Superviser un annuaire Active Directory avec un logiciel comme Nagios -> merci PowerShell

Publié le 21 octobre 2013 par Guillaume Mathieu

Salut à tous

Objectif
Superviser un annuaire Active Directory avec un logiciel comme Nagios.

1. La méthode
Ecrire un script PowerShell qui analyse le résultat de la commande DCDIAG /V /E.
Le script doit être installé sur un serveur Windows 2008 R2 / Windows 2012 anglais.

2. Présentation de l’outil DCDIAG
Il s’agit d’un outil de diagnostic Active Directory très complet qui permet de vérifier la disponibilité des contrôleurs de domaine, le bon fonctionnement de la réplication, la disponibilité des rôles FSMO, que les services sont démarrés…
L’option /V permet de travailler en mode verbeux.
L’option /E permet d’interroger tous les contrôleurs de domaine de la forêt.
Il existe d’autres options pour effectuer des tests DNS. Pour plus d’informations, taper la commande DCDIAG.EXE /?

3. Déploiement de la solution
Etape 1 : préparation du serveur
Installer un serveur membre Windows 2008 R2 / Windows 2012 anglais. Le script ne fonctionne que pour un DCDIAG US.
Lancer Server Manager et cliquer sur Add Features.
Ajouter la fonctionnalité AD DS Snap-Ins and Command-Line Tools dans Remote Server Administration Tools | AD DS and AD LDS Tools | AD DS Tools.

Etape 2 : autoriser l’exécution des scripts PowerShell non signés
Entrer la commande suivante pour autoriser l’exécution des scripts non signés :
Set-ExecutionPolicy Unrestricted

Etape 3 : créer le script c:\_adm\supervision\supervision.ps1
Copier le code disponible à cette adresse http://msreport.free.fr/articles/supervision.txt

Etape 4 : configuration Nagios
Configurer Nagios pour lire les 4 fichiers résultats et afficher une alerte selon le résultat de chaque fichier OK ou KO.

Variante du script
Vous pouvez aussi configurer un monitoring par serveur en supprimant l’option /V du DCDIAG. Il faut alors configurer sur chaque contrôleur de domaine à analyser le script. Cela permet d’utiliser les tests DNS de l’outil DCDIAG.

Remarque :
Pour les petits malins, la version téléchargeable du DCDIAG en anglais est que pour Windows 2003. Elle ne prend pas en charge pas exemple la réplication du dossier SYSVOL avec le moteur DFS-R. Installer un serveur en anglais membre du domaine pour superviser votre annuaire en français. N’utiliser pas ce lien :
http://www.microsoft.com/en-us/download/details.aspx?id=31063

A+

Guillaume MATHIEU
Consultant Proservia
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Active Directory, Annuaire, Outils, PowerShell, Scripts, Windows 2012, Windows Server 2008 R2 | Laisser un commentaire

Procédure de PRA Active Directory -> scénario Forest Recovery

Publié le 15 octobre 2013 par Guillaume Mathieu

Bonjour

Objectif de cet article :
Présenter la procédure de restauration d’un annuaire Active Directory en cas de corruption du schéma ou d’un changement non souhaitable au niveau de la partition de configuration Active Directory (exemple : suppression d’un domaine de la forêt).

A savoir :
– La réplication Active Directory se base sur un système de numéros de séquence. En simplifiant (c’est beaucoup plus compliqué), le principe est qu’un contrôleur de domaine A (DCA) réplique un objet depuis le contrôleur de domaine B (DCB) si le numéro de séquence de l’objet sur DCA est inférieur au numéro de séquence de l’objet sur DCB. Voir article Microsoft :
http://technet.microsoft.com/en-us/library/cc772726(v=ws.10).aspx
– Active Directory permet d’effectuer une restauration autoritaire de la partition de domaine. Cette procédure permet par exemple de restaurer une OU supprimée accidentellement en restaurant l’état du système et en utilisant l’outil NTDSUTIL pour incrémenter le numéro de séquence (USN) de chaque objet à restaurer. Pour plus d’informations, voir :
http://technet.microsoft.com/fr-fr/library/cc816878(v=ws.10).aspx
– Microsoft ne supporte pas d’effectuer une restauration autoritaire de la partition de configuration ou de la partition de schéma Active Directory. En cas de corruption du schéma Active Directory (échec mise à jour du schéma, attribut ajouté manuellement en conflit…) ou de changement dans la configuration de l’annuaire (comme la suppression d’un domaine), la seule solution est d’appliquer la procédure Forest Recovery Active Directory. Pour plus d’informations, voir :
http://technet.microsoft.com/fr-fr/library/cc757662(v=ws.10).aspx

Présentation de l’annuaire (ce n’est pas des prérequis juste ma configuration) :
– 1 domaine Active Directory appelé msreport.intra avec 20 contrôleurs de domaine Windows 2008 R2 appelés DCA, DCB, DCC…
– DCA héberge les 5 rôles FSMO.
– Tous les contrôleurs de domaine sont Catalogue Global et serveur DNS.
– Tous les contrôleurs de domaine sont des machines virtuelles VMware ESX 5.1.
– Le contrôleur de domaine DCB est sauvegardée avec Windows Server Backup sur un disque dédié une fois par jour (disque de 80 Go).
– NTFRS est le moteur de réplication pour le répertoire SYSVOL (on a pas encore basculé en DFS-R).
– Le domaine est en mode natif 2008 R2
– DCB se trouve dans le site avec ID 0 (résultat commande NTDSUTIL List sites).

La procédure ci-dessous présente comment effectuer la procédure Forest Recovery dans un environnement de qualification (cohabitation avec l’environnement de production).
Seul le contrôleur de domaine DCB est restauré dans ce scénario. Les autres contrôleurs de domaine sont réinstallés via l’assistant DCPROMO (ajout d’un contrôleur de domaine supplémentaire).

Etape 1 : préparation de l’environnement :

Cas 1 : test d’un PRA :
Si vous testez la procédure de PRA sur un environnement de qualification, la première étape est de créer un vSwitch PRA-ISOLE (VM port group).
Ce vSwitch ne doit pas être lié à une carte réseau physique (pas d’adaptateur).
Créer une machine virtuelle appelée DCB-PRA avec la même configuration matérielle que DCB :
– Taille de disque : 40 Go
– Contrôleur SAS : LSI Logic SAS
– 1 carte réseau : E1000
– Version de machine virtuelle : 8
– Configurer la carte réseau sur le VM Port group (vswitch) PRA-ISOLE

Cas 2 : application réelle d’un PRA Active Directory
Si vous souhaitez réellement effectuer une restauration dans le scénario Forest Recovery :
– Arrêter tous les contrôleurs de domaine ou au pire empêcher ces serveurs de communiquer sur le réseau définitivement (bloquer les ports réseaux sur le switch le temps de pouvoir les arrêter définitivement).
Si vous devez conserver les serveurs, faire un DCPROMO /forceremoval sur tous les contrôleurs de domaine sauf celui que vous restaurez (DCB).

Etape 2 : préparation de la restauration :
Déconnecter le disque de sauvegarde Windows Server Backup sur DCB.
Le connecter sur la machine DCB-PRA.
Sélectionner le choix Supprimer de la machine virtuelle sans supprimer le disque dur virtuelle (fichier VMDK).
Noter l’emplacement (datastore VMFS) du fichier VMDK.
Avec Windows 2008 R2 il est possible d’ajouter / supprimer à chaud des disques.

Etape 3 : restaurer la VM à l’aide de Windows Server Backup :
Démarrer sur le DVD d’installation de Windows 2008 R2 et choisir Repair your computer.
Sélectionner ensuite Restore your computer using a system image that you created earlier.
Sélectionner ensuite Select a system image.
Sélectionner ensuite le disque de sauvegarde Windows Server Backup.
Sélectionner la sauvegarde que vous souhaiterez restaurer.
Configurer la sauvegarde pour ne pas redémarrer le serveur automatiquement.
Cliquer sur Next plusieurs fois. Tout le contenu du disque de DCB-PRA est supprimée.
Une fois la restauration terminée, débrancher la carte réseau et redémarrer.

Remarque très importante :
Il est très fortement déconseiller de restaurer un contrôleur de domaine sur une période de temps supérieure à la TombstoneLifeTime (60 ou 180 jours par défaut selon le cas). Voir :
http://www.petri.co.il/changing_the_tombstone_lifetime_windows_ad.htm

Etape 4 : reconfiguration réseau :
Reconnecter la carte réseau et lui affecter une adresse IP dans une plage non routée du réseau de production. Cette action ne doit être effectuée que dans le cadre de la simulation du PRA.
En situation réelle, vérifier que la carte réseau a conservée l’adresse IP d’origine. La redéfinir si besoin.
Redémarrer le serveur.
A cette étape, si on essaie de lancer la console Utilisateurs et Ordinateurs Active Directory après redémarrage, on a ce message d’erreur.
Les informations de noms sont introuvables pour la raison suivante : le serveur n’est pas opérationnel….
Cela est dû au fait que le service DNS n’arrive pas à charger les zones DNS du domaine car l’annuaire Active Directory n’arrive pas à effectuer la synchronisation initiale avec les autres contrôleurs de domaine (procédure standard après une restauration).

Etape 5 : faire une restauration autoritaire de NTFRS :
Il faut obligatoirement faire une restauration autoritaire de NTFRS.
Arrêter le service NTFRS en entrant la commande suivante :
Net stop ntfrs
Modifier l’entrée de registre BurFlags (REG_DWORD) existante à D4 (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NtFrs\Parameters\Backup/Restore\Process at Startup).
Si le dossier c:\windows\sysvol\sysvol\nomdnsdomaine est vide, déplacer le contenu du dossier c:\windows\sysvol\sysvol\nomdomainedns\NTFRS_PreExistingXXX dans c:\windows\sysvol\sysvol\nomdomainedns.
Dans notre cas nomdomainedns est msreport.intra.
Taper la commande net start ntfrs.
Taper la commande net share et vérifier que les partages Netlogon et Sysvol existent.

Etape 6 : configurer l’entrée de registre Repl Perform Initial Synchronisations :
Créer l’entrée de registre Repl Perform Initial Synchronizations (REG_DWORD) à la valeur 0 dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Redémarrer ensuite le serveur.
Pour plus d’informations :
http://support.microsoft.com/kb/2001093/en-us

Etape 7 : supprimer les références de tous les contrôleurs de domaine sauf DCB dans l’annuaire :
Comme on fait une restauration de la partition de configuration ou du schéma, on ne peut pas restaurer les 19 autres contrôleurs de domaine. On est obligé de les supprimer manuellement.
L’exemple ci-dessous montre la procédure à appliquer pour les 19 contrôleurs de domaine qui ne sont pas restaurés.
Pour rappel ces 19 contrôleurs de domaine doivent avoir été arrêtés à l’étape 1. Si un seul contrôleur de domaine reste en ligne, les actions néfastes seront répliquées sur le DC restauré (DCB) et tout sera à refaire !
Pour supprimer DCA, entrer les commandes suivantes :
ntdsutil
metadata cleanup
connections
connect to server DCB
quit
Select operation target
List domains
select domain 0
List sites
Sélectionner le site où se trouve chaque contrôleur de domaine DCA (ID 0 dans notre cas)
select site 0
List servers in site
Sélectionner le contrôleur de domaine DCA. Dans notre cas celui avec l’ID 0.
Select server 0
quit
Remove selected server.
Confirmer la suppression de DCA.
Comme DCA avait les 5 rôles FSMO, ces derniers sont transférés sur DCB. Accepter le transfert des rôles.
Faire cette procédure pour tous les autres contrôleurs de domaine sauf DCB.

Etape 8 : finalisation de la restauration :
Lancer la console Active Directory Sites et Services et supprimer les objets correspondants aux anciens contrôleurs de domaine.
Lancer la console DNS et supprimer les entrée NS correspondant aux anciens contrôleurs de domaine non restaurés dans les zones DNS.

En cas de compromission de la sécurité :
Les actions suivantes doivent être effectuées en cas de compromission de la sécurité de l’annuaire par un tiers. La simple restauration à l’état initial permet un retour au bon fonctionnement de l’annuaire mais ne protègera pas contre une nouvelle attaque. Pour se protéger il faut effectuer les actions suivantes :
– Réinitialiser le mot de passe de compte de chaque contrôleur de domaine 2 fois.
– Réinitialiser tous les mots des comptes membres des groupes Admins du domaine, Administrateurs, Opérateurs de sauvegarde, Opérateurs d’impression.
– Réinitialiser le mot de passe du compte KRBTG deux fois.
– Réinitialiser deux fois les mots de passe des relations d’approbation.
Pour plus d’informations :
http://technet.microsoft.com/fr-fr/library/cc757662(v=ws.10).aspx

La procédure indique aussi de régénérer le catalogue globale. Si vous effectuez cette procédure pour un domaine unique dans une forêt, cela ne me semble pas nécessaire.

Etape 9 : retour à un fonctionnement standard :
Réinstaller tous vos contrôleurs de domaine et les ajouter en tant que contrôleurs de domaine supplémentaires via l’assistant DCPROMO pour le domaine msreport.intra.
Transférer les rôles FSMO sur DCA et configurer ce serveur pour se synchroniser avec une source de temps externe.

Conclusion:
Cette procédure de PRA devrait être testée tous les 6 mois !
Eviter de restaurer trop loin dans le passé (idéalement quelques jours au plus). Vous pouvez avoir des problèmes avec les mots de passe de compte ordinateur sur les machines membres dans le cas contraire.

MAJ 29/12/2014 :
Le scénario Forest Recovery présenté dans cet article s’applique plus au scénario “Corruption du schéma / partition de configuration”.
Si votre annuaire a été compromis au niveau de sa sécurité, vous devez aussi exécuter un Forest Recovery et appliquer cette fois ci toutes les recommandations de Microsoft de sécurité comme :
– La réinitialisation des mots de passe des comptes ordinateurs (un nombre de fois = historique des mots de passe + 1)
– La réinitialisation du mot de passe du compte krbtgt (un nombre de fois = historique des mots de passe + 1). Si ce compte est compromis, tout le protocole d’authentification Kerberos est compromis.
– La réinitialisation des mots de passe  des comptes d’administration.
– La réinitialisation des mots de passe des Relation d’approbation.

A+

Guillaume MATHIEU
Consultant Proservia
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Active Directory, Annuaire, Système, Troubleshouting, Windows Server 2008 R2 | Marqué avec , , , | Un commentaire

Complément d’informations sur les stratégies de groupe –> le cache des stratégies de groupe sur les machines Windows XP et Windows 7

Publié le 11 octobre 2013 par Guillaume Mathieu

Bonjour

Objectif :
Déterminer comment s’applique les stratégies de groupe sur une machine Windows XP / Windows 7.

Scénario 1 :
Se connecter sur un contrôleur de domaine (Windows 2008 R2 dans l’exemple).
Créer une OU appelée Msreport-Computers. Joindre une machine Windows 7 appelée Melanie-computers dans le domaine et déplacer le compte ordinateur de cette machine dans cette OU.
Créer la GPO Msreport-Computers. Aller dans Computer configuration | Policies | Windows Settings | Security Settings | Windows Firewall with advanced Security. Configurer la GPO pour activer le pare feu sur les 3 profils. Bloquer les connexions entrantes et autoriser les connexions sortantes (paramètres par défaut).
Sur la machine Melanie-Computers, lancer cmd.exe puis entrer la commande gpupdate /force.
Aller dans le Control Pannel | cliquer sur View by Small icons. Cliquer sur Administrative Tools | Windows firewall with advanced settings. La console se lance et affiche que le pare feu est configuré à l’aide des stratégies de groupe.
Maintenant qu’on a reproduit l’environnement, on va essayer de supprimer cette GPO depuis la base de registre de la machine Melanie-Computers
Editer l’entrée de registre EnableFirewall (REG_DWORD) et lui définir comme valeur 0 (au lieu de la valeur 1) au niveau de la clé  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\Domain Profile.
Le pare feu est maintenant désactivé.
Redémarrer ensuite la machine ou relancer le service Windows Firewall.
Aller dans le Control Pannel | cliquer sur View by Small icons. Cliquer sur Administrative Tools | Windows firewall with advanced settings. La console se lance et affiche que le pare feu est configuré à l’aide des stratégies de groupe.
Si on entre la commande gpupdate /force de nouveau, les anciens paramètres de la GPO s’appliquent de nouveau. Le pare feu sera actif de nouveau.
Editer de nouveau l’entrée de registre EnableFirewall (REG_DWORD) et lui définir comme valeur 0 au niveau de la clé HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\Domain Profile. Le pare feu est maintenant désactivé.
Aller dans les propriétés (onglet Sécurité) de la clé HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall.
Cliquer sur Advanced . Sélectionner le compte System et cliquer sur Edit.
Interdire les droits suivants pour ce compte:
– Set Value
– Create subkeys
– Delete
– Write owner
– Read control.
Lorsque l’on fait un gpupdate /force on a maintenant un message d’erreur qui indique que l’application des stratégies de groupe a échoué : The processing of Group Policy failed because of an internal system error
Tous les paramètres du pare feu dans HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall sont supprimés. C’est en effet le compte SYSTEM qui applique les GPO de type Configuration Ordinateur.
Le service Windows Firewall n’est pas impacté car il s’exécute avec le compte Local service et non le compte SYSTEM.
Il ne faut pas interdire contrôle totale (inclue lecture) au compte SYSTEM sur les clés de registre. Cela pourrait bloquer le démarrage de certains services qui utilise le compte SYSTEM pour exécuter le service !
On constate que le pare feu continue à fonctionner et que l’on peut le configurer manuellement via la console Windows Firewall with Advanced Features. Cela est du au fait que le pare feu dispose de ses propres fichiers / entrées de registre de configuration.
Les valeurs de registre dans HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall sont la manière de configurer le pare feu via les GPO. Cette configuration est prioritaire sur la configuration standard du pare feu (via la console).

Explication :
En fait les GPO modifie pas en règle générale directement la configuration des applications.
Elles utilisent toujours un second emplacement de configuration prioritaire par rapport à la configuration standard (manuelle) de l’application. Les principaux emplacements de configuration via les stratégies de groupes se trouvent dans :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\ CurrentVersion\Policies
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy
HKEY_CURRENT_USER\SOFTWARE\Policies

On notera aussi que pour faire ce changement je dois être administrateur local de la machine. La morale est donc que lorsqu’on est administrateur local, on peut toujours arriver à outrepasser les GPO.

Pour plus d’informations :
http://support.microsoft.com/kb/201453/en-us
http://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx

Scénario 2 :
Créer une OU appelée Msreport-Users. Créer un compte utilisateur appelé melanie.mathieu.
Créer un objet de GPO appelé Msreport-Users et le lier à l’OU Msreport-users.
Editer la GPO et définir le paramètre Prohibit access to the Control Pannel dans User Configuration | Administrative Tools | Control Panel. Mettre cette GPO à la valeur Enabled.
Cela crée l’entrée de registre NoControlPanel (REG_DWORD) à la valeur 1 dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.
Au niveau des droits d’accès sur cette clé Explorer, on remarquera que le compte melanie.mathieu ne dispose que du droit de lire (le compte system et le groupe administrateurs disposent du contrôle totale) et que le compte SYSTEM est propriétaire de l’entrée. Il faut donc être administrateur de la machine pour modifier cette clé et bloquer l’application de cette GPO à l’aide de la solution vue dans le scénario 1.

Problème d’application des GPO :
Parfois l’erreur suivant apparaît sur des machines Windows (exemple avec Windows XP) :
Type de l’événement :    Erreur
Source de l’événement : Userenv
Catégorie de l’événement :         Aucun
ID de l’événement :        1047
Date :               11/09/2013
Heure :             11:38:40
Utilisateur :       AUTORITE NT\SYSTEM
Ordinateur :       MSREPORTO05
Description :
Windows ne peut pas lire l’historique des objets de paramètre de groupe à partir du Registre. Le traitement de la stratégie de groupe continue.
Pour plus d’informations, consultez le centre Aide et support à l’adresse http://go.microsoft.com/fwlink/events.asp.

Ces justement lié au cache des GPO qui s’applique mal.
Il faut alors supprimer ce cache comme vu précédemment.
Ce problème se produit si on a déployé des stations de travail à partir d’un modèle qui n’était pas en groupe de travail ou qui avait encore des restes du cache des stratégies de groupe (machine intégrée dans le domaine puis repassée en groupe de travail pour la capture de l’image).

A+

Guillaume MATHIEU
Consultant Proservia
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Active Directory, Annuaire, GPO, Registre, Sécurité, Système, Troubleshouting, Windows 2000 Pro, Windows 2000 Server, Windows 2003 Server, Windows 2012, Windows Server 2008, Windows Server 2008 R2, Windows Seven, Windows Vista, Windows XP | Marqué avec , , | Laisser un commentaire

Configurer Internet Explorer 10 via les stratégies de groupe -> pas simple !

Publié le 11 octobre 2013 par Guillaume Mathieu

Bonjour

Objectif :
– Configurer Internet Explorer 10 via les stratégies de groupe.

Description du problème :
Si on essaie de configurer Internet Explorer via la console GPMC depuis une machine Windows 2008 R2 :
– On a la possibilité de configurer Internet Explorer via User Configuration | Windows Settings | Internet Explorer maintenance mode. Cependant cela ne fonctionne plus à partir d’Internet Explorer 10.
– On a aussi la possibilité d’utiliser le module des GPO de préférences dans User Configuration | Preferences | Control Panel Settings | Internet Settings. Cependant quand on ne peut créer un profil que pour Internet Explorer 5, 6, 7, 8. Il y a une astuce pour prendre en charge Internet Explorer 9 en modifiant manuellement les fichiers de la GPO dans SYSVOL mais je la déconseille.

Solution :
Pour configurer Internet Explorer 10 via la stratégies de groupe, la solution la plus solution simple est de déployer un serveur Windows 2012.
– On constate alors que le module Internet Explorer Maintenance Mode n’existe plus. En effet ce dernier est déprécié.
– On peut maintenant utiliser le module GPO de préférence dans User Configuration | Preferences | Control Panel Settings | Internet Settings. En effet on peut avec Windows 2012 configurer Internet Explorer 9 et 10 aussi.
Attention comme expliqué dans l’article ci dessous, les paramètres Internet Explorer doivent être configurées pour s’appliquer en appuyant sur F5 ou F6. Par défaut cela ne s’applique pas ! Le module Paramètres Internet peut en effet être configuré pour toujours écrasés la configuration du navigateur ou seulement l’écraser la première fois.
http://blogs.technet.com/b/grouppolicy/archive/2008/10/13/red-green-gp-preferences-doesn-t-work-even-though-the-policy-applied-and-after-gpupdate-force.aspx,

Pour rappel, le client GPO de préférences est inclus de base sur les machines Windows Seven. Ce n’est pas le cas pour les machines Windows XP. Pour télécharger ce client, voir :
http://www.microsoft.com/fr-fr/download/details.aspx?id=3628

Si vous utilisez Internet Explorer 8 ou 9 (Windows XP) et Internet Explorer 10 (Windows 7), je vous invite à cérer deux GPO et à faire un filtre WMI sur la version de l’OS.
– Utiliser alors le module des GPO de préférences pour configurer Internet Explorer 10 sur les machines Windows 7.
– Utiliser Internet Explorer Maintenance Mode pour les machines Windows XP si ces dernières n’ont pas le module client pour les GPO de préférences.

Pour plus d’informations :
http://blogs.technet.com/b/grouppolicy/archive/2008/10/13/red-green-gp-preferences-doesn-t-work-even-though-the-policy-applied-and-after-gpupdate-force.aspx
http://technet.microsoft.com/en-us/library/jj890998.aspx
http://technet.microsoft.com/en-us/library/jj890998.aspx
http://www.grouppolicy.biz/2011/03/how-to-enable-group-policy-preferences-support-for-ie9/
http://4sysops.com/archives/internet-explorer-10-administration-part-3-group-policy-preferences/
http://4sysops.com/archives/internet-explorer-10-administration-part-3-group-policy-preferences/
http://4sysops.com/archives/internet-explorer-10-administration-part-3-group-policy-preferences/
http://support.microsoft.com/kb/2530309

A+
Guillaume MATHIEU
Proservia
06.37.20.23.20

Publié dans Active Directory, Annuaire, Internet Explorer, Système, Windows 2012, Windows Server 2008 R2 | Marqué avec , | Laisser un commentaire

Nouveau support de cours Windows 2012 disponible gratuitement!

Publié le 6 octobre 2013 par Guillaume Mathieu

Salut à tous

Je viens de terminer mon support de cours Windows 2012.
C’est une première version qui va s’enrichir progressivement.

1. Présentation de Windows 2012 :
– Vue d’ensemble des nouveautés.
– La nouvelle politique de licences.
2. Installation de Windows 2012:
– Prérequis, mode d’installation
3. Les outils d’administration :
– Le Server Manager
– PowerShell V3
4. Le rôle Active Directory Domain Services :
– Les nouveautés du service d’annuaire
5. Les services réseaux DNS, WINS et DHCP :
– Le nouveau système de réplication du service DHCP
6. La sauvegarde / restauration sous Windows 2012 :
– Vue d’ensemble de Windows Server Backup

Pour télécharger le support de cours, cliquer sur le lien ci dessous :
http://msreport.free.fr/articles/Windows-2012-v1.pdf

A+

Guillaume MATHIEU
Consultant Proservia
La connaissance s’accroît quand on la partage
http://msreport.free.fr

Publié dans Active Directory, Annuaire, Hyper-V, PowerShell, Scripts, Système, Virtualisation, Windows 2012 | 2 commentaires