L’Active Directory pour débutants

L’Active Directory, c’est quoi ? 

L’Active Directory est un annuaire référençant les personnes (nom, prénom, numéro de téléphone, …) mais également toute sorte d’objet (serveurs, imprimantes, …).

Il permet de recenser toutes les informations concernant le réseau, que ce soient les utilisateurs, les machines ou les applications. Il constitue ainsi le noyau central de toute l’architecture réseau et a pour vocation de permettre à un utilisateur de retrouver et d’accéder à n’importe quelle ressource identifiée par ce service. 

Active Directory est donc un outil destiné aux utilisateurs mais constitue également un outil d’administration et de gestion du réseau. Il fournit des outils permettant de gérer la répartition de l’annuaire sur le réseau, sa duplication, la sécurisation et le partitionnement de l’annuaire de l’entreprise.

La structure d’Active Directory lui permet de gérer de façon centralisée des réseaux pouvant aller de quelques ordinateurs à des réseaux d’entreprises répartis sur de multiples sites.

Préparatif

Un laboratoire vaut mieux qu’un long discours. Nous allons en apprendre d’avantage en nous amusant.

Vous aurez besoin d’une machine Windows Server 2008 R2 ainsi que d’une machine cliente (ici un Windows Seven).

Le serveur aura 2 cartes réseaux, une vers Internet et l’autre vers le réseau local.
Celle vers Internet sera en DHCP (chez moi 192.168.1.X) et celle concernant le réseau local sera en statique (10.1.X.X,  X = 1 donc l’adresse du serveur 2008 sera 10.1.1.1/24).

Le domaine sera Namurdomain.be.

Installation/MAJ : iTunes par GPO

Itunes :

Télécharger la version 32 bits ou 64 bits du logiciel iTunes (dans ce cas-ci la version 32 bits): http://www.apple.com/fr/itunes/download/

Lorsque le téléchargement est terminé, il faut extraire l’archive en utilisant par exemple 7zip.

Le fichier SetupAdmin.exe ne nous sera d’aucune utilisé, on le supprime.
Ce qui nous laisse comme contenu du dossier (qui doit être accessible pour les utilisateurs via un dossier partagé par exemple) :

Contenu Archive

On peut aussi supprimer AppleSoftwareUpdate.msi.

On doit maintenant télécharger et installer Orca MSI Editor : http://www.technipages.com/download-orca-msi-editor.html

AppleApplicationSupport.msi ne nécessite aucune modification. On le laissera donc tel qu’il est.

On s’occupe alors du fichier iTunes.msi, il suffit simplement de drag and drop dans ORCA :

Orca

On se rend dans View puis Summary Information … et on supprime l’ensemble des Languages à l’exception du 1033.

Orca 2

On clique sur OK et on sauvegarde les changements. Ensuite, on se rend dans Transform puis New Transform, il faut changer :

  • Dans Component trouver iTunesDesktopShortcuts et modifier le paramètre Condition de cette manière : DESKTOP_SHORTCUTS= »0″
  • Property puis IAcceptLicense mettre la valeur à Yes
  • Property puis SCHEDULE_ASUW et mettre la valeur à 0
  • Dans Shortcut, supprimer la ligne AboutiTunes  (en faisant un clic droit)

On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom iTunes.mst.

On s’occupe maintenant du Bonjour.msi. Comme précédemment, on ne laisse que le 1033 et on fait un New Transform. On modifie :

  • Property puis IAcceptLicense, on met la valeur à Yes
  • LaunchCondition puis NOT BNEWERPRODUCTISINSTALLED, on supprime la ligne
  • Shortcut et on supprime toutes les lignes

On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom Bonjour.mst.

Au tour du fichier AppleMobileDeviceSupport.msi à être modifié. Même procédé qu’avant, il faut modifier :

  • Property puis IAcceptLicense, mettre la valeur à Yes
  • LaunchCondition puis NOT BNEWERPRODUCTISINSTALLED, il faut supprimer cette ligne

On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom AppleMobileDeviceSupport.mst.

On peut quitter Orca.

On s’occupe maintenant de la GPO. Comme pour Adobe : Computer Configuration –> Policies –> Software Settings –> Software Installation.

On ajoute comme Package, les différents .msi sans oublier les .mst correspondants.

Pour iTunes.msi, il faut sélectionner l’option suivante :

iTunes

Dans Computer Configuration à Preferences à Windows Settings à Registry, on va créer un nouveau Registry

Registry

– Hive: HKEY_LOCAL_MACHINE
– Key Path: SOFTWARE\Apple Computer, Inc.\iTunes\Parental Controls\Default
– Value name: AdminFlags (do not tick Default)
– Value type: REG_DWORD
– Value data: Please see the next step to work out your particular value.
– Base: Decimal

Tableau des valeurs : 

Item Value
kParentalFlags_Locked 1
kParentalFlags_DisablePodcasts 2
kParentalFlags_DisableMusicStore 4
kParentalFlags_DisableSharing 8
kParentalFlags_DisableExplicitContent 16
kParentalFlags_DisableRadio 32
kParentalFlags_RestrictMovieContent 64
kParentalFlags_RestrictTVShowContent 128
kParentalFlags_DisableCheckForUpdates 256
kParentalFlags_RestrictGames 512
kParentalFlags_DisableMiniStore 1024
kParentalFlags_DisableAutomaticDeviceSync 2048
kParentalFlags_DisableGetAlbumArtwork 4096
kParentalFlags_DisablePlugins 8192
kParentalFlags_DisableOpenStream 16384
kParentalFlags_DisableAppleTV 32768
kParentalFlags_DisableDeviceRegistration 65536
kParentalFlags_DisableDiagnostics 131072
kParentalFlags_AllowITunesUAccess 262144
kParentalFlags_RequireEncryptedBackups 524288
kParentalFlags_DisableHomeSharing 1048576
kParentalFlags_DisableCheckForAppUpdates 2097152
kParentalFlags_DisableCheckForDeviceUpdates 4194304
kParentalFlags_DisablePing 8388608
kParentalFlags_DisableFirstRunWelcomeWindow 16777216

Ce qui est utilisé ici :

  • kParentalFlags_Locked: You must include this or users will be able to override your settings.
  • kParentalFlags_DisableSharing
  • kParentalFlags_DisableExplicitContent
  • kParentalFlags_DisableHomeSharing
  • kParentalFlags_DisableCheckForAppUpdates
  • kParentalFlags_DisablePing
  • kParentalFlags_DisableFirstRunWelcomeWindow

Valeur :  1 + 8 +16 + 1048576 + 2097152 + 8388608 + 16777216 = 28311577.

QuickTimes

Après l’avoir téléchargé, on fait pareil pour QuickTimes.msi et on modifie:

  • Dans InstallExecuteSequence, on met PreventDowngrade à 0
  • Dans Properties, on ajoute DESKTOP_SHORTCUTS avec la valeur  0 et on change SCHEDULE_ASUW de 1 à 0

On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom QuickTimes.mst.

On place maintenant le .msi (avec le .mst) dans notre GPO.

Il faudra également ajouter un WMI Filter :

WMI Filter

Script pour fixer l’ordre d’installation des éléments :

Via une autre GPO, on va fixer l’exécution d’un script au démarrage de l’ordinateur (Computer Configuration à Policies à Windows Settings à Script à Startup).

Le script .bat :

@echo off

start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\AppleApplicationSupport.msi" /qn

start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\AppleMobileDeviceSupport.msi" TRANSFORMS="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\AppleMobileDeviceSupport.mst" /qn 

start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\Bonjour.msi" TRANSFORM="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\Bonjour.mst" /qn

start /wait msiexec /i "\\WINGPO\quicktime_quicktime_7.71.80.42_francais_anglais_9524\QuickTime.msi" TRANSFORMS="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\QuickTime.mst" /qn

start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\iTunes.msi" TRANSFORM="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\iTunes.mst" /qn

Il faut que cette GPO s’exécute avant celle concernant iTunes + QuickTimes:

Ordre GPO

Un petit gpupdate /force pour éventuellement accélérer le processus et c’est terminé.

Une erreur pourrait s’afficher (Apple Application Support is required to run iTunesHelper – Error 2) lorsque l’utilisateur ouvre sa session, mais lorsqu’il cliquera sur l’icône d’iTunes, il va s’exécuter sans problème.

Erreur

Lorsqu’une nouvelle version sera disponible, on enlèvera les anciens .msi et on refera la même procédure pour les nouveaux.

Installation/MAJ : Adobe Reader par GPO

Adobe Reader

Attention : Il faut impérativement avoir demandé pour obtenir la licence gratuite (http://www.adobe.com/fr/products/reader/distribution.html) sinon ça ne fonctionne pas.

Après avoir téléchargé Acrobat Reader, nous devons  télécharger l’outil fourni par Adobe afin de personnaliser le package MSI : Adobe Customization Wizard XI.

Ouvrons Acrobat Reader avec un outil comme 7zip pour extraire l’archive.

7zip

On va alors chercher le .msi qui a été extrait et on l’ouvre avec l’outil pour le personnaliser.

On peut via cet outil modifier les paramètres comme souhaité. Par exemple :

  • Personalization Options

Suppress display of End User Agreement (EULA)

  • Installation Options

Make Reader the default PDF viewer
Remove all versions of Reader
Enable Optimization
Enable Caching of installer files on local hard drive
Run Silently (no interface)
Supress Reboot

  • Security

Protected View – Off

  • Online and Adobe online

Online

Lorsque ce que l’on désirait modifier a été fait, on sauvegarde via l’icône prévu à cet effet. Cette sauvegarde aura pour effet de créer un fichier .mst contenant les préférences d’installation.

On crée maintenant un dossier qui sera accessible pour tous les utilisateurs de l’AD avec comme contenu celui d’Acrobat Reader.

On peut maintenant créer la GPO :

GPO

Il faut maintenant l’éditer :

GPO Soft

On clique droit sur Software installation puis New et ensuite Package…

On se rend alors dans l’emplacement partagé et on sélectionne le .msi. On choisit la méthode « Advanced » pour le déploiement.
On se rend alors dans l’onglet « Modifications » pour y ajouter le .mst :

Fichier mst

Ne pas oublier de lier la GPO !

L’installation aura lieu après un ou 2 redémarrages de l’ordinateur et se passera avant l’ouverture de session.

De cette manière, lorsqu’une nouvelle version sortira, la même opération devra être exécutée. Il suffira de supprimer le Package existant et d’ajouter un nouveau correspondant à la dernière version.

Note : La procédure reste la même pour Adobe Flash Player (et pour Java aussi).

Installation et configuration du service SNMP par GPO

Dans le cas du Monitoring (et notamment avec WhatsUp Gold sous Windows), il sera utilise d’installer le service SNMP sur les machines devant être monitorées.

Cette procédure, certes facile, deviendra vite agaçantes si on doit la réaliser pour une grande quantité de machine.

La réalisation d’une GPO permettra de rendre cette tâches plus « amusante ».

Nous allons réaliser cette GPO sur une serveur Windows 2008 R2 par l’intermédiaire d’un script en Powershell qui s’occupera de l’installation et la configuration du service SNMP sur les machines membres du domaine.

Le Script

# Adresse du serveur WhatsUp + nom de communauté
 $manager = "IP.DE.LA.MACHINE"
 $commstring = "public"

# Import ServerManager Module
Import-Module ServerManager
$adresseSource = "\\domain.local\NETLOGON"    

# Dossier sources des fichiers de config.  
cls  
$check = Get-WindowsFeature | Where-Object {$_.Name -eq "SNMP-Services"}    
If ($check.Installed -ne "True") 
{  
Add-WindowsFeature SNMP-Services | Out-Null cls  $check = Get-WindowsFeature | Where-Object {$_.Name -eq "SNMP-Services"
}  
If ($check.Installed -eq "True")
{  
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SNMP\Parameters\ PermittedManagers" /v 2 /t REG_SZ /d $manager /f  Foreach ( $string in $commstring){ 
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SNMP\Parameters\ValidCommunities" /v $string /t REG_DWORD /d 4 /f  
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SNMP\Parameters\TrapConfiguration\$string" /v 1 /t REG_SZ /d $manager /f } 
# Démarrage du service SNMP si non fait Start-Service "SNMP" >> .\logScript.txt }

 Création et configuration de la GPO

Nom choisi pour la GPO : SNMP

On applique la GPO sur les machines (et pas les utilisateurs) à leur démarrage :

Nous choisissons « Startup » et nous nous rendons dans l’onglet « PowerShell Scripts » de la fenêtre qui vient de s’ouvrir.

Il faut ajouter le script au bon emplacement. Pour y parvenir :

Ce qui donne au final :

Nous nous rendons ensuite dans Administrative Templates afin d’activer l’exécution des scripts.

Chemin complet: Computer Configuration > Policies > Administrative Templates > Windows Components > Windows PowerShell > Turn On Script Execution

Ensuite nous nous rendons à l’emplacement suivant : Computer Configuration > Policies > Administrative Templates > Windows Components > System > Scripts :

Il faut activer “Run Windows PowerShell scripts at computer startup”, “Run Logon scripts synchronously” et “Run startup scripts visible”.

Ensuite, nous devons ajouter un template (le fichier .ADM peut être téléchargé sur le site de Microsoft : http://www.microsoft.com/en-us/download/details.aspx?id=25119) afin de ne pas à avoir à exécuter la commande Set-ExecutionPolicy unrestricted sur chaque machine. Si nous ne le faisons pas, il sera impossible de lancer un script sans passer par l’interpréteur PowerShell.

On va chercher le fichier ou il se trouve et on l’ajoute :

Il ne faut pas oublier de lier la GPO SNMP :

Nous allons maintenant ajouter un filtre WMI si l’on ne désire pas que la GPO s’applique sur le serveur ou elle se trouve :

Nous devons lui donner un nom, éventuellement une description et écrire la requête à effectuer :

Résumé de la GPO :

Un petit gpupdate /force dans la console et le tour est joué.

Résultat depuis une machine membre du domaine

Pour voir si tout s’est bien passé au démarrage de la machine, il suffit d’aller voir dans Services :

Et si nous allons voir les propriétés du Service SNMP, nous devons normalement retrouvé les informations du script :

 Et voilà qui est fait :)