Réinitialiser un compte machine sur un domaine Active Directory

Les machines inscrites sur un domaine Active Directory ont un mot de passe lié à elles, qui est renouvelé régulièrement (par défaut tous les 30 jours) de manière totalement transparente.
Lorsqu’on travaille sur des clichés de machines pour faire des tests (par exemple un serveur virtuel dont une copie est créée pour faire un test unitaire), il peut arriver que le mot de passe de la machine d’origine ait été réinitialisé depuis la prise du cliché utilisé pour créer la copie. Celle-ci n’étant plus en phase avec ce qui est stocké sur l’annuaire Active Directory, impossible d’ouvrir une session avec un utilisateur du domaine sur la machine copie.
Continuer la lecture de Réinitialiser un compte machine sur un domaine Active Directory

Enregistrer un certificat d’une AC Windows dans un Synology

Pour pouvoir utiliser, dans un environnement de domaine Windows, un certificat généré depuis l’autorité de certification du domaine, il faut plusieurs brique.

D’une part, un accès au serveur faisant office d’autorité de certification de racine pour le domaine.

D’autre part, il faut avoir le logiciel openssl (dans mon cas, je l’ai récupéré ici, il n’y a pas d’installation… Je n’ai pas besoins des sources ici.) sur son poste local afin de travailler les certificats générés par l’AC Windows et les rendre compatibles avec les Synology.
Continuer la lecture de Enregistrer un certificat d’une AC Windows dans un Synology

Filtres sur des GPO

Une des nouveauté (pour moi) que j’ai découvert récemment, porte sur les GPO.

En très gros, ça permet d’appliquer des paramètres à des groupes d’ordinateurs dans un domaine active directory, de manière centralisée et automatique. Joie.

En soit, c’est déjà puissant, ça permet de gagner un temps fou et de pas se poser la question de savoir si tel ou tel poste à subit une modif. Bref.

Quand on en même en place, il faut tout de même pouvoir filtrer sur quels ordis ou groupes d’ordis on veut qu’une gpo s’applique. Je vais passer pour le moment le principe des OU, et parler de deux possibilités pour filtrer : les filtres WMI et les exclusions d’ordis (ou groupes).

Premièrement donc, les filtre WMI (info choppée ici…)

Le filtre suivant permet donc de n’appliquer la GPO que pour les ordinateurs sous Windows XP (qu’importe de service pack) :

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "5.1%" and ProductType = "1"

La totalité des colonnes possibles et leurs significations peuvent être retrouvées ici.
On voit ainsi que ProductType peut prendre les valeurs suivantes :

Value Meaning
1
Work Station
2
Domain Controller
3
Server

Ici, le filtre s’occupe donc que des workstations (en même temps, tant mieux, il n’y a que ça en NT 5.1, Windows Serveur 2003 est NT 5.2…).

J’ai eu le cas à gérer où on avait des variables d’environnement qui dépendaient de l’OS, spécifiquement la variable contenant le dossier « all users », afin de déposer un fichier sur le bureau de toutes les session de chaque ordinateurs.

Ce dossier est remplacé par le dossier « public » en Windows 6.x (vista, seven, eight, et les pendants serveur), donc les variables d’environnement sont pas les mêmes. Bref, c’est pas le sujet de l’article…

Donc j’ai mis en place 2 gpo distinctes ciblant soit les Windows NT 5.x, soit les Windows NT 6.x, avec donc les filtres WMI suivants :

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "5.%"
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.%"

Pour continuer, on peut exclure un ordinateur spécifique d’une GPO. Pour cela voir ici.

Il y a aussi un truc bien tordu, les loopback policies, voir ici (commantaire d’alank surtout), et ici.

A noter, certaines GPO ne sont pas fonctionnelles sur des ordinateurs qui n’ont pas un certain patch, je pense au GPO concernant les imprimantes ou les fichiers (le cas que j’avais à traiter).

Il faut vérifier et si le patch est absent, l’installer. Il s’agit du patch KB943729