Archive

Articles taggués ‘GPO’

Garder le contrôle du temps dans Active Directory

Dans un domaine Active Directory le contrôleur de domaine hébergeant le rôle PDC est la référence de temps. C’est lui qui est en charge de se mettre à l’heure depuis une référence de temps externe via le protocole NTP et de fournir l’heure pour tous les membres du domaine.
Les autres contrôleurs de domaine viennent se mettre à l’heure sur le PDC via le protocole NT5DS.
Les serveurs et ordinateurs membres du domaine se mettent à l’heure depuis les contrôleurs de domaine via le protocole NT5DS.
La mise à l’heure est effectuée par le service w32time sur l’ensemble des systèmes d’exploitation Microsoft.

W32tm

Par défaut le service de temps des serveurs et ordinateurs du domaine est configuré de type NT5DS. Il n’y a donc que le PDC à configurer pour récupérer l’heure en NTP sur une source externe.
Pour rappel, le service de temps utilise le port UDP 123. Il faut donc configurer votre firewall en conséquence.

Si nécessaire, il est possible de figer cette configuration par GPO. Vous serez alors certains que les membres du domaine sont à l’heure.

Voici tout d’abord comment configurer par GPO le service w32time du PDC pour utiliser NTP.

1- Créer une GPO « Mise à l’heure du PDC »
2- Créer un filtre WMI pour sélectionner le PDC.
Le filtre est Select * from Win32_ComputerSystem where DomainRole = 5
Ce filtre assure que seul le PDC est affecté par cette GPO même si celui-ci est remplacé ou le rôle déplacé sur un autre contrôleur.

WMI-Filter-conf

WMI-Filter

 

Il est possible de faire la configuration à la main, mais la GPO va permettre que garantir que la configuration ne bouge pas.

3- Appliquer le filtre WMI sur la GPO.

4- Configurer le service de temps dans la GPO.

« Système/Service de temps Windows/Fournisseurs de temps »
Ne changer que NtpServer et Type.

GPO-NTP

5- Appliquer la GPO sur l’OU « Contrôleurs de domaine ».

 

Voici maintenant comment configurer par GPO le service w32time sur les membres et contrôleurs du domaine en NT5DS.

1- Créer une GPO « Mise à l’heure du domaine ».
2- Configurer le service de temps dans la GPO.
« Système/Service de temps Windows/Fournisseurs de temps »
Il suffit d’activer la GPO sans changer la configuration.
GPO-NT5DS
5- Appliquer la GPO à la racine du domaine.

 

Vous garantissez ainsi que l’ensemble de votre domaine est à l’heure.

Implémenter différentes stratégies de mot de passe dans un domaine

Dans les versions précédente de Active Directory, vous aviez la possibilité de définir une stratégie de mot de passe pour les comptes du domaine avec des paramètres définis.
 

 
La stratégie des mots de passe ne peut être configurée que dans la GPO « Statégie de domaine par défault ».
Cette stratégie s’applique à tous chaque compte utilisateur du domaine et chaque compte utilisateur de la SAM local des serveurs et ordinateurs qui joignent le domaine.
Il n’est pas possible de définir d’autres paramètres via une autre GPO.

Avec l’arrivé d’Active Directory 2008/R2, vous pouvez maintenant accéder à « Fine Grain Password Policies » (FGPP).
FGPP vous permet de mettre en place des politiques de mot de passe multiples dans le même domaine Active Directory.
Ceci peut être utile pour sécuriser le mot de passe de certains comptes critiques comme Administrateurs, RH, Finances, Direction…
FGGP ne se positionnera plus sur une OU comme le ferait une GPO mais sur un groupe ou un compte.

Voici comment mettre en place FGPP sur un groupe d’utilisateurs.

1- Lancez ADSIEDIT.MSC sur votre DC.
2- Sélectionnez Connexion dans le menu Action..
3- Dans la boîte de dialogue Paramètres de connexion cliquez sur le bouton OK.
 

 
4- Dans ADSIEDIT, développez la vue de votre nom de domaine vers CN=System.
4- Cliquez-droit sur le CN = Password Settings Container.
6- Sélectionnez l’option Créer | Objet.
7- Remplissez les valeurs pour chaque entrées, le ci-dessous est un guide.
 

AttributValeurDescription
CnAdminsPasswordPolicyLe nom de l'objet de stratégie de mot de passe dans Active Directory
msDS-PasswordSettingsPrecedence10Nombre de poids. Au cas ou l'utilisateur serait membre de plusieurs groupes ayant chacun un FGPP. Le plus petit nombre a la priorité la plus élevé.
msDS-PasswordReversibleEncryptionEnabledFalseValeur booléenne pour définir si les mots de passe doivent être stockés avec un chiffrement réversible.
msDS-PasswordHistoryLength5Nombre de mots de passe utilisateur unique doit d'entrée avant de les réutiliser un mot de passe.
msDS-PasswordComplexityEnabledTrueDéfinit si la complexité de mot de passe doit être activée ou non.
msDS-MinimumPasswordLength8Le nombre minimum de caractères dans le mot de passe utilisateur.
msDS-MinimumPasswordAge-864000000000L'âge minimum mot de passe (un jour).
msDS-MaximumPasswordAge-51840000000000L'âge maximum de mot de passe (60 jours).
msDS-LockoutThreshold5Nombre de tentative échoué de mot de passe avant que l'utilisateur soit verrouillé.
msDS-LockoutObservationWindow-18000000000Le temps écoulé pour réinitialiser le compteur de verrouillage de mot de passe au maximum (30 minutes).
msDS-LockoutDuration-18000000000Le temps pendant lequel le compte reste verrouillé si aucune nouvelle mauvaise tentative n'a eu lieu (30 minutes).

 
Pour calculer les temps utilisez le tableau ci-dessous en multipliant le nombre de minutes, heures ou jour pas la valeur correspondante.
 
Unité de tempsFormuleValeur
1 Minute-60 * (10 ^ 7)-600000000
1 Heure-60 * 60 * (10 ^ 7)-36000000000
1 Jour-24 * 60 * 60 * (10 ^ 7)-864000000000

 
8- Validez la configuration.
9- Affichez les propriétés du « Password Settings Object » (PSO).
 

 
10- Modifiez l’attribut « msDS-PSOAppliesTo » pour ajouter les groupes auxquels vous souhaitez appliquer la FPGG.
 
 
11- Appliquez.

Maintenant, tous les utilisateurs du groupe que vous avez sélectionné on un stratégie de mot de passe spécifique.
Répétez l’opération pour autant de PSOs que vous souhaitez créer.

Gérer les dossiers « _NTFRS_ » dans SYSVOL

Il est fréquent dans un domaine avec beaucoup de contrôleurs que le service de réplication de fichiers (FRS) modifie le nom de certains dossiers se trouvant dans SYSVOL en ajoutant « NTFSR_xxxxxxxx ».
Le problème survient lorsque que deux personnes un dossier identique sur deux contrôleurs entre deux réplications.
Voici la procédure à suivre pour résoudre le problème.
Nom de dossier est remplacé par « FolderName_NTFRS_xxxxxxxx »

Categories: Active Directory Tags: , ,

Déployer l’Agent EPO 4 McAfee par GPO.


Voici la procédure pour déployer l’Agent EPO 4.x par GPO.
Ça marche très bien, le seul soucis que j’ai est de reconfigurer les référentiel sur les poste où la version 4 est déjà installé.
Pour ce cas de figure, je continu à passer par ePolicy Orchestrator pour déployer l’agent.

Le lien: How to enable Group Policy deployment of McAfee Agent 4.x

Categories: McAfee Tags: , ,

Configurer un proxy auto dans Firefox par GPO

firefox_proxy_gpo

La méthode suivante permet de configurer une « Adresse de configuration automatique du proxy » dans Mozilla Firefox par GPO dans Active Directory.

Tout d’abord, préparer un batch pour la configuration.

cd "%userprofile%\Application Data\Mozilla\Firefox\Profiles\*default"
c:
type prefs.js >> temp.txt
echo user_pref("network.proxy.autoconfig_url", "http://myproxy.domain.com/proxy.pac") >> temp.txt
echo user_pref("network.proxy.type", 2) >> temp.txt
move /y temp.txt prefs.js

Ce batch ajoute deux lignes à la fin du fichier de configuration de Firefox présent dans le profil de l’utilisateur qui l’exécute.
A l’ouverture de Firefox, celui-ci remplace les lignes de configurations déjà existante par celle se trouvant à la fin du fichier. Il n’y aura donc pas de lignes en double dans le fichier.
En ajoutant uniquement ces deux lignes, cela évite également de modifier le reste de la configuration de l’utilisateur. (Préférences, page d’acceuil…)
Vous pouvez afficher la configuration de Firefox en tapants about:config dans la barre d’adresse.
 
Pour la mise en place de la GPO, il suffit de configurer l’exécution du script au logon dans la configuration utilisateur de la stratégie de groupe.
 
Cette méthode permet de configurer d’avantage d’options ou configurer différemment le proxy dans Firefox.