Archives de catégorie : WINDOWS

Tous ce que j’ai pu faire ou découvrir sous Windows. Je vais essayer de vous expliquer çà.

WINDOWS

Requêtes Active Directory en vrac

En ligne de commande

 

Connaitre les groupes dont fait parti un utilisateur

dsquery user -samid [username] | dsget user -memberof -expand | dsget group -samid -secgrp

La commande sort la liste des noms des groupes (-samid) recherchée de manière récursive (-expand) dont fait partie l’utilisateur (-memberof). Les groupes de sécurité et de distribution sont dissociés (-secgrp).

Connaitre les utilisateurs d’un groupe

dsget group "CN=Group,OU=Test,DC=Contoso,DC=local" -members -expand

Afficher les comptes désactivés

dsquery user domainroot -disabled -limit 0

Connaitre les groupes de sécurité et de distribution

dsquery group | dsget group -scope -samid -secgrp

Les groupes de sécurité ont la sécurité à « yes » et les groupes de distribution à « no ».

Requêtes LDAP

Je créer des requêtes sauvegardée afin de pouvoir les réutiliser à volonté.
Quelques requêtes LDAP qui m’ont servies:

Afficher les comptes verrouillés

(&(&(objectCategory=Person)(objectClass=User)(lockoutTime>=1)))

Afficher les comptes actifs

(&(&(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))))

 

Supervision, WINDOWS

Supervision d’un hôte Windows avec WMI : Gestion des droits sous Windows

La supervision Par Nagios/Shinken d’hôtes Windows permet de surveiller la santé ou l’activité de points très précis du système, mais la mise en œuvre tien parfois de la véritable gageure. Une des complications est la gestion des droits WMI sous Windows. En effet, si l’on veut mettre un peu de sécurité (ce qui est indispensable lorsque l’on intervient en entreprise), on évitera soigneusement d’utiliser un compte administrateur du serveur pour réaliser les requêtes WMI. Le problème étant qu’un compte standard (utilisateur simple) ne pourra pas, par défaut, effectuer les requêtes.

Continuer la lecture de Supervision d’un hôte Windows avec WMI : Gestion des droits sous Windows

WINDOWS, Windows XP

Désactiver la compression automatique des fichiers non utilisés

Lorsque l’on utilise le système de fichiers NTFS, l’OS compresse automatiquement les fichiers qui n’ont pas été utilisés depuis plus de XX jours. Vous pouvez modifier l’intervalle de temps à partir duquel Windows va compresser les fichiers non utilisés.

Cette fonction de compression est particulièrement intéressante si vous disposez d’un espace disque limité ou bien si votre partition ou votre volume est quasiment plein.

Cependant, si vous disposez de suffisamment d’espace disque sur votre machine ou bien si vous voulez gagner en performances, vous pouvez désactiver cette fonction:

  • Cliquez sur Démarrer, Exécuter
  • Saisir COMPACT /U /S /A /I /F C:\*.* (pour décompacter tous les fichiers compressés et désactiver la compression sur la partition ou le volume utilisant la lettre de lecteur C.)

source : laboratoire-microsoft

WINDOWS, Windows 2008 Server

Restreindre la capacité des utilisateurs à créer des ordinateurs sur Windows 2008 Server

 

Lorsqu’un compte d’ordinateur est prédéfini, les autorisations qui l’accompagnent déterminent qui est autorisé à joindre cet ordinateur au domaine. En l’absence de compte prédéfini, Windows autorisera tout utilisateur authentifier à créer un compte ordinateur dans le conteneur d’ordinateur par défaut. En fait, Windows lui permettra d’y créer jusqu’à 10 objets ordinateurs. Par défaut, le créateur d’un objet ordinateur a le droit de joindre l’ordinateur correspondant au domaine. C’est le mécanisme qui permet à n’importe quel utilisateur authentifier de joindre jusqu’à 10 ordinateurs au domaine sans aucune autorisation explicite.

Ce quota de 10 est configuré par l’attribut ms-DS-MachineAccountQuota du domaine. Cette situation est problématique du point de vue sécurité, parce que les ordinateurs sont des entités de sécurité et que le créateur d’une entité de sécurité a l’autorisation de gérer les propriétés de cet ordinateur. En un sens, le quota équivaut à autoriser n’importe quel utilisateur du domaine à créer 10 comptes sans aucun contrôle.

Il est vivement recommandé de fermer cette brèche afin de réserver aux administrateurs le droit de joindre des ordinateurs au domaine. Voici les étapes pour modifier l’attribut ms-DS-MachineAccountQuota d’un domaine:

WINDOWS, Windows XP

Windows Update plante (Windows XP)

Je viens de résoudre un petit problème, anodin en apparence, mais qui a failli faire « péter un plomb » à l’un de mes utilisateurs. L’application wuauclt.exe plantait constamment, générant un message d’erreur au premier plan qu’il fallait fermer une dixaine de fois avant de la voir revenir à la charge quelques minutes plus tard.  Plutôt handicapant pour la productivité.

Continuer la lecture de Windows Update plante (Windows XP)

Scripts, WINDOWS

Maper des lecteurs en fonction du réseau

Je me déplace pas mal avec mon portable (boulot, maison, amis, famille…), et j’en avais un peu marre de devoir entrer un chemin UNC, ou maper un lecteur réseau à la main chaque fois que je voulais accéder aux partages. Comme le bon Admin système et Réseau que je suis (synonyme : faignant), j’ai scripté. Je mets le script là pour ne pas l’oublier.

Bon, le portable est sous Windows XP (et oui, il sert pour le boulot… Et puis j’aime bien XP quand même). J’aurais pu scripter en VBS, mais le PowerShell, ça fait plus Geek (question de style).

Continuer la lecture de Maper des lecteurs en fonction du réseau