les permissions sur les boîtes aux lettres et les dossiers publics (script Metsys).
La cinquième étape sera de reconfigurer les clients Outlook à l’aide d’un script PRF pour qu’il modifie le profil Outlook afin d’utiliser le nouveau serveur de messagerie. La procédure est expliquée dans l’article : http://www.howto-outlook.com/howto/deployprf.htm.
La sixième étape sera de reconfigurer les entrées DNS / SRV pour l’Autodiscover Exchange dans le domaine / forêt source afin de pointer vers les serveurs de l’organisation Exchange cible. Cette action ne pourra être effectuée que lorsque toutes les boîtes aux lettres seront migrées vers l’organisation Exchange cible.
La septième étape sera de supprimer le ou les serveurs de l’organisation Exchange source.

Phase 4 : migration des ressources Active Directory (comptes utilisateurs, groupes et comptes ordinateurs), migration des machines membres puis suppression de l’ancien domaine et du SID History :
Cette phase peut être effectuée progressivement. Il est recommandé de faire des lots de 20 utilisateurs / stations de travail par jour par technicien. Elle consiste à effectuer les actions suivantes pour chaque utilisateur / station de travail :
- Migrer une seconde fois le compte utilisateur dans le domaine / forêt cible (pour la mise à jour du mot de passe, utilisation du mode fusion de l’outil Microsoft ADMT).
- Activer le compte utilisateur et convertir la boîte aux lettres liée en boîte standard. L’utilisateur accédera à sa boîte aux lettres avec son compte dans le domaine / forêt cible.
- Migrer la station de travail de l’utilisateur dans le domaine / forêt cible avec l’outil Microsoft ADMT.
- Réappliquer les permissions au niveau des boîtes aux lettres et des dossiers publics (script Metsys).

Remarques :
Afin de tenir la cadence de 20 stations de travail par jour et par technicien, il est important d’effectuer les actions suivantes :
- Dans la mesure du possible, les stations de travail portables doivent être migrées dans un banc d’intégration.
- Les mots de passe de démarrage doivent être désactivés temporairement.
- Une GPO doit être configurée pour désactiver l’antivirus temps réel, la veille écran et permettre un accès aux partages administratifs (ADMIN$, C$) depuis le serveur Microsoft ADMT.
- ADMT 3.2 ne prend pas en charge les OS antérieurs à Windows 2003 (https://technet.microsoft.com/fr-fr/library/active-directory-migration-tool-versions-and-supported-environments(v=ws.10).aspx). Il sera nécessaire de prévoir une procédure spéciale pour ce type de machine.
Une fois l’ensemble des stations de travail et des serveurs membres migrés vers le nouveau domaine / forêt, il est nécessaire de supprimer le SID History et l’ancien domaine / forêt Active Directory.

C’est seulement à ce moment que l’on peut affirmer que la migration est terminée et qu’elle est un succès.

Bonne journée.

A+
Guillaume MATHIEU
Directeur Technique de Metsys
www.metsys.fr

 

Publié dans Active Directory, ADMT, Annuaire, Exchange, Messagerie, Relation d'approbation, Système | Laisser un commentaire

Active Directory Certificates Services – quelle architecture dois-je déployer ?

Bonjour à tous,

Lorsque je déploie une nouvelle autorité de certification, 3 questions reviennent systématiquement :
- Dois-je déployer une autorité de certification 1 tiers, 2 tiers ou 3 tiers ?
- Quel algorithme de chiffrement et quelle taille de clé privée / publique dois-je utiliser ?
- Quel algorithme de Hash dois-je utiliser ?

1. Architecture d’autorité de certification : 1 tiers, 2 tiers ou 3 tiers
Si un attaquant arrive à obtenir la clé privée du certificat de votre autorité de certification, il peut alors restaurer/réinstaller cette dernière et générer tous les certificats qu’ils souhaitent en usurpant l’identité de votre entreprise. Votre autorité de certification est alors compromise et doit être complètement réinstallée avec l’utilisation d’une nouvelle paire de clés privées / publiques. Tous les certificats que vous avez émis avec votre ancienne autorité de certification doivent être révoqués et remplacés par des certificats de la nouvelle autorité de certification.

Les entreprises qui émettent des milliers voir des millions de certificats utilisent en général plusieurs autorités de certification. Ce mode de fonctionnement permet de limiter l’impact en cas de compromission d’une des autorités de certification. De plus dans le cas d’une autorité de certification Microsoft, certains paramètres comme la configuration de CRL (durée de vie, emplacement), l’archivage des clés privées, l’audit ou la mise en œuvre de la séparation des rôles ne peuvent être configurés qu’au niveau de l’autorité de certification et non au niveau du modèle de certificats.
Les autorités de certification comme Microsoft Active Directory Certificates Services permettent de créer des arborescences d’autorités de certification.

On parle d’autorité de certification 1 Tier, soit à un niveau, quand l’autorité de certification racine est aussi l’autorité de certification qui émet les certificats pour les utilisateurs finaux. Dans le cas d’une autorité de certification Microsoft, elle doit être de type Entreprise pour permettre de bénéficier de toutes les fonctionnalités comme les modèles de certificats ou l’archivage des clés privées. Cette architecture est la plus simple à mettre en œuvre et à maintenir (un seul serveur).
Ce type d’architecture convient parfaitement si vous devez émettre moins de 10000 certificats et si votre autorité de certification n’est pas reconnue comme autorité racine de confiance par les autres entreprises.

On parle d’autorité de certification 2 tiers, soit à 2 niveaux quand on dispose :
- D’une autorité de certification racine qui sert uniquement à générer le certificat des autres autorités de certification. Comme la clé privée de cette autorité de certification est très critique, son niveau de sécurité doit être maximum. Microsoft recommande que l’autorité de certification racine soit déployée dans un groupe de travail (machine non membre du domaine), dans un réseau et un centre de données sécurisé et qu’elle soit arrêtée. Microsoft recommande uniquement une maintenance périodique pour renouveler la CRL de l’autorité de certification racine.
- Une ou plusieurs autorités de certifications émettrices. Cette architecture permet de disposer d’une configuration spécifique pour chaque autorité de certification et de dédier chaque autorité de certification pour une fonction spécifique ou à un client spécifique.
Ce type d’autorité de certification convient parfaitement aux entreprises qui souhaitent émettre plusieurs milliers de certificats ou/et qui sont soumises à des règles de sécurité renforcée (secteurs comme les banques, assurances).

On parle d’autorité de certification 3 tiers, soit 3 niveaux, quand on ajoute un niveau supplémentaire de protection entre l’autorité de certification racine et l’autorité de certification émettrice de certificats pour les utilisateurs finaux. Cette autorité de certification est appelée autorité de certification subordonnée.
Ce type d’architecture est recommandée si votre autorité de certification est reconnue comme une autorité racine de confiance par défaut sur tous les systèmes d’exploitation (cas d’une autorité de certification publique) ou que vous émettez plusieurs milliers / millions de certificats.

Avec une architecture 2 ou 3 tiers, si une autorité émettrice est compromise, l’administrateur peut révoquer le certificat de l’autorité de certification émettrice depuis l’autorité de certification subordonnée (3 tiers) ou racine (2 tiers). Cette simple action suffira pour invalider tous les certificats générés par l’autorité de certification compromise. En effet, pour qu’un certificat soit valide, il faut que :
- Le certificat ne soit pas révoqué ou expiré.
- Le certificat de toutes les autorités de certification du chemin d’approbation ne soit pas révoqué ou expiré. Pour rappel, le chemin d’approbation d’un certificat contient la signature de l’autorité de certification qui a émis le certificat et le certificat de l’autorité de certification qui a elle même signé le certificat de l’autorité de certification émettrice (et ainsi de suite).
On notera qu’il n’est pas possible de révoquer le certificat d’une autorité de certification racine. Sous Windows, le système est préconfiguré avec une liste d’autorité de certification racine de confiance. Il est possible d’ajouter ou supprimer des autorités de certification dans cette liste. Pour visualiser sous Windows 10, le magasin Autorité de certification racine de confiance, taper la commande CERTLM.MSC puis aller dans le nœud Trusted Root Certification Authorities | Certificates.

2. Choix de l’algorithme de chiffrement et de la taille de clés
Une autorité de certification sous Windows 2012 R2 supporte plusieurs types d’algorithme de chiffrement :
- Microsoft Enhanced Cryptographic Provider v1.0 : ancien algorithme de chiffrement non sécurisé.
- Microsoft Base Cryptographic Provider v1.0 : ancien algorithme de chiffrement non sécurisé.
- Microsoft Strong Cryptographic provider : ancien algorithme de chiffrement non sécurisé
- RSA#Microsoft Software Key Storage Provider : algorithme de chiffrement asymétrique basé sur RSA. Cet algorithme est sécurisé avec une taille de clé importante (2048 ou 4096).
- ECDSA_P256, ECDSA_P384 et ECDSA_P521 : il s’agit d’un algorithme de chiffrement asymétrique qui permet un niveau de sécurité équivalent à RSA mais avec une clé plus petite. Une clé ECDSA 256 bits permet un niveau de sécurité identique/ supérieure à une clé RSA 2048 bits comme expliqué dans l’article https://blog.cloudflare.com/ecdsa-the-digital-signature-algorithm-of-a-better-internet/.
Cependant cet algorithme n’est pas pris en charge par tous les périphériques.

Microsoft ne supporte plus l’utilisation de clé de chiffrement RSA dont la taille est inférieure à 1024 bits comme expliqué dans l’article :
https://support.microsoft.com/en-us/kb/2661254
Des chercheurs de l’Université de Michigan ont récemment remis en cause la sécurité de l’algorithme de chiffrement asymétrique RSA avec une taille de clés de 1024 bits :
http://danielpocock.com/rsa-key-sizes-2048-or-4096-bits
Les clés RSA de 2048 bits seront supportées jusqu’en 2030 comme indiqué dans les articles suivants :
https://www.yubico.com/2015/02/big-debate-2048-4096-yubicos-stand
Certains équipements ont des problèmes pour prendre en charge des tailles de clés supérieurs à 2048 bits comme certains téléphones VOIP Polycom ou certains équipements réseaux Cisco. Pour plus d’informations :
https://www.yubico.com/2015/02/key-size-matter-cryptography/

Je vous préconise donc d’utiliser l’algorithme de chiffrement RSA#Microsoft Software Key Storage Provider avec une taille de clé de 2048 bits au niveau des autorités de certification racine et émettrice.

3. Choix de l’algorithme de Hash
L’algorithme de Hash SHA 1 est déprécié et ne doit plus être utilisé.
SHA 256 est correctement pris en charge par tous les navigateurs récents :
https://support.globalsign.com/customer/portal/articles/1499561-sha-256-compatibility
Les algorithmes de Hash SHA 2 (SHA 256, SHA 384 et SHA 512) nécessitent l’installation d’un correctif sur les machines Windows XP Pro et Windows 2003 Server. Pour un fonctionnement optimal sur ces 2 systèmes, il est recommandé de déployer le correctif http://support2.microsoft.com/kb/2868626 qui apporte la bonne version de la DLL Crypt32.dll (5.131.3790.5235). Ce correctif peut être téléchargé à cette adresse :
https://technet.microsoft.com/en-us/library/security/ms13-095.aspx
Il remplace les correctifs KB 968730 et KB 938397 sur les machines Windows XP / 2003 :
https://support.microsoft.com/fr-fr/kb/968730
https://support.microsoft.com/en-us/kb/938397
Le correctif 2763674 (https://support.microsoft.com/en-us/kb/2763674) doit être déployé sur les machines Windows 2008 R1 et Vista pour la prise en charge des algorithmes SHA 2. On notera que :
- Il n’est pas possible de faire du S/MIME sur une machine Windows XP avec des certificats utilisant un des algorithmes de Hash SHA2 même après l’installation du correctif ci-dessous.
- SHA-224 n’est pas supporté par Microsoft et ne doit pas être utilisé.
- SHA 512 n’est pas activé par défaut et nécessite l’installation d’un correctif spécifique sur Windows 7 / Windows 2008 R2 :
https://support.microsoft.com/en-us/kb/2973337
Pour cette raison, je vous préconise de sélectionner SHA 256 comme algorithme de Hash pour le certificat de l’autorité de certification.

Pour aller plus loin
Je vous invite à lire ces articles :
http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx
http://social.technet.microsoft.com/wiki/contents/articles/31296.implementing-sha-2-in-active-directory-certificate-services.aspx
http://ammarhasayen.com/2015/02/02/pki-certificate-services-sha-1-deprecation/
http://blogs.technet.com/b/pki/archive/2011/02/08/common-questions-about-sha2-and-windows.aspx

Bonne journée.

Cordialement

Guillaume MATHIEU
Directeur Technique de Metsys

Publié dans Certificats, Sécurité, Système, Windows 2012 R2 | Laisser un commentaire

Complément d’informations sur l’erreur “Failed to open the runspace pool. The Server Manager WinRM plug-in might be corrupted or missing”

Bonjour à tous

Lors du déploiement d’un serveur Windows 2012 Server R2, j’ai été confronté à un problème assez original. Il était impossible de gérer (ajout / suppression) les rôles ou les fonctionnalités Windows depuis la console Server Manager. En effet, une fois les rôles et/ou fonctionnalités à installer / supprimer sélectionnés, le Gestionnaire de Server affichait l’erreur suivante :
Failed to open the runspace pool. The Server Manager WinRM plug-in might be corrupted or missing”.
L’installation / suppression d’une fonctionnalité ou d’un rôle Windows fonctionnait parfaitement en PowerShell  (commandes comme Add-WindowsFeature du module PowerShell du Server Manager.

Le problème provenait en fait d’une stratégie de groupe qui définissait le paramètre « Allow Remote Shell Access » à la valeur « Désactivé » chez le client.
Pour plus d’informations sur Windows Remote Shell, je vous invite à lire les articles suivants :
https://blogs.technet.microsoft.com/arnaud_jumelet/2010/10/24/administration-laide-de-windows-remote-shell-winrs/
https://support.microsoft.com/en-us/kb/555966

Hypothèse à vérifier : il semblerait que le Server Manager considère la machine locale comme une machine distante comme les autres ! En effet, depuis Windows 2012 R1, le Server Manager permet de gérer les rôles et les fonctionnalités de plusieurs serveurs en même temps (le serveur local et des serveurs distants). Cette fonctionnalité s’appuie sur WinRM lorsque les serveurs du pool sont sous Windows 2012 / 2012 R2. Je vous invite à lire les articles ci-dessous pour plus d’informations :
https://technet.microsoft.com/fr-fr/library/hh921475(v=ws.11).aspx
https://support.microsoft.com/en-us/kb/555966

A+
Guillaume MATHIEU
Directeur Technique de Metsys

Publié dans Bug, Système, Windows 2012, Windows 2012 R2 | Laisser un commentaire

Livre sur la sécurité Active Directory -> la version numérique vous est offert !

Salut à tous.

Mon livre sur la sécurité d’Active Directory est en ligne et disponible gratuitement.
Vous pouvez le télécharger à cette adresse.
http://www.metsys.fr/livre/livre.html

Bonne lecture !

Plan du livre:
Introduction
1. Concevoir un annuaire sécurisé et qui répond aux besoins de l’entreprise
1.1 Les notions fondamentales
1.2 Analyser le besoin de votre entreprise
1.3 Choisir une topologie Active Directory
1.3.1 Exception 1 : une société avec des entités indépendantes
1.3.2 Exception 2 : des applications qui modifient le schéma Active Directory
1.3.3 Exception 3 : les hébergeurs
1.3.4 Exception 4 : les contraintes légales
1.3.5 Exception 5 : travailler avec les concurrents
1.3.6 exceptions 6 : applications hébergées dans le cloud
1.4 Utiliser Active Directory comme annuaire d’entreprise
1.4.1 Synchroniser l’annuaire avec d’autres sources de données (bases RH…)
1.4.2 Synchroniser Azure Active Directory avec Active Directory
1.4.3 Héberger les données de l’entreprise dans l’annuaire Active Directory
1.4.4 Comment et qui doit administrer ces attributs ?
1.4.5 Protéger les attributs qui contiennent des données sensibles
1.4.6 Permettre à un utilisateur de visualiser la valeur d’un attribut protégé
1.5 Renforcer la sécurité du service DNS
1.5.1 Quel est le lien entre Active Directory et le DNS
1.5.2 La mise à jour DNS dynamique
1.5.3 Quelles sont les attaques possibles avec le service DNS
1.5.4 Sécuriser vos serveurs DNS
1.6 Elévation de privilège avec l’utilisation du Sid History
1.6.1 Faire une augmentation de privilège avec le Sid History
1.6.2 Pour supprimer le Sid History
2. Les bonnes pratiques pour déléguer l’administration de son annuaire
2.1 Les principes fondamentaux de la délégation d’administration
2.1.1 Les différents types d’administrateurs Active Directory
2.1.2 Les groupes avec des privilèges d’administration
2.1.3 Déléguer l’administration à un utilisateur standard
2.2 Déléguer l’administration avec les unités d’organisation
2.3 Créer des comptes nominatifs et dédiés pour l’administration
2.4 Déléguer uniquement les permissions requises
2.5 Désactiver le compte Invite et renommer le compte Administrator
2.6 Auditer les permissions sur les objets Actives Directory
2.7 Auditer les permissions de l’objet Adminsdholder
2.8 Activer la veille écran avec mot de passe
2.9 Désactiver les comptes inactifs
2.10 Les outils tiers pour simplifier la délégation d’administration
3. Définir une politique de mots de passe d’entreprise
3.1 Analyser les besoins de l’entreprise pour la politique de mots de passe
3.2 Réduire le nombre de login / mots de passe différents
3.2.1 Limiter le nombre de login / mot de passe à retenir
3.2.2 Configurer vos applications pour s’authentifier avec Active Directory
3.2.3 Utiliser le coffre-fort Windows
3.2.4 Utiliser les protocoles de fédération d’identité
3.3 Les outils de gestion de mots de passe Microsoft
3.3.1 Les stratégies de mots de passe de la Default Domain Policy
3.3.2 Les objets PSO (fine-grained Password)
3.4 Les outils tiers de gestion des mots de passe
3.4.1 Réinitialiser son mot de passe sans contacter l’équipe informatique
3.4.2 Garantir l’identité de l’utilisateur
3.4.3 Configurer la complexité des mots de passe
3.5 Trouver le mot de passe d’un utilisateur via le réseau
3.6 Utiliser des objets MSA et GMSA pour les services et les taches planifiées
3.7 Lister tous les comptes qui n’ont pas changé de mots de passe depuis plusieurs années
3.8 Réinitialiser le mot de passe des utilisateurs avec des cartes à puces
3.9 Restreindre l’utilisation de l’option « Password Never Expires »
3.10 Le stockage des mots de passe avec Active Directory
3.10.1 Qu’est-ce qu’une empreinte (ou hash) ?
3.10.2 Le Lmhash (Lan manager hash
3.10.3 Le Nthash (NT Lan manager hash)
3.11 Récupérer le mot de passe d’un utilisateur avec le Lmhash
3.11.1 La procédure
3.11.2 Comment désactiver le Lmhash
3.12 Récupérer le mot de passe d’un utilisateur avec le Nthash
3.12.1 La procédure
3.12.2 Comment protéger les mots de passe
3.13 Protéger les mots de passe stockés sur les machines Windows
3.13.1 Les services et les taches planifiées
3.13.2 Le cache des sessions Windows
3.14 Définir une stratégie de mots de passe cible
4. Renforcer la sécurité des protocoles d’authentification
4.1 Le protocole Ldap
4.1.1 Ldap simple Bind
4.1.2 Ldap SASL Bind
4.2 Présentation du protocole Ntlm v2
4.3 Présentation du protocole Kerberos v5
4.4 La délégation d’authentification Kerberos
4.5 Les bonnes pratiques pour renforcer la sécurité de l’annuaire active directory
4.5.1 Bloquer les connexions Ldap Simple Bind sans SSL / TLS
4.5.2 Activer la signature du trafic Ldap
4.5.3 Désactiver les protocoles d’authentification Ntlm
4.5.4 Configurer algorithme de chiffrement Kerberos
4.5.5 Configurer la synchronisation horaire
4.5.6 Interdire la délégation Kerberos pour les comptes d’administration
4.6 Elévation de privilège avec la technique Ntlm Pass the hash
4.6.1 Comprendre une attaque Ntlm Pass the hash
4.6.2 La procédure pour une attaque Ntlm Pass the hash
4.6.3 Se protéger contre les attaques Ntlm Pass the hash
5 La gestion des accès avec Active Directory
5.1 Les Sid
5.2 Les permissions
5.3 Les privilèges
5.4 Les processus
5.5 Les services
5.6 Les jetons d’accès (Access Token)
5.7 Elévation de privilège avec le vol d’un jeton d’accès
5.7.1 Présentation de l’outil Incognito
5.7.2 Procédure d’utilisation de l’outil Incognito
5.7.3 Comment bloquer l’outil Incognito ?
6. Industrialiser et sécuriser le déploiement des contrôleurs de domaine
6.1. Déployer uniquement une version supportée de Windows server
6.2 Héberger les contrôleurs de domaine dans un emplacement sécurisé
6.2.1 Quels sont les risques si un attaquant a un accès physique à un contrôleur de domaine ?
6.2.2 Comment empêcher un attaquant d’accéder au fichier ntds.dit ?
6.3 Déployer les correctifs de sécurités sur les contrôleurs de domaine
6.3.1 Pourquoi est-il nécessaire de déployer les correctifs de sécurité ?
6.3.2 Installation des correctifs de sécurité sur les contrôleurs de domaine
6.4 Réduire la surface d’attaque des contrôleurs de domaine
6.5 Ne jamais arrêter le service Windows firewall
6.6 Configurer l’UAC
6.7 Désactiver la mise en cache hors connexion des sessions
6.8. Renforcer la sécurité du Bureau à Distance
6.8.1 Utiliser des stations de travail d’administration
6.8.2 Configurer le service Bureau à Distance
6.8.3 Autoriser uniquement les outils d’administration
6.8.4 Configurer le client Bureau à Distance
6.8.5 Utiliser la fonctionnalité « restrictedadmin »
6.9 Restreindre l’accès à Internet des contrôleurs de domaine
6.10 Configurer le mot de passe DSRM
6.11 Déployer une configuration standard sur tous les contrôleurs de domaine
6.11.1 Configurer IPV6
6.11.2 Déployer un antivirus a jour et configurer les exclusions
6.11.3 Utiliser l’assistant de configuration de la sécurité
6.11.4 Tester votre image dans un environnement de qualification
6.11.5 Quelques retours d’expériences sur le déploiement de Windows 2012 R2
7. Mettre en place une politique de prévention des risques
7.1 Auditer les changements effectués sur l’annuaire et les tentatives d’accès
7.1.1 Configurer le journal Security
7.1.2 Configurer les éléments à auditer
7.1.3 Collecter le journal Security des contrôleurs de domaine et générer un rapport quotidien
7.2 Auditer la sécurité de votre annuaire
7.3 Superviser votre annuaire active directory
7.3.1 Présentation de l’outil DCDIAG
7.3.2 Déploiement de la solution
7.4 Disposer d’un plan de reprise informatique (PRI) Active Directory
7.5 Protéger vos sauvegardes active directory et les fichiers IFM (Install From Media)
8. Annexes
8.1 Procédure de déploiement d’une autorité de certification Microsoft
8.2 Procédure d’activation de Bitlocker sur un contrôleur de domaine
8.2.1 Présentation de la solution pour chiffrer les disques durs des contrôleurs de domaine
8.2.2 Mise en œuvre de Bitlocker sur des contrôleurs de domaine Windows 2012 R2
8.3 Bibliographie :
8.3.1 Livres recommandés
8.3.2 Microsoft Active Directory Technical Specification
8.3.3 Pour comprendre les protocoles Ntlm et Kerberos avec Active Directory
8.3.4L es recommandations sur la sécurité active directory de l’ANSII
8.3.5 Recommandation Microsoft sur la sécurité de l’annuaire Active Directory
8.3.6 Recommandation sur la configuration du service terminal server
8.3.7 Autres liens

A+
Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.

Publié dans Active Directory, Annuaire, Sécurité | 14 commentaires

Vidéo de ma session techdays sur la sécurité Active Directory

Salut à tous

La video de ma session Techdays sur la sécurité Active Directory.
Cette session se base sur 8 demonstrations :
1. Comment les hackers récupèrent les mots de passe Active Directory ?
Avec le fichier NTDS.DIT (démo)
Avec  le mot de passe d’un service Windows (démo)
Avec une capture réseau
2. Comment les hackers peuvent élever les privilèges ?
Via NTLM Pass The Hash (démo)
Via l’outil INCOGNITO (démo)
Via le SID History (démo)
3. Comment les hackers peuvent récupérer un accès SYSTEM ?
4. Comment effectuer un déni de service avec Metasploit ?
Bonne session !

https://www.youtube.com/watch?v=hD9NQppdVNQ

A+
Guillaume MATHIEU
Architecte et Responsable Avant-Vente Metsys
La connaissance s’accroît quand on la partage.

Publié dans Windows Server 2008 | 3 commentaires

Vener nombreux à la session Techdays sur la sécurité Active Directory !

Salut à tous

L’heure est venue pour moi d’animer ma première session Techdays.
Cette dernière aura lieu le mercredi 11 février 2015 de 14h à 14h45.
Le thème : la sécurité Active Directory.
Petit cadeau : un livre (au format papier, on fait les choses en grand chez Metsys) vous sera remis en fin de session.

Pour vous inscrire :
https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=b960caa2-e29a-40c6-999d-491a7ed60373.

Bonne journée.

Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.

Publié dans Windows Server 2008 | 7 commentaires

Problème d’ouverture de session lente à cause d’un Repository WMI corrompu

Salut à tous.

1. Description du problème
Sur certaines stations de travail, l’ouverture d’une session nécessitait plus de 1 heure.
Ce problème se posait aléatoirement.

2. Analyse du problème
Le problème provenait d’une défaillance du service WINMGMT (Infrastructure de gestion liée au passage du SP1 sur le serveur SCCM 2012 :
https://social.technet.microsoft.com/Forums/en-US/84972757-8b82-44ff-95a7-8ccdfaf3d0ba/upgrade-to-system-center-configuration-manager-sp1-caused-wmi-dcom-http-errors?forum=configmanagergeneral
La taille du répertoire %windir%\System32\Wbem\Repository était de plus de 1,5 Go sur certaines machines.
SCCM bloque l’arrêt de WMI ce qui bloquait la procédure de réparation automatique du service WINMGMT.
Le log suivant apparaissait sur les machines posant problème :
Nom du journal :Application
Source : Microsoft-Windows-WMI
Date : 17/10/2014 09:58:51
ID de l’événement :65
Catégorie de la tâche :Aucun
Niveau : Avertissement
Mots clés : Classique
Utilisateur : N/A
Ordinateur : MSREPORT95.msreport.local
Description :
Le service WMI (Windows Management Instrumentation) commence la restauration du référentiel WMI

3. Correction du problème
Pour corriger le problème, il est nécessaire :
De reconstruire le répertoire C:\Windows\System32\wbem\Repository des stations de travail qui ont l’erreur Microsoft-Windows-WMI ID 65 en appliquant la procédure suivante :
http://blogs.technet.com/b/askperf/archive/2009/04/13/wmi-rebuilding-the-wmi-repository.aspx
De réparer le client SCCM sur les stations de travail pour que SCCM ajoute les classes WMI qui ont été supprimés à l’aide du script ci-dessous ou d’une réparation manuelle du client SCCM : https://gallery.technet.microsoft.com/SCCM-Client-Utility-WMI-ec270313

4. Correctifs à déployer
Je vous invite à déployer aussi les correctifs suivants.
Pour corriger les problèmes de corruption WMI : http://support.microsoft.com/kb/2617858/en-us
Pour corriger les problèmes de lenteur d’ouverture de session à cause d’un bug dans les GPO de Préférences : http://support.microsoft.com/default.aspx?scid=kb;EN-US;2561285

5. Comment diagnostiquer les autres problèmes d’ouverture de session lente
Etape 1 : Faire un premier état des lieux
Le but est de déterminer les changements qui ont été effectués depuis l’apparition de problème.
- Vérifier le bon fonctionnement du réseau. Je vous invite à utiliser la commande suivante : Ping IP_DC –l 56000 –t.
Vérifier que vous n’avez pas de problème de perte de paquets.
- Vérifier le bon fonctionnement de votre annuaire Active Directory en lançant la commande : DCDIAG /V /E > c:\Dcdiag.txt.
- Sur les stations de travail qui rencontrent des problèmes de lenteur d’ouverture de session, lancer la commande SET pour afficher le contrôleur de domaine utilisé pour ouvrir la session. Vérifier que votre sous réseau IP est bien rattaché à un site Active Directory dans la console Sites et Services Active Directory. Valider aussi que vous utilisez bien le contrôleur de domaine légitime.
- Sur les stations de travail qui rencontrent des problèmes de lenteur d’ouverture de session, lancer un jeu de stratégie résultant (console rsop.msc) pour lister toutes les paramètres de GPO / scripts qui s’appliquent aux machines et aux utilisateurs. Essayer à cette étape de déterminer si des paramètres GPO / scripts ont été modifiées depuis l’apparition du problème.
- Désactiver TCP Offline Engine sur quelques machines qui ont déjà rencontrées le problème. C’est particulièrement vrai sur les anciennes générations de machines. Voir :
http://support.microsoft.com/kb/951037/en-us
http://technet.microsoft.com/fr-fr/library/gg162682(v=ws.10).aspx
- Analyser les observateurs d’événements (journal Application et Système) d’une station de travail. Filtrer l’affichage que sur les erreurs, événements critique et avertissement pour gagner du temps.

Etape 2 : Créer un environnement de tests
Si vous n’avez pas pu identifier l’origine des problèmes, sur un échantillon de machine qui ont déjà rencontrés le problème, effectuer les actions suivantes :
- Définissez une configuration simplifiée de scripts / GPO. Ne mettre que les paramètres nécessaires comme le proxy ou les paramètres pour lancer correctement vos applications.
- Configurer les utilisateurs pour utiliser un profil local (si utilisation d’un profil itinérant) et désactiver les fichiers hors connexions et si possible la redirection de dossiers.
Je vous invite à lire cet article http://msreport.free.fr/?p=436.
- Déployer sur ces machines Windows 7 les 2 correctifs suivants :
http://support.microsoft.com/kb/2617858/en-us
http://support.microsoft.com/default.aspx?scid=kb;EN-US;2561285
- Simplifier la configuration de votre antivirus. Vérifier que toutes les exclusions antivirus sont bien configurées comme indiqué dans cet article :
http://support.microsoft.com/kb/822158/en-us
- Désactiver la fonctionnalité Fast Logon en activant le paramètre de GPO suivant : Computer Configuration | Policies | Administratives Templates | System | Logon | Always wait for the network at computer startup and logon.
Pour plus d’informations sur la fonctionnalité « Fast Logon », je vous invite à lire l’article suivant :
http://support.microsoft.com/kb/305293/en-us
- Désactiver le pare feu sur ces machines. Vérifier que vous autoriser bien le trafic nécessaire pour la communication avec vos contrôleurs de domaine.
- Désactiver l’UAC. Pour rappel, sous Windows 8.1, pour désactiver complètement l’UAC, il faut désactiver l’UAC par stratégie de groupe en désactivant le paramètre « Exécuter les comptes d’administrateurs en mode d’approbation d’administrateur ».
Laisser tourner environ 1 semaine et demander aux utilisateurs d’ouvrir / fermer leur session tous les jours. Ces derniers doivent consigner dans un fichier Excel la durée d’ouverture / fermeture de session tous les jours.
- Analyser systématiquement les observateurs d’événements Application et Système sur les stations de travail et le contrôleur de domaine utilisé pour ouvrir la session (commande SET). IL faut rapidement comprendre si le problème provient de la configuration des contrôleurs de domaine ou des stations de travail.

Etape 3 : Passage en mode avancé
Si vous n’arrivez toujours pas à trouver l’origine du problème, je vous invite à lire très attentivement ces 3 excellents articles.
L’article ci-dessous est une véritable base de connaissance sur les causes possible de lenteur à l’ouverture de sessions :
http://social.technet.microsoft.com/wiki/contents/articles/10130.root-causes-for-slow-boots-and-logons-sbsl.aspx
Les deux autres articles expliquent comment mettre en place les logs avancés dans le système pour trouver l’origine des problèmes de lenteur d’ouverture de session
http://blogs.technet.com/b/instan/archive/2008/04/17/troubleshooting-the-intermittent-slow-logon-or-slow-startup.aspx
http://social.technet.microsoft.com/wiki/contents/articles/10123.troubleshooting-slow-operating-system-boot-times-and-slow-user-logons-sbsl.aspx

A+
Guillaume MATHIEU
Architecte METSYS
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Active Directory, Annuaire, Bug, Outils, Performance, Système, Troubleshouting, Windows 2003 Server, Windows 2012, Windows 2012 R2, Windows Server 2008 R2 | Marqué avec , | 2 commentaires

Mise en oeuvre d’une PKI, du chiffrement EFS et de BitLocker

Salut à tous

Ce dossier a pour but de présenter 2 solutions pour optimiser le niveau de sécurité de votre entreprise :
- Le chiffrement EFS pour protéger vos fichiers.
- Le chiffrement de disque BitLocker pour protéger vos ordinateurs.
Une version V2 de ce dossier permettra de présenter la mise en œuvre du chiffrement email / signature email avec le protocole S/MIME et la mise en œuvre du protocole IEEE 802.1X pour contrôler les accès aux réseaux WIFI et filaires de votre entreprise.
Pour mettre en œuvre ces 4 solutions, nous allons nous appuyer sur l’autorité de certification de Microsoft appelée Active Directory Domain Services.
L’environnement de maquette présenté dans cet article est installé sous Windows 2008 R2 Entreprise en version anglaise.

1. Présentation des différentes solutions
1.1 Présentation d’EFS
Les permissions NTFS ne permettent pas réellement de protéger les fichiers de l’entreprise.
- Un administrateur local dispose du droit de s’approprier les fichiers. Ce droit permet d’outrepasser les permissions NTFS et donc d’accéder aux données. La mise en œuvre d’EFS permet de garantir que seules les personnes habilitées peuvent accéder aux données de l’entreprise.
- En cas de vol de votre ordinateur, le pirate pourra installer un système d’exploitation Windows (ou démarrer sur un système BartPE / WinPE…) et connecter votre ancien disque dur en tant que disque non système. Il pourra alors devenir propriétaire de vos fichiers, réinitialiser les permissions NTFS et ainsi accéder à vos fichiers confidentiels.
EFS permet de chiffrer le contenu de vos fichiers à l’aide d’une clé symétrique, elle-même protégée à l’aide des clés privées / publiques associées à un certificat de type Utilisateur (modèle Msreport-Utilisateur dans ce dossier).
Même si vous disposez des permissions sur le fichier, si vous ne disposez pas du certificat, il vous sera impossible de lire le contenu du fichier. Pour plus d’informations sur EFS, voir :
http://windows.microsoft.com/fr-fr/windows/what-is-encrypting-file-system#1TC=windows-7
http://technet.microsoft.com/fr-fr/library/cc721923(v=ws.10).aspx

1.2 Présentation de BitLocker et de MBAM
BitLocker permet de chiffrer le disque système, un disque fixe (non système) ou un disque amovible (clé USB…).
Il permet de demander la saisie d’un mot de passe pour pouvoir accéder aux disques fixe et amovible.
BitLocker nécessite un système d’exploitation sous Windows 7 Entreprise / Intégrale ou Windows 8 Professionnel.
Le disque système devra formatée en NTFS. BitLocker crée automatiquement 2 partitions : une partition de 100 Mo qui est marquée comme active et qui contient les fichiers de démarrage et la partition système qui contient les données du système (C:\windows). Seule la partition système est chiffrée.
La solution BitLocker peut utiliser différents périphériques pour stocker la clé de chiffrement / déchiffrement :
- Une Clé USB (clé de démarrage uniquement) : cette méthode chiffre uniquement le lecteur. Elle ne fournit aucune validation des composants de la séquence de démarrage et aucune garantie contre la falsification du matériel. Pour utiliser cette méthode, votre ordinateur doit prendre en charge la lecture des périphériques USB dans l’environnement de prédémarrage.
- Une carte à puce : BitLocker s’appuie alors sur le certificat contenu dans la carte à puce pour chiffrer / déchiffrer le disque dur.
- Un module TPM (Trusted Plateform Module). C’est la méthode recommandée par Microsoft. Elle permet de protéger le disque dur et de valider que les composants de la séquence de démarrage n’ont pas été altérés.
Dans la configuration présentée dans ce dossier, l’activation de BitLocker nécessitera une station de travail équipée d’un TPM (Trusted Platform Module).
Pour utiliser BitLocker avec un TPM, il est nécessaire d’activer le TPM dans le BIOS de l’ordinateur.
Lors de l’activation de BitLocker, le TPM est initialisé, c’est-à-dire que la clé de chiffrement / déchiffrement BitLocker est copié sur le TPM.
La console TPM.MSC permet de gérer le TPM (activation, désactivation, initialisation). Ces tâches de gestion nécessitent de connaître le « Trusted Platform Module (TPM) owner password ».
Lors de l’activation de BitLocker, une « BitLocker Recovery Key » est générée. Elle permet d’accéder aux données sur le volume disque chiffré avec BitLocker en cas de perte de la clé principale de chiffrement (défaillance du TPM ou de la machine…). Il est possible de sauvegarder cette clé sous forme de fichier, de l’imprimer ou de la sauvegarder dans l’annuaire Active Directory.
Pour pouvoir visualiser la « BitLocker Recovery Key » depuis la console Utilisateurs et Ordinateurs Active Directory, il est nécessaire d’installer la fonctionnalité « BitLocker Recovery Password Viewer » sur tous les contrôleurs de domaine et vos stations d’administration.
BitLocker s’enrichit de nouvelles fonctionnalités avec Windows 8 :
- BitLocker peut être déployé pendant l’installation de Windows 8. Avec Windows 7, le système devait être installé puis BitLocker pouvait alors être activé.
- BitLocker permet de chiffrer que l’espace disque utilisé (nouveauté) ou sur tout le volume disque (comme auparavant). Ce paramètre peut être contrôlé à l’aide d’une stratégie de groupe.
- Sous Windows 7, BitLocker nécessite des droits « Administrateur local » pour pouvoir être activé. Avec Windows 8, il faut toujours des droits administrateur pour activer BitLocker. Cependant, il est maintenant possible de déléguer aux utilisateurs standards la possibilité de changer le mot de passe BitLocker pour les disques fixes et systèmes.
- Windows 8 prend en charge les disques qui disposent d’un mécanisme (composant matériel) pour accélérer le chiffrement du disque.
Pour plus d’informations sur BitLocker, voir :
http://technet.microsoft.com/fr-fr/library/dd875530(v=ws.10).aspx
http://technet.microsoft.com/fr-fr/library/dd875534(v=ws.10).aspx
http://technet.microsoft.com/fr-fr/library/hh831412.aspx.

Présentation de la solution MBAM (Microsoft BitLocker Administration and Monitoring)
La solution MBAM permet de configurer BitLocker automatiquement sur les postes de travail et de disposer de nombreux rapports. MBAM remplace le composant BitLocker du panneau de configuration sur les stations de travail Windows 7 / Windows 8. Cette solution est très intéressante mais nécessite de disposer de la Software Assurance pour les licences Windows et d’installer 3 serveurs dédiés (dont un serveur SQL Server).
La version 1.0 de MBAM ne prend en charge que Windows 7. La version 2.1 de MBAM qui prendra en charge Windows 8.1. Nous ne présenterons pas dans ce dossier le déploiement de BitLocker avec MBAM car peu de clients disposent de la Software Assurance.
Pour plus d’informations sur MBAM :
http://technet.microsoft.com/fr-fr/windows/hh826072.aspx
http://www.microsoft.com/fr-fr/windows/enterprise/products-and-technologies/mdop/mbam.aspx
http://technet.microsoft.com/fr-fr/library/dn505770.aspx

1.3 Présentation du Credential Roaming
Le Credential Roaming (itinérance des informations d’identifications) permet de stocker au niveau de l’annuaire Active Directory le contenu des magasins de certificats Windows (une partie du coffre-fort de Windows). Depuis Windows 7, le Credential Roaming ne permet plus de stocker les mots de passe réseau, seulement les magasins de certificat. Cette fonctionnalité s’appuie sur les attributs suivants d’un compte utilisateur Active Directory :
- msPKIDPAPIMasterKeys : cet attribut contient la clé principale (change tous les 90 jours, elle permet de chiffrer les clés privés sur le poste de travail).
- msPKIAccountCredentials : contient les login / mots de passes réseaux, les clés privées, les certificats et les demandes de certificats. Cet attribut peut être très volumineux.
- msPKIRoamingTimeStamp : cet attribut contient la date de dernier changement pour la valeur des msPKIAccountCredentials et msPKIDPAPIMasterKeys.
Seuls les administrateurs du domaine et le propriétaire du compte utilisateur ont des accès en écriture sur ces 3 attributs. Un certificat nouvellement généré est téléchargé dans l’annuaire en moins de 10 minutes (hors délais de réplication des contrôleurs de domaine).
Le correctif KB 973502 doit être déployé sur les machines Windows 2003 SP2 et Windows XP SP3.
Le correctif 2520487 doit être déployé sur les machines Windows Vista / 7 / 2008 / 2008 R2.
La fonctionnalité du Credential Roaming et les profils itinérants sont incompatibles. Il faut donc exclure les répertoires suivants de la liste des répertoires synchronisés avec les profils itinérants :
- Pour Windows XP : Application Data\Microsoft\Crypto, Application Data\Microsoft\Protect, Application Data\Microsoft\SystemCertificates
- Pour Windows Vista / 2008 et versions ultérieures : AppData\Roaming\Microsoft\Credentials, AppData\Roaming\Microsoft\Crypto, AppData\Roaming\Microsoft\Protect, AppData\Roaming\Microsoft\SystemCertificates
L’activation du Credential Roaming augmente la taille de la base de données de l’annuaire Active Directory
Si un utilisateur ouvre une session sur de nombreuses machines, le Credential Roaming va faire converger les certificats (tous différents) déployés sur l’ensemble des machines. Le risque est de se retrouver avec plusieurs dizaines de certificats.
Le Credential Roaming est incompatible avec les RODC (contrôleur de domaine en lecture seule).
Pour des raisons de sécurité, il est préconisé de ne pas activer le Credential Roaming pour un compte utilisateur avec un certificat Agent de récupération de fichiers (EFS) ou Agent de récupération de clés privées (Key Recovery Agent) ou Msreport-BitLockerDRA (modèle de certificat créé dans ce dossier). Il faut en effet maitriser les machines où se trouvent ces types de certificats qui disposent de droits très importants.
Si le même certificat a été déployé manuellement sur plusieurs machines mais avec des paramètres différents (paramètre d’exportation de la clé privée), le Credential Roaming applique des règles de gestion des conflits.
Pour plus d’informations sur le Credential Roaming :
http://support.microsoft.com/kb/2607862
http://social.technet.microsoft.com/wiki/contents/articles/11483.credential-roaming.aspx

2. Définition de l’architecture cible
2.1 Prérequis à la mise en œuvre de la solution
Vous devez disposer d’un domaine Active Directory géré par des contrôleurs de domaine Windows 2003 R2 ou version ultérieure. Dans cet exemple le domaine sera appelé MSREPORT.LOCAL et géré par 2 contrôleurs de domaine Windows 2008 R2.
Vous devez disposer d’une messagerie compatible avec le protocole S/MIME comme Exchange On-Premise / Online.
Pour activer EFS, S/MIME, BitLocker et IEEE 802.1X, nous avons besoin de certificats. Pour cela, une autorité de certification d’entreprise Microsoft sera déployée sur le serveur MSREPORTDC1.
Une architecture d’autorité de certification 1 tiers a été retenue car :
- Cette configuration est simple à mettre en place et à maintenir. Une architecture 2 TIERS / 3 TIERS est intéressante si vous devez générer un grand nombre de certificats.
- Le nombre de certificats à délivrer sera relativement faible (1 pour chaque compte utilisateur Active Directory et 1 pour chaque machine membre du domaine Active Directory).
- La configuration 1 tiers ne nécessite qu’un seul serveur.
L’autorité de certification sera déployée sur un serveur Windows 2008 R2 (ou une version ultérieure) membre du domaine Active Directory MSREPORT.LOCAL.et disposera de la configuration suivante :
- L’autorité de certification ne doit pas être installée sur un contrôleur de domaine car cette configuration n’est pas recommandée. La commande DCPROMO (inverse) échoue si le contrôleur de domaine est serveur d’autorité de certification. Dans cet exemple, l’autorité de certification sera installée sur le serveur MSREPORTDC1.
- Le site interface web d’administration (CERTSRV) sera installé sur le serveur.
- L’archivage des clés privées sera activé pour les certificats utilisés pour S/MIME et EFS. Cette fonctionnalité permet de régénérer le certificat à l’aide de la base de données de certificats et d’un certificat spécial basé sur le modèle « Key Recovery Agent ».
- Les informations AIA (clé publique de l’autorité de certification) et la CDP (emplacement de la liste de révocation des certificats alias CRL) seront ajoutées au niveau des certificats émis (chemin LDAP et HTTP).
- L’audit sera activé sur l’autorité de certification (toutes les tâches). Toutes les actions effectuées sur l’autorité de certification (génération d’un certificat, modification de la configuration) seront consignés dans le journal de sécurité du serveur d’autorité de certification.
Les modèles de certificats suivants seront configurés sur l’autorité de certification :
- Utilisateur-Msreport : validité : 3 ans, clés de 2048 bits, exportation de la clé privée autorisée, archivage de la clé publique.
- Ordinateur-Msreport : validité : 3 ans, clés de 2048 bits, exportation de la clé privée autorisée, pas d’archivage de la clé publique.
- BitLockerDRA-Msreport : validité : 5 ans, clés de 2048 bits, exportation de la clé privée autorisée, pas d’archivage de la clé publique.
- Agent de récupération de clés (Key Recovery Agent) : validité : 5 ans, clés de 2048 bits, exportation de la clé privée autorisée, pas d’archivage de la clé publique.
- Agent de récupération EFS (EFS Recovery Agent) : validité : 5 ans, clés de 2048 bits, exportation de la clé privée autorisée, pas d’archivage de la clé publique.
- Authentification Contrôleur du domaine : validité : 3 ans, clés de 2048 bits, exportation de la clé privée autorisée, pas d’archivage de la clé publique.
Chaque ordinateur du domaine MSREPORT.LOCAL disposera d’un certificat basé sur le modèle « Ordinateur-Msreport ». Pour cela ce modèle de certificat sera configuré pour être déployé automatiquement pour tous les comptes ordinateurs membres du groupe « DEPLOY-CERTIFICAT-COMPUTERS ».
Chaque utilisateur du domaine MSREPORT.LOCAL disposera d’un certificat basé sur le modèle « Utilisateur-Msreport ». Pour cela ce modèle de certificat sera configuré pour être déployé automatiquement pour tous les utilisateurs membres du groupe « DEPLOY-CERTIFICAT-USERS ».
Le Credential Roaming sera activé pour garantir qu’un utilisateur disposera toujours du même certificat basé sur le modèle Utilisateur-Msreport si ce dernier travaille sur plusieurs machines.

2.2 Configuration d’EFS :
Les utilisateurs chiffreront leurs données confidentielles à l’aide du certificat basé sur le modèle « Utilisateur-Msreport ». Un agent de récupération EFS sera configuré (utilisation du modèle de certificat Agent de récupération EFS généré pour le compte AdminPKI). Il permettra à l’équipe informatique de récupérer les données chiffrées par un utilisateur perd sa clé privé de son certificat Utilisateur-Msreport ou son certificat (corruption de son profil, perte de sa machine).

2.3 Configuration de BitLocker
BitLocker sera configuré dans cet exemple pour des stations de travail Windows 7 Entreprise ou Windows 8 Professionnel équipé d’un TPM.
Une GPO sera configurée pour sauvegarder dans l’annuaire Active Directory le mot de passe du propriétaire du TPM (Trusted Platform Module (TPM) owner password) et la clé de récupération BitLocker (BitLocker Recovery Key).
Un agent de récupération des données chiffrées avec BitLocker (Data Recovery Agents with BitLocker) sera utilisé pour permettre à une personne disposant d’un certificat basé sur le modèle BitLockerDRA-Msreport de déchiffrer les données.

3. Déploiement de l’autorité de certification
3.1 Installation de l’autorité de certification
La première étape est d’installer le rôle « Active Directory Certificates Services ».
Il faut sélectionner les composants « Certification Authority » et « Certificate Authority Web Enrollment ».
Choisir ensuite une autorité de certification d’Entreprise de type racine.
Configurer l’autorité de certification avec une durée de vie de 10 ans et une paire de clés de 2048 bits.
Laisser les autres options par défaut.

3.2 Installation de la fonctionnalité « Chiffrement de lecteur BitLocker »
Il est nécessaire d’installer la fonctionnalité BitLocker Drive Encryption sur le serveur d’autorité de certification pour que les extensions BitLocker Drive Encryption et BitLocker Data Recovery Agent soient disponibles lors de la création du modèle de certificat BitLockerDRA-Msreport. Pour plus d’informations :
http://social.technet.microsoft.com/Forums/windowsserver/en-US/fcb6cf1e-0196-4338-ac83-e737a34a98cb/bitlocker-data-recovery-agent-certificate

3.3 Configuration de la CA pour émettre des certificats avec une durée de vie de 10 ans
Par défaut, une autorité de certification Microsoft impose une limite de 2 ans pour un certificat (même si le modèle de certificats permet d’aller au-delà). Pour pouvoir générer des certificats avec une durée de vie égale à la durée de vie de l’autorité de certification, taper la commande suivante :
Certutil –setreg ca\VALIDITYPeriodUnits 10

3.4 Configuration de l’AIA et de la CRL
Le but est de configurer l’AIA et de la CRL pour être publiés sur le site IIS du serveur d’autorité de certification (URL interne dans un premier temps). Lancer la console « Certification Authority ».
Aller dans les propriétés de l’autorité de certification dans l’onglet « Extensions ».
Sélectionner « CRL Distribution Point (CDP) ».
Sélectionner la ligne avec http et cocher la case « Include in the CDP extension of issued certificates ».
Sélectionner « Authority Information Access (AIA) » et sur la ligne « http », cocher la case « Include in the AIA extension of issued certificates ».

3.5 Configuration des modèles de certificats
3.5.1 Création des groupes locaux « DEPLOY-CERTIFICAT-COMPUTERS » et « DEPLOY-CERTIFICAT-USERS »
Créer les groupes de domaines locaux « DEPLOY-CERTIFICAT-COMPUTERS » et « DEPLOY-CERTIFICAT-USERS » dans l’annuaire MSREPORT.LOCAL pour permettre respectivement de déployer automatiquement les certificats basés sur les modèles « Ordinateur-Msreport » et « Utilisateur-Msreport ».

3.5.2 Création du modèle Utilisateur-Msreport
Lancer la console « Certification Authority ». Faire un clic droit sur « Certificate Templates » puis sélectionner « Manage » au niveau de modèle de certificats.
Dans la console « Certificate Templates », sélectionner le modèle « User » et cliquer sur « Duplicate Template ».
Sélectionner « Windows Server 2003 Enterprise ». Configurer le modèle de la manière suivante :
- Nom de modèle « Utilisateur-Msreport ».
- Durée de validité de 3 ans
- Durée de renouvellement de 6 semaines.
- Publier le certificat dans l’annuaire Active Directory. Cocher la case « Do not automatically reenroll if a duplicate certificate exists in Active Directory ».
- Cocher la case « Allow private Key to be exported ».
- Configurer une taille de clés de 2048 bits.
- Construire les informations à l’aide d’Active Directory et cocher les cases « User Principal Name(UPN) » et « Email name ».
- Décocher la case « Ca certificate manager approval ».
- Aller dans l’onglet « Security » et donner les droits « Read », « Enroll » et « Autoenroll » au groupe « DEPLOY-CERTIFICAT-USERS ».

3.5.3 Création du modèle Ordinateur-Msreport
Lancer la console « Certification Authority ». Faire un clic droit sur « Certificate Templates » puis sélectionner « Manage » au niveau de modèle de certificats.
Dans la console « Certificate Templates », sélectionner le modèle « Computer » et cliquer sur « Duplicate Template ».
Sélectionner « Windows Server 2003 Enterprise ». Configurer le modèle de la manière suivante :
- Nom de modèle « Ordinateur-Msreport ».
- Durée de validité de 3 ans
- Durée de renouvellement de 6 semaines.
- Ne pas publier le certificat dans l’annuaire Active Directory.
- Cocher la case « Allow private Key to be exported ».
- Configurer une taille de clés de 2048 bits.
- Construire les informations à l’aide d’Active Directory et cocher la cases « DNS name ».
- Décocher la case « Ca certificate manager approval ».
- Aller dans l’onglet « Security » et donner les droits « Read », « Enroll » et « Autoenroll » au groupe « DEPLOY-CERTIFICAT-COMPUTERS ».

3.5.4 Création du modèle BitLockerDRA-Msreport
Lancer la console « Certification Authority ». Faire un clic droit sur « Certificate Templates » puis sélectionner « Manage » au niveau de modèle de certificats.
Dans la console « Certificate Templates », sélectionner le modèle « Key Recovery Agent» et cliquer sur « Duplicate Template ».
Sélectionner « Windows Server 2003 Enterprise ». Configurer le modèle de la manière suivante :
- Nom de modèle « « BitLockerDRA-Msreport».
- Durée de validité de 5 ans
- Durée de renouvellement de 6 semaines.
- Ne pas publier le certificat dans l’annuaire Active Directory.
- Cocher la case « Allow private Key to be exported ».
- Configurer une taille de clés de 2048 bits.
- Construire les informations à l’aide d’Active Directory et cocher les cases « User Principal Name(UPN) ».
- Décocher la case « Ca certificate manager approval ».
- Aller dans l’onglet « Security » et donner les droits « Read », « Enroll » à AdminPKI. Laisser le droit « Read » à Authenticated users.
- Aller dans l’onglet « Extensions », sélectionner « Application Policies » puis cliquer sur « Modify ». Ajouter les extensions « BitLocker Drive Encryption» et « BitLocker Data Recovery Agent ».

3.5.4 Reconfiguration des modèles Key Recovery Agent et EFS Recovery Agent
Reconfigurer le modèle de certificats avec les paramètres suivants :
- Durée de validité de 5 ans
- Cocher la case « Allow private Key to be exported ».
- Aller dans l’onglet « Security » et donner uniquement au compte AdminPKI le droit « Inscrire ».
- Décocher la case « Ca certificate manager approval ».

3.5.5 Configurer l’autorité de certification pour émettre des certificats « Utilisateur-Msreport », « Ordinateur-Msreport », « BitLockerDRA-Msreport », « Agent de récupération de clé », « Agent de récupération EFS », Serveur web et « Authentification des contrôleurs de domaine »
Lancer la console « Autorité de certification ». Faire un clic droit sur « Certificate Templates » puis cliquer sur « New | Certificate Template to Issue ».
Supprimer les anciens modèles de certificats.

3.6 Activation de l’archivage des clés privées
Créer un compte appelé AdminPKI avec un mot de passe complexe. Ce compte doit être administrateur local sur le serveur d’autorité de certification. Il faut ensuite générer un certificat basé sur le modèle « Key Recovery Agent » pour le compte AdminPKI.
Pour cela, créer une console MMC vierge (mmc.exe) et ajouter le composant logiciel enfichable Certificats.
Ouvrir le composant certificat utilisateur et faire une demande d’un certificat basé sur le modèle de certificat « Key Recovery Agent ». Sauvegarder ensuite ce certificat au format PFX en le protégeant avec le mot de passe du compte AdminPKI.

3.7 Activation des paramètres d’audit de l’autorité de certification et configuration du journal de sécurité avec une taille de 512 Mo
Toutes les actions effectuées au niveau de l’autorité de certification seront inscrites dans le journal « Security » du serveur. Lancer la console « Certification Authority » puis aller dans les propriétés de l’autorité de certification au niveau de l’onglet « Audit ». Cocher toutes les cases comme « Back up and restore the CA database».
Il faut maintenant configurer le journal « Security » avec une taille de 512 Mo pour disposer d’un historique des actions effectuées sur l’autorité de certification.
Créer un objet GPO et l’appliquer au serveur d’autorité de certification. Configurer les 2 paramètres suivants (dans Paramètres de sécurités) :
- Taille maximale du journal de sécurité : 512000 Ko
- Méthode de stockage du journal de sécurité : Overwrite events as needed

3.8 Autoriser l’autorité de certification à émettre des certificats SAN
Le but est de configurer l’autorité de certification pour autoriser les certificats SAN (Subject Alternative Names).
Taper la commande suivante :
CertUtil -SetReg Policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc & net start certsvc

3.9 Activation du Credential Roaming dans l’annuaire MSREPORT.LOCAL
Lancer la console GPMC.MSC.
Editer la Default Domain Policy.
Aller dans User Configuration | Windows Settings | Security Settings | Public Key Policies.
Dans la fenêtre de droite, double cliquer sur « Certificate Serbices Client – Credential Roaming »
Activer ce paramètre et laisser les autres paramètres par défaut.
Comme expliqué lors de l’activation du Credential Roaming, cette fonctionnalité est incompatible avec les profils itinérants. Pour cette raison, l’activation du Credential Roaming active aussi une exclusion au niveau des répertoires pris en compte avec les profils itinérants.
Pour plus d’informations sur le Credential Roaming :
http://technet.microsoft.com/en-us/library/cc700848.aspx
http://technet.microsoft.com/en-us/library/cc771348.aspx
http://social.technet.microsoft.com/wiki/contents/articles/11483.credential-roaming.aspx
http://blogs.technet.com/b/instan/archive/2009/05/26/considerations-for-implementing-credential-roaming.aspx
http://blogs.technet.com/b/askds/archive/2009/12/18/troubleshooting-credential-roaming.aspx
http://blogs.technet.com/b/instan/archive/2009/05/26/considerations-for-implementing-credential-roaming.aspx
http://blogs.technet.com/b/askds/archive/2009/01/06/certs-on-wheels-understanding-credential-roaming.aspx

3.10 Configuration de l’autoenrollment (déploiement automatique de certificat) pour les modèles de certificats « Utilisateur-Msreport» et « Ordinateur-Msreport »
Un des objectifs est de délivrer automatiquement un certificat basé sur le modèle « Utilisateur-Msreport » pour chaque utilisateur. Pour atteindre cet objectif, il faut :
- Configurer le modèle de certificat Msreport-User pour autoriser l’inscription automatique de certificat pour les utilisateurs membres du groupe « DEPLOY-CERTIFICAT-USERS ».
- Editer la Default Domain Policy. Aller dans User Configuration | Windows Settings | Security Settings | Public Key Policies. Dans la fenêtre de droite, double cliquer sur « Enroll user and computer certificate automatically ». Activer ce paramètre et cocher la case « Update certificates that use certificate templates » pour permettre le bon fonctionnement de l’autoenrollment.
Pour déployer automatiquement les certificats « Ordinateur-Msreport », il faut
- Configurer le modèle de certificat Ordinateur-Msreport pour autoriser l’inscription automatique de certificat pour les comptes ordinateurs membres du groupe « DEPLOY-CERTIFICAT-COMPUTERS ».
- Editer la Default Domain Policy. Aller dans Configuration Computer Configuration | Windows Settings | Security Settings | Public Key Policies. Dans la fenêtre de droite, double cliquer sur Enroll user and computer certificate automatically ». Activer ce paramètre et cocher la case « Update certificates that use certificate templates » pour permettre le bon fonctionnement de l’autoenrollment.
Il est possible d’activer un log détaillé de l’autoenrollement en configurant les entrées de registre suivantes :
- Pour l’autoenrollment des certificats ordinateurs : HKEY_CURRENT_USER\Software\Microsoft\Cryptography\AutoEnrollment
- Pour l’autoenrollment des certificats utilisateurs : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\AutoEnrollment

3.11 Sauvegarder l’autorité de certification
Créer le fichier C:\_adm\scripts\BackupCertificates.cmd avec le contenu suivant :
Echo Backup Certification Authority, Certificates, Templates and CSP
c:
cd C:\_adm\scripts
Echo O| del C:\backup-ca\database
rd C:\backup-ca\database
Echo O | del c:\backup-ca
Echo Backing up the Certification Authority and Certificates
certutil -backup -p P@sswordfpvmch c:\backup-ca
Echo Backing up the registry keys
reg export HKLM\System\CurrentControlSet\Services\CertSvc\Configuration c:\backup-ca\regkey.reg
Certutil –getreg CA\CSP > C:\Backup-ca\CSP.txt
Echo Documenting all certificate templates published at the CA
Certutil –catemplates > C:\Backup-ca\CATemplates.txt
Créer la tâche planifiée qui va lancer le script ci-dessus tous les jours. Il sera nécessaire de sauvegarder le répertoire c:\Backup-ca avec votre outil de sauvegarde.

3.12 Mise en œuvre des rapports sur l’activité de l’autorité de certification
Je vous invite à utiliser le plugin PSPKI si vous disposez d’une autorité de certification sous Windows 2008 R2. Avec Windows 2012, Microsoft fournit des commandes PowerShell permettant de générer le même type de rapport.
Pour installer le module PowerShell PSPKI
Autoriser l’exécution des scripts PowerShell non signés.
Set-ExecutionPolicy Unrestricted
Installer .Net Framework 4.0.
Installer PowerShell V3.0, téléchargeable à cette adresse :
http://www.microsoft.com/en-us/download/details.aspx?id=34595
Installer le module PSPKI disponible à cet emplacement (installation complète).
http://poweradmin.se/blog/2011/08/09/adcs-certificate-expiration-report-tool/
http://pspki.codeplex.com/
Le script ci-dessous permet de lister tous les certificats révoqués :
Import-Module PSPKI
Get-CertificationAuthority -Name Msreport | Get-RevokedRequest | Select-Object Request.RequestID,CommonName, SerialNumber, Request.RevokedReason | Export-Csv –Path c:\_adm\scripts\revoque.csv -Encoding UTF8 –UseCulture
Le script ci-dessous va afficher les certificats qui vont expirés dans un mois.
On s’appuie toujours sur le module PowerShell PSPKI. Créer le fichier c:\_adm\script\certificats-expirés.ps1 et copier le contenu du script ci-dessous :
param(
[string] $computername = “$ENV:COMPUTERNAME”,
[string] $reportfile = “$ENV:USERPROFILE\Desktop\PKIRAPPORT.html”
)
# Variables
$caname = $computername.ToLower()
$domaindns = $ENV:USERDNSDOMAIN.ToLower()
$todaysdate = Get-Date
$findaldate = $todaysdate.AddMonths(1)
$reportfile = “c:\_adm\scripts\certificats-expires.html”
# Vérifie que PSPKI est installé.
if(Get-Module -ListAvailable -Name PSPKI | Where-Object { $_.name -eq “PSPKI” })
{
# Vérifie que PSPKI est chargé
if (!(Get-Module -Name PSPKI | Where-Object { $_.name -eq “PSPKI” }))
{
Write-Host “Importation du module PSPKI” -ForegroundColor “Yellow”
Import-Module -Name PSPKI
}
# Génère le rapport
$htmlpre = “
Generated by user: $ENV:USERNAME
Les certificats vont suivant expirés avant $findaldate (date au format englais)

$htmlpost = “
Certificate expiration information retrived from $caname.$domaindns

$htmltitle = “Autorité de certification : $caname.$domaindns”
$htmlinput = Get-CertificationAuthority “$caname.$domaindns” | Get-IssuedRequest -Filter “NotAfter -ge $(Get-Date)”, “NotAfter -le $findaldate”
$htmlinput | ConvertTo-Html -Body (Get-Date) “Report date:” -Property RequestID,RequesterName,CommonName,NotBefore,NotAfter,SerialNumber -Pre $htmlpre -Post $htmlpost -Title $htmltitle | Out-File -FilePath $reportfile
# Chargement du rapport
Invoke-Item $reportfile
}
else
{
Write-Host “PSPKI is not installed. Please install it from http://pspki.codeplex.com/ ” -ForegroundColor “Yellow”
}

4. Configuration d’EFS
4.1 Générer le certificat certificats « Agent de récupération EFS » pour AdminPKI
Il faut ensuite générer un certificat « EFS Recovery Agent » pour le compte AdminPKI.
Pour cela, créer une console MMC vierge (mmc.exe) et ajouter le composant logiciel enfichable Certificats.
Ouvrir le composant certificat utilisateur et faire une demande d’un certificat basé sur le modèle de certificat « EFS Recovery Agent ». Sauvegarder ensuite ce certificat au format PFX en le protégeant avec le mot de passe du compte AdminPKI.

4.2 Configurer ADMINPKI comme agent de récupération EFS pour le domaine MSREPORT
Exporter le certificat de l’agent de récupération EFS du compte ADMINPKI au format CER (clé publique uniquement).
Lancer la console GPMC.MSC. Editer la GPO Default Domain Policy.
Aller dans Configuration Ordinateur | Stratégies | Paramètres Windows | Paramètres de sécurité | Stratégie de clé publique Computer Configuration | Windows Settings | Security Settings | Public Key Policies | Encrypting File System.
Supprimer le certificat existant si applicable et lancer l’assistant d’ajout d’un agent de récupération. Importer le certificat « EFS Recovery Agent » du compte AdminPKI.
Forcer la réplication Active Directory.
Sur les stations de travail, lancer la commande GPUPDATE /FORCE ou attendre 120 minutes.

4.3 Utilisation d’EFS
Ouvrir une session avec un compte utilisateur mélanie.mathieu membre du groupe « DEPLOY-CERTIFICAT-USERS ». Vérifier qu’un certificat « Utilisateur-Msreport » a été généré automatiquement pour le compte melanie.mathieu. Créer un dossier appelé « Données confidentielles ».
Aller dans l’onglet « General » puis cliquer sur le bouton « Advanced ». Dans la fenêtre « Advanced Attributes », cocher la case « Encrypt contents to secure data ».
Cliquer dans l’onglet « Detail» et vérifier que les données sont chiffrés avec un certificat « Utilisateur-Msreport » du compte melanie.mathieu. Vérifier que le certificat AdminPKI est configuré comme « Recovery certificate ».

5. Mise en œuvre de BitLocker
Toutes les informations ci-dessous sont extrait du guide « BitLocker Drive Encryption » de Microsoft.
http://technet.microsoft.com/fr-fr/library/dd875547(v=ws.10).aspx  et du guide des paramètres de GPO http://technet.microsoft.com/en-us/library/jj679890.aspx
http://technet.microsoft.com/fr-fr/library/hh831412.aspx

5.1 Configuration des GPO pour BitLocker et le TPM
Les paramètres listés dans le tableau ci-dessous ont été définis au niveau de la GPO « COMPUTER – CERTIFICAT – BITLOCKER ».
Ils permettent entre autres de sauvegarder la « BitLocker Recovery Key » et le « Trusted Platform Module (TPM) Owner password » dans l’annuaire Active Directory.
L’activation d’un Agent de récupération des données chiffrées avec BitLocker nécessite aussi d’activer le champ identification. Nous avons utilisé la chaîne de caractères suivant : 14127487 comme identifiant.
Aller dans Computer Configuration | Administrative Templates | Windows Components | BitLocker Drive Encryption to show the policy settings | Provide the unique identifiers for your organization. Activer ce paramètre et sélectionner les paramètres suivants
BitLocker Identification Field : 14127487
Allowed BitLocker Identification Field : 14127487
Ce paramètre permet à BitLocker de déterminer si un disque est géré par l’entreprise ou un disque personnel. Pour plus d’informations : http://technet.microsoft.com/fr-fr/library/dd875560(v=ws.10).aspx
Aller dans Computer configuration | Policies | Administratives Templates | Windows Components | BitLocker Drive Encryption | Operating System Drives | Require additional authentication at startup. Activer le paramètre de GPO avec la configuration suivante :
Décocher la case « Allow BitLocker without a compatible TPM » :
Sélectionner les choix suivants :
« Require TPM »
« Do not allow startup PIN with TPM »
« Do not allow startup LKey with TPM »
« Do not allow startup Key and PIN with TPM »
Aller dans Computer configuration | Policies | Administratives Templates | Windows Components | BitLocker Drive Encryption | Operating System Drives | Choose how BitLocker-protected operating system drive can be recovered
Activer le paramètre de GPO avec la configuration suivante :
Cocher la case « Allow data recovery agent ».
Sélectionner les paramètres suivants :
“Allow 48-digity recovery password”
“Allow 256-bit recovery key”
Cocher la case “Omit recovery options from the BitLocker setup wizard”.
Cocher la case “Save BitLocker recovery information to AD DS”.
Sélectionner “Store recovery passwords and key packages”.
Cocher la case “Do not enable BitLocker until recovery information is stored to AD DS for operating system drive”.
Ces réglages permettent de forcer la sauvegarde de la clé de récupération BitLocker dans l’annuaire Active Directory.
Aller dans Computer configuration | Policies | Administratives Templates | Windows Components | BitLocker Drive Encryption | Fixed Data Drives | Choose how BitLocker-protected fixed drives can be recovered
Activer le paramètre de GPO avec la configuration suivante :
Cocher la case « Allow data recovery agent ».
Sélectionner les paramètres suivants :
“Allow 48-digity recovery password”
“Allow 256-bit recovery key”
Cocher la case “Omit recovery options from the BitLocker setup wizard”.
Cocher la case “Save BitLocker recovery information to AD DS”.
Sélectionner “Store recovery passwords and key packages”.
Cocher la case “Do not enable BitLocker until recovery information is stored to AD DS for operating system drive”.
Ces réglages permettent de forcer la sauvegarde de la clé de récupération BitLocker dans l’annuaire Active Directory.
Aller dans Administratives Templates | Windows Components | BitLocker Drive Encryption | Removable Data Drives | Choose how BitLocker-protected removable drives can be recovered Activer le paramètre de GPO avec la configuration suivante :
Cocher la case « Allow data recovery agent ».
Sélectionner les paramètres suivants :
“Allow 48-digity recovery password”
“Allow 256-bit recovery key”
Cocher la case “Omit recovery options from the BitLocker setup wizard”.
Cocher la case “Save BitLocker recovery information to AD DS for removable data drives”.
Sélectionner “Store recovery passwords and key packages”.
Cocher la case “Do not enable BitLocker until recovery information is stored to AD DS for operating system drive”.
Ces réglages permettent de forcer la sauvegarde de la clé de récupération BitLocker dans l’annuaire Active Directory.
Aller dans Computer configuration | Policies | Administratives Templates | Windows Components | BitLocker Drive Encryption | Fixed Data Drives | Configure use of passwords for fixed data drives
Activer ce paramètre de GPO avec la configuration suivante :
Cocher la case « Require password for fixed data drive ».
Sélectionner « Require password complexity ».
Sélectionner 8 pour le « Minimum password length for fixed data drive ».
Ce paramètre permet de forcer la saisie d’un mot de passe quand on accède à un disque protégé.
Aller dans Administratives Templates | Windows Components | BitLocker Drive Encryption | Removable Data Drives | Control use of BitLocker on removable drives
Activer ce paramètre de GPO avec la configuration suivante :
Cocher la case « Allow users to apply BitLocker protection on removable data drives ».
Cocher la case « Allow users to suspend and decrypt BitLocker protection on removable data drives ».
Les utilisateurs peuvent choisir s’ils activent ou non BitLocker sur les disques amovibles.
Aller dans Computer configuration | Policies | Administratives Templates | Windows Components | BitLocker Drive Encryption | Removable Data Drives | Configure use of passwords for removable data drives
Activer ce paramètre de GPO avec la configuration suivante :
Cocher la case « Require password for removable data drive ».
Sélectionner « Require password complexity ».
Sélectionner 8 pour le « Minimum password length for removable data drive ».
Ce paramètre permet de forcer la saisie d’un mot de passe quand on accède à un disque amovible protégé par BitLocker.
Aller dans Computer configuration | Policies | Administratives Templates | System | Trusted Platform Modules Services | Turn on TPM Backup to Active Directory Domain Services
Activer ce paramètre de GPO avec la configuration suivante :
Ce paramètre permet de forcer la sauvegarde du mot de passe propriétaire du TPM au niveau de l’annuaire Active Directory.

5.2 Définir l’agent de récupération des données chiffrées BitLocker au niveau des stratégies de groupe
Un agent de récupération de données BitLocker permet à un utilisateur disposant d’un certificat « Agent de récupération de données chiffrées avec BitLocker » de déchiffrer un disque système, un disque fixe ou un disque amovible chiffré avec BitLocker. Les disques chiffrés doivent cependant pour cela être connectée à la station de travail et l’utilisateur en charge de la récupération des données doit disposer du certificat Agent de récupération de données BitLocker. La procédure ci-dessous est basée sur la documentation suivante :
http://blogs.technet.com/b/askcore/archive/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives.aspx
Pour cela, il faut disposer d’un certificat généré avec le modèle de certificat appelé BitLockerDRA-Msreport
Il faut ensuite modifier la GPO « COMPUTER – CERTIFICAT – BITLOCKER ». Aller dans “Computer Configuration | Windows Settings | Security Settings | Public Key Policies | Bitlocker Drive Encryption”.
Importer le fichier CER de l’agent de récupération de données chiffrées BitLocker (admin-pki).

5.3 Configuration d’Active Directory pour autoriser la sauvegarde du mot de passe propriétaire du TPM
Les paramètres ci-dessous ont été définis au niveau de la GPO « COMPUTER – CERTIFICAT – BITLOCKER ».
Exporter le certificat (clé publique uniquement) de l’agent de récupération des données chiffrées avec BitLocker (ADMINPKI).
Ajouter ce certificat au niveau de Computer Configuration | Windows Settings | Security Settings | Public Key Policies | BitLocker Drive Encryption.
Ce paramètre permet de définir un agent de récupération de données chiffrées avec BitLocker.
Importer le fichier CER de l’agent de récupération de données chiffrées BitLocker.

5.4 Ajout des droits dans l’annuaire pour mettre à jour le mot de passe du propriétaire du TPM
Comme expliqué dans l’article Technet http://technet.microsoft.com/fr-fr/library/dd875529(v=ws.10).aspx, il est nécessaire d’utiliser le script Add-TPMSelfWriteACE.vbs pour pouvoir permettre l’enregistrement du mot de passe du propriétaire de TPM dans l’attribut msTPM-OwnerInformation.
Par défaut seuls les utilisateurs membres du groupe « Admins du domaine » ont le droit de visualiser :
- La BitLocker Recovery Key
- LeTrusted Platform Module (TPM) owner password
Il est possible d’utiliser le script Get-TPMOwnerInfo.vbs pour visualiser le Trusted Platform Module (TPM) owner password ou d’utiliser le script Get-BitLockerRecoveryInfo.vbs pour visualiser la BitLocker Recovery Key.
Le code source du script Get-BitLockerRecoveryInfo.vbs sur le site Microsoft est mal formaté.
Sub ShowUsage
Wscript.Echo « USAGE: Get-BitLockerRecoveryInfo [Optional Computer Name]« 
Wscript.Echo « If no computer name is specified, the local computer is assumed. »
WScript.Quit
End Sub
Set args = WScript.Arguments
Select Case args.Count
Case 0
‘ Get the name of the local computer
Set objNetwork = CreateObject (« WScript.Network »)
strComputerName = objNetwork.ComputerName
Case 1
If args(0) = « /? » Or args(0) = « -? » Then
ShowUsage
Else
strComputerName = args(0)
End If
Case Else
ShowUsage
End Select
Function HexByte(b)
HexByte = Right(« 0″ & Hex(b), 2)
End Function
Function ConvertOctetGuidToHexString(ByteArray)
Dim Binary, S
Binary = CStr(ByteArray)
On Error Resume Next
S = « {« 
S = S & HexByte(AscB(MidB(Binary, 4, 1)))
S = S & HexByte(AscB(MidB(Binary, 3, 1)))
S = S & HexByte(AscB(MidB(Binary, 2, 1)))
S = S & HexByte(AscB(MidB(Binary, 1, 1)))
S = S & « - »
S = S & HexByte(AscB(MidB(Binary, 6, 1)))
S = S & HexByte(AscB(MidB(Binary, 5, 1)))
S = S & « - »
S = S & HexByte(AscB(MidB(Binary, 8, 1)))
S = S & HexByte(AscB(MidB(Binary, 7, 1)))
S = S & « - »
S = S & HexByte(AscB(MidB(Binary, 9, 1)))
S = S & HexByte(AscB(MidB(Binary, 10, 1)))
S = S & « - »
S = S & HexByte(AscB(MidB(Binary, 11, 1)))
S = S & HexByte(AscB(MidB(Binary, 12, 1)))
S = S & HexByte(AscB(MidB(Binary, 13, 1)))
S = S & HexByte(AscB(MidB(Binary, 14, 1)))
S = S & HexByte(AscB(MidB(Binary, 15, 1)))
S = S & HexByte(AscB(MidB(Binary, 16, 1)))
S = S & « } »
On Error GoTo 0
ConvertOctetGuidToHexString = S
End Function
Function GetStrPathToComputer(strComputerName)
‘ Uses the global catalog to find the computer in the forest
‘ Search also includes deleted computers in the tombstone
Set objRootLDAP = GetObject (« LDAP://rootDSE »)
namingContext = objRootLDAP.Get (« defaultNamingContext ») ‘ e.g. string dc=fabrikam,dc=com
strBase = «  »
Set objConnection = CreateObject (« ADODB.Connection »)
Set objCommand = CreateObject (« ADODB.Command »)
objConnection.Provider = « ADsDSOOBject »
objConnection.Open « Active Directory Provider »
Set objCommand.ActiveConnection = objConnection
strFilter = « (&(objectCategory=Computer) (cn= » & strComputerName & « )) »
strQuery = strBase & « ; » & strFilter & « ;distinguishedName;subtree »
objCommand.CommandText = strQuery
objCommand.Properties(« Page Size ») = 100
objCommand.Properties(« Timeout ») = 100
objCommand.Properties(« Cache Results ») = False
‘ Enumerate all objects found.
Set objRecordSet = objCommand.Execute
If objRecordSet.EOF Then
WScript.echo « The computer name ‘ » & strComputerName & « ‘ cannot be found. »
WScript.Quit 1
End If
Do Until objRecordSet.EOF
dnFound = objRecordSet.Fields (« distinguishedName »)
GetStrPathToComputer = « LDAP:// » & dnFound
objRecordSet.MoveNext
Loop
Set objConnection = Nothing
Set objCommand = Nothing
Set objRecordSet = Nothing
End Function
Set objDSO = GetObject(« LDAP: »)
strPathToComputer = GetStrPathToComputer (strComputerName)
WScript.Echo « Accessing object:  » + strPathToComputer
Const ADS_SECURE_AUTHENTICATION = 1
Const ADS_USE_SEALING = 64 ’0×40
Const ADS_USE_SIGNING = 128 ’0×80
‘ Get all the recovery information child objects of the computer object
Set objFveInfos = objDSO.OpenDSObject (strPathToComputer, vbNullString, vbNullString, ADS_SECURE_AUTHENTICATION + ADS_USE_SEALING + ADS_USE_SIGNING)
objFveInfos.Filter = Array(« msFVE-RecoveryInformation »)
‘ Iterate through each recovery information object
For Each objFveInfo in objFveInfos
strName = objFveInfo.Get(« name »)
strRecoveryGuidOctet = objFveInfo.Get(« msFVE-RecoveryGuid »)
strRecoveryGuid = ConvertOctetGuidToHexString(strRecoveryGuidOctet)
strRecoveryPassword = objFveInfo.Get(« msFVE-RecoveryPassword »)
WScript.echo «  »
WScript.echo « name:  » + strName
WScript.echo « msFVE-RecoveryGuid:  » + strRecoveryGuid
WScript.echo « msFVE-RecoveryPassword:  » + strRecoveryPassword
If len(strRecoveryGuid) <> 38 Then
WScript.echo « WARNING: ‘ » & strRecoveryGuid & « ‘ does not appear to be a valid GUID. »
End If
Next
WScript.Quit

5.5 Extension du schéma Active Directory
5.5.1 Pourquoi mettre à jour le schéma Active Directory
L’activation de BitLocker échoue sur les stations de travail Windows 8 échoue avec les réglages définies car la sauvegarde du mot de passe administrateur du TPM nécessite une mise à jour du schéma Active Directory.
Après activation du chiffrement BitLocker, au redémarrage, le message d’erreur ci-dessous apparaît :
« Cet objet ne se trouve pas sur le serveur ».
Dans le journal d’événement System de la machine, le message ci-dessous apparaît.
Nom du journal :System
Source : Microsoft-Windows-TPM-WMI
Date : 01/10/2014 11:10:57
ID de l’événement :514
Catégorie de la tâche :Aucun
Niveau : Avertissement
Mots clés :
Utilisateur : SERVICE RÉSEAU
Ordinateur : MSREPORTW81.msreport.local
Description :
Échec de la sauvegarde des informations d’autorisation du propriétaire du module de plateforme sécurisée (TPM) dans les services de domaine Active Directory.
Code d’erreur : 0×80072030
Assurez-vous que votre ordinateur est connecté au domaine. Si votre ordinateur est connecté au domaine, demandez à votre administrateur de domaine de vérifier que le schéma Active Directory est approprié à la sauvegarde des informations d’autorisation du propriétaire du module de plateforme sécurisée (TPM) de Windows 8 et que l’objet Ordinateur actif dispose d’une autorisation d’accès en écriture à l’objet Module de plateforme sécurisée (TPM). Les installations de Windows Server 2008 R2 (ou versions antérieures) nécessitent une extension de schéma pour pouvoir gérer la sauvegarde des informations d’autorisation du propriétaire du module de plateforme sécurisée (TPM) de Windows 8. Pour plus d’informations sur la configuration des services de domaine Active Directory pour le module de plateforme sécurisée (TPM), voir la documentation en ligne.
Il faut mettre à jour le schéma pour Windows 2012 pour pouvoir bénéficier de la sauvegarde du mot de passe de propriétaire du module TPM dans l’annuaire Active Directory avec Windows 8.
« For Windows 8 a change to how the TPM owner authorization value is stored in AD DS was implemented in the AD DS schema. The TPM owner authorization value is now stored in a separate object which is linked to the Computer object. This value was stored as a property in the Computer object itself for the default Windows Server 2008 R2 schemas. Windows Server 2012 domain controllers have the default schema to backup TPM owner authorization information in the separate object. If you are not upgrading your domain controller to Windows Server 2012 you need to extend the schema to support this change. If Active Directory backup of the TPM owner authorization value is enabled in a Windows Server 2008 R2 environment without extending the schema, the TPM provisioning will fail and the TPM will remain in a Not Ready state for computers running Windows 8. There are two schema extensions that you can copy down and add to your AD DS schema:
TpmSchemaExtension.ldf
This schema extension brings parity with the Windows Server 2012 schema. With this change, the TPM owner authorization information is stored in a separate TPM object linked to the corresponding computer object. Only the Computer object that has created the TPM object can update it. This means that any subsequent updates to the TPM objects will not succeed in dual boot scenarios or scenarios where the computer is reimaged resulting in a new AD computer object being created. To support such scenarios, an update to the schema was created.
TpmSchemaExtensionACLChanges.ldf
This schema update modifies the ACLs on the TPM object to be less restrictive so that any subsequent operating system which takes ownership of the computer object can update the owner authorization value in AD DS. However, this is less secure as any computer in the domain can now update the OwnerAuth of the TPM object (although it cannot read the OwnerAuth) and DOS attacks can be made from within the enterprise. The recommended mitigation in such a scenario is to do regular backup of TPM objects and enable auditing to track changes for these objects ».
Pour plus d’information : http://technet.microsoft.com/fr-fr/library/jj592683.aspx

5.5.2 Procédure de mise en œuvre
Les actions suivantes ont été effectuées :
- Télécharger les sources d’installation de Windows 2012 R2 sur un contrôleur de domaine Windows 2008 R2 appelé MSREPORTDCA
- Transférer le rôle de maître de schéma sur MSREPORTDCA et forcer la réplication pour propager le changement.
Ouvrir une session en tant qu’administrateur de l’entreprise sur MSREPORTDCA. Ouvrir une invite de commande et taper la commande suivante : regsvr32 schmmgmt.dll
Créer une MMC vierge et ajouter le composant logiciel enfichable « Schéma Active Directory ».
-Désactiver l’antivirus temps réel.
- Faire une sauvegarde du contrôleur de domaine MSREPORTDCA (Bare metal) avec Windows Server Backup.
- Ouvrir en tant qu’administrateur du schéma.
- Désactiver la réplication entrante et sortante.
repadmin /options MSREPORTDCA +DISABLE_OUTBOUND_REPL
repadmin /options MSREPORTDCA +DISABLE_INBOUND_REPL
Pour plus d’informations, voir : http://support2.microsoft.com/kb/321153/en-us
Lancer adprep /forestprep
Test l’ouverture de session avec un compte utilisateur créé après l’update du schema sur le contrôleur de domaine ROUMER.
Si tout fonctionne correctement, réactiver la replication entrante et sortante
Lancer adprep /domainprep comme expliqué dans l’article :
http://support2.microsoft.com/kb/2737129/en-us
Remettre le rôle FSMO sur le contrôleur de domaine initial.

5.6 Activation de BitLocker sur une station de travail Windows 7
Activer dans le BIOS le composant TPM. Sur les machines Dell, cette option se trouve généralement dans Security | TPM Security. Il faut activer le TPM puis redémarrer la machine.
Ouvrir une session avec un compte administrateur local de la machine. Aller dans le Panneau de Configuration
L’assistant BitLocker va commencer par préparer le TPM.
Au redémarrage (avant démarrage de Windows), le message suivant apparaît.
A request to change the configuration of this computer’s TPM (Trusted Platform Module) is pending….When you have made your selection, press the Enter Key.
Sélectionner le bouton « Modify ». La machine redémarre alors.
Au redémarrage, ouvrir la session avec le compte administrateur local. Le message ci-dessous apparaît automatiquement. Cliquer sur « Start Encrypting » pour démarrer le chiffrement du disque.
Pendant la phase de chiffrement du disque, les stations de travail avec des disques lents seront fortement pénalisées. Il sera recommandé de désactiver l’antivirus temps réel (Kaspersky) pendant cette phase.
Cette action peut aussi être effectuée avec la commande Manage-Bde
Le TPM doit avoir été activé dans le BIOS de la machine.
Lancer un invite de commande avec un compte administrateur local de la machine et entrer la commande suivante :
manage-bde -on C: -RecoveryPassword
Si vous voulez éviter le test matériel du TPM
manage-bde -on C: -RecoveryPassword -SkipHardwareTest
Bien qu’on n’est pas spécifié d’agent de récupération de données BitLocker, ce paramètre s’applique via la GPO comme on peut le voir avec la commande MANAGE-BDE –STATUS.
Pour plus d’informations sur les options de cette commande, taper :
manage-bde -on /?
Si l’attribut msTPM-OwnerInformation est vide (ce cas arrive si le TPM avait déjà été initialisé et donc avoir déjà un mot de passe propriétaire de TPM), lancer la console TPM.MSC et sélectionner « Change Owner Password ».
Entrer l’ancien mot de passe du TPM et finaliser la demande de changement. L’attribut msTPM-OwnerInformation est alors mis à jour.

5.7 Comment récupérer la valeur du mot de passe du TPM
Le script get-TPMOwnerInfo.vbs est disponible à l’adresse suivante :
http://gallery.technet.microsoft.com/ScriptCenter/f75bf414-9fa6-4569-b2c6-e63d57352d3a/
Il renvoie un Hash du mot de passe du propriétaire du TPM.
Pour convertir ce HASH en mot de passe, il faut appliquer la procédure suivante :
http://blogs.technet.com/b/askcore/archive/2010/08/03/how-to-use-hash-of-tpm-from-ad-to-reset-your-tpm-password.aspx
Créer un fichier tpm.tpm et copier le contenu ci-dessous
WBf+tYDp1tPs6nol5jLQ5g3NOOs=
Remplacer la valeur entre les balises par la valeur du Hash du TPM dans l’annuaire.
Lorsque vous souhaitez effectuer une action qui nécessite le mot de passe du propriétaire du TPM, sélectionner le choix « I have the owner password file » et sélectionner le fichier TPM.txt.

A+
Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.

http://msreport.free.fr

Publié dans Active Directory, Annuaire, BitLocker, Certificats, EFS, PowerShell, Sécurité, Scripts, Windows 2003 Server, Windows 2012, Windows 2012 R2, Windows Server 2008 R2 | Marqué avec , , , | 3 commentaires

10 retours d’expérience sur ADMT 3.2

Salut à tous.

ADMT est l’outil de Microsoft qui permet de restructurer les annuaires Active Directory (migration des ressources d’un domaine Active Directory A vers un domaine Active Directory B). Cet article a pour but de vous présenter 10 retours d’expérience sur cet outil.
- Comment se former sur ADMT ?
- Est-il possible d’utiliser ADMT 3.2 si on dispose de contrôleurs Windows 2012 R2 dans l’annuaire Active Directory source ou dans l’annuaire cible ?
- Quelle édition de SQL Server dois-je utiliser avec ADMT ?
- Quelle est la valeur ajoutée des commandes ADMT USER, ADMT COMPUTER et ADMT GROUP ?
- Pourquoi est-il nécessaire de sauvegarder le serveur ADMT et comme le sauvegarder ?
- Comment configurer les attributs à migrer avec ADMT ?
- ADMT prend-il en charge la migration des données sur une baie NETAPP ?
- A quoi sert l’option « Translate Roaming profile » au niveau de l’assistant de migration d’un compte utilisateur
- Comment migrer les profils itinérants si les données sont hébergées sur un NAS NETAPP ?
- Pourquoi et comment supprimer le SID History ?

1. Comment se former sur l’outil ADMT ?
Avant de se lancer dans un projet ADMT 3.2, je vous invite par commencer la lecture de documentation officielle disponible à cet emplacement :
http://www.microsoft.com/en-US/download/details.aspx?id=19188
Je vous invite aussi à lire cet article qui contient de nombreux retours d’expérience sur l’outil :
http://blogs.technet.com/b/askds/archive/2010/07/09/admt-3-2-common-installation-issues.aspx

2. Est-il possible d’utiliser ADMT 3.2 si on dispose de contrôleurs Windows 2012 R2 dans l’annuaire Active Directory source ou dans l’annuaire cible ?
La réponse est OUI. Il faut pour cela télécharger la dernière version d’ADMT 3.2 sortie en juin 2014 à cet emplacement :
http://technet.microsoft.com/en-us/library/active-directory-migration-tool-versions-and-supported-environments(v=ws.10).aspx

3. Quelle édition de SQL Server dois-je utiliser avec ADMT ?
La page 19 du guide ADMT indique qu’il est possible d’utiliser n’importe quelle version de SQL Server : “You can use any version of SQL Server for the ADMT database”.
En réalité, c’est beaucoup plus compliqué !
- L’installation d’ADMT 3.0 permet de déployer automatiquement SQL Server Express. Avec ADMT 3.2 cette fonctionnalité a été retirée. C’est donc à l’administrateur de choisir la version de SQL Server à installer. Je vous invite à déployer SQL Server Express Advanced car cette édition est gratuite, permet de disposer d’une base de données de 10 Go maximum (suffisant pour ADMT) et de disposer de l’outil d’administration SQL Server Management Studio. Ce dernier permet de sauvegarder la base ADMT, de visualiser son contenu et/ou de la gérer (reconstruction des index, défragmentation en ligne…).
- SQL Server Express autorise les connexions distantes (depuis des machines distantes). Cependant comme expliqué à la page 54 du guide de déploiement, l’installation d’ADMT ne prend en charge qu’une base de données SQL Express installée sur le serveur ADMT. Cette contrainte ne s’applique pas à SQL Server Standard / Enterprise (version complète payante).
If you use SQL Server Express, the ADMT console must be installed and run locally on the server that hosts the SQL Server Express database instance. If you use a full version of SQL Server, you can install and run the ADMT console on a remote computer, and you can run multiple ADMT consoles on different remote computers”. Ce point est aussi évoqué dans l’article ci-dessous :
http://blogs.technet.com/b/askds/archive/2010/07/09/admt-3-2-common-installation-issues.aspx
- Si vous souhaitez utiliser les commandes ADMT USER, ADMT GROUP et ADMT COMPUTER, il est nécessaire d’installer ADMT sur un contrôleur de domaine ! En effet dans le cas contraire, il ne sera pas possible de migrer le SID History comme expliqué à la page 82 du guide ADMT.
When you start a user migration with SID history from the command line or from a script, you must perform the migration on a domain controller in the target domain. It is recommended that you use a full version of SQL Server when you install ADMT on a domain controller.
Il n’est pas recommandé d’installer SQL Server Express sur un contrôleur de domaine. L’installation d’ADMT refuse l’utilisation d’un serveur SQL Server Express distant. En conséquence, pour utiliser les commandes ADMT USER, ADMT COMPUTER et/ou ADMT GROUP, il est recommandé d’utiliser une base SQL Server complète (version Standard ou Entreprise) sur un serveur A et de déployer ADMT sur un contrôleur de domaine B. Ce dernier devra disposer d’une interface graphique (pas de serveur Core).
Pour plus d’informations sur les différentes éditions de SQL Server :
http://www.microsoft.com/fr-fr/server-cloud/products/sql-server-editions/sql-server-express.aspx
http://msdn.microsoft.com/library/cc645993.aspx

4. Quelle est la valeur ajoutée des commandes ADMT USER, ADMT COMPUTER et ADMT GROUP ?
Ces commandes intègrent les mêmes options que l’interface graphique d’ADMT. Elles permettent cependant :
- D’écrire des scripts de migration avec des actions de pré-migration et de post-migration par exemple.
- A un utilisateur qui ne disposent d’aucun droit dans l’annuaire de lancer les tâches de migration ADMT. Pour effectuer cela, il faut créer des tâches planifiées qui vont lancer les commandes ADMT USER, ADMT GROUP et ADMT COMPUTER dans le contexte du compte de migration ADMT. Pour rappel, le compte de migration ADMT nécessite par défaut des droits Admins du domaine au niveau du domaine source pour migrer le SID History.

5. Pourquoi est-il nécessaire de sauvegarder le serveur ADMT et comment le sauvegarder ?
Lorsque vous migrez un compte utilisateur avec ADMT, une entrée est ajoutée à la base de données ADMT. Cette entrée associe le SID du compte utilisateur du domaine Active Directory source avec le compte utilisateur du domaine Active Directory cible. C’est le même principe pour la migration des comptes ordinateurs et des groupes.
Lorsque les agents ADMT s’exécute sur les machines pour traduire les permissions au niveau des fichiers / clés de registres, ce sont ces entrées qui sont utilisé par ADMT pour déterminer les permissions / ACL qu’ADMT doit ajouter ou remplacer.

Pour sauvegarder le serveur ADMT, il est nécessaire de sauvegarder la base ADMT. Cette action peut être effectuée avec SQL Server Management Studio. Il est aussi possible d’utiliser Windows Server Backup, l’outil intégré de base dans Windows Server 2008 et versions ultérieures. Je vous invite alors à configurer une sauvegarde complète du serveur sur un disque dédié. Cela vous permettra de restaurer très facilement le serveur ADMT en démarrant le serveur depuis le DVD d’installation de Windows Server 2008 ou versions ultérieures et en sélectionnant l’option « Réparer ».

En cas de perte du serveur ADMT, si vous ne disposez pas de sauvegarde de la base ADMT, il est nécessaire de migrer de nouveau toutes les ressources (comptes utilisateurs, groupes et comptes ordinateurs). Il n’est heureusement pas nécessaire de supprimer les ressources (comptes utilisateurs, groupes, comptes ordinateur) dans le domaine Active Directory cible car ADMT autorise la fusion avec un compte utilisateur / groupe ou un comptes ordinateur qui existe déjà.

6. Comment configurer les attributs à migrer avec ADMT ?
ADMT dispose d’une liste d’attribut dit « SYSTEM » exclus par défaut. Il est possible de modifier cette liste à l’aide d’un script fournis par Microsoft disponible à cette adresse :
http://support.microsoft.com/kb/937537/en-us
Attention, il faut utiliser le « CSCRIPT » dans C:\windows\sysWOW64 pour que le script fonctionne sur une machine 64 bits comme Windows Server 2008 R2.
Pour lancer le script (appelé attributsexclus.vbs), taper la commande suivante :
c:\windows\SysWOW64\cscript.exe C:\_adm\AttributsExclus\attributsexclus.vbs
Par défaut, ADMT exclut les attributs suivants de la migration :
- Mail, OtherMailbox, manager
- LegacyExchangeDN, objectSid, sAMAccountName, Rid, pwdLastSet, userPrincipalName, , managedBy, isCriticalSystemObject, legacyExchangeDN, lastLogonTimestamp, dNSHostName, msDS-AuthenticatedAtDC
- Les attributs userPassword et ObjectSID et Member sont migrés de manière spécifique par ADMT.
En cas d’update de schéma, il est nécessaire de mettre à jour la liste des attributs exclus car les nouveaux attributs seront disponibles par défaut comme expliqué à la page 41 du guide ADMT 3.2.
The first time that you run an ADMT user migration, ADMT generates a system attribute exclusion list, which it stores in its database. The system attribute exclusion list contains two attributes by default: mail and proxyAddresses. ADMT also reads the schema in the target domain, and adds any attributes to the list that are not part of the base schema. Attributes in this list are excluded from migration operations even if the attribute is not specified in the attribute exclusion list. An administrator can change the system attribute exclusion list only by using a script. This protects attributes that are important in order for server-based applications, such as Microsoft Exchange, to work. If the target domain schema is further extended after ADMT has generated the list, administrators must manually add the new attributes to the list, unless they are certain that copying the values of these attributes from the source domain will not interfere with server-based applications. For more information about creating a script to exclude system attributes, see article 937537 (http://go.microsoft.com/fwlink/?LinkId=207024) in the Microsoft Knowledge Base.

7. ADMT 3.2 prend-il en charge la migration des données sur une baie NETAPP ?
ADMT 3.2 ne supporte pas la traduction des permissions sur des fichiers hébergés sur un NAS NETAPP comme expliqué dans l’article Microsoft ci-dessous :
http://technet.microsoft.com/en-us/library/cc974389%28v=ws.10%29.aspx
Il est cependant possible de contourner cette limitation avec l’outil SUBINACL. Cet outil peut être téléchargé à cette adresse :
http://www.microsoft.com/en-us/download/confirmation.aspx?id=23510
SUBINACL permet :
- D’afficher les permissions (ACL, DACL, SACL) et le propriétaire d’un fichier, d’une entrée de registre.
- De changer les permissions sur un partage de fichiers (partage SMB).
- De Changer le propriétaire d’un fichier, d’une entrée de registre.
- De Remplacer les permissions sur un fichier ou une entrée de registre
SUBINACL dispose de très nombreux paramètres :
- Changedomain=oldDomainName=NewDomainname : permet de remplacer toutes les permissions d’objet d’un domaine source par un objet du domaine cible.
- Migratetodomain=sourceDomain=DestinationDomain : permet de copier les ACL du domaine source en ACL du domaine cible. Les ACL du domaine source sont conservées.
- Suppresssid=DomainName\account : supprimer les permissions associés à l’objet domainname\ account.
- Replace=[DomainName\]OldAccount=[DomainName\]NewAccount : permet de migrer les permissions d’un objet utilisateur uniquement.
- Cleandeletedsidsfrom : supprime les permissions avec un SID défini.
- Subdirectories C:\TEMP\* : permet d’analyser tous les fichiers dans le dossier et les sous dossiers de c:\Temp.
- Share : permet d’analyser les permissions de partage.
- Subkeyreg : permet d’analyser une clé de registre et tout son contenu (sous-clés ou entrées de registre).
Le mode /changedomain permet de créer un fichier de mappage. Cela permet de gérer le cas où les ressources auraient été renommées dans le domaine cible.

Pour que SUBINACL traduise les permissions de fichier sur une baie NETAPP, il faut :
- Que les deux domaines disposent d’une relation d’approbation.
- Que l’outil SUBINACL soit lancé depuis une machine membre du domaine source.
- Mapper un lecteur réseau vers le partage du NAS NETAPP. Dans l’exemple ci-dessous, ce lecteur aura la lettre Z.
- Mapper le lecteur Z créé précédemment en tant que Y à l’aide de la commande ci-dessous :
Subst Y: Z:\
Le lecteur Y apparaît et est vu comme un lecteur local.
- Lancer la commande suivante :
« C:\Program Files\Windows Resource Kits\Tools\subinacl.exe » /subdirectories Z:\PARTAGE\* /migratetodomain=MSREPORTOLD=MSREPORTNEW
Dans l’exemple ci-dessous MSREPORTOLD est le nom du domaine NETBIOS du domaine source, MSREPORTNEW est le nom NETBIOS du domaine cible.

8. A quoi sert l’option « Translate Roaming profile » au niveau de l’assistant de migration d’un compte utilisateur ?
Cette option sert pour les comptes utilisateurs disposant d’un profil itinérant.
Quand on coche cette option, ADMT effectue lors de la migration d’un compte utilisateur les actions suivantes :
- Analyse le champ Profil d’un compte utilisateur. Si ce dernier n’est pas vide, ADMT se connecte sur le dossier réseau.
- ADMT duplique alors les ACL du domaine source en ACL du domaine cible.
- ADMT change le propriétaire du dossier.
- ADMT charge le fichier NTUSER.DAT et modifie les permissions sur les entrées de registre. Il modifie aussi les entrées ProfileImagePath pour associer les profils existants aux comptes utilisateurs du domaine cible.

On retrouve les entrées suivantes dans le fichier de log ADMT.
2014-09-12 13:07:30 Starting Account Replicator.
2014-09-12 13:07:30 CN=Msreportuser1 – Created
2014-09-12 13:07:31 CN=Msreportuser1 – Strong password generated.
2014-09-12 13:07:31 WRN1:7874 Disabled the « password never expires » account option for account ‘CN=Msreportuser1′.
2014-09-12 13:07:45 Processing \\DC2003B\C$\Profiles\Msreportuser1.v2
2014-09-12 13:07:45 Updated user rights for CN=Msreportuser1
2014-09-12 13:07:45 Operation completed.

9. Comment migrer les profils itinérants si les données sont hébergées sur une baie NETAPP ?
Deux solutions :
- Le contournement. Migrer la machine de l’utilisateur et son compte utilisateur dans le domaine cible. Renommer le dossier correspondant à la copie du profil itinérant de l’utilisateur sur le NAS NETAPP. Recréer uniquement un dossier vide sur le NAS NETAPP. Demander à l’utilisateur d’ouvrir sa session. Lors de l’ouverture de la session, les données sont recopiées vers le partage sur le NAS NETAPP. Attention, cela peut s’avérer très couteux en bande passante !
- La prise de tête : il faut utiliser la commande SUBINACL pour traduire les permissions sur les fichiers et modifier manuellement les permissions sur les entrées de registre et modifier les entrées ProfileImagePath dans le fichier NTUSER.DAT pour réassocier les utilisateurs avec le bon dossier profil.

10. Pourquoi et comment supprimer le SID History ?
Lorsque l’utilisateur ouvre une session, Windows génère un TGT avec les SID / SID History du compte utilisateur et de tous les groupes auxquels l’utilisateur appartient directement ou indirectement (utilisateur membre du groupe A qui est membre du groupe B qui est membre du groupe C).
Hors la limite maximum est de 1014 SID par TGT après modification de la clé MaxTokenSize. Je vous invite à lire cet article Microsoft qui traite du problème :
http://blogs.technet.com/b/shanecothran/archive/2010/07/16/maxtokensize-and-kerberos-token-bloat.aspx

Il n’est pas possible de supprimer le SID History avec l’outil ADMT ou via ADSIEDIT.MSC. Pour effectuer cette action, il faut :
- Télécharger les outils ADFIND et ADMOD et les installer dans le dossier c:\_adm\tools sur le serveur ADMT. Ils sont disponibles à ces adresses :
http://www.joeware.net/freetools/tools/adfind/
http://www.joeware.net/freetools/tools/admod/
- Lancer PowerShell et taper la commande suivante pour supprimer le SID History pour l’utilisateur Guillaume MATHIEU
C:\_adm\tools\adfind -b « CN=Guillaume MATHIEU,OU=USERS,OU=IT,DC=MSREPORT,DC=LAN » sidhistory -adcsv | .\AdMod.exe -sc csh –unsafe

A+
Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Active Directory, ADMT, Annuaire, Outils, Scripts, Troubleshouting, Windows 2003 Server, Windows 2012, Windows 2012 R2, Windows Server 2008, Windows Server 2008 R2 | Marqué avec , , | Laisser un commentaire

Mise en oeuvre de la redirection de dossiers avec fichiers hors connexion (MAJ 02/09/2014)

Bonjour

Cet article a pour but d’expliquer :
- Le principe de la redirection de dossier et des fichiers hors connexion.
- Comment préparer l’environnement de tests.
- Comment configurer la fonctionnalité de redirection de dossiers.
- Comment fonctionne et comment configurer la fonctionnalité de fichiers hors connexion.
- Test de la solution et retour d’expérience
- Comment changer de répertoire pour les fichiers connexions tout en conservant le cache hors connexion

1. Le principe de la redirection de dossier et des fichiers hors connexion
1.1 La redirection de dossier

Un des défis des administrateurs Windows est la sauvegarde des données d’entreprise situées sur les stations de travail des utilisateurs.
La redirection de dossier permet justement de rediriger des dossiers comme Mes Documents, le Bureau (où les utilisateurs stockent généralement leurs données) vers des emplacements réseaux (les serveurs de fichiers de l’entreprise). La fonctionnalité de redirection de dossier permet ainsi de s’assurer que toutes les données des utilisateurs sont hébergées sur des serveurs de l’entreprise. L’administrateur Windows pourra alors se concentrer sur la sauvegarde des serveurs de l’entreprise et s’affranchir d’un projet de sauvegarde des postes de travail de l’entreprise.

1.2 Les fichiers hors connexion
Dans l’exemple ci-dessous, l’administrateur Windows a redirigé le dossier Mes documents de tous ses utilisateurs. Mélanie dispose d’un ordinateur portable. Cette dernière ne peut pas accéder à son dossier Mes Documents quand elle travaille de chez elle et qu’elle n’a pas un accès aux serveurs de fichiers qui héberge son dossier Mes Documents. Pour permettre à Mélanie d’accéder à ses données de chez elle, l’administrateur Windows peut mettre en place la fonctionnalité de fichiers hors connexions.
Cette fonctionnalité permet en effet de télécharger automatiquement dans un cache les derniers fichiers ouverts, voir tous les fichiers / dossiers contenu dans le répertoire Mes Documents.

2. Préparation de l’environnement de tests
Pour tester la redirection de dossiers avec mise en œuvre des fichiers connexion, vous devez :
- Disposer d’un domaine Active Directory géré par un contrôleur de domaine Windows 2008 R2 ou version ultérieure qui sert aussi de serveurs de fichiers. Cela marche aussi avec un domaine géré par des contrôleurs de domaine Windows 2003, mais il faut éditer les GPO à partir d’une machine Windows 7 / Windows 2008 R2 membre du domaine.
- Disposer de 2 stations de travail Windows 7 SP1 appelées Win7a et Win7b.
- Créer un compte utilisateur appelé mélanie.mathieu
- Créer une OU appelée Msreport et déplacer le compte utilisateur melanie.mathieu et les comptes ordinateur Win7a et Win7b dans cette OU.
- Créer un objet GPO appelé « Msreport-FolderRedirection » et lié cet objet à l’OU Msreport.

MAJ 02/09/2014
Vous devez déployer sur la station de travail Windows 7 SP1 les mises à jour suivantes :
- La KB 2523887 (http://support.microsoft.com/kb/2523887/en-us) permet de corriger des problèmes quand on définit des quotas pour les utilisateurs.
- La KB 2561708 (http://support.microsoft.com/kb/2561708/en-us) permet de corriger des problèmes de synchronisation avec les fichiers hors connexion.
- La KB 2525332 (http://support.microsoft.com/kb/2525332/en-us) permet de corriger des problèmes de lenteur d’ouverture de session lors de la synchronisation des fichiers hors connexion.
- La KB 927229 (http://support.microsoft.com/kb/977229/en-us) permet de corriger des problèmes de synchronisation quand l’utilisateur n’est pas administrateur de sa machine et que l’emplacement des fichiers cible a changé. Ce correctif est inclus dans le SP1 de Windows 7.
- La KB 2610379 (http://support.microsoft.com/kb/2610379) permet de faire fonctionner le renommage des dossiers hors connexion en cas de changement du nom du partage / serveur d’espace de noms. Elle est plus que recommandée.

3. Comment configurer la fonctionnalité de redirection de dossiers
La mise en œuvre de la fonctionnalité de redirection de dossiers se fait en 3 étapes :
- La création d’un groupe de sécurité local de domaine appelé Redirection-MesDocuments
- La création et le partage du dossier qui va héberger le dossier Mes Documents des utilisateurs (Mélanie.mathieu dans ce cas).
- La création d’un objet GPO où l’on va définir les paramètres de redirection de dossiers pour les utilisateurs.

3.1 Créer le groupe de sécurité pour contrôler la redirection de dossier
Créer un groupe local de sécurité appelé Redirection-MesDocuments.
La redirection d’un dossier peut maintenant en effet être configurée via une appartenance à un groupe.

3.2 Création et partage du dossier qui va héberger le dossier Mes Documents des utilisateurs
Je vous invite à lire pour cela les articles suivants :
http://technet.microsoft.com/fr-fr/library/jj649078.aspx
http://support.microsoft.com/kb/2512089
Les informations dans ces 2 articles peuvent sembler contradictoires. Il faut bien laisser les permissions « List folder / read data » et « Create folders / append data » sur «This folder only ». En effet l’utilisateur disposera de permissions complètes sur son dossier Mes Documents redirigés. De ce fait la mise en cache hors connexion des données fonctionnera correctement. Si l’on veut que les administrateurs accèdent aux dossiers, il faut leur donner le droit d’accéder sur le dossier et tous les sous-dossiers / fichiers contrairement à ce qui est expliqué dans l’article http://technet.microsoft.com/fr-fr/library/jj649078.aspx.
Créer le dossier c:\Redirection-MesDocuments.
Désactiver l’héritage pour déléguer des droits personnalisés sur ce dossier.
Aller dans l’onglet Sécurité puis cliquer sur Advanced.
Cliquer sur le bouton « Disable inheritance » et cliquer sur « Convert inherited permissions into explicit permissions on this object ».
Les permissions sont maintenant définies explicitement sur le dossier.
Aller dans les permissions NTFS avancées.
Supprimer le groupe « Utilisateurs ».
Le groupe Redirection-MesDocuments doit avoir les permissions « List folder / read data » « Create folders / append data ». Ces 2 permission ne doivent être appliquées que sur le dossier racine et ne doit pas être propagée. Pour cela, il faut aller dans les permissions NTFS avancées et sélectionner « This folder only ». Faire OK plusieurs fois pour enregistrer le changement.
Aller dans les propriétés du dossier puis dans l’onglet « Sharing ».
Cliquer sur « Advanced Sharing ».
Partager le dossier en Redirection-MesDocuments$ (partage masqué).
Cliquer sur le bouton « Permissions » et définir « Contrôle Total » pour « Authenticated users » (Utilisateurs authentifiés en français).
Cliquer sur le bouton « Caching » et sélectionner le choix « All files and programs that users open from the shared folder are automatically available offline ».
Vérifier l’accès aux dossiers partagés. Dans notre cas : \\DCQUALIF2\Redirection-mesDocuments$.

3.3 Création d’un objet GPO où l’on va définir les paramètres de redirection de dossiers pour les utilisateurs
Créer une GPO dédiée pour la redirection de dossier.
En effet la méthode la plus simple pour supprimer la redirection de dossiers est de supprimer complètement l’objet GPO. Dans le cas contraire, il faut éditer manuellement les objets GPC (objet dans le conteneur système à la racine du domaine) / GPT (fichiers dans le dossier c:\windows\Sysvol\Sysvol) correspondant à la GPO car il reste des traces de la redirection de dossiers après désactivation.
Editer l’objet GPO appelé « Msreport-FolderRedirection ».
Aller dans « User Configuration | Windows Settings | Folder redirection » et faire un clic droit sur l’élément Mes Documents.
Dans l’onglet « i », sélectionner « Advanced – Specify locations for various users groups »
Ajouter le groupe de sécurité Redirection-MesDocuments.
Donner le chemin UNC pour le partage : \\DCQUALIF2\Redirection-mesDocuments$
Si vous voulez que les administrateurs puissent accéder aux dossiers redirigés, décocher la case « Grant The user exclusive rights to Documents ». En cas de changements, ce paramètre n’est pris que pour les nouveaux dossiers redirigés !
Sélectionner le paramètre « Redirect the folder back to the local userprofile location when policy is removed ». Si la stratégie de groupe est supprimée ou si l’utilisateur est exclu du groupe, les données sont recopiées du serveur vers la station de travail. Cliquer sur Apply puis sélectionner Yes.

La redirection de dossier se configure aussi à l’emplacement suivant au niveau des GPO :
User Configuration | Administratives Templates | System | Folder Redirection.
Si vous souhaitez créer une copie hors connexion du dossier Mes Documents (redirigé sur \\DCQUALIF2\Redirection-mesDocuments$), configurer les paramètres de GPO suivant :
- Désactiver le paramètre « Do not automatically make all redirected folders available offline ». Si vous activez ce paramètre, il faut installer la KB 2525332 (http://support.microsoft.com/kb/2525332/en-us).
- Désactiver le paramètre « Use localized subfolder names when redirectong Start Menu and My documents ». Cela permettra d’éviter des problèmes si vous utilisez des stations de travail installées dans différentes langues.
On notera qu’il existe d’autres paramètres de GPO spécifiques aux stations de travail sous Windows 8 qui permettent de changer l’emplacement du dossier où est redirigé le dossier Mes Documents des utilisateurs (paramètre de GPO « Enable optimized move of contents in Offline files cache on Folder Redirection server path change ».)

4. Comment fonctionne et comment configurer la fonctionnalité de fichiers hors connexion ?
Je préfère être très clair, la fonctionnalité « Fichiers hors connexions » est complexe. Je vous invite pour commencer à lire l’article suivant :
http://helgeklein.com/blog/2012/04/windows-7-offline-files-survival-guide/

4.1 Comment configurer les fichiers hors connexions ?
La fonctionnalité « Fichiers hors connexions » se configure par GPO. Editer l’objet « Msreport-FolderRedirection ». Attention certains paramètres existent pour Windows 7 et d’autres pour Windows XP ou Windows 8. Il faut configurer que les paramètres pour Windows 7 dans notre cas.
Aller dans Computer Configuration | Administrative Templates | Network | Offlines Files et configurer les paramètres suivants.
- Action on server disconnect : ce paramètre force le comportement en cas de perte de la connectivité au serveur où sont stockés les données redirigés. Il doit être activé.
- Allow or Disallow use of Offline Files feature : ce paramètre permet de forcer l’activation des fichiers hors connexion. Les utilisateurs ne peuvent plus désactiver les fichiers hors connexions.
- Enable file screens : ce paramètre permet de bloquer certains types de fichiers. Il peut être intéressant de bloquer les fichiers AVI par exemple.
- Encrypt the Offline file cache : je vous préconise de désactiver ce paramètre. Certains de mes clients ont rencontré des problèmes d’accès refusé lors de la consultation du cache en mode hors connexion. Je vous invite plutôt à utiliser des outils pour chiffrer les disques comme Bitlocker ou TrueCrypt si vous souhaitez réellement protéger les données sur les stations de travail.
- Turn on economical applicationof administratively assigned Offline Files : activer ce paramètre pour optimiser la synchronisation des fichiers hors connexion.
- Limit disk space used by Offline files : ce paramètre permet de limiter l’espace occupé par les fichiers hors connexion. Par défaut, il n’y a pas de limite pour les fichiers mis en cache définis par l’administrateur réseau (via le paramètre de GPO Specify administratively assigned Offline files) et une limite de 25% pour les autres fichiers hors connexion.
- Configure Slow-Link mode et Configure Background Sync : le premier paramètre permet de définir en fonction du débit et de la latence entre le client et le serveur qui héberge les répertoires quand la station de travail passe en mode « Slow-Link ». Le second permet de configurer comment une station de travail synchronise les fichiers hors connexion en mode « Slow-Link » uniquement. En mode « Slow-Link, les utilisateurs peuvent travailler sur le cache hors connexion et synchroniser périodiquement les fichiers sur le serveur.
Le mode Slow link pose des problèmes si vous utilisez un chemin DFS pour héberger les dossiers redirigés. Je vous invite à lire l’article suivant :
http://blogs.technet.com/b/askds/archive/2011/12/14/slow-link-with-windows-7-and-dfs-namespaces.aspx
Pour synthétiser je vous invite à définir les paramètres de latence / bande passante suivants si vous disposer d’un espace de noms (racine) appelé Msreport dans un domaine Active Directory appelé msreport.intra.
\\msreport.intra\Msreport : Latence à 32000 ms
\\msreport.intra\Msreport\\Redirection-mesDocuments : latence à 60ms et débit à 192 Kb.
Il est important de définir une latence / débit pour la racine DFS pour éviter de passer en mode Slow link pour toutes les cibles DFS autres que celle qui héberge le dossier « Mes Documents » des utilisateurs.
Aller dans User Configuration | Administrative Templates | Network | Offlines Files et configurer le paramètre suivant :
- Specify administratively assigned Offline Files : ce paramètre permet de forcer la mise en cache hors connexion de certains partages. Dans notre cas, on force la mise en cache du partage où sont stockés les dossiers Mes Documents des utilisateurs.
Value name : \\DCQUALIF2\Redirection-mesDocuments$

4.2 Test des fichiers hors connexions et de la redirection de dossiers
Ouvrir une session avec le compte mélanie.mathieu
On doit voir le dossier Mes Documents avec un icône rond vert avec des flèches. Cela indique que le dossier est redirigé. Aller dans les propriétés du dossier Mes Documents. Ce dernier pointe vers l’emplacement « \\DCQUALIF2\Redirection-mesDocuments$\melanie.mathieu ».
Quand on crée des dossiers / fichiers, ils sont créés sur le serveur et mis dans le cache.
Pour visualiser le cache, aller dans « Control Panel | Sync Center ». Cliquer sur « Manage offline files » puis dans l’onglet « General » cliquer sur « View your offline files ». On peut voir le contenu du cache.
Le bouton « Work offline » et « Work online” est disponible au niveau des sous dossiers dans Mes Documents. Il permet de forcer le passage en mode hors connexion.
Débrancher le câble réseau de la station de travail Windows 7 et accéder aux dossiers Mes Documents. La machine attend pendant 30 secondes et affiche mes documents.
Je peux ouvrir, modifier ou supprimer les fichiers. La barre d’état m’indique que je suis hors connexion. Les boutons « Work offline » et « Work online” ne sont plus disponibles au niveau du dossier Mes Documents.
Reconnecter la carte réseau. La machine ne bascule pas automatiquement en mode en ligne.
Il faut redémarrer pour que cela soit effectué tout de suite ou attendre 5minutes.
Tout le contenu du dossier « Mes Documents » est mis en cache. Cette action est effectuée après l’ouverture de session en arrière-plan. Si vous disposez de 50 Go de données dans « Mes Documents », les 50 Go seront copiés sur la station de travail en mode hors connexion.

4.3 Où se trouve le cache hors connexion sur une station de travail et comment le réinitialiser ?
Le cache des fichiers hors connexion se trouve dans C:\Windows\CSC.
Il est donc complètement indépendant du profil de l’utilisateur qui se trouve dans c:\users sous Windows 7.
Pour visualiser le contenu du cache hors connexion, taper la commande suivante :
Takeown /r /f C:\Windows\CSC. Cliquer sur Yes pour remplacer les permissions.
Ouvrir le dossier C:\Windows\CSC\v2.0.6\namespace\DCQUALIF2\Redirection-mesDocuments$\melanie.mathieu\Documents
On retrouve le contenu du cache de mélanie. Mathieu pour le dossier MesDocuments.
Supprimer le profil mélanie.mathieu sur Win7a. On va appliquer la procédure expliquée dans l’article http://support.microsoft.com/kb/942974/en-us
Pour cela, ouvrir une session avec un autre compte administrateur.
Aller dans Control Panel. Cliquer sur View by « Small icons ». Double cliquer sur « System » puis cliquer sur « Advanced system Properties ». Aller dans l’onglet « Advanced » puis cliquer sur le bouton « Settings » à droite de « Users profiles ». Supprimer le profil de melanie.mathieu en le sectionnant puis en cliquant sur « Delete ».
Exécuter de nouveau la commande suivante :
Takeown /r /f C:\Windows\CSC.
On peut voir que les données en cache pour le profil mélanie.mathieu sont toujours présentes.
On va maintenant réinitialiser complètement le cache des fichiers hors connexions en créant cette entrée de registre.
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CSC\Parameters
L’entrée de registre à créer s’appelle « FormatDatabase » (type DWORD) et doit être à la valeur 1.
Devenez propriétaire des fichiers dans C:\Windows\CSC\v2.0.6\namespace\DCQUALIF2\Redirection-mesDocuments$\melanie.mathieu\ et les supprimer. Attention changer les droits au niveau des fichiers hors connexion va corrompre le cache hors connexion.
Redémarrer la machine et ouvrir la session avec un utilisateur administrateur local qui n’a pas le dossier Mes Documents redirigé. On constate que le cache hors connexion recrée les fichiers.
Cette procédure est pour tester / comprendre le fonctionnement des fichiers hors connexion. Elle ne doit pas être appliquée sur la production car elle bloque le fonctionnement des fichiers connexions.

Une autre solution pour voir le contenu du cache hors connexion et de lancer un invite de commande en SYSTEM avec PSEXEC
PsExec.exe -i -s -d cmd
Je vous invite à télécharger l’outil et lire la solution détaillée à cette adresse :
http://blogs.technet.com/b/askds/archive/2008/10/22/getting-a-cmd-prompt-as-system-in-windows-vista-and-windows-server-2008.aspx

Taper ensuite la commande suivante :
c:\Windows\CSC\v2.0.\namespace\CMLDCQUALIF\Mes Documents$\dominique.mathieu\Documents
Il n’est pas possible de naviguer dans tout le cache car on a parfois l’erreur suivante :
The process cannot access the file because it is being used by another process.
Cependant en utilisant la touche TAB du clavier, Windows nous liste comme même le contenu du dossier. Il est possible d’aller dans les sous niveau
Exemple :
Accès autorisé à c:\Windows\CSC\v2.0.6\namespace\CMLDCQUALIF2\MesDocuments2$\dominique.mathieu
Accès bloqué à c:\Windows\CSC\v2.0.6\namespace\CMLDCQUALIF2\

Pour plus d’informations, je vous invite à lire les articles suivants :
http://community.spiceworks.com/topic/192396-folder-redirection-keeps-changing-server-path
http://blog.abdullahraz.com/2013/05/how-to-move-sync-offline-files-to.html

4.4 Quels sont les impacts des fichiers hors connexions ?
L’impact des fichiers hors connexions sur les stations de travail dépend du mode dans lequel la station de travail se trouve.
En mode en ligne, les fichiers sont modifiés sur le serveur et sur le cache local, ce qui génère plus de charge en écriture. Je vous invite à lire l’article suivant qui mesure l’impact précis sur les performances.
http://helgeklein.com/blog/2013/02/performance-impact-of-windows-offline-files/

4.5 Retour d’expérience sur les fichiers hors connexion et la redirection de dossiers
J’ai rencontré quelques problèmes avec les fichiers hors connexions
- La fonctionnalité « Fichiers hors connexion » ne fonctionne plus. Les commandes comme synchroniser les fichiers hors connexions ne sont plus disponibles. Au niveau du « Sync center », on a le message suivant « Offline Files is enabled but not yet active ». On a ce problème quand on a personnalisé les permissions de C:\windows\csc. Il faut désactiver les fichiers connexions sur la machine puis redémarrer. Au redémarrage, ouvrir une session avec un compte administrateur. Devenir le propriétaire du dossier C:\windows\CSC et propager le changement aux dossiers enfants. Vérifier qu’on a le droit contrôle Total et supprimer le dossier c:\windows\CSC. Réactiver les fichiers hors connexions et redémarrer. La procédure détaillée est disponible à cette adresse : http://answers.microsoft.com/en-us/windows/forum/windows_7-files/offline-files-in-windows-7-will-not-activate/e893e649-369a-4334-85d2-34ef5b248285 .
- Lorsque l’on définit des quotas, les fichiers hors connexions ne répliquent plus si le quotas est dépassé.
- Le bouton « Work online » / « Work offline » non disponible. Ce problème est expliqué dans l’article Microsoft suivant : http://support.microsoft.com/kb/2512089.
- Problèmes d’accès refusé quand on accède au cache hors connexion. Ce problème se pose si on active le chiffrement des fichiers hors connexions. http://answers.microsoft.com/en-us/windows/forum/windows_7-files/offline-files-access-is-denied/b1adc231-a4c2-4a5b-80b8-93269851febf
- Les conflits au niveau de la synchronisation. Si on travaille avec deux ordinateurs portables hors connexion qui ont ouverts une session avec le même compte, il peut y avoir conflits.
Pour générer un conflit :
Passer les deux machines en mode hors ligne. Modifier le même fichier sur ces deux machines et les repasser en ligne. Lancer le gestionnaire de synchronisation.

5. Changement l’emplacement sur le serveur du dossier qui heberge le dossier Mes Documents tout en conservant son cache hors connexion
MAJ : 02/09/2015.
Il faut appliquer la procédure suivante :
http://support.microsoft.com/kb/977229/en-us
Les machines sous Windows 7 SP0 doivent appliquer ce correctif de sécurité de l’article http://support.microsoft.com/kb/977229/en-us et de l’article http://support.microsoft.com/kb/2610379.

Attention, il faut cocher la case « Move the contents of Documents to the new location » au niveau des paramètres de la stratégie de redirection de dossiers.

Attention si vous modifiez juste le nom du partage / espace de noms DFS mais que l’emplacement physique reste le même, vous risquez de perdre des données. Pour éviter cela, il faut activer cette GPO « Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Explorer\Verify old and new folder redirection targets point to the same share before redirecting« . Je vous invite à lire la KB http://support.microsoft.com/kb/2610379.

A+
Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

 

Publié dans Windows Server 2008 | Un commentaire

Dépannage DNS / AD avancé –> correction de l’erreur « The replication scope could not be set. For more information, see Dns zone replication in Active Directory in Help and Support. The error was There was a server failure »

Salut à tous

Cet article a pour but d’expliquer :
- Le découpage en contexte de nommage (partitions) d’un annuaire Active Directory.
- Comment sont hébergées les zones DNS et les entrées DNS sur un serveur Windows 2003 et versions ultérieures.
- Comment corriger le problème des zones DNS ForestDNSZones et DomainDNSZones manquantes / corrompues.

Pour effectuer toutes les manipulations expliquées dans cet article, vous devez :
- Disposer d’un domaine Active Directory (1 forêt / 1 domaine) avec 2 contrôleurs de domaine Windows 2003 ou versions ultérieures. Seul le premier contrôleur de domaine doit être serveur DNS. Les deux contrôleurs de domaine doivent être serveur de catalogue global.
- Installer les Supports Tools (contient des outils comme DCDIAG, REPADMIN, ADSIEDIT). Ces derniers sont installés de base sous Windows 2008 R1 et versions ultérieures. Ils sont disponibles sur le CD1 d’installation de Windows 2003 ou téléchargeables à l’adresse suivante :
http://www.microsoft.com/en-us/download/details.aspx?id=15326

1. Le découpage en contexte de nommage d’un annuaire Active Directory
Un annuaire Active Directory est une base LDAP.
Afin d’optimiser la réplication de son annuaire, Microsoft l’a découpé en partition ou contexte de nommage. Pour visualise les partitions d’annuaire, appliquer la procédure suivante :
Ouvrir la console ADSIEDIT (adsiedit.msc)
Faire un clic droit sur ADSIEDIT et cliquer sur « Connect to ».
Sélectionner « Select a well known Naming Context:» et sélectionner « Configuration ».
Aller dans CN=Partitions
Il est alors possible de voir tous les contextes de nommage / partitions avec leur chemin LDAP.
Un annuaire Active Directory dispose toujours d’une partition de domaine par domaine et d’une partition DomainDNSZones par domaine, d’une unique partition de Configuration, d’une unique partition de schéma, et d’une unique partition ForestDNSZones.
Une forêt avec 1 domaine contient donc par défaut 5 contextes de nommage / partitions.
Une forêt avec 2 domaines contient donc par défaut 7 contextes de nommage / partitions.
Une forêt avec 3 domaines contient donc par défaut 9 contextes de nommage / partitions.
Remarque : en cliquant sur le bouton Advanced dans la console ADSIEDIT, il est possible de se connecter sur le CATALOG GLOBAL et non sur les partitions / contexte de nommage.
Cela peut être utile si vous voulez connaître le contenu du catalogue global qui pour rappel est une copie partielle (seulement certains attributs) de tous les objets de tous les contextes de nommage.

La commande repadmin /showrepl permet aussi de valider le bon fonctionnement de la réplication pour chaque contexte de nommage.
En effet lorsque l’on rencontre des problèmes de réplication, ce n’est pas forcément tous les contextes de nommage qui ne répliquent plus.
Remarque : la commande repadmin /showrepl affiche uniquement les contextes de nommage ForestDNSZones et DomainDNSZones si le contrôleur de domaine est serveur DNS.

Résultat de la commande (domaine proservia.intra):
Default-First-Site-Name\CMLDCQUALIF1
DC Options: IS_GC
Site Options: (none)
DC object GUID: 9ca7500c-d61d-4f9d-9386-e61cfeaa5802
DC invocationID: 9ca7500c-d61d-4f9d-9386-e61cfeaa5802

==== INBOUND NEIGHBORS ======================================

DC=msreport,DC=intra
Default-First-Site-Name\DC2003B via RPC
DC object GUID: 9f445e7c-7dc2-4fef-86e4-40475276f555
Last attempt @ 2014-08-10 15:48:11 was successful.

CN=Configuration,DC=proservia,DC=intra
Default-First-Site-Name\DC2003B via RPC
DC object GUID: 9f445e7c-7dc2-4fef-86e4-40475276f555
Last attempt @ 2014-08-10 15:48:30 was successful.

CN=Schema,CN=Configuration,DC=proservia,DC=intra
Default-First-Site-Name\DC2003B via RPC
DC object GUID: 9f445e7c-7dc2-4fef-86e4-40475276f555
Last attempt @ 2014-08-10 15:34:11 was successful.

DC=DomainDnsZones,DC=proservia,DC=intra
Default-First-Site-Name\DC2003B via RPC
DC object GUID: 9f445e7c-7dc2-4fef-86e4-40475276f555
Last attempt @ 2014-08-10 15:49:11 was successful.

DC=ForestDnsZones,DC=proservia,DC=intra
Default-First-Site-Name\DC2003B via RPC
DC object GUID: 9f445e7c-7dc2-4fef-86e4-40475276f555
Last attempt @ 2014-08-10 15:49:11 was successful.

2. Comment sont hébergées les zones DNS et les entrées DNS sur un serveur Windows 2003 et versions ultérieures ?
En terme Microsoft, on dit que la zone est intégrée ou non intégrée à l’annuaire Active Directory. Dans l’exemple ci-dessous la zone principale MSREPORT.INTRA a été créée sur le serveur DNS et n’est pas intégrée à l’annuaire Active Directory.
Le fichier MSREPORT.INTRA.DNS a été créé dans le dossier c:\windows\system32\dns.

Contenu de fichier MSREPORT.INTRA.DNS (le serveur DNS s’appelle dc2003b.proservia.intra)
;
; Database file msreport.intra.dns for msreport.intra zone.
; Zone version: 2
;
@ IN SOA dc2003b.proservia.intra. hostmaster.proservia.intra. (
2 ; serial number
900 ; refresh
600 ; retry
86400 ; expire
3600 ) ; default TTL
;
; Zone NS records
;
@ NS dc2003b.proservia.intra.
;
; Zone records
;
www A 192.168.99.211

La zone DNS MSREPORT.INTRA va maintenant être intégrée à l’annuaire Active Directory.
Ouvrir la console DNS (DNSMGMT.MSC).
Aller dans les propriétés de la zone DNS MSREPORT.INTRA.
Dans l’onglet « General », cliquer sur le bouton « Chang e » à droite de « Type **** » et cocher la case « Store the zone in Active Directory (available only if DNS server is a domaine controller) ».
Le fichier c:\windows\system32\dns\msreport.intra.dns est alors supprimé.

Toujours dans l’onglet « General » dans les propriétés de la zone DNS MSREPORT.INTRA, cliquer sur le bouton « Change » à droite de « Replication ****» et sélectionner « To all DNS servers in the Active Directory forest proservia.intra ». La zone DNS est alors hébergée au niveau de la ForestDNSZones.
Nous allons maintenant nous connecter à cette partition pour en voir le contenu et comment la zone et les entrées DNS y sont hébergées.
Lancer la console ADSIEDIT.MSC.
Faire un clic droit sur ADSIEDIT et cliquer sur « Connect to ».
Sélectionner « Select or type a Distinguised name or Naming Context :» et entrer le chemin LDAP suivant pour se connecter au contexte de nommage ForestDNSZones. Dans l’exemple ci-dessous le domaine s’appelle PROSERVIA.INTRA Pour se connecter à la ForestDNSZones, il faut donc taper :
DC=FORESTDNSZONES,DC=PROSERVIA,DC=INTRA
Développer le contenu de la partition ForestDnsZones.
Les zones DNS sont dans le conteneur CN=MicrosoftDNS.
On peut constater que les zones DNS sont des objets de la classe « dnsZone ».
Les entrées DNS sont des objets de la classe « dnsNode ».
Une entrée DNS réplique donc comme un compte utilisateur via le mécanisme de réplication d’Active Directory. C’est ce qui permet aux serveurs DNS Microsoft de disposer de plusieurs serveurs DNS en lecture / écriture.

Retourner dans les propriétés de la zone MSREPORT.INTRA. Dans l’onglet « General » dans les propriétés de la zone DNS MSREPORT.INTRA, cliquez sur le bouton « Change » à droite de « Replication ****» et sélectionnez « To all DNS servers in the Active Directory domain proservia.intra ». La zone DNS est maintenant hébergée au niveau de la DomainDnsZones.
Pour visualiser le contenu de cette zone, appliquer la même procédure que ci-dessus. Le chemin de la DomainDnsZones est (exemple d’un annuaire proservia.intra) :
DC=DomainDnsZones,DC=PROSERVIA,DC=INTRA.

Retourner dans les propriétés de la zone MSREPORT.INTRA. Dans l’onglet « General » dans les propriétés de la zone DNS MSREPORT.INTRA, cliquez sur le bouton « Change » à droite de « Replication ****» et sélectionnez « To all domain controllers in the Active Directory domain proservia.intra ». La zone DNS est hébergée dans le conteneur System de la partition de domaine msreport.intra.
Pour visualiser le contenu des zones DNS, lancer la console Active Directory Users and Computers (dsa.msc). Aller dans le menu « View » et cliquer sur « Advanced Features ».
Cliquer sur « System | Microsoft Dns ». On retrouve les zones DNS (objet dnsZone) et à l’intérieur les entrées DNS sous forme d’objets Active Directory dnsNode.

3. Comment corriger le problème des zones DNS ForestDNSZones et DomainDNSZones manquantes / corrompues
Maintenant que nous avons vu les notions théoriques, nous allons pouvoir résoudre ensemble un incident fort complexe rencontré chez plusieurs de mes clients.

3.1 Description du problème :
Toutes les zones DNS étaient intégrées dans l’annuaire Active Directory et étaient configurées pour répliquer au niveau de la partition de domaine dans le conteneur système (choix 3 : To all domain controllers in the Active Directory domain proservia.intra).
Lorsque j’ai essayé de déplacé les zones DNS dans la ForestDnsZones, j’ai rencontré l’erreur suivante : « The replication scope could not be set. For more information, see Dns zone replication in Active Directory in Help and Support. The error was There was a server failure ».
Lorsque j’essayais de me connecté sur la ForestDnsZones j’avais l’erreur suivante dans ADSIEDIT.
« A referal was returned from the server ».

3.2 Comment reproduire ce problème?
Ce problème provient du fait que la DomainDnsZones et la ForestDnsZones sont des partitions applicatives qui ne répliquent que sur des contrôleurs de domaine qui sont serveur DNS. Cette option est apparue avec Windows 2003 Server.
Pour reproduire le problème, il faut 2 contrôleurs de domaine et un serveur DNS en groupe de travail.
Seul le premier contrôleur de domaine doit être serveur DNS.
Faire pointer les deux contrôleurs sur le troisième serveur DNS.
Sur ce troisième serveur DNS, créer les zones DNS suivantes :
proservia.intra
_mdscs.proservia.intra
Autoriser les mises à jour dynamiques DNS sécurisées et non sécurisées.
Lancer les commandes suivantes sur les deux contrôleurs de domaine :
Ipconfig /registerdns
Net stop netlogon
Net start netlogon
Les entrées DNS correspondant aux 2 contrôleurs de domaine sont recréées sur le serveur DNS (troisième serveur DNS).

Sur le premier serveur, faire un DCPROMO /FORCEREMOVAL et arrêter cette machine. Un DCPROMO inverse classique échoue car le premier contrôleur de domaine n’arrive pas à répliquer les partitions (contextes de nommage) ForestDNSZones et DomainDNSZones sur le second contrôleur de domaine (ce dernier n’est pas serveur DNS).
Sur le second serveur, faire un NTDSUTIL avec l’option METADATA CLEANUP pour supprimer l’ancien contrôleur de domaine. Pour plus d’informations, voir: http://support.microsoft.com/kb/216498/en-us.
Une fois que tout est effectué, redémarrer le second contrôleur de domaine, et lui remettre le service DNS.
Créer une zone DNS. Intégrer la dans l’annuaire Active Directory et essayer de la faire répliquer dans la partition ForestDNSZones. Vous allez obtenir l’erreur ci-dessous :
The replication scope could not be set. For more information, see Dns zone replication in Active Directory in Help and Support. The error was There was a server failure ».
Si on regarde dans la partition de configuration (ADSIEDIT) dans le nœud CN=Partitions, on voir toujours les partitions ForestDNSZones et DomainDNSZones.
On rencontre généralement ce problème dans les environnements où les contrôleurs de domaine ne sont pas serveur DNS car le service DNS est géré par des équipements tiers comme les solutions d’EFFICIENTIP (http://www.efficientip.com/fr/).

3.3 Comment corriger ce problème ?
Vous devez disposer d’un PRA Active Directory (Forest Recovery) avant d’effectuer cette action. Je ne peux en aucun cas être tenu pour responsable en cas de problème. Je vous invite à ouvrir un incident chez Microsoft avant d’effectuer ces actions pour au moins valider la procédure.
Pour corriger le problème, il faut supprimer manuellement les partitions ForestDnsZones / DomainDnsZones et utiliser un l’outil DNSCMD pour les recréer.
Pour supprimer les partitions ForestDNSZones et DomainDNSZones (exemple avec le domaine msreport.intra)
Ouvrir une session avec un compte membre du groupe « Enterprise admins ».
Ouvrir l’invite de commande et taper les commandes suivantes sur le contrôleur de domaine Windows 2003 avec les rôles FSMO :
ntdsutil
metadata cleanup
connections
connect to server localhost
q
Select operation target
List Naming Contexts
select naming context 4
Q
remove selected naming context
Cliquer sur « Yes » pour supprimer la ForestDNSZones.
Dans mon cas, 4 correspond à la partition ForestDNSZones.

Faire la même chose pour la DomainDNSZones.
Select operation target
List Naming Contexts
select naming context 3
Q
remove selected naming context
Dans mon cas, 3 correspond à la partition DomainDnsZones (domaine proservia.intra).

Sous Windows 2008 R1 et versions ultérieures, cette méthode fonctionne aussi :
Partition management
Connections
Connect to server localhost
Q
Delete NC DC=DomainDnsZones,DC=proservia,DC=intra
Delete NC DC=ForestDnsZones,DC=proservia,DC=intra

Retourner dans la console ADSIEDIT dans le conteneur CN=Partitions.
Maintenant, votre annuaire n’a plus que 3 partitions (dans mon cas proservia.intra est un domaine unique dans une forêt).
Forcer des réplications pour que tous vos contrôleurs disposent plus que de 3 partitions. Je vous invite à attendre quelques heures.

On va maintenant recréer les partitions (contextes de nommage) ForestDnsZones à l’aide de la commande suivante :
Dnscmd /createbuiltindirectorypartitions /Forest
Dnscmd /createbuiltindirectorypartitions /Domain

Retourner dans ASIEDIT au niveau du conteneur CN=Partitions.
Vous devez maintenant voir de nouveau 5 partitions.
Vous devez pouvoir maintenant déplacer votre zone DNS dans la ForestDnsZones ou dans la DomainDnsZones.

Pour plus d’informations :
http://clintboessen.blogspot.fr/2011/07/replication-scope-could-not-be-set-for.html
http://blogs.technet.com/b/askds/archive/2012/01/23/3476532.aspx#dns

A+
Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Active Directory, Annuaire, Dns, Système, Troubleshouting | Laisser un commentaire

Utiliser ADMT 3.2 (nouvelle version) permet de migrer depuis ou vers des domaines gérés par des contrôleurs Windows 2012 R2 !

Salut à tous

Microsoft a mis en ligne une nouvelle version d’ADMT 3.2 le 12 juin 2014.
Cette version permet de prendre en charge la migration depuis et vers des domaines Active Directory géré par des contrôleurs de domaine Windows 2012 R2.
Vous trouverez ci-dessous le lien pour télécharger cette nouvelle version.
http://technet.microsoft.com/en-us/library/active-directory-migration-tool-versions-and-supported-environments(v=ws.10).aspx

On notera le fait que cette version est toujours estampillée 3.2.
La justification de Microsoft dans la documentation d’ADMT :
http://www.microsoft.com/en-us/download/details.aspx?id=19188
« ADMT v3.2 has recently been updated and re-released. The version remains v3.2 because it’s functionally the same as its predecessor (that is, there are no new features). This final release includes various bug fixes and can be used with all supported Windows operating systems and versions of Windows Server Active Directory :
- The server where you install ADMT can run any supported version of Windows Server, including Windows Server 2012 R2 and Windows Server 2012.
- The source and target domain controllers must be writeable, but they can run any supported version of Windows Server with a user interface (not Server Core), including Windows Server 2012 R2 and Windows Server 2012.
- The source and target domains must be at Windows Server 2003 domain functional level or higher.
- The computers that can be migrated can run any supported version of Windows, including Windows 8.1.
- You can use any version of SQL Server for the ADMT database.
« .

A+

Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

ADMT v3.2 has recently been updated and re-released. The version remains v3.2 because it’s functionally the same as its predecessor (that is, there are no new features). This final release includes various bug fixes and can be used with all supported Windows operating systems and versions of Windows Server Active Directory:

Publié dans Active Directory, ADMT, Windows 2012 R2 | Marqué avec , | Laisser un commentaire

Comment installer et charger dans le même invite de commande PowerShell les commandes Lync Online et Lync On-Premise

Salut à tous

1. Objectifs:
- Voir comment installer les modules PowerShell Lync Online et Lync 2013 Server (On-Premise).
- Charger dans la même console PowerShell les commandes PowerShell Lync 2013 (on-Premise) et les commandes PowerShell Lync Online.

2. Installation des modules PowerShell:
Pour installer le module Powershell Lync 2013 On-Premise, il faut télécharger les sources d’installation Lync 2013 et installer les outils d’administration. Pour charger les commandes Lync 2013 On-Premise dans une invite de commande PowerShell standard, taper la commande suivante :
Import-Module ‘C:\Program Files\Common Files\Microsoft Lync Server 2013\Modules\Lync\Lync.psd1′
Le module PowerShell de Lync Online est disponible à cette adresse: http://www.microsoft.com/en-us/download/details.aspx?id=39366

A savoir :
le module PowerShell Lync Online ne fonctionne plus après installation du module Lync On-Premise.Ce problème est décrit dans l’article Microsoft suivant:
http://support.microsoft.com/kb/2955287/en-us

4.  De nombreuses commandes sont communes entre Lync Online et Lync On-Premise.
La commande Grant-CsConferencingPolicy -PolicyName POLICYARS -Identity $EmailUser -Confirm:$false permet par exemple d’activer / désactiver les options video / audio d’un utilisateur Lync. Hors, la commande est identique sous Lync Online et Lync On-Premise.

Astuce: il faut charger le module LyncOnline avec un prefix.  La commande Grant-CsConferencing devient par exemple Grant-LyncOnlineCsConferencing. Pour charger les commandes Lync Online avec un préfix, taper les commandes suivantes :
$session = New-CsOnlineSession
Import-PSSession $session -Prefix LyncOnline

A+

Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Bug, Lync, Office 365, Outils, PowerShell, Scripts, Troubleshouting | Marqué avec , , , , , | Un commentaire

Cannot enable DirSync on Office 365 tenant -> Correlation ID neu#340d7f2b-6ad2-4abc-8004-9e66c2dff2ca Error code 0

Salut à tous

Description du problème :
Impossible d’activer DirSync sur le tenant Office 365.
Depuis le site web Microsoft Online Portal, on obtient l’erreur suivante « Sorry we can’t process your request. We’re investigating right now. Please try again later. If the problem doesn’t go away, please submit a Service Request.
Support Information
Correlation ID:
neu#340d7f2b-6ad2-4abc-8004-9e66c2dff2ca
Error code
0 »

Explication du problème:
Ce problème se produit quand le domaine
mail.yourtenant.onmicrosoft.com se crée mal lors de l’activation de DirSync sur le tenant Office 365. Dans mon cas le tenant s’appelait msreport75.
La commande Get-MsolDomain (Windows Azure Active Directory PowerShell module) renvoyait que le domaine msreport75.mail.onmicrosoft.com était en statut « Unverified » (comme pour un domaine en cours d’ajout).
Pour information, ce domain msreport75.mail.onmicrosoft.com est créé lorsqu’on active DirSync sur le Tenant Office 365.

Comment corriger le problème :
Pour corriger le problème, se connecter en PowerShell sur l’annuaire Windows Azure (avec le module Windows Azure Active Directory PowerShell module) et lancer la commande suivante :
Remove-MsolDomain -DomainName msreport75.mail.onmicrosoft.com.
Activerde nouveau DirSync sur le tenant Office 365.

PS :
Je vous invite avant tout à ouvrir une Service Request. Le service Office 365 évolue très vite. ce qui est vrai aujourd’hui peut être faux demain.

A+

Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Annuaire, Office 365, Windows Azure Active Dirrectory | Laisser un commentaire

Complément d’informations sur les attributs Mail, ProxyAddresses et LegacyExchangeDN

Salut à tous

Cet article a pour but de vous présenter :
- Le rôle des attributs Mail, ProxyAddresses et LegacyExchangeDN
- Comment affecter toutes les adresses d’un objet Exchange (contact de messagerie, utilisateur avec adresse de messagerie externe, groupe avec adresse de messagerie, utilisateur avec boîte aux lettres) à un autre objet Exchange.

1. Quel est le rôle des attributs Mail, ProxyAddresses et LegacyExchangeDN
L’attribut mail contient l’adresse email principal de l’utilisateur.
Il correspond au champ « Email » dans l’onglet « Général d’un compte utilisateur ».
Ce champ a la même valeur que l’adresse qui commence par « SMTP: » de l’attribut ProxyAddresses.
Il est mis à jour automatiquement par Exchange en cas de changement au niveau de l’onglet Email addresses » d’une boîte aux lettres.

L’attribut ProxyAddresses contient toutes les adresses SMTP, X500, SIP (ou autres types) d’un compte utilisateur. Il est utilisé entre autres par des logiciels comme Exchange 2013 et Lync 2013.
L’adresse SMTP principale s’écrit de la manière suivante : SMTP:emailprincipal@proservia.fr
Un alias de messagerie s’écrit de la manière suivante : smtp:alias.email@proservia.fr
Le champ ProxyAddresses peut aussi contenir d’adresse comme une adresse SIP, X500.

L’attribut LegacyExchangeDN correspond lui à l’adresse de routage interne d’Exchange 2013. Il n’a donc rien de Legacy. Le format de cette adresse est (exemple avec une boîte aux lettres Proservia dans une organisation appelée TPONET) :
X500:/o=tponet/ou=exchange administrative group (fydibohf23spdlt)/cn=recipients/cn=d60620cf8db7469abd3e26a483e119ff-proservia
Le champ LegacyExchangeDN ne doit pas être modifié et ne peut contenir qu’une seule valeur.

2. Comment affecter toutes les adresses d’un objet Exchange (contact de messagerie, utilisateur avec adresse de messagerie externe, groupe avec adresse de messagerie, utilisateur avec boîte aux lettres) à un autre objet Exchange ?
Dans notre cas, on va partir du principe qu’on remplace un groupe avec adresse de messagerie par un utilisateur avec boîte aux lettres. C’est un cas relativement courant. Au lieu d’envoyer un mail à plusieurs utilisateurs, on centralise tous les mails dans une unique boîte aux lettres.

Cette action nécessite 5 étapes :
- Sauvegarder la valeur des attributs ProxyAddresses et LegacyExchangeDN du groupe avec adresse de messagerie.
- Supprimer le groupe avec adresse de messagerie.
- Créer la nouvelle boîte aux lettres
- Modifier manuellement l’attribut ProxyAddresses via la console web Exchange 2013. Pour cela aller « Recipients | Mailbox ». Au niveau de la boîte aux lettres, aller dans l’onglet « Email addresses » et saisir les adresses contenu dans le champ ProxyAddresses sans les préfix comme « SMTP: » ou « SIP: ». Attention de décocher la case « Automatically update email address based on the email address policy applied to this recipient ».
- Il faut aussi ajouter l’adresse contenu dans le champ LegacyExchangeDN de l’ancien groupe avec adresse de messagerie dans l’attribut ProxyAddresses (donc toujours dans l’onglet « Email addresses » de la boîte aux lettres. Pour cela, il faut créer une entrée de type X500 et saisir la valeur du LegacyExchangeDN de l’ancien groupe.
Au niveau de l’attribut ProxyAddresses de notre boîte aux lettres Exchange, on obtient donc :
SMTP:proservia@tp.msreport.eu
smtp:alias.proservia@tp.msreport.eu
X500:/o=tponet/ou=exchange administrative group (fydibohf23spdlt)/cn=recipients/cn=d60620cf8db7469abd3e26a483e119ff-proservia

Attention :
Si deux objets Exchange ont le même LegacyExchangeDN, ils ne peuvent plus se connecter à leur Mailbox. L’erreur suivante va apparaître.
Log Name: Application
Source: MSExchange Assistants
Date: 11/05/2014 22:34:02
Event ID: 11006
Task Category: (11)
Level: Warning
Keywords: Classic
User: N/A
Computer: TPOEXCH1.tpo.net
Description:
The description for Event ID 11006 from source MSExchange Assistants cannot be found. Either the component that raises this event is not installed on your local computer or the installation is corrupted. You can install or repair the component on the local computer.
If the event originated on another computer, the display information had to be saved with the event.
The following information was included with the event:
tpo.net/TPO/Users/Tigrou Mathieu
Microsoft.Exchange.Data.Storage.StoragePermanentException: There was a problem accessing Active Directory. Check your network connections and try again. —> Microsoft.Exchange.Data.Directory.Recipient.NonUniqueRecipientException: Multiple objects with legacy DN /o=TPONET/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=e37311bf79a24588894f5a1e68855894-Tigrou Mathieu were found.
at Microsoft.Exchange.Data.Directory.Recipient.ADRecipientObjectSession.FindByLegacyExchangeDN(String legacyExchangeDN)

Astuces :
- Pour afficher une boîte aux lettres que l’on vient de supprimer sous Exchange 2013, il faut lancer ces deux commandes :
Get-MailboxStatistics -Database DB1 | ForEach { Update-StoreMailboxState -Database $_.Database -Identity $_.MailboxGuid -Confirm:$false }
Get-MailboxStatistics -Filter ‘DisconnectDate -ne `$null’ -Server ‘TPOEXCH1′
Pour plus d’informations :

http://technet.microsoft.com/en-us/library/jj860462(v=exchg.150).aspx

- Penser à forcer la génération de l’OAB (par défaut 1 fois par jour) sur Exchange 2013. Sur Office 365 (offre mutualisée), on est obligé d’attendre 24h. L’ajout de l’ancien LegacyExchangeDN permet donc d’éviter des problèmes de remise de mail pendant 24h.
- Penser aussi à purger le cache des clients Outlook en cas de changement massif (les fameux fichiers NK2).

A+

Guillaume MATHIEU
Consultant Proservia
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Active Directory, Annuaire, Messagerie, Office 365, Troubleshouting | Marqué avec , , | Laisser un commentaire

Office 365 au banc d’essaie 1/10

Bonjour

Dans cet article, nous allons vous présenter les principales fonctionnalités de la suite Office 365, les différentes éditions, les différents modes d’hébergement, le taux de disponibilité et les avantages / inconvénients de la solution. Dans les prochains articles, nous vous présenterons :
- Comment mettre en place l’authentification unique (SSO) avec Office 365.
- Comment administrer la solution Office 365 (avec ou sans authentification unique).
- Comment et pourquoi déployer le mode hybride Exchange.
- Comment et pourquoi déployer le mode hybride Lync.
- Les spécificités de l’offre Office 365 dédiée et pourquoi choisir cette offre.
- Les prérequis réseaux d’Office 365 et les solutions pour optimiser la bande passante, latence de vos lignes.
- Les fonctionnalités de sauvegarde / rétention et de vos données Office 365 et les solutions tierces (payantes / gratuites).
- Comment migrer vers Office 365 si on dispose d’un environnement Exchange / Lync existant ou d’un environnement non Microsoft (Lotus Domino).

1. Les fonctionnalités d’Office 365
Office 365 est la plateforme collaborative de Microsoft en ligne (dans le cloud). Elle intègre 99 pourcents des fonctionnalités des produits Microsoft suivants :
- Exchange Online : les utilisateurs disposent d’une boîte aux lettres de 50 Go avec toutes les fonctionnalités collaboratives d’Exchange 2013. Avec la licence E3 / E4, les utilisateurs disposent d’un archivage email illimité. Les utilisateurs peuvent chiffrer / signer leur email avec S/MIME ou s’appuyer sur la solution Windows Azure Active Directory Rights Management pour sécuriser les échanges emails.
- Lync Online : les utilisateurs disposent des fonctionnalités de présence, messagerie instantanée, d’audio-conférence et de vidéo-conférence de Lync 2013. Dans certains pays (Etats-Unis…), il est même possible d’interfacer directement Lync Online avec le système de téléphonie des opérateurs (nécessite licence E4 Office 365).
- SharePoint Online : les utilisateurs disposent d’un espace de stockage en ligne de 25 Go (bibliothèque de documents SharePoint) qu’ils peuvent synchroniser hors connexion avec OneDrive for Business (anciennement SharePoint Workspace puis SkyDrive Pro). Les utilisateurs peuvent aussi disposer de tous les types de sites web SharePoint 2013 (Intranet collaboratifs, sites web d’équipes). Office 365 permet de sécuriser toutes les données SharePoint avec Windows Azure Active Directory Right (basé sur Right Management Services).
- Windows Azure Active Directory Rights Management : Office 365 intègre les fonctionnalités d’Active Directory Right Management Services. Cette solution vous permet chiffrer / signer vos documents, d’empêcher le transfert des documents hors de votre entreprise, de bloquer des fonctionnalités comme le copier / coller, l’impression, la modification de vos documents. Pour plus d’informations, consulter l’article suivant : http://technet.microsoft.com/fr-fr/library/jj585026.aspx
- Yammer Enterprise : Microsoft a récemment fait l’achat d’une solution de réseau social d’entreprise. Vous pouvez voir Yammer comme une sorte de Facebook d’entreprise (création d’événements, partages de liens, sondages, création de groupes, partages de fichiers, conversations, articles). Pour plus d’informations, voir http://www.zdnet.com/yammer-enterprise-in-office-365-enterprise-first-take-deeper-integration-7000023229
- Office 365 ProPlus : il s’agit d’une version spéciale d’Office 2013 Professionnel. Cette version nécessite un compte Office 365 pour s’activer (activation périodique tous les 30 jours) et dispose d’un nouveau système de déploiement accéléré en streaming appelé Click to Run. Pour plus d’informations, voir:
http://technet.microsoft.com/en-us/library/jj219423(v=office.15).aspx
- Des applications pour les terminaux mobiles / tablettes : Microsoft permet de disposer de tous les outils de la suite Office 365 (Outlook Web App, Lync, Word, Excel…) sur les terminaux mobiles et les tablettes. A titre d’informations, les utilisateurs qui disposent d’une licence Office 365 E3 peuvent télécharger Office 365 ProPlus sur leur IPAD depuis quelques jours et éditer tous leurs documents Office (plus de 12 millions de téléchargement d’Office pour IPAD).

Tous ces services s’appuient sur un annuaire Windows Azure Active Directory (mixe entre un annuaire Active Directory standard et un annuaire Active Directory Lightweight Services (LDS).

2 Les différentes éditions :
Office 365 est décliné en plusieurs éditions selon les besoins des particuliers, PME ou les grandes entreprises. Le lien ci-dessous liste les fonctionnalités disponibles pour chaque édition d’Office 365 :
http://office.microsoft.com/en-us/business/compare-all-office-365-for-business-plans-FX104051403.aspx
Attention, il n’est pas toujours possible de basculer d’un type de licence (plan) vers un autre. Le choix de mode de licence Office 365 doit donc faire l’objet d’une étude minutieuse.

3 Les différents modes d’hébergement ?
Les données d’Office 365 sont répartis dans plusieurs centre de données Microsoft selon la localisation des clients. Les données des clients européens sont situées par exemple dans les centres de données de Dublin (Ireland) et des Pays Bas. Je vous invite à consulter les liens ci-dessous pour plus d’informations sur ces centres de données et la politiques de Microsoft en matière de stockage des données (qui est le propriétaire des données…) :
http://office.microsoft.com/en-us/business/office-365-trust-center-cloud-computing-security-FX103030390.aspx
http://office.microsoft.com/fr-FR/business/office-365-trust-center-top-10-trust-tenets-cloud-security-and-privacy-FX104029824.aspx#shouldAskACloudServiceProvider
http://cdn.globalfoundationservices.com/videos/Video_Data_Center_Long_Tour_8000k.wmv
Microsoft propose deux modes d’hébergement pour son service Office 365 :
- Mutualisé (multi-tenant / shared): il s’agit du mode par défaut (le plus mis en avant par Microsoft). Chaque serveur Office 365 peut héberger les données de plusieurs clients Microsoft Office 365.
- Dédié (dedicated) : les données de l’entreprise sont hébergées sur des serveurs dédiés. Ce mode permet de disposer de toutes les fonctionnalités d’Office 365 mutualisé et permet de bénéficier de nouvelles fonctionnalités comme la personnalisation des sites web SharePoint, l’hébergement chez Microsoft des contrôleurs de domaine de la société. Il est à noter que l’architecture Office 365 en mode dédié est complètement différente de l’architecture en mode mutualisé (pas le même système de provisionning des comptes…). Je vous invite à consulter les liens ci-dessous pour plus d’informations sur le mode d’hébergement dédié : http://technet.microsoft.com/en-us/library/dn270088.aspx
http://blogs.msdn.com/b/mstehle/archive/2013/08/09/understand-how-microsoft-delivery-exchange-in-office-365-dedicated.aspx

4. Le taux de disponibilité de la solution :
Microsoft annonce un taux de disponibilité de 99,98 % au quatrième trimestre 2013.

5 Les avantages / inconvénients de la solution:
Office 365 est une solution très riche en termes de fonctionnalités avec un taux de disponibilité très élevé. Le rapport fonctionnalités / disponibilité / coût plaide clairement du côté d’Office 365. Exemple :
- Pour disposer en interne d’une solution Exchange 2013 avec un taux de disponibilité de 99,98 pourcents, vous devez disposer d’un ingénieur expert sur Exchange 2013, de 2 centres de données et de 8 serveurs Exchange 2013 (2 serveurs avec le rôle Mailbox et 2 serveurs avec le rôle CAS Exchange 2013 dans chaque centre de données) et toutes les licences Microsoft Exchange.
- Avec Office 365 E1, vous payez 6,5 € par mois par utilisateur (offre mutualisée).
Un des autres points forts de la solution Office 365 est l’intégration très poussée entre les différents composants (Exchange Online, SharePoint Online, Lync Online, Windows Azure Right Management).
- Les fonctionnalités de messagerie instantanée et de présences de Lync 2013 sont par exemple activées de base dans l’interface d’Outlook Web App.
- Les utilisateurs disposent d’un espace de 25 Go (bibliothèque de documents SharePoint) qu’ils peuvent synchroniser hors connexion avec OneDrive for Business.
- Plusieurs utilisateurs peuvent modifier en même temps un document hébergé sur un site web SharePoint (coédition).
Microsoft propose à travers le Microsoft Online Portal une interface web très simple pour effectuer l‘administration de base de la solution :
- Création des comptes Office 365 et affectation des licences
- Administration d’Exchange Online
- Administration de Lync Online
- Administration de SharePoint Online
Toutes les fonctionnalités de l’interface web sont disponibles sous forme de plugin PowerShell, ce qui permet d’automatiser l’administration de la solution.
http://technet.microsoft.com/library/jj151815.aspx
http://technet.microsoft.com/fr-fr/library/jj984289(v=exchg.150).aspx
http://office.microsoft.com/en-us/sharepoint-help/introduction-to-the-sharepoint-online-management-shell-HA102915057.aspx
http://technet.microsoft.com/fr-fr/library/dn362795.aspx
Si l’on ne souhaite pas mettre en place l’authentification unique, un assistant permet de configurer l’ensemble de la solution en quelques minutes (ajout des domaines de messagerie de l’entreprise…).
Si l’on souhaite activer l’authentification unique, il est alors nécessaire de déployer en interne un serveur ADFS (fédération d’identité) et un serveur DirSync (pour synchroniser l’annuaire Active Directory de l’entreprise avec l’annuaire Windows Azure Active Directory). Nous reviendrons dans un prochain article sur la mise en œuvre de ces deux technologies. Il est nécessaire de prendre en compte les 3 éléments suivants :
- La mise en œuvre d’ADFS / DirSync nécessite de modifier l’attribut UserPrincipalName (login) de chaque compte utilisateur. Cet attribut doit prendre la valeur de l’adresse email de l’utilisateur. Cela peut impacter les applications métiers.
- Une fois DirSync activé au niveau du Tenant Office 365, l’administration des comptes utilisateurs se fait uniquement via l’annuaire local. L’administration des comptes utilisateurs via le Microsoft Online Portal est bloquée. Pour ajouter une adresse SMTP à un utilisateur, il faut modifier manuellement l’attribut ProxyAddresses du compte utilisateur dans l’annuaire Active Directory et exécuter DirSync pour que le changement soit répliqué dans Windows Azure Active Directory.
- En cas de défaillance du serveur ADFS (fédération d’identité), les utilisateurs ne peuvent plus se connecter aux services Office 365.
La mise en œuvre d’Office 365 ne sera pas sans impact sur vos accès Internet principalement pour les raisons suivantes :
- Microsoft permet de disposer de boîte aux lettres de 50 Go. Il ne faut cependant pas oublier que les clients Outlook vont télécharger ces 50 Go et générer du trafic messagerie. Il est à noter que depuis Outlook 2013, il est possible de configurer le volume de données mis en cache. Je vous invite à utiliser cet outil pour calculer votre besoin au niveau de vos accès Internet :
http://blogs.technet.com/b/exchange/archive/2012/02/10/announcing-the-exchange-client-network-bandwidth-calculator-beta.aspx
- Les services d’audioconférence et vidéoconférence de Lync Online sont très gourmands en bande passante et nécessite une latence et gigue correcte. Je vous invite à utiliser cet outil pour estimer vos besoins :
http://www.microsoft.com/en-us/download/details.aspx?id=19011
- Office 365 nécessite que certains sites web soient accessible et parfois sans authentification. Il sera donc probablement nécessaire de reconfigurer vos serveurs proxy (nouvelles règles) et de valider que ces derniers supportent la charge réseau générée par les services Office 365. Je vous invite à consulter ces deux articles :
http://technet.microsoft.com/en-us/library/hh373144.aspx
http://support.microsoft.com/kb/2637629/en-us
- En moyenne un utilisateur Office 365 utilise en permanence une dizaine de connexions TCP uniquement pour les services Office 365. Si on dispose de plus de 4000 utilisateurs sur la même connexion Internet avec une seule adresse IP publique, il est possible d’occuper tous les ports TCP au niveau du routeur NAT et donc d’entraîner des problèmes de connectivité Internet.
Nous reviendrons sur tous ces points dans l’article consacré à l’optimisation des connexions Internet pour Office 365.
Office 365 est un service en perpétuelle évolution. Il existe peu de documentations sur le produit et cette documentation est souvent obsolète car basée sur une version précédente d’Office 365.
Nous sommes déjà à la version 3 d’Office 365 lancée le 28 février 2013 (V1 = BPOS, V2 = Office 365 génération 2010 d’Exchange, Lync et SharePoint). Des composants comme DirSync ont beaucoup évolués (ajout de fonctionnalités comme le filtrage par OU, le déploiement sur des contrôleurs de domaine, la synchronisation des mots de passe entre l’annuaire locale et l’annuaire Windows Azure Active Directory…).
Pour cette raison, je vous invite à toujours valider la date de rédaction d’un article sur Office 365 et de se référer au maximum au site web Technet (dont le site EXDEPLOY) et aux blogs de l’équipe Office 365.
http://technet.microsoft.com/en-us/exchange/jj657516.aspx
http://technet.microsoft.com/fr-fr/office365/hh528489.aspx
http://community.office365.com/fr-fr/default.aspx
http://blogs.office.com/

Pour conclure, je vous invite à vous créer un compte Office 365 d’évaluation pour vous faire votre propre avis : http://office.microsoft.com/fr-fr/business/microsoft-office-365-entreprise-e3-FX103030346.aspx

A+

Guillaume MATHIEU
Consultant Proservia
La connaissance s’accroît quand on la partage.

Publié dans Annuaire, Exchange, Office 365, Réseau | Laisser un commentaire

Comment simplifier et automatiser la migration d’un serveur de fichiers SAMBA vers Windows 2012

1. OBJECTIFS DE CET ARTICLE :
- Présenter le fonctionnement d’un serveur de fichiers SAMBA.
- Présenter une procédure de migration d’un serveur de fichiers SAMBA vers un serveur de fichiers Windows 2012 membre d’un domaine Active Directory.

2. INSTALLATION ET TEST D’UN SERVEUR DE FICHIERS SAMBA :
2.1 Installation d’un serveur de fichiers SAMBA 3.X :

L’article ci-dessous présente la procédure d’installation d’un serveur de fichiers SAMBA sous CENTOS 6 membre d’un domaine Active Directory.
http://phreek.org/guides/centos-6-samba-ad-member-server
Il faut configurer / désactiver SE LINUX pour que ce serveur fonctionne correctement.
https://www.centos.org/docs/5/html/5.1/Deployment_Guide/sec-sel-enable-disable.html

2.2 Test d’un serveur de fichiers SAMBA 3.X :
Pour accéder aux données partagées, un utilisateur doit disposer de permissions au niveau de SAMBA (smb.conf) et de permissions sur le système de fichiers (EXT3 / EXT4 généralement).
C’est le cumul le plus restrictif qui s’applique. Si un utilisateur a le droit Lire et écrire avec les permissions SAMBA et le droit Lire au niveau des permissions EXT3 / EXT4, l’utilisateur aura uniquement le droit de lire le fichier.
Il n’y a pas de notions d’héritage en Linux avec le système de fichiers EXT3 / EXT4.
Les paramètres create mask = 0770 et directory mask = 0770 permettent de définir les droits sur un nouveau fichier / nouveau dossier créé par un utilisateur au niveau des permissions EXT3/EXT4.
Avec un create mask = 0770, lorsque le compte utilisateur guillaume.mathieu accède au partage SAMBA et crée un fichier, seul le compte guillaume.mathieu et son groupe primaire (utilisa du domaine par défaut) ont le droit de lire et écrire sur ce fichiers. Les autres utilisateurs n’ont pas d’accès à ce fichier.
Il est possible de corriger ce comportement en exécutant tous les jours un script qui modifie les permissions pour chaque dossier.
Ce comportement fait que généralement le groupe Utilisa du domaine a trop de permissions sur le système de fichiers Linux. C’est pour cette raison que généralement, je ne migre pas les permissions Linux.

3. INSTALLER LE SERVEUR DE FICHIERS WINDOWS 2012 :
Désactiver l’UAC sur le serveur Windows 2012 (Panneau de configuration | Comptes utilisateurs).
Configurer PowerShell pour autoriser l’exécution de script :
Set-ExecutionPolicy Unrestricted
Installer Quest ActiveRoles Management Shell (permet le fonctionnement de la solution sur des domaines Active Directory géré par des contrôleurs de domaine Windows 2000 et versions ultérieures) :
http://www.quest.com/powershell/activeroles-server.aspx

4. RECREER L’ARBORESCENCE DE FICHIERS VIDE :
La première étape est de recréer l’arborescence de fichiers vide.
Pour cela, partager le ou les dossiers racines sur le serveur de fichiers non Windows (avec SAMBA).
Monter chaque partage sous forme d’un lecteur réseau sur une machine Windows.
Exporter l’arborescence vide  à l’aide de la commande suivante :
Get-ChildItem -Recurse | Where-Object {$_.Attributes -eq « Directory »} | Select-Object FullName | Export-Csv -Path C:\Scripts\Arborescences\arborescences.csv -UseCulture -Encoding UTF8
Remarque :
Pour une arborescence avec 300000 fichiers, on obtient un fichier de 50 Mo.
Ce fichier doit être au format UTF8 pour que la solution fonctionne.

Il faut maintenant importer l’arborescence vide sur le serveur Windows 2012 à l’aide de ce script :
$base = Import-csv -Path C:\Scripts\Arborescences\arborescences.csv -UseCulture -Encoding UTF8
foreach ($line in $base)
{
$line.FullName
New-Item $line.FullName -Type Directory -force
}

5. CREER UN FICHIER EXCEL AVEC LA LISTE DES DOSSIERS AVEC DES PERMISSIONS NTFS SPECIFIQUES ET LA LISTE DES PARTAGES :

5.1 Créer le fichier Excel :
Le fichier doit contenir les colonnes suivantes :
- Name : nom du partage (utilisé si CreateShare égale à Yes).
- Path : cette valeur est utilisée pour créer le partage et définir les permissions NTFS.
- Description : cette valeur est copiée dans le champ Description du partage.
- RO : tous les groupes / comptes utilisateurs qui disposent d’un accès en lecture uniquement. Utiliser une virgule comme séparateur entre les groupes / comptes utilisateurs.
- RW : tous les groupes / comptes utilisateurs qui disposent d’un accès en lecture et écriture. Utiliser une virgule comme séparateur entre les groupes / comptes utilisateurs.
- CreateShare : si contient la valeur Yes, le script créera un partage.

5.2 Analyser le fichier SMB.CONF et les permissions EXT3 / EXT4 :
Analyser le fichier SMB.CONF du serveur de fichiers SAMBA :
- Créer une entrée dans le fichier Excel pour chaque partage.
- Ne pas mettre de guillemets ou de points virgules dans le fichier Excel.
- Compléter les colonnes RO et RW du fichier Excel selon les permissions SAMBA définis dans le fichier SMB.CONF et les permissions EXT3 / EXT4 (analyse avec la commande Linux getfacl).
Pour cela, il faut s’appuyer sur les règles de conversion permissions SAMBA – permissions SMB Windows ci-dessous.
Règle 1 :
- Permissions SAMBA : aucun paramètre.
- Permissions SMB Windows : lecture seule pour tout le monde
Règle 2 :
- Permissions SAMBA : writable = yes
- Permisions SMB Windows : lecture / écriture pour tout le monde
Règle 3 :
- Permissions SAMBA : read only = yes
- Permisions SMB Windows : lecture seule pour tout le monde
Règle 4 :
- Permissions SAMBA : read only = yes
write list = guillaume.mathieu
- Permissions SMB Windows : lecture seule pour tout le monde et lecture / écriture pour guillaume.mathieu
Règle 5 :
- Permissions SAMBA : read only = yes
writable = yes
- Permissions SMB Windows : lecture / écriture pour tout le monde
Règle 6 :
- Permissions SAMBA : valid users = guillaume.mathieu
- Permissions SMB Windows : Accès en lecture seule pour guillaume.mathieu. Pas d’accès pour les autres utilisateurs.
Règle 7 :
- Permissions SAMBA : valid users = guillaume.mathieu
read only = no
- Permissions SMB Windows : Accès en lecture / écriture pour guillaume.mathieu. Pas d’accès pour les autres utilisateurs.
Règle 8 :
- Permissions SAMBA : valid users = guillaume.mathieu, tigrou.mathieu
read only = no
read list = tigrou.mathieu
- Permissions SMB Windows : accès en lecture seule pour tigrou.mathieu, accès en lecture / écriture pour guillaume.mathieu, pas d’accès pour les autres utilisateurs.

5.3 Conversion du fichier Excel au format CSV :
Sélectionner la colonne Path et afficher les lignes par ordre alphabétique.
Copier / coller le résultat dans un nouveau fichier Excel.
Exporter le nouveau fichier au format CSV avec des points virgules comme séparateur.
http://office.microsoft.com/en-us/excel-help/import-or-export-text-txt-or-csv-files-HP010342598.aspx
Ouvrir le fichier obtenu avec NOTEPAD et l’enregistrer au format UTF8.

5.4 Créer les groupes, les partages et les permissions de partage :
Télécharger et exécuter le script suivant : http://msreport.free.fr/articles/Create-Groups-Share.txt
Ce script génère un fichier appelé startCreateGroupsShare.txt
Il faudra ensuite renommer ce fichier avec l’extension .ps1 et l’exécuter. Ce script permet de :
- Créer un groupe NomPartage_L pour les accès en lecture  uniquement.
- Créer un groupe NomPartage_M pour les accès en lecture / écriture.
- Créer un partage si la colonne CreateShare a pour valeur Yes. Donner les permissions de lecture seule sur ce partage au groupe NomPartage_L et lecture / écriture au groupe NomPartage_M.
Astuces :
- Utiliser PowerShell ISE pour vérifier le bon fonctionnement du script StartCreateGroupsShare.ps1.
- Vérifier qu’aucun champ ne contient des guillemets.

6. APPLICATION DES PERMISSIONS NTFS :
6.1 Définir les permissions NTFS sur chaque dossier racine sur le serveur de fichiers Windows :
Au niveau de chaque dossier racine, aller dans l’onglet Sécurité puis cliquer sur le bouton Avancé.
Cliquer sur le bouton Désactivé l’héritage et supprimer les permissions héritées.
Donner le droit contrôle totale aux objets System et administrateurs (le groupe administrateurs du serveur).
Forcer tous les sous dossiers à hériter leur droit de ce dossier.

6.2 Définir les permissions NTFS à partir du fichier Excel :
Télécharger et exécuter le script suivant : http://msreport.free.fr/articles/Define-NTFSPermissions.txt
Ce dernier permet de définir sur chaque dossier du fichier Excel :
- Les permissions NTFS Lecture au groupe NomPartage_L
- Les permissions NTFS Lecture / écriture au groupe NomPartage_M
- Forcer l’application de l’héritage sur tous les fichiers / dossiers enfants.

A+
Guillaume MATHIEU
Consultant Proservia
http://msreport.free.fr
La connaissance s’accroît quand on la partage.

 

Publié dans Active Directory, Annuaire, Outils, SAMBA, Scripts | Laisser un commentaire

Protection contre le vol de jeton d’accès (access token) avec INCOGNITO.EXE

Salut à tous

Cet article a pour but :
- De vous présenter ce qu’est un SID, un service, un processus.
- De vous présenter ce qu’est un jeton d’accès (access token).
- De vous présenter ce qu’est un privilège et l’impersonation.
- Vous expliquez comment voler un jeton d’accès pour récupérer des droits (comme admins du domaine) avec un compte administrateur local uniquement.
- Vous protégrer contre le vol de jeton.

1. QU’EST-CE QU’UN SID, SERVICE, PROCESSUS ?
Un SID est un identifiant unique qui correspond à une ressource : un compte utilisateur, un groupe ou un compte ordinateur. Un SID permet de donner des permissions.
Quand on donne des permissions à l’utilisateur Admin-ldap sur un dossier appelé Divers (dans l’onglet Sécurité), seul le SID de ce compte est stocké au niveau du système de fichiers. Windows résout le SID en nom pour l’afficher dans l’onglet Sécurité pour simplifier la tâche de l’administrateur. Si on supprime le compte utilisateur Admin-ldap et que l’on ferme / ouvre de nouveau la session, l’ancien compte utilisateur apparaît sous forme d’un SID inconnu dans l’onglet Sécurité du dossier appelé Divers.
Le SID est unique par domaine et ne peut pas être affecté à une autre ressource.
Pour afficher le SID d’un utilisateur, utiliser ADSIEDIT ou l’outil PSGETSID :
http://technet.microsoft.com/en-us/sysinternals/bb897417.aspx
Un SID dispose de 3 parties.
Exemple avec S-1-5-21-1712426984-1618080182-1209977580-1109 :
S-1-5- : indique que le SID a été généré par Windows Security_NT_Authority.
21-1712426984-1618080182-1209977580 : représente l’identifiant unique du domaine
1109 : c’est l’identifiant unique de la ressource (un compte utilisateur dans notre cas).
Certains SID s’affichent sous la forme suivante : S-1-5-32-544, S-1-5-32-545. Il s’agit des SID des groupes par défaut comme administrateurs ou utilisateurs authentifiés.

Les services sont des exécutables qui démarrent manuellement ou automatiquement dans le contexte d’un compte utilisateur spécifique (voir console services.msc).
Par exemple, le service NETLOGON s’exécute avec le compte SYSTEM (compte système local) et lance l’exécutable c:\windows\system32\lsass.exe.

Un processus est généré pour chaque exécutable qui démarre sur le système Windows (un service ou une application). On peut voir la liste des processus dans le gestionnaire des tâches (onglet Processus).

2. QU’EST-CE QU’UN JETON D’ACCÈS ?
Un jeton d’accès (ou Token, Access Token, Security Token : ce sont des synonymes / traductions) contient :
- Le SID (et le(s) SID History) du compte utilisateur du domaine.
- Le SID (et le(s) SID History) de chaque groupe du domaine auquel l’utilisateur appartient directement ou indirectement (un groupe membre d’un autre groupe).- Le SID de chaque groupe local (groupe de la base SAM de la machine) auquel l’utilisateur appartient
- La liste des privilèges de l’utilisateur (voir paragraphe ci-dessous pour plus d’informations).
Pour visualiser le contenu d’un jeton d’accès, il est possible d’utiliser l’outil Token SZ téléchargeable à cette adresse :
http://www.microsoft.com/en-us/download/details.aspx?id=1448
Sur une machine Windows 2003, lancer la commande suivante :
tokensz.exe /compute_tokensize /dump_groups
Cette commande liste tous le SID du compte utilisateur et des groupes dont il est membre directement (ou indirectement) ainsi que tous ses privilèges.
Un jeton d’accès est généré quand un processus démarre.
Un jeton d’accès permet d’accéder à une ressource (validation des ACL sur les volumes en NTFS…).
Il existe différents types de jeton d’accès :
- Jeton primaire (Primary Token) : ce type de jeton est généré lors des ouvertures de session interactive (locale) ou Batch et sont dit de type 2 dans les événements du journal de sécurité.
- Impersonation jeton (Impersonation Token) : ce type de jeton est généré lors des ouvertures de session réseau et sont dit de type 3 dans les événements du journal de sécurité.

Dans l’exemple ci-dessous, le processus d’ouverture de session Novell (quand on installe le client Novell) initie une ouverture de session interactive (type = 2) :
Type de l’événement : Audit des succès
Source de l’événement : Security
Catégorie de l’événement : Ouverture/Fermeture de session
ID de l’événement : 528
Date : 12/5/2013
Heure : 12:24:14 PM
Utilisateur : ARCHIDFS\administrateur
Ordinateur : SRVDFSR1
Description :
Ouverture de session réseau réussie :
Utilisateur : administrateur
Domaine : ARCHIDFS
Id. de la session : (0×0,0x10BB91)
Type de session : 2
Processus de session : NWGINA
Package d’authentification : Negotiate
Station de travail : SRVDFSR1
GUID d’ouv. de session : {c1d9aa40-fb49-ef62-aa1a-c3b1274d8389}
Nom de l’utilisateur appelant : SRVDFSR1$
Domaine appelant : ARCHIDFS
Id. de session de l’appelant : (0×0,0x3E7)
ID de processus appelant : 372
Services en transit : -% Adresse réseau source : -
Port source : -

Pour plus d’informations sur les jetons d’accès :
http://blogs.technet.com/b/askds/archive/2007/11/02/what-s-in-a-token.aspx
http://blogs.technet.com/b/askds/archive/2008/01/11/what-s-in-a-token-part-2-impersonation.aspx

3. QU’EST-CE QU’UN PRIVILÈGE ET L’IMPERSONATION ?
Pour simplifier, les privilèges ce sont des droits donnés à un utilisateur comme le fait de pouvoir contourner les permissions NTFS (Take ownership of files or other objects) ou d’accéder à la mémoire (Debug programs) au niveau de la base de registre.
Les comptes administrateur et SYSTEM dispose de tous les droits sur une machine Windows car ils disposent d’un accès presque complet au système de fichiers (permissions NTFS) et de tous privilèges.

L’article Microsoft http://technet.microsoft.com/en-us/library/bb457125.aspx explique la notion de privilège en détails sur un système Windows. Ci-dessous la liste des privilèges (autres que ceux pour ouvrir une session…) :
- Act as part of the operating system(SeTcbPrivilege) : ce privilège permet d’outrepasser certains contrôles lors de l’ouverture de session. Il est réservé aux processus censés ouvrir les sessions des utilisateurs. Par exemple, winlogon.exe et le service seclogon ont besoin de ce privilège. Il est recommandé de donner ce privilège à personne.
- Add workstations to domain (SeMachineAccountPrivilege) : permet d’ajouter une machine dans le domaine (jusqu’à 10 stations de travail par défaut).
- Adjust memory quotas for a process(SeIncreaseQuotaPrivilege)
- Back up files and directories(SeBackupPrivilege) : permet de sauvegarder les données même sans avoir les permissions.
- Bypass traverse checking (SeChangeNotifyPrivilege)
- Change the system time (SeSystemTimePrivilege) : permet de changer l’heure sur une machine.
- Create a token object (SeCreateTokenPrivilege) : créer un jeton d’accès.
- Create a pagefile (SeCreatePagefilePrivilege) : permet de créer le fichier pagefile.sys.
- Create global objects (SeCreateGlobalPrivilege)
- Debug programs (SeDebugPrivilege) : ce droit permet à un utilisateur d’accéder à l’espace mémoire de n’importe quels processus. C’est sur ce privilège que repose l’outil INCOGNITO.EXE (pour le vol de jeton d’accès). Normalement, aucun service de production ne doit reposer sur ce privilège, il sert en général au développement d’applications et au troubleshooting avancé. Par défaut, les Administrateurs ont ce privilège. Il est recommandé de changer ce paramètre par défaut (définir la GPO avec aucun compte sauf besoin spécifique).
- Enable computer and user accounts to be trusted for delegation (SeEnableDelegationPrivilege) : permet de faire de la délégation (voir paragraphe sur la délégation ci dessous).
- Force shutdown from a remote system (SeRemoteShutdownPrivilege) : permet d’arrêter la machine à distance.
- Generate security audits (SeAuditPrivilege) : détermine le compte qui peut générer des événements dans le journal sécurité.
- Impersonate a client after authentication (SeImpersonatePrivilege) : permet à un processus de prendre l’identité d’un utilisateur qu’il aurait authentifié.  Par défaut, les Administrateurs, SERVICE, LOCAL SERVICE et NETWORK SERVICE ont ce privilège. Seuls des comptes de services (dont ceux built-ins) réalisant de l’impersonation devraient avoir ce privilège.
- Increase scheduling priority (SeIncreaseBasePriorityPrivilege) : permet de déterminer quel compte utilisateur a le droit de changer la priorité d’un processus dans le gestionnaire de tâches.
- Load and unload device drivers (SeLoadDriverPrivilege) : permet de déterminer qui peut charger / décharger un pilote.
- Lock pages in memory (SeLockMemoryPrivilege) : détermine les comptes utilisateurs peuvent utiliser un processus destiné à conserver les données en mémoire physique pour éviter leur pagination en mémoire virtuelle sur le disque.
- Manage auditing and security log (SeSecurityPrivilege) : détermine les comptes utilisateurs qui peuvent définir des entrées d’audit au niveau d’un dossier / registre et qui peuvent accéder / purger au journal Sécurité.
- Modify firmware environment values (SeSystemEnvironmentPrivilege) : Permet de configurer le mode dernière bonne configuration sur un système 32 bits et 64 bits et d’exécuter la commande bootcfg (modification du démarrage) sur OS Windows 64 bits uniquement.
- Perform volume maintenance tasks (SeManageVolumePrivilege) : déterminer les comptes utilisateurs qui peuvent planifier des tâches de maintenance sur un volume disque.
- Profile single process (SeProfileSingleProcessPrivilege) : détermine les comptes utilisateurs qui peuvent des analyses de performance sur des processus non systèmes.
- Profile system performance (SeSystemProfilePrivilege) : détermine les comptes utilisateurs qui peuvent des analyses de performance sur des processus systèmes.
- Remove computer from docking station (SeUndockPrivilege)
- Replace a process-level token (SeAssignPrimaryTokenPrivilege) : permet de changer ou d’assigner le jeton principal d’une application. Permet notamment de lancer un processus en tant qu’un autre utilisateur après s’être authentifié. C’est un usage plutôt orienté service. Par défaut seuls Network Service et Local Service ont ce privilège. Seuls les comptes de services réalisant de l’impersonation devraient avoir ce privilège.
- Restore files and directories (SeRestorePrivilege) : permet de déterminer les comptes utilisateurs qui peuvent passer outre les permissions lors des opération de restauration. L’utilisateur dispose d’un équivalent des permissions NTFS Traverse Folder / Execute file et Write.
- Shut down the system (SeShutdownPrivilege) : détermine quel utilisateur peuvent arrêter un ordinateur.
- Synchronize directory service data (SeSynchAgentPrivilege) : voir article
https://www.ultimatewindowssecurity.com/wiki/WindowsSecuritySettings/Synchronize-directory-service-data
- Take ownership of files or other objects (SeTakeOwnershipPrivilege) : permet de devenir propriétaire d’un fichier / dossier et donc de redéfinit les permissions NTFS. Ce droit permet donc d’outrepasser les permissions NTFS.

Il est possible d’affecter ces privilèges à des comptes utilisateurs en modifiant les paramètres dans Computer Configuration\Security Settings\Local Policies\User Rights Assignment.

Parfois un processus s’exécute dans le contexte d’un compte utilisateur A mais a besoin d’effectuer une autre tâche dans le contexte d’un autre compte utilisateur B.
Exemple d’un serveur de fichiers (applicable aussi à un serveur web) :
Le service « Serveur » s’exécute dans le contexte du compte SYSTEM et gère l’accès aux partages de fichiers. Quand un utilisateur se connecte à un serveur de fichiers, le service «Server » va générer un jeton d’accès dans le contexte du compte de l’utilisateur pour contrôler les accès aux ressources par cet utilisateur.
Pour pouvoir effectuer cette impersonnalisation, le processus du service de partages de fichiers doit avoir le privilège Impersonate a client after authentication(SeImpersonatePrivilege.).
Il existe 4 types d’impersonation :
- Anonymous : un processus peut générer un jeton d’accès avec les privilèges d’un utilisateur anonyme.
- Identification : un processus peut prendre votre jeton pour valider votre identité mais ne peut rien faire d’autres avec (pas de contrôle d’accès).
– Impersonation : un processus peut faire une tâche différente en tant qu’un autre utilisateur. L’impersonation est limité à l’ordinateur local et ne peut être utilisé pour effectuer des actions sur d’autres machines (autres machines membres du domaine par exemple).
- Delegation : même principe que l’impersonation mais il est possible d’effectuer des tâches sur l’ordinateur local et d’autres ordinateurs (autres machines du domaine par exemple). Cette fonctionnalité s’appuie sur le protocole Kerberos (on parle de “Double Hop Authentication).

4. UTILISATION DE L’OUTIL INCOGNITO POUR VOLER UN JETON D’ACCES
L’outil INCOGNITO ne s’appuie pas sur la fonctionnalité d’impersonation.
Il vole les jetons d’accès en s’appuyant sur le privilège Debug programs (SeDebugPrivilege). Pour rappel ce droit permet à un utilisateur « d’ouvrir » n’importe quel processus, d’accéder à son espace mémoire et de copier ses ressources.
L’outil INCOGNITO est disponible à l’adresse suivante :
http://sourceforge.net/projects/incognito/
De nombreux antivirus le détectent comme un virus. Il sera donc nécessaire de l’installer sur une machine avec un antivirus dont le scan temps réel est désactivé.
Incognito est maintenant intégré dans l’outil METASPLOIT (détecté aussi comme un virus parfois). Voir :
http://www.offensive-security.com/metasploit-unleashed/Fun_With_Incognito
http://blogs.technet.com/b/askds/archive/2008/01/11/what-s-in-a-token-part-2-impersonation.aspx

Pour lister tous les jetons disponibles :
Ouvrir une invite de commande en system sous Windows XP.
Lancer la commande suivante pour effectuer cela :
at 01:23 /interactive cmd.exe
http://verbalprocessor.com/2007/12/05/running-a-cmd-prompt-as-local-system/
http://technet.microsoft.com/en-us/library/cc771525.aspx

Une fois l’invite de commande exécuté en tant qu’utilisateur SYSTEM, taper la commande suivante :
incognito.exe -h localhost -u administrateur -p P@ssword list_tokens -u
Une fois que l’on voit les jetons d’accès. Ceux qui sont marqués « Delegation » peuvent être volés et utiliser pour lancer une invite de commande avec la commande suivante (on vole le jeton de archidfs\administrator dans cet exemple qui est Domain Admins sur ma plateforme de tests):
incognito.exe -h localhost -u administrateur -p P@ssword execute -c archidfs\administrator cmd
Entrer la commande whoami pour valider l’utilisateur en cours dans l’invite de commande.

Pour supprimer le processus lancés par INCOGNITO :
incognito.exe -h localhost cleanup

5. COMMENT SE PROTEGER DE L’OUTIL INCOGNITO ?
Si on supprime le privilège « Deboguer ces paramètres de stratégie » (Debug programs – SeDebugPrivilege) l’outil ne fonctionne plus.

A+
Guillaume MATHIEU
Consultant Proservia
La connaissance s’accroît quand on la partage.

http://msreport.free.fr

Publié dans Active Directory, Annuaire, Outils, Sécurité, Scripts, Système, Troubleshouting, Windows 2000 Pro, Windows 2000 Server, Windows 2003 Server, Windows 2012, Windows NT4, Windows Server 2008, Windows Server 2008 R2, Windows Seven, Windows Vista, Windows XP | Un commentaire

Désactiver les comptes utilisateurs qui ne se sont pas connectés depuis plus de X jours -> merci PowerShell

Salut

Objectifs
- Désactiver les comptes utilisateurs qui ne se sont pas connectés depuis plus de X jours (67 dans l’exemple).
- Générer un rapport.

Architecture :
- 1 domaine Active Directory appelé MSREPORT.INTRA géré par deux contrôleurs de domaine Windows 2003 R2, MSREPORTDC1 et MSREPORTDC2.
- Un serveur de gestion sous Windows 2008 R2 avec le plugin Quest ActiveRoles Management Shell.
- Les comptes utilisateurs se trouvent dans une OU appelée Utilisateurs à la racine du domaine.

Solutions :
Installer sur une machine membre du domaine (ou contrôleur de domaine) PowerShell V2 et le module Quest ActiveRoles Management Shell.
Créer le fichier C:\_adm\Disable-accounts\Disable-UnsuedAccounts.ps1 et copier le code disponible à cette emplacement http://msreport.free.fr/articles/Disable-UnsuedAccounts.txt
Créer le fichier C:\_adm\Disable-UnsuedAccounts\Disable-UnsuedAccounts.bat. Copier le contenu ci-dessous dans ce fichier :
C:\Windows\System32\WindowsPowerShell\v1.0\Powershell.exe -file C:\_adm\Disable-accounts\Disable-UnsuedAccounts.ps1
Configurer une tâche planifiée pour exécuter ce fichier au moins une fois par mois. Vous devez exécuter cette tâche avec un compte utilisateur qui a le droit de désactiver les comptes utilisateurs au niveau de l’OU Utilisateurs.
Cette solution fonctionne avec des annuaires gérés par des contrôleurs de domaine Windows 2003 et versions ultérieures.

A+

Guillaume MATHIEU
Consultant Proservia
La connaissance s’accroît quand on la partage.

http://msreport.free.fr

Publié dans Active Directory, ActiveRoles for Server, Annuaire, Outils, PowerShell, Scripts, Système, Windows 2003 Server, Windows Server 2008, Windows Server 2008 R2 | Marqué avec , , | Laisser un commentaire