Vous touchez presque au but ! il vous reste … 1 clic ! mais … lors de l’installation de System Center 2012 Configuration manager, vous rencontrez un message d’erreur vous indiquant que le partage administratif du lecteur sur lequel vous tentez d’installer SCCM n’existe pas.

Lire la suite

Retrouvez dans cet article un court descriptif de SCUP 2011 ainsi que les sources d’installation !

Cet article vous aidera à mettre en oeuvre le catalogue SCUP mis a votre disposition sur ce blog !

Lire la suite

La remontée d’informations d’inventaire concernant Bitlocker n’est pas disponible par défaut sur SCCM 2007, afin de permettre cette remontée d’informations, il est nécessaire de procéder à une extension de l’inventaire SCCM.

Je vous passe les détails techniques concernant les extensions d’inventaires sous System Center Configuration Manager 2007, vous trouverez toutes les informations nécessaires sur Technet.

Vous avez System Center Configuration Manager 2007 et vous utilisez déjà l’inventaire matériel ? Voyons ensemble comment intégrer le statut Bitlocker de vos postes de travail à vos rapport SCCM grâce à une extension de l’inventaire matériel.

Première étape: mise à jour des fichiers de configuration d’inventaire !

Les fichiers SMS_DEF.MOF et CONFIGURATION.MOF disponibles à l’emplacement suivant : %SCCMinstallpath%\inboxes\clifiles.src\hinv\ doivent être complétés afin d’intégrer les nouveaux éléments d’inventaire à remonter.

Voici le contenu à ajouter à ces fichiers

SMS_DEF.MOF

[ SMS_Report (TRUE), 
SMS_Group_Name ("Bitlocker"), 
SMS_Class_ID ("MICROSOFT|Bitlocker|1.0")]
class Bitlocker : SMS_Class_Template 
{ 
[SMS_Report(TRUE), key] 
string DeviceID; 
[SMS_Report(TRUE)] 
string DriveLetter; 
[SMS_Report(TRUE)] 
uint32 ProtectionStatus; 
};

CONFIGURATION.MOF
#Pas de retour à la ligne entre la ligne 2 et 3#

#pragma namespace("\\\\.\\root\\cimv2")
[Union,ViewSources{"select * from Win32_EncryptableVolume"}
,ViewSpaces{"\\\\.\\root\\cimv2\\ security\\MicrosoftVolumeEncryption"}, 
Dynamic,Provider("MS_VIEW_INSTANCE_PROVIDER")] 
class Bitlocker 
{ 
    [PropertySources{"DeviceID"},key] 
    string DeviceID; 
    [PropertySources{"DriveLetter"}] 
    string DriveLetter; 
    [PropertySources{"ProtectionStatus"}] 
    uint32 ProtectionStatus; 
};

SCCM intègre l’outil “mofcomp” qui permettra de vérifier et de compiler les nouveaux fichiers MOF. Avant tout, je vous invite à lancer la commande suivante pour valider le SMS_DEF.MOF :

mofcomp.exe -check SMS_DEF.MOF. 

et enfin utilisez la commande suivante pour compiler le SMS_DEF.MOF :

mofcomp -class:forceupdate %pathtofile%\SMS_DEF.MOF

Les clients remonteront ensuite les informations lors du prochain inventaire matériel. Une fois que les informations “étendues” seront remontées en base de données, celles-ci pourront être visualisables via des rapports personnalisés. Vous pourrez également afficher ces informations dans l’explorateur de ressources pour les clients.

Retrouvez ci-dessous un exemple de requête qui vous permettra de générer un nouveau rapport

select sys.Name0, BL.DriveLetter0, BL.ProtectionStatus0 from v_GS_BitLocker BL Join v_r_system sys on sys.ResourceID = BL.ResourceID

Notons que le nom de la table utilisé dans la requête correspond au nom de la classe déclarée dans les MOF et que les noms des colonnes correspondent également aux déclarations effectuées dans les MOF.

Et enfin pour terminer, la liste des attributs remontés dans l’exemple ci-dessus n’est pas exhaustive mais porte sur les attributs les plus intéressants qu’il est possible d’inventorier concernant Bitlocker. Vous pouvez donc remonter beaucoup plus d’informations concernant Bitlocker ! Pour les trouver ? Regardez les détails de la classe WMI correspondante.

Maintenant vous êtes prêt à interroger et à générer des rapports Bitlocker à partir d’informations remontées par vos clients.

Il est parfois nécessaire de remplacer la clé d’activation Windows, par exemple dans le cadre de l’utilisation de clés temporaires.

Pour réactiver Windows avec une nouvelle clé, rien de complexe. Ouvrez une invite de commande en tant qu’administrateur et saisissez les deux commandes suivantes :

• slmgr -ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx

  Afin de saisir la nouvelle clé

Puis


• slmgr -ato

  Afin d’activer Windows.

Windows 8, Windows 8 Pro et Windows 8 RT seront donc les 3 éditions “Grand Public” disponibles sous Windows 8. Windows 8 and Windows 8 Pro seront destinées aux systèmes x86 et x64, Windows 8 RT quant à lui sera uniquement disponible sur les PC Préinstallés et les tablettes ARM.

En plus de ces 3 versions, une version dédiée aux entreprises sera présente sous le nom de « Windows 8 Enterprise »

Cette édition inclura toutes les fonctionnalités de la version “Pro” auxquelles viendront se greffer des fonctionnalités dédiées aux entreprises comme c’est déjà le cas pour Windows 7.

Le Blog de la “Team Windows 8” annonce également la mise à disposition d’une version « Localisée» disponible uniquement pour la chine et certains pays émergeants.

Comme indiqué plus haut, “Windows 8 RT” pourra s’exécuter uniquement sur les PC et tablettes à base de processeurs ARM processors. Cette édition ne pourra donc pas être installée sur les plateformes x64 et x86. Les fonctionalités suivantes ne seront pas disponibles sur cette édition : Storage Spaces, Windows Media Player, Remote Desktop, Group Policy, Encrypting File System, Domain Join, Client Hyper-V, Boot from VHD, BitLocker et BitLocker To Go.

Prenez connaissances des fonctionnalités de chaque version listée dans le tableau ci-dessous :

Un de vos disques commence à montrer certains signes de fatigue ? Vous souhaitez peut être remplacer celui-ci pour un plus volumineux ? Plus rapide ? Très bien ! … mais qui dit remplacement de disque… dit bien souvent réinstallation du système, des pilotes, des applications, …

Une solution ? “Cloner” le disque existant vers le nouveau disque ! Pour cela, plusieurs solutions existent, celle que je vous propose est simple, rapide et gratuite ! ROBOCOPY !

Pour cloner votre partition système (ou données) sur votre nouveau disque procédez ainsi :

1. Lancer une invite de commande

• Insérez votre DVD de Windows 7.


• Redémarrez votre PC, et appuyez sur une touche dès que le système vous y invite.


• Attendez jusqu’à la fin du chargement, puis cliquez sur “Suivant” > “Installer Windows”.


• Quand la fenêtre pour introduire la clé Windows s’affiche, appuyez simultanément sur SHIFT et F10, l’invite de commandes va s’ouvrir.

2. Formater et initialiser le disque “Destination”

• Via l’invite de commande, lancez l’utilitaire Diskpart


• Exécutez ensuite les commandes suivantes :



• List Disk

  (afin de lister les disques connectés)




• Select Disk 1

  (afin de sélectionner le deuxième disque, ici l’ID du disque est 1)




• Clean

  (afin de supprimer toutes partitions existantes sur le disque)




• Create Partition Primary Size=50000  

  (afin de créer une partition de 50Go)




• Assign Letter=F 

  (afin d’assigner une lettre non utilisée)




• Format fs=ntfs Quick

  (afin de formater la partition)




• Active

  (afin de rendre la partition bootable)



• Ne fermez pas diskpart

3. Cloner la partition Système

• sous diskpart exécutez

  List vol

  (afin d’identifier les lettres des partitions “source” et “destination”)



• Fermez Diskpart en saisissant “Exit”


• Exécutez ensuite

  ROBOCOPY X:\ Y:\ /e /efsraw /copyall /dcopy:t /r:0

  (X et Y représentent les lettres des partitions source et destination).

Arrêtez ensuite votre machine, déconnectez l’ancien disque, puis Redémarrez.

4. Corrigez le Boot

Ré exécutez les actions déjà présentées ci-dessus afin d’ouvrir une invite de commande, puis exécutez à nouveau Diskpart

• Exécutez ensuite les commandes suivantes :



• List Vol

  (afin de lister les volumes montés, cette action vous permettra de localiser la lettre du lecteur DVD)



• Exécutez ensuite

  E:\boot\bootsect /nt60 SYS /mbr

  (Le secteur de démarage sera réinitialisé).

Redémarrez la machine et le système démarrera sur ce nouveau disque !

En cas de problèmes, l’utilisation de l’utilitaire de réparation du système présent sur le DVD de Windows pourra corriger l’incident de démarrage que vous pourriez rencontrer.

Nous l’avons vu dans un article précédent (article visionné de très, très, trop, nombreuses fois..), il est possible et extrêmement simple de changer / cracker un mot de passe sous Windows.

Dans la plupart des cas, l’idée n’est pas “cracker ” le mot de passe afin de découvrir celui utilisé par le système, “dans la plupart des cas”, l’idée est simplement de changer le mot de passe, peu importe quel était l’ancien. Pour cela, il est bon de préciser que la méthode recommandée passe par l’utilisation de Microsoft Diagnostics and Recovery Toolset (DaRT).

Afin de “contrer” la méthode décrite dans mon précédent article, méthode qui n’est qu’une parmi les nombreuses existantes, des solutions existent :

• L’implémentation d’un mot de passe BIOS : “Bien mais pas top” (contournement facile : enlevez la pile ;-) )
• L’implémentation de Bitlocker : très bien, mais “risqué” si non maitrisé.
• et enfin : Syskey ! Syskey nous permettra de sécuriser la base des mots de passes Windows : La base SAM.

L’exécution de syskey est simple : démarrer / exécuter / “Syskey”.

Vous voyez que par défaut la sécurisation de la base SAM est activée; cependant celle-ci reste accessible sans trop de contrôle : il est donc possible de modifier celle-ci sans authentification préalable.

La solution est donc de procéder à un “Update” de la configuration en sélectionnant une des options ci-dessous :

• 1er choix : préciser un mot de passe qui vous sera demandé au démarrage
• 2nd choix : utilisez une disquette (pardon …) de démarrage, celle-ci hébergera la clé de chiffrement et devra être insérée au démarrage du poste.
• 3ème choix : laissez faire le système ! Ce qui est déjà le cas par défaut …

Ce court article nous fait découvrir une chose : rien de “souple” ne permet de sécuriser simplement la base SAM… La solution que je préconise comme beaucoup, réside en l’utilisation de Bitlocker afin de chiffrer le disque… la solution de chiffrement bitlocker + PIN vous permettra de verrouiller de façon relativement fiable l’accès au système.

Microsoft nous propose une KB à ce sujet : http://support.microsoft.com/kb/310105/fr

Comme ce fut le cas pour les précédentes versions de Windows Server, les “Understand And Troublesoot Guides” pour Windows Server 8 “Beta” ont étés mis à notre disposition !

Lire la suite

L’implémentation d’un serveur DHCP Microsoft en environnement Active Directory nécessite l’autorisation de ce dernier. Le mécanisme d’autorisation des serveurs DHCP se base sur un jeu de classes Active Directory et apporte des fonctionnalités telles que :

• l’implémentation d’une liste d’adresses IP disponibles pour tous les ordinateurs que vous autorisez à fonctionner comme serveurs DHCP sur votre réseau ;


• la détection des serveurs DHCP non autorisés avec verrouillage de leur démarrage ou de leur exécution sur votre réseau.

Il est dans certains cas nécessaire d’implémenter un serveur DHCP de test sans pouvoir (ou vouloir) autoriser celui-ci. Vous rencontrerez ce cas si vous implémentez un serveur DHCP de test sans avoir les autorisations Active Directory nécessaires. Dans ce cas, votre serveur DHCP non autorisé ne délivrera aucun bail à vos clients.

Afin de passer outre cette interdiction, une méthode relativement simple existe : Bypasser la vérification d’autorisation au démarrage du serveur.

La solution : Une clé registre !

Créez la clé suivante :
Path : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Name: DisableRogueDetection
Type: REG_DWORD
Data: 0×1

Redémarrez ensuite le serveur (redémarrer le service ne suffit pas), et le tour est joué !

Par défaut, les fichiers d’installation des rôles System Center Configuration Manager 2007 sont installés sur le premier disque NTFS disponible.

Cependant, dans certains cas, certains fichiers ne sont pas placés dans le dossier d’installation défini.

Quelques exemples:

– Le dossier SMS_CCM (Si la machine fait office de Management Point)
– Les dossiers Inetpub\wwwroot\SMSComponent et Inetpub\wwwroot\SMSReporting_sitecode (Si la machine fait office de Reporting Point
– Le dossier %Windir%\System32.
– …

Vous conviendrez que ce type d’éparpillement de fichiers et dossier d’installation est relativement «sale» et pourrait induire des incidents liés à une suppression accidentelle de ces fichiers…

Le fait de placer un fichier vide nommé : no_sms_on_drive.sms à la racine des partitions que vous souhaitez conserver vide de tout fichier de configuration SCCM vous fera parvenir a vos fins.

Bonne nouvelle : Cette solution fonctionne également pour SCCM 2012 !