Overblog Suivre ce blog
Administration Créer mon blog
23 janvier 2017 1 23 /01 /janvier /2017 19:43

Un jour, je me suis demandé comment faire une clef USB bootable simplement. J'ai trouvé de tout sur le net. Mais la meilleur solution que j'ai trouvée, c'est en réfléchissant un peu (mais pas trop, hein, par ce que ça fatigue).

Donc, je vous partage ma façon à moi de créer une clef USB bootable. Cette méthode fonctionne avec tous les OS Microsoft. Le seul OS que je n'ai pas tester, mais qui ne dois pas être très différent des autres, est Windows 10. Mais j'ai confiance !

1) Outil nécessaire : Un CD source. Ca peut être une version démo, une image ISO, qu'importe. Le principale est d'avoir le contenu entier du CD.

2) Prenez votre clef USB et formatez-la. Bon, sauvegardez les quelques données dessus avant, c'est toujours sympa :-)

3) Copier l'intégralité du CD sur la clef USB. Je dis bien TOUT. Pour cela, vous pouvez utiliser l'explorateur de Windows et le fameux copier / coller !

 

[Microsoft] - La clef bootable[Microsoft] - La clef bootable
[Microsoft] - La clef bootable[Microsoft] - La clef bootable

La première étape est finie. Maintenant, ça ne fait pas une clef USB bootable. Passons à la suite.

1) Outil nécessaire : Rien. Pas de logiciel à télécharger, de truc bizarre à récupérer car vous avez déjà tout sous la main !

2) Ouvrez une invite de commande (si, si, je vous y invite lol)

[Microsoft] - La clef bootable

3) Mettez-vous sur la clef USB. Par exemple, ma clef USB est sur le lecteur E:, alors dans l'invite de commande, je tape E:

4) Maintenant, nous allons utiliser l'outil de Microsoft pour créer notre clef bootable. La commande est simple : x:\boot\bootsect /nt60 x:
NB : Remplacer le X par la lettre de votre clef

5) C'est tout ! 

Maintenant, vous avez une clef USB bootable sur la version de Windows de votre CD. Cool, non ? Oui, surtout qu'avec ça, vous pouvez faire beaucoup de choses... Notamment réinitialiser des mots de passe perdus...

Repost 0
Published by Lucky le Koala, le bien-heureux - dans Technique
commenter cet article
26 mai 2016 4 26 /05 /mai /2016 22:31
[Microsoft] - Domaine Controlleur

Comme tout administrateur, il vous ai arrivé de vouloir connaitre le contrôleur de domaine qui a authentifié un utilisateur. La chose est aisée quand on peut avoir l'utilisateur au téléphone ou à proximité. Mais comment faire quand on n'a pas de lien (ou que l'on ne veut pas en avoir) avec l'utilisateur ?

Microsoft, c'est une boite à outil. Des commandes et des utilitaires, il y en a à la pelle. Alors, nous avons tout ce dont nous avons besoin pour répondre à cette question.

Pour cela, nous allons utiliser la commande REPADMIN. Oui, elle est souvent utilisée pour connaitre l'état des réplications. Mais son pouvoir est bien plus fort !

REPADMIN est capable de lire les métadatas d'un objet AD. Je ne vais pas faire un cours sur les métadatas ou l'AD, mais il faut retenir que les métadatas, c'est la mémoire de l'AD !

Donc, pour connaitre le serveur qui a authentifié l'utilisateur, on utilise la commande : REPADMIN /ShowObjMeta <Nom du domaine> <le DN de l'utilisateur> | Find "lastLogonTimestamp"

La valeur retourné est le dernier contrôleur de domaine qui a authentifié votre utilisateur. La date correspond à la dernière date de changement de serveur. Donc, pas de panique si la date vous parait lointaine, c'est juste que l'utilisateur n'a pas changé de serveur depuis...

A noter tout de même, cette commande peut s'appliquer à un compte de service par exemple. Ca peut être utile :-)

Petit plus pour activer votre curiosité : mettez le nom d'un groupe à la place du nom de l'utilisateur... Interressant, non ?

Repost 0
Published by Lucky le Koala, le bien-heureux - dans Technique
commenter cet article
10 mai 2016 2 10 /05 /mai /2016 18:44
[Microsoft] - Aaargh

Il arrive qu'il y ai des problèmes d'application de GPO.

Par exemple, une GPO descend bien sur le poste utilisateur mais ne s'applique pas. Et là, vous vous creusez la tête pour trouver la source car l'AD est bon, les GPO sont bonne et tout fonctionne sur toutes les autres machines.

J'ai vu la solution de refaire la machine. Non, vous n'avez pas besoin de ça.

L'application d'une GPO est simple : D'abord je télécharge la GPO en locale puis je l'applique.

En locale ?

Oui, la GPO est en local ce qui veut dire que si la version de la GPO ne change pas, se sera toujours la version présente en locale qui sera utilisée.

Hum... ça change tout !

Oui, mais surtout ça simplifie le dépannage. Dans le cas cité au début, le technicien n'a pas grand chose à faire : purger les GPO stockées localement et faire un GPUPDATE /Force.

Toutes les GPOs sont localisées dans 2 endroits :

  1. Dans le répertoire : Users\All Users\AppData\Microsoft\Group Policy\History
  2. Dans la base de registre : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\History (pour les GPO ordinateur) et HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\History (pour les GPO utilisateurs)

Ces 2 emplacements peuvent être purgés sans soucis. Ils seront repeuplé à la prochaine application des GPO.

Du coup, mon problème du début est résolut car la source du problème est une corruption du fichier XML de la GPO. En purgeant juste le répertoire, tout est reparti comme si de rien n'était.

Repost 0
Published by Lucky le Koala, le bien-heureux - dans Technique
commenter cet article
5 mai 2016 4 05 /05 /mai /2016 08:31
[Microsoft] - GPO

Ah ! Les GPOs. C'est une chouette trouvaille ! Mais il y a un problème... Ben oui, sinon, c'est pas marrant...

En effet, comment faire pour comparer 2 GPOs ? Et bien, Microsoft propose un outil dédié à la comparaison. Ca c'est cool :-)

Alors, Security Compliance Manager (SCM), aujourd'hui en version 3, est un outil disponible gratuitement sur le site de Microsoft. SCM permet de configurer et de gérer les ordinateurs en utilisants les GPOs. Ca prend en compte le Cloud aussi ;-)

SCM fournit des stratégies prêtes à l'emplois et des packs de configuration DCM qui s'appuient sur MSG (Microsoft Security Guide) et les bonnes pratiques constatées dans le monde de l'industrie. Mais une des options est la comparaison de GPO. Vous avez 2 GPO (de domaine différent, locale, ...), et bien vous pourrez les comparer et connaitre toutes les différences.

Cela peut être très utile pour une migration, rationalisation, optimisation, ...

Repost 0
Published by Lucky le Koala, le bien-heureux - dans Technique
commenter cet article
2 mai 2016 1 02 /05 /mai /2016 16:12
[Microsoft] - Pb sur les ordinateurs

J'aime bien Microsoft, mais là, c'est pas top. Mais, il faut préciser quand même que ce problème a été corrigé en Windows 2012. Ce cas est donc valable en 2003 et 2008.

Alors, c'est ce bug ? Et bien, prenons les bases...

Un ordinateur, quand il rejoins un domaine, crée un objet ordinateur dans l'AD. A partir de cet objet, le mot de passe qui lie l'objet et l'ordinateur (Secure Schanel) est définit et changé régulièrement. D'un point de vu administrateur/utilisateur, il n'y a rien à faire car c'est l'AD qui bosse. Mais voila, en fonction de comment l'objet ordinateur est créé, le comportement n'est pas le même.

Prenons le cas ou l'objet ordinateur est créé avec la console DSA. L'attribut UserAccountControl est à 4128. Cette valeur a pour effet de mettre un mot de passe à NULL et d'empêcher tout changement. Ce qui veut dire que le Secure Schanel ne sera jamais changé pendant toute la vie de l'objet. Il va de soit que ça pose un problème de sécurité... même si personne ne l'a exploité pour le moment.

Prenons le cas d'une création de l'objet ordinateur via PowerShell. Ce même attribut sera positionné à 4096 (ce qui est la bonne valeur). Cette valeur est le fonctionnement normal. Le mot de passe est définit et changé régulièrement pendant la vie de l'objet.

Il va de soit que vous pouvez changer la valeur de l'attribut à la main pour qu'il soit conforme à un fonctionnement normale et qu'une éventuelle migration vers 2012 soit possible. Mais attention tout de même car dès que l'attribut passe à 4096, le mot de passe est changé immédiatement. Il faut donc s'assurer que ce changement ne posera pas de problème car sinon... c'est la sortie immédiate de l'ordinateur du domaine. Et ça, c'est pas cool...

Repost 0
Published by Lucky le Koala, le bien-heureux - dans Technique
commenter cet article
28 avril 2016 4 28 /04 /avril /2016 13:59
[Microsoft] - Object history

Les objets AD. Ca c'est un truc cool :-) Par contre, pour avoir un peu d'historique, là c'est plus galère...

Mais heureusement, Microsoft a pensé à tout et il y a une petite astuce pour avoir un peu plus d'information.

Pour cela, j'utilise la commande REPADMIN. Généralement utilisée pour avoir un état de la réplication ou pour la forcer, cette commande permet également d'avoir des informations très sympatiques.

Alors, comment l'utiliser ? C'est très simple car il ne suffit que de connaitre un DC en mode Lecture/Ecriture et le DN de l'objet. Une fois ces informations entre nos mains, tapez la commande :

REPADMIN /ShowObjMeta <Votre_DC> "<Votre_DN>

Si vous utilisez un DN concernant un groupe, vous aurez les membres du groupes mais aussi ceux qui faisaient partie du groupe avec la date de l'action. Donc, si un utilisateur a disparu d'un groupe, il n'est plus visible dans la console de management, mais on peut le voir en ligne de commande et connaitre la date de sa suppression du groupe. Cool, non ?

Mais ça ne s'aarête pas là. Si vous utilisez un DN d'un utilisateur, vous aurez une information géniale : Son DC qui l'a authentifié ! Et oui, vous pourrez connaitre son DC d'authentification sans rien de mander à l'utilisateur. Du temps de gagné !

L'historique n'est pas énorme. Ne vous attendez pas à pouvoir remonter 4 ans en arrière... L'AD n'est pas fait pour ça. Mais le peu qui est proposé est plutôt très pertinent !

Repost 0
Published by Lucky le Koala, le bien-heureux - dans Technique
commenter cet article
26 avril 2016 2 26 /04 /avril /2016 12:58
[Microsoft] - Kerberos Event Logging

Kerberos... Point ultra important dans le fonctionnement d'une infrastructure Microsoft. Si le Kerberos ne fonctionne pas, ... heu..., je veux même pas imaginer :-)

Mais avant que tout s'effondre, on peut auditer ce qui se passe.

Kerberos, de base, n'est pas très bavard. Ca rend les choses pas toujours évidente quand on a des problèmes. Alors, il est possible de mettre Kerberos en mode "debug" afin d'avoir connaissance de tout ce qu'il fait... et ce, depuis le démarrage de la machine jusqu'à la connexion de l'utilisateur. Tout est audité !

Alors, comment on active ce mode. Ce n'est juste qu'une clef de registre à créer. Mais attention ! Les logs sont importants. Donc pas d'activation par défaut et ne pas oublier de l'enlever quand on en a plus besoin.

  1. Ouvrez la base de registre
  2. Allez dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. Créez la clef LogLevel de type REG_DWORD avec la valeur 0x1
  4. Redémarrez la machine

Et voila, vous avez activé le Kerberos Event Logging. Pour arrêter les logs ? Supprimez juste la clef qui vient d'être créée et reboot.

C'est assez bavard, mais les informations sont pertinentes !

Allez, Happy Kerberos !

Repost 0
Published by Lucky le Koala, le bien-heureux - dans Technique
commenter cet article
16 avril 2016 6 16 /04 /avril /2016 18:50
[Microsoft] - Mode Dieu

Oulala, tu te prends pour qui ??? Zen, c'est juste Windows qui propose cette fonction...

Tout d'abord : c'est quoi le mode "Godmode" ?

Avec le Godmode, on dispose d'un nombre impressionnant de raccourcis vers pratiquement toutes les fonctionnalités de Windows 8.1/10/2012. Ainsi, il n'est plus nécessaire de passer par X menus différents pour trouver la bonne chose. Le Godmode regroupe 224 raccourcis vers différents paramètres de Windows. Par exemple, si vous voulez arrêter la lecture automatique quand vous mettez un CD, et bien vous avez un raccourcis pour changer l'option. Il faut le voir comme un panneau de configuration géant. Un truc de malade.

Alors, comment on y accède ? Pas d'installation d'un quelconque produit, pas de redémarrage, pas de manipulation douteuse... Non, tout est natif et c'est bien dommage que ce ne soit pas par défaut !

Voici les étapes pour accéder au mode Dieu :

  • Créez un répertoire sur le disque système. Ca peut être, par exemple, sur le bureau
  • Nommez-le GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} (je vous conseille de faire un copier/coller)
  • Le répertoire va automatiquement se renommer en Godmode

Et c'est tout ! Ouvrez ce dossier et explorer les possibilités qui s'offre à vous ! Hum, je vois que vous êtes aux anges :-)

Et pour le supprimer ? Et bien, supprimez le dossier !

Au mais j'y pense... Imaginez ce mode déployé par GPO pour les administrateurs !

Repost 0
Published by Lucky le Koala, le bien-heureux - dans Technique
commenter cet article
25 janvier 2016 1 25 /01 /janvier /2016 10:46

Qui n'a pas oublié / perdu sont mot de passe ? Qui n'a jamais été bloqué devant l'écran de connexion ? Mais alors, comment se connecter quand on ne possède plus le mot de passe administrateur ?

En théorie, vous êtes foutu... Mais, il y a quand même des astuces !

Certains parlerons de CD Linux, d'autres vous diront qu'il faut installer un OS parallèle....Bref, ne vous prenez pas la tête quand Microsoft vous donne tous les outils !!!

En résumé, la procédure qui suit fonctionne sur tout OS à partir de Windows 7. Le principe fonctionne sur n'importe quel édition (même pour un serveur membre).

Donc, voici la procédure sur un Windows 8 :

  1. Démarrez l'ordinateur sur un CD / clef USB bootable avec un Windows dessus. Notez que la version du Windows sur lequel vous bootez n'est pas importante. Pour ce tuto, la source est la même version que l'OS installé. Pour la source de Windows 8.1, allez sur le site de Microsoft pour le télécharger. Il existe la même chose pour Windows 10.
  2. Dans la fenêtre de démarrage, sélectionnez "Repair your computer" ou "Réparez votre ordinateur"
[Microsoft] - Mot de passe

3. Sélectionnez "Troubleshoot" ou "Dépannage" puis sélectionnez les "Advanced options" ou "Options avancées"

[Microsoft] - Mot de passe[Microsoft] - Mot de passe

4. Sélectionnez l'option "Command Prompt" ou "Invite de commande"

[Microsoft] - Mot de passe

L'idée qui suit est de remplacer le "Windows + U" qui affiche les options d'ergonomie par autre chose. Cet autre chose sera l'invite de commande.

Pour se faire, on va remplacer le fichier utilman.exe par cmd.exe. De ce fait, lorsque l'on va faire notre "Windows + U", ce n'est plus les outils d'ergonomie qui va s'afficher mais l'invite de commande. Et ??? Comme nous serons sur la mire de connexion, l'invite de commande s'ouvrira avec le même compte que ce qui a chargé la mire de connexion. Le seul compte qui le permet est "Local System" qui possède des droits encore plus élevé que l'administrateur... Je vous laisse imaginer !

Donc :

5. Dans l'invite de commande, tapez la commande : move c:\Windows\System32\Utilman.exe c:\Windows\System32\Utilman.exe.bak

Cette commande permet de renommer le fichier pour le sauvegarder !

6. Copier le fichier d'invite de commande pour le mettre à la place de l'outil d'ergonomie : copy c:\Windows\System32\cmd.exe c:\Windows\System32\Utilman.exe

[Microsoft] - Mot de passe

Une fois fait, redémarrez l'ordinateur. Vous allez revenir sur la mire de connexion.

Faite la combinaison de touche "Windows + U" pour afficher une invite de commande. La ligne de commande qui suit vous permet de réinitialiser n'importe quel compte. Pour avoir la liste des comptes, tapez : Net user

Pour réinitialiser le compte Administrator, exécutez la commande : Net User Administrator MonNouveauMotDePasse

[Microsoft] - Mot de passe

Et voila, votre mot de passe a été réinitialisé et vous pouvez maintenant ouvrir une session pour accéder à l'ordinateur !

Pour être propre et retrouver l'usage des outils d'ergonomie, je recommande vivement de faire la même démarche pour remettre l'outil Utilman.exe en place.

Repost 0
Published by Lucky le Koala, le bien-heureux - dans Technique
commenter cet article
13 janvier 2016 3 13 /01 /janvier /2016 11:47

Technique 03

 

 

Comme vous l'avez certainement vu, dans Windows 7, Windows 2008 et Windows 2012, l'IP version 6 est implémenté. Ceci pose plusieurs problèmes à ceux qui n'ont pas implémenté IP v6 sur leur réseau :

  1. Ralentissement des accès réseau (Internet par exemple)
  2. Perte de paquets
  3. 1 protocole qui circule en plus sur le réseau

Se ne sont que quelques exemples, bien sûre. Je pense que chaque personne travaillant dans un environnement IP v4 ont un retour d'expérience pas toujours positif.

 

Alors que faire ? Et bien 2 choix se posent à vous.

Le premier est de passer sur toutes vos cartes réseau et de décocher le protocole IP v6. Ce moyen est, certe facile et efficace, mais si on déploie plusieurs Windows 2008, on peut vite oublier ce petit détail.

La deuxième solution est de scripter. En faite, il n'y a rien a faire qu'a modifier une valeur de la base de registre. C'est peut-être un peut touchy de le faire, mais cette modification est globale à la machine. Donc, pas besoin de se soucier des cartes réseaux que l'on peut ajouter dans le future... Plutôt pas mal d'un point de vu des procédures.

 

Voici donc la fameuse modification :

  • Lancer l'éditeur de base de registre : Regedit
  • Allez dans : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
  • Modifier la donnée : DisabledComponents
  • En valeur de la donnée, mettre  : 0xff

Et voila, vous avez désactivé IP v6 et mis IP v4 en tant que protocole par défaut. Petite précision quand même, désactivé n'est pas le mot juste. En faite, nous avons limité le champ d'action de l'IP v6 au LoopBack.

 

La donnée peut prendre plusieurs valeurs :

  • 0x20 pour utiliser IP v4 en priorité. IP v6 est toujours actif
  • 0x10 pour désactiver les interfaces natives
  • 0x01 pour désactiver le tunnel IP v6
  • 0x11 pour désactiver IP v6 sauf la LoopBack. A la différence de 0xffffffff, 0x11 ne met pas IP v4 comme protocole par défaut.

 

Référence : Site de Microsoft

Repost 0
Published by Lucky le Koala, le bien-heureux - dans Technique
commenter cet article

Présentation

  • : Le blog de Lucky le Koala
  • Le blog de Lucky le Koala
  • : Un peu de tout mais toujours en ralant !
  • Contact

Catégories