DSI++: Gérez vos prestataires !

Sous ce titre un peu provocateur, se cache je pense une réelle nécessité.

Les sociétés font généralement appel à de la prestation de service pour plusieurs raisons:

  • Economies financières (engagement au forfait…),
  • Compétences non présentes en interne,
  • Manque de disponibilité en interne,
un salarié devenant consultant
De l’autre côté de l’immense barrière, le prestataire doit:
  • Comprendre l’environnement du client,
  • Comprendre son besoin,
  • Respecter le délai et la charge,
  • Apporter le plus possible de valeur au client dans le temps imparti.
On se retrouve au final avec le grand écart:
  • Le client va tout faire pour minimiser ses coûts (humains et financiers) en transférant le plus de charge auprès du prestataire,
  • Le prestataire ne sera pas incité à faire les « finitions », il se coupe ainsi la branche sur laquelle il est assis en ne fournissant pas la plus-value,
  • Les ressources internes ne le suivront pas afin d’économiser encore plus, et ne monteront donc pas en compétence. Inutile de parler « d’appropriation du sujet »…
Je ne pense pas qu’utiliser des ressources externes pour uniquement l’aspect financier soit pertinent.
Pour moi un consultant (aka un prestataire avec de la valeur ajoutée) est un catalyseur qui doit permettre:
  • D’accélérer la montée en compétence sur un projet (vu comme une ressource complémentaire et non unique),
  • Amener un retour d’expérience issu des projets passés dans d’autres entreprises/environnements,
  • Etre force de proposition et challenger les ressources internes en faisant abstraction de l’historique.


Jouer ce rôle est cependant consommateur d’énergie. Si j’ai le sentiment de tourner à vide, et que le client n’est pas réceptif à cette énergie, pourquoi continuer à la donner ?
De mon point de vue, le client doit (et oui, il y a du boulot!):
  • Fournir la matière première (cahier des charges, contraintes…),
  • Suivre et répondre aux challenges proposés de façon active,
  • Ne pas laisser s’instaurer un début de ping-pong dans le projet,
  • Motiver en mettant un sérieux niveau d’exigence sur la qualité,
  • Inciter ses ressources internes à aspirer la connaissance amenée par le consultant
Le plus dur, au final, et de réunir tous ces ingrédients pour que le moteur tourne à plein régime!

DSI++: déploiement 64bit, maillot jaune ou voiture balais ?

Le 64 bit fut longtemps « réservé » si je puis dire aux systèmes ayant des besoins très importants (calculs ou allocation mémoire), au départ sur Unix (True64…).  Il s’est peu à peu démocratisé, jusqu’à avoir les OS postes clients Microsoft eux aussi en 64 bit. Cependant, l’intérêt du 64 bit ne parait pas évident de prime abord, on l’évoque seulement comme passage obligé pour profiter pleinenement d’un système avec plus de 4Go de mémoire. Microsoft a « jeté un pavé dans la mare » en supportant Exchange 2007 uniquement en 64 bit en production. La deuxième couche arrive avec Windows 2008 R2, qui sera seulement supporté en 64 bit en production.

Pourquoi freiner le passage au 64 bit en entreprise ?

  • La plupart des éditeurs ne proposent toujours pas de version 64 bit de leur produit. Windows passera donc par Wow64 pour émuler du 32 bit de toute façon.
  • Les pilotes doivent être signés par Microsoft. Pourquoi ce forcing ? près des deux tiers des plantages systèmes (les fameux écrans bleus) sont dûs à des problèmes dans les pilotes. Basiquement, pour que Microsoft signe un pilote, il doit passer un test automatisé, gage de stabilité. Vous pouvez tester vous même les pilotes de votre poste client sous XP / vista. Il suffit de faire Démarrer / Exécuter / verifier. Bien que ce soit écrit « pour les développeurs », c’est aussi le choix pour les « administrateurs ». Plusieurs types de vérification sont proposés:

verifier

  • Il ne faut pas activer ces vérifications sur tous les pilotes sous peine de ne plus pouvoir booter le système, sauf si vous êtes certains de la qualité de vos pilotes (ou s’ils sont déjà signés).
  • Certains éditeurs propose une version 64 bit, mais tous les processus sont 32 bit, c’est juste que leur produit 32 bit fonctionne en environnement 64 bit.
  • Les logiciels qui fonctionnent difficilements en 32 bit, fonctionnent encore plus péniblement en 64 bit.

Apple, avec Snow Leopard, a finalement fait le choix de la rupture: Ils ne fournissent qu’une version 64 bit. Les iMac et autre anciens mac n’auront donc pas droit à la mise à jour. Les éditeurs vont être forcés de sortir des versions 64 bit décentes.

Faut-il donc être le maillot jaune du 64 bit ? Je ne pense pas, à moins d’avoir des besoins avérés réels. Cependant, déployer du 64 bit en 2009 ne fait plus de vous un maillot jaune ! Il ne faut cependant pas négliger la gestion du changement auprès de vos équipes systèmes et surtout développements. Je recommande, comme toujours, de penser grand mais commencer petit. Profitez de nouveaux projets pour vous faire la main (enfin le plutôt le cerveau!). Cela évite aussi de refaire une recette juste pour le passage au 64 bit.

Voici une proposition d’ordre déploiement:

  1. Les serveurs d’infrastructure pures (DC, WSUS, backup…)
  2. Serveur de messagerie (Exchange 2007)
  3. Serveur de bases de données (SQL 2005..)
  4. Serveur Web
  5. Serveurs TSE/Citrix (implique les applications hébergées dessus)
  6. Le reste !

vers une DSI++: Nommer les projets

Nommer vos projets informatiques peut avoir une conséquence sur sa notoriété dans l’entreprise. Il est vite fait de détourner un nom ou d’utiliser un second sens afin de descendre ledit projet… Tout projet a des partisans, et d’autres plus hostiles, qui ne manqueront pas une petite talonade en comité de pilotage ou autre!

Les méthodes « classiques »:

  • Prendre la première lettre de chaque mot du titre complet en essayant d’en faire quelque chose. Ma dernière « création »: Rolex (RéOrganisons LEXploitation). S’agissant d’un ordonnanceur entre autre, la relation avec l’horlogerie parait sympathique… Cependant une Rolex a un coût important, quolibet potentiel en réunion, surtout si le projet ne finit pas à l’heure…
  • Des noms Grecs, Latins, Mythologies…
  • Comme les tornades: http://www.atl.ec.gc.ca/weather/hurricane/hurricanes4_f.html

Mes recommandations:

  • Le nom doit rester le plus court possible
  • Il doit être facile à se rappeler (et à écrire)
  • Il doit exprimer autant ce peut l’objet/objectif du projet
  • Si le nom du projet est public, chercher le nom auquel vous pensez sur des moteurs de recherches. Moins il est répandu, mieux c’est.

Ma conclusion:

  • Il ne faut se compliquer l’esprit à vouloir justifier chaque lettre. Si en pensant à votre projet, un mot vous vient à l’esprit, et qu’il vous fait penser en retour à ce projet précisément, retenez-le. Une fois le nom répandu, la signification de chaque lettre n’intéresse plus personne!

CIO Online a publié récemment ces deux dessins:

paramètres régionaux: le grand chelem

J’ai récemment accumulé pas mal de problèmes liés aux paramètres régionaux (développeurs, si vous me lisez…). Avoir un OS en anglais ne suffit plus à priori à s’éviter les ennuis! Les nominés sont:

SCOM 2007:

  • Dell: dans leur Management Pack, un vbscript (DellStorageDiscovery.vbs) fait un cint avec un « . » codé en dur, ce qui n’est pas le séparateur décimal en Français. Bug remonté, en cours de correction par Dell
  • ISA 2006: le Management Pack récupère la date d’installation de la ferme ISA depuis ADAM sous la forme MM/DD/YYYY. Si ISA a été installé après le 12 du mois, cela ne fonctionne pas (blocage à l’insertion de la valeur en base de données SCOM). Bug remonté, en cours de correction par Microsoft

MBSA: Certaines catégories sont reprises en français (depuis un XP FR), et les accents é;à… se transforment en caractèrent XML invalides. Solution: correction manuelle via un éditeur de texte…

Broadcom: problème de date comme évoqué dans un précédent billet

Pour Dell, voici la fonction incriminée (en rouge le problème):

Function CheckVBScriptEngine()
Dim bIsCompatV,  var
Const VBSCRIPT_MIN_VERSION = 5.6
var = ScriptEngineMajorVersion & « . » & ScriptEngineMinorVersion
If (CInt(var)) < VBSCRIPT_MIN_VERSION Then
bIsCompatV = False
Else
bIsCompatV = True
End If
If Err <> 0 Then
CheckVBScriptEngine  = Err.Number
Else
CheckVBScriptEngine = bIsCompatV
End If
End Function

Ma version :
Function CheckVBScriptEngine()
Dim bIsCompatV,  var, sep, WshShell
Set WshShell = WScript.CreateObject(« WScript.Shell »)
sep = WshShell.RegRead(« HKCU\Control Panel\International\sDecimal »)
Const VBSCRIPT_MIN_VERSION = 5.6
var = ScriptEngineMajorVersion & sep & ScriptEngineMinorVersion
If (CInt(var)) < VBSCRIPT_MIN_VERSION Then
bIsCompatV = False
Else
bIsCompatV = True
End If
If Err <> 0 Then
CheckVBScriptEngine  = Err.Number
Else
CheckVBScriptEngine = bIsCompatV
End If
End Function
Pour ISA, le workaround temporaire est de créer un compte dédié, se logguer avec, mettre les paramètres régionaux en anglais, et de l’utiliser en tant que Action Account dans SCOM.

Pour le MBSA, l’erreur se présente sous cette forme:

erreur MBSA
erreur MBSA

DSI++: Toujours utiliser les fonctions du langage ou Framework afin d’utiliser les paramètres régionaux. Ne pas hésiter à tester vos logiciels avec plusieurs langues s’ils ont une vocation internationnale.

Site web: sécurité ou indexation, faut-il choisir ?

Pas mal de sites Web mettent à disposition du contenu sous la forme de forum avec questions/réponses.
Les réponses peuvent-être rémunérées afin de motiver les visiteurs à alimenter le site.

Les sites demandent donc à s’enregistrer (et payer) afin d’accéder au contenu….

Sauf que pour avoir des visiteurs et donc des clients, il faut que ces questions/réponses soient indexées par les moteurs de recherche comme Google. Hors il n’est pas possible de donner un compte d’accès à ces moteurs de recherches. Il en résulte que pas mal de sites filtrent sur le nom du navigateur (User Agent), afin de laisser le contenu en libre accès aux moteurs de recherche afin d’être indexés. On pourrait penser qu’il suffit d’interdire les moteurs à mettre les pages en cache et que le tour est joué….Pas vraiment.

Pour contourner, cette fausse sécurité, il suffit de présenter son navigateur comme étant googlebot par exemple pour avoir accès à tout le contenu!
Rien de plus facile avec Firefox et l’extension User Agent Switcher!

Si vous avez la flemme de trouver le nom exact pour googlebot ou autre, il vous suffit de nourrir l’extension avec un XML tout prêt: http://techpatterns.com/downloads/firefox/useragentswitcher.xml

Par exemple, le site SQL Server Central implémente cette fausse sécurité.

Solution pour une DSI++: Filtrer aussi sur les adresses IP des moteurs de recherches.

vers une DSI++: La sauvegarde, bilan de santé du SI ?

Après quelques péripéties sur la sauvegarde, voici quelques réflexions….

1/La sauvegarde permet de s’assurer de la cohérence des données. Si la sauvegarde complète du SI fonctionne, cela est déjà très positif! Car cela indique que toutes les données éparpillées partout sont lisibles.

2/L’évolution du temps de sauvegarde indique une tendance. S’il vous faut de plus en plus de temps pour sauvegarder un volume de données à peu près identique, cela indique une baisse de forme du SI. La sauvegarde peut être un exercice intense, car il s’agit de transférer un maximum de données en un minimum de temps. Cela test donc à la fois la capacité de lecture des différentes sources (SAN, AS/400…) et le backbone réseau.
On peut comparer la sauvegarde à une course de vitesse, où les dépôts de données sont les muscles et le réseau le sang circulant dans les veines. En cas de baisse de forme, il convient de diagnostiquer en détail ce qui ralentit. La fragmentation des disques durs est une raison fréquente, mais le service pack 2 de Windows 2003 a quelques effets sur les performances réseaux à ne pas négliger..

3/ L’expérience tend à montrer qu’une des premières briques du SI à se dégrader est la sauvegarde. Cela commence par une augmentation de la fenêtre de sauvegarde, puis des avertissements sur des fichiers non sauvegardés. Et là, alors que vous ne voulez toujours pas vous occuper de ces trop nombreux avertissements, une partition du serveur de fichiers principal lâche, d’un coup d’un seul… Enfin, c’est ce que l’on pense au début..Car on se rend compte que la sauvegarde se plaint depuis 15 jours de ne plus pouvoir sauvegarder des fichiers, de façon de plus en plus nombreux. Seulement voilà, il est trop tard, là où vous aviez un seul caillou dans la chaussure, vous avez d’un coup un menhir! Si je résume:

T0: tout va bien…
T1:tout va bien sauf quelques avertissements sur quelques fichiers, vous passez votre chemin..
T2:de plus en plus de fichiers non sauvegardés, mais bon « ce n’est qu’un avertissement » (laisser mariner 15 jours la situation…)
T3: Toute la partition est corrompue!

Sauf que maintenant, vous avez 15 jours de sauvegardes aussi complets qu’un emmental. Alors qu’il suffirait normalement de restaurer les données de la veille, ces données ne valent rien. Expliquer à son DSI et plus haut qu’une panne fait perdre une journée de travail, c’est déjà dur, mais lui expliquer que c’est 15 jours qui sont perdus…Pas la même histoire.

On peut alors se poser la question « pourquoi ne pas avoir traité ces avertissements? »
Sur un SI un peu évolué, avec une centaine de serveurs, il est très difficile d’avoir toutes les sauvegardes de tous les serveurs sans aucun avertissement. Il y a toujours un serveur pour faire parler de lui le matin au rapport d’exploitation. D’une part, les personnes en charge prenne l’habitude de voir quelques avertissements qui vont et viennent. Ils ne se formalisent plus en dessous du mot « échec ». Je pense que le terme « avertissement » n’est pas approprié est amène les administrateurs à penser que cela va suffisamment bien pour ne pas s’inquiéter.
La sauvegarde est un sujet ingrat, comme un vaccin. Il n’intéresse personne jusqu’à ce qu’il y en ait besoin. Et là personne ne comprends que la sauvegarde de la veille n’ait pas fonctionné, sans chercher plus en détail les causes profondes du maux.

Quelques conseils pour une DSI++:

  • Ne rien lâcher, traiter les avertissements comme un échec. Ne rien laisser entraver le bon déroulement de la sauvegarde. Arrêter cette ancienne application tous les soirs s’il le faut.
  • Historier tous les temps de sauvegardes (et volumétrie). Générer un rapport mensuel sur les performances des 6 derniers mois.
  • Faire un test de restauration au moins tous les mois, toujours sur un élément différent.

La sauvegarde est la dernière chose à fonctionner, et la première à tomber.

Vers une DSI++: incassable

La sécurité informatique est souvent vue comme une contrainte coûtant de l’argent, ce qui la met en première ligne quand il s’agit de faire des économies. Déjà faut-il encore sortir du clivage « Mon McAffee est mieux que ton Symantec« .
Surtout qu’il s’agit de mesurer un risque et une probabilité, un peu comme une assurance vie…

Je vais essayer ici de vous faire une synthèse ici de l’essentiel, avec quelques friandises valant un « ++ » 😉

Gestion des mots de passes

S’il y a bien un sujet où l’on sent la contrainte, c’est bien celui-là. Vous dites « mot de passe » à n’importe qui, il pense tout de suite sécurité! Et d’ajouter « ils doivent faire au moins 14 caractères » pour qu’il vous réponde « c’est sécurisé chez vous! » (suivi d’un regard plein de compassion sur la souffrance que vous devez éprouver!)
Traite de plaisanterie, les mots de passes sont une rempare comme une autre, et ne servent à rien si d’autres mesures ne sont pas là. J’ai déjà traduis un excellent article de Steve Riley, disponible ici

Gestion du mot de passe administrateur local
Le compte administrateur local est difficile à protéger si l’utilisateur est déterminé. Je vois deux grands axes:
-Rendre les choses difficiles pour décourager ou ralentir
-Faire des vérifications périodiques automatiques pour s’apercevoir des fraudes.

Corser le jeu:

-La longueur du mot de passe doit être supérieure à 14 caractères pour empêcher le stockage en LM hash.
-Chaque station doit avoir un mot de passe administrateur différent. Si c’est le même, n’importe qui l’ayant est admin local du parc, ce qui inclus votre station. Trop facile de vous piéger ensuite!
-Désactivez ce compte. Il n’est pas nécessaire en temps normal, et ne peut se verrouiller.
-Mettez un mot de passe bios, là encore un différent par station. N’autorisez que le boot sur disque dur: pas de CD ni clé USB, ni réseau (si possible).
-Imposez les membres des groupes administrateurs et utilisateurs avec pouvoir locaux via GPO (groupes restreints).

Vérifications récurrentes:
-Mettez un script de logon sur le compte administrateur local. Ce script créera un drapeau pour vous indiquer qu’il a été utilisé et quand. Base de registre ou fichier texte au choix.
-Auditez les journaux d’évènements pour des traces suspectes.
-Changez le mot de passe administrateur local tous les X mois. Quand vous le changez, vérifiez que c’est bien toujours l’ancien. Si quelqu’un l’a claqué, vous le saurez.
-Faites des inventaires des logiciels installés sur les stations. Le droit admin local est recherché pour pouvoir installer ce que l’on veut. Surtout sur les portables, que l’on peut amener chez son meilleur amis,l’expert en informatique bien sûr!

Gérer ses admins
En voilà une idée me direz vous… L’époque où l’admin travaillait avec un compte « administrateurs du domaine » en permanence est révolu, du moins d’un point de vue sécurité. Ils doivent avoir deux comptes, un standard pour la bureautique, et un avec pouvoir (genre monlogin-su), pour les opérations nécessitant des droits supplémentaires. Droits supplémentaires ne voulant pas dire forcément « administrateur du domaine »… Un admin SQL n’a pas besoin de ce privilège par exemple.

Le réseau n’est pas dupe

  • Filtrez les adresses mac par vlan. Un poste venant de nulle part ne doit pas avoir un bail de votre serveur dhcp, ni pouvoir causer avec le réseau.
  • Filtrez les annonces BPDU sur les ports où il n’y pas d’équipement réseaux, activez rootguard si possible.
  • Limitez l’accès aux interfaces de gestion des routeurs/switchs/firewall à vos ip d’administrations.
  • Telnet est interdit. SSH V2 est votre amis.
  • Limitez à une adresse mac par port réseau pour les stations, afin d’empêcher de mettre des hub et autre joyeuseté.
  • Installez une solution de type NAP si vous avez des nomades. Interfacez-là avec vos switch si possible.

Firewall sans trou

  • Version de l’os/firmware ou logiciel à jour
  • Seulement le strict nécessaire est ouvert
  • Les règles de type « accept » ne sont pas logguées sauf raison valable
  • Si possible, des restrictions horaires sont en place
  • Aucun accès TCP direct vers Internet depuis les postes
  • Antispoofing actif
  • Firewall de type stateful

Spécifiques Windows

  • Le compte administrateur du domaine est désactivé
  • Les membres du groupe « Administrateurs du domaine » se comptent sur les doigts de la main. Et tous ces comptes ont un mot de passe > 14 caractères, avec expiration
  • Les logs de sécurité des DC tiennent plus de 24H (rétention)
  • Les eventlogs sont centralisés
  • Il n’y a pas de verrouillage sur les comptes après des essais infructueux
  • Vous avez un WSUS, et les patchs mensuels de sécurité sont appliqués
  • Les machines du domaine sont dans un nuage IPSEC fermé
  • Le firewall Windows est actif sur les stations
  • Un antivirus à jour est installé
  • Le mscache est à zéro si possible, à 1 sur les portables

Spécifiques Unix/Linux
On retrouve ici pas mal de classique…Rappelez-vous qu’un unix/linux par défaut n’est pas plus sûr qu’un Windows…

  • Dites au revoir à inetd et tous les r* (rlogin…)
  • Dites bonjour à SSH (v2 et pas de login root direct), NFSV3, NIS
  • SNMP, oui mais restreint et protégé
  • A jour en terme de patch et noyau ! Vous faites le malin avec un uptime de 800 jours ? Ca en dit long sur la fraicheur de votre kernel…
  • Centralisation des logs avec syslogs

Les applications Windows

  • Vos applications Windows s’appuient sur Active Directory pour l’authentification des utilisateurs…. Avec une authentification transparente (SSO): ++
  • Vos applications se basent sur l’appartenance à un ou des groupes AD, et utilise le SID des groupes pour cette vérification
  • Elles fonctionnent avec les droits utilisateurs standards Windows. Elles ont un Manifest pour XP et pour Vista.
  • Elles ne contiennent pas de comptes d’accès, que ce soit SQL ou autre dans leur configuration.

Les sites Web

  • Utilisez des reverse proxy, par exemple Microsoft ISA 2006. Confiez leur la charge SSL, et activez les protections contre les attaques DOS.
  • Protégez la chaîne de connexion à la base de donnée en la cryptant
  • Si vous avez un formulaire d’authentification:
    • Le nom du formulaire et des champs login/password doivent être dynamiques pour empêcher la saisie semi-automatique
    • La page doit être en SSL
    • Utilisez une procédure stockée pour vérifier la concordance dans la base de donnée.

La messagerie
C’est presque fusionnel avec les utilisateurs…Ils se plaignent de recevoir trop de mail, coupez le serveur, ils hurlent!

  • Mettez toutes vos protections antispam le plus en amont possible, si possible sur le premier relais:
    • Whitelist
    • Reverse DNS
    • SPF / SenderID
    • Rbldns multiples
    • vérification dans les bases publiques type chainmail et phising
    • moteur bayésien
    • Gray listing
    • Antivirus
  • Si vous avez Outlook, utilisez le SCL pour qu’outlook déplace tout seul ces mail dans « courrier indésirable »

Vers une DSI++: Green IT

Je ne sais pas si c’est seulement une tendance qui « fait bien« , ou une (r)évolution de fond, auquel cas EDF pourrait se préparer à une migraine… Heureusement pour eux, les Moyens Généraux et les DSI se causent pas trop à priori. La facture EDF est valable pour tout l’immeuble, difficile d’isoler la part des vilains PC allumés la nuit, ou bien cette HP 9050 ici et là qui s’endort jamais. La question est: combien de DSI sont allées plus loin que les quelques rudiments faciles à mettre en œuvre ?

Voici mon petit tour d’horizon sur le sujet, avec certains ++ pas facile à avoir 😉

Les stations de travail

  • Eteindre les PC le soir et les allumer le matin avec WOL.
  • L’outil de distribution est capable d’allumer les stations et les arrêter à la fin.
  • La gestion de l’énergie sur les PC est gérée en central via EZ GPO sous XP, et par GPO native sous Vista. Le minimum étant d’éteindre l’écran rapidement

La salle machine

  • Les nouveaux serveurs utilisent des processeurs basse consommation, de préférence dans des lames.
  • Le câblage est correctement fait afin de laisser passer l’air frais.
  • Une analyse calorifique de la salle machine indique que l’air circule correctement…(Bonus x4 ++ si vous avez ce genre d’analyse ci-dessous!)

  • Les serveurs inutiles sont éteints automatiquement le soir quand ils ne sont pas utiles la nuit, notamment les serveurs de pré production/qualification
  • Les ressources des serveurs sont utilisées à 80%, sinon ils sont mutualisés ou virtualisés.
  • L’extinction incendie  ne pollue évidemment pas l’environnement.

Réduire les impressions

  • Les fax arrivent et partent en mail/PDF, et ne sont donc pas imprimés.
  • Les imprimantes:
    • Sont en mode recto/verso par défaut uniquement, l’utilisateur doit manuellement changer la configuration pour imprimer uniquement en recto par impression
    • Elles se mettent en veille après 1 heure d’inactivité
  • En interne, des workflows numériques remplacent le courrier interne papier.
  • Vers l’externe:
    • Les Appels D’offres et autres sont déposés sur une plateforme au format numérique
    • Les applications peuvent envoyer des documents signés numériquement aux clients et ainsi ne plus les imprimer et mettre sous pli

vers une DSI++

A première vue, il peut sembler simple d’être une DSI++, mais tout dépend de ce qu’on entend par ++…

La plupart des DSI offrent à peu près les mêmes services aux utilisateurs. Pour se différencier vers le haut, il faut donc arriver à en donner plus pour le même prix! Le problème est de ne pas promettre monts et merveilles qui ne seront jamais atteints…J ‘ai décidé de proposer quelques « ++ » qui me semblent être appréciés par les utilisateurs, et qui ne me semblent pas tant répandus que ça dans les DSI. Je les ai classés par thème.

Toute proposition de votre part sera la bienvenue, n’hésitez pas!

Messagerie Exchange 2003

Tout le monde ayant Exchange pense fournir un service optimum, seulement voilà, il y a des petits extras qui font la différence!

  • Bien évidemment, la base, le minimum syndical, c’est qu’Outlook s’autoconfigure avec le bon serveur Exchange au premier lancement. Utilisez le Ressource Kit Office.
  • Personnalisez les messages d’alertes sur les quota. Il s’agit d’un petit addon Microsoft gratuit méconnu, Exchange quota Service. Il permet de personnaliser les messages d’alertes, et de les écrire notamment en Français.
  • Exchange 2003 ne propose rien en standard pour gérer dignement les réservations de ressources, type salle de réunion. Si vous ne voulez plus entendre un truc du genre « sous Lotus on pouvait« , je vous recommande l’installation d’un autre addon Microsoft, l’agent d’acceptation automatique. Il permet de gérer les conflits de réservations, d’inviter la ressource directement, et de limiter les abus de réservations.
  • Installez WDS pour indexer notamment la boite Outlook sur le poste. Microsoft fournit les templates  de GPO pour le gérer de façon centrale. En plus ca soulagera vos serveurs Exchange!
  • Activez par GPO les numéros de semaines dans le calendrier, et configurez correctement le premier jour de l’année pour que la numérotation soit correcte.
  • Proposez de vrai alternatives aux utilisateurs pour envoyer des pièces jointes de taille importante (voir des pièces jointes tout court). Sharepoint permet un travail collaboratif efficace, dl.free.fr permet d’envoyer gratuitement via http des pièces jointes jusqu’à 1Go (même si vous n’êtes pas chez free, et ce sans demander aucun compte Free).
  • Les fichiers PST ont toujours été un problème. Soit ils sont en local mais non sauvegardés, soit sur un serveur de fichiers mais ils prennent une place folle. Les possibilités sont limitées: addin Microsoft de synchro du pst entre la station et le réseau, dire à l’utilisateur de graver soit même soit pst (DSI–), soit une solution d’archivage de messagerie comme Enterprise Vault (DSI++).

Les profils utilisateurs

  • Redirigez le dossier « Mes Documents » plutôt que dire aux utilisateurs de stocker leurs documents sur P:\. Toutes les applications proposent le dossier Mes documents par défaut.
  • Un quota oui, mais géré proprement par GPO avec proquota. L’utilisateur doit savoir qu’il a un problème de quota avant de vouloir fermer sa session!
  • Votre HelpDesk ne doit jamais avoir besoin du mot de passe d’un utilisateur, jamais. Ils doivent connaitre les méthodes correctes pour faire leur travail sans en avoir besoin.
  • Pas de prise de main à distance sauvage. Approbation de l’utilisateur indispensable.
  • Utilisez bginfo pour positionner les quelques informations indispensables sur le fond d’écran (numéro de la hotline, nom du poste de travail…), le tout sans remplacer la photo de bébé mais en surimpression. Ne pas afficher 25 informations non plus, histoire de ne pas le défigurer!

Les stations de travail fixes

  • Programmez un defrag une fois par mois avec SMS ou le planificateur de tâche Windows.
  • Nettoyez les copies de profiles itinérants qui n’ont pas été utilisé depuis XX jours sur les postes avec delprof.exe de Microsoft.
  • Protégez le bios des machines avec un mot de passe
  • Industrialisez l’installation de Windows et de toutes les applications via Ris ou plutôt WDS maintenant. MS SCCM 2007 permet d’automatiser la reconstruction d’un poste de travail, et même de sauvegarder les profiles utilisateurs avant la réinstallation.

Les stations nomades

Les besoins des nomades sont souvent contraires aux règles des DSI (comment ca je peux pas installer Adibou pendant mes vacances?). Il est parfois difficile de faire la part des choses entre un vrai besoin professionnel et une utilisation plus…personnel du matériel. Comment savoir ? N’autorisez pas l’installation de logiciels et ne fournissez pas de logiciel de lecture vidéo…S’ils en veulent toujours c’est que c’est sérieux!. Blague à part voici la check’list!

  • Diffusez le paramétrage du proxy de l’entreprise via un fichier wpad depuis le dhcp. Ainsi Internet Explorer marchera à l’extérieur.
  • Le Wifi doit fonctionner correctement depuis un compte utilisateur standard. Privilégiez le service pack 3 de XP pour avoir le WPA2 natif.
  • Windows vista (SP1) est vraiment un plus pour les portables.
  • Le master doit avoir les derniers pilotes, et la mise en veille, prolongée ou non, doit être vraiment fiable.
  • Le HelpDesk doit pouvoir venir en aide à l’utilisateur en prenant la main à distance. Le plus simple est d’utiliser une solution type LogMeIn, qui fonctionne même depuis un hôtel.(c’est le poste client qui se connecte à un serveur, ca traverse donc les firewalls et le nat). Pourquoi pas à travers un vpn ? Ben parque ce s’il appel, c’est peut être parce que le vpn ne marche pas ! Le rustique a souvent du bon dans ce genre de situation (géographiquement éloigné, utilisateur stressé).
  • Les cartes 3G c’est pas mal, mais la 3G ne passe pas partout et ça coûte cher en roaming. Un abonnement à des hotspots est un vrai plus (à l’hôtel, aéroport…)

Smartphone mon amour (Windows Mobile powered, of course)

Sujet potentiellement brûlant et sans reconnaissance des efforts fournis par les utilisateurs (« BlackBerry c’est mieux… »‘), il n’est pas simple d’avoir le statut « ++ » en la matière. Voici l’état de mes réflexions sur le sujet.

  • Forcer en Edge par défaut. La 3G est un trou noir pour la batterie, et n’apporte rien pour de la synchro mail/calendrier/contacts. Remarquez, il y a pire, la 3G+!. Le ++ (pas 3G++, hein!) dans l’histoire, c’est d’ajouter un bouton « 3G » dans le comm’ Manager (là où on passe en mode avion) avec Advanced Config. De cette façon, la bascule entre Edge et 3G est très simple et rapide pour l’utilisateur.
  • Refaire le menu avec seulement l’essentiel.
  • Gérer la configuration de la flotte avec Microsoft Mobile Device Manager. Plus de 130 paramètres possibles.
  • Utiliser des certificats clients pour l’authentification. Finie la synchro qui ne marche plus à chaque changement de mot de passes!
  • Une intervention technique (changement de carte sim ou téléphone) doit impacter au minimum l’utilisateur. Sauvegarder les SMS et le smartphone avant.
  • Installez Googlemaps, c’est gratuit et c’est génial !
  • Formez les utilisateurs! Un euro investit dans la formation aux smartphones sera toujours plus rentable que la course aux modèles tendances
  • Les personnes qui créent l’image de déploiement ou gère la flotte doivent impérativement avoir aussi un smartphone avec l’abonnement data.
  • Avoir du spare n’est évidemment pas une option!

Les imprimantes

  • Pour les imprimantes recto/verso, partagez deux fois l’imprimante: une fois en normal par défaut, et une fois en recto/verso par défaut. Cela permet aux utilisateurs d’imprimer en recto/verso sans toucher aux paramètres.
  • Créer un site Web afin de localiser les imprimantes dans les étages. c’est facile à faire et toujours apprécié par les utilisateurs (surtout les nouveaux arrivants)
  • Bloquez le bac d’entrée manuel, c’est une source de problème incroyable
  • Bloquez la gameboy de l’imprimante, c’est une deuxième hérésie…
  • Analysez les incidents sur les imprimantes (HP WebjetAdmin, gratuit). Remplacez le top 5 des imprimantes à problèmes (bourrages…). Ajoutez des bacs papiers aux top 5 qui ont des alertes manque de papier.
  • Les capacités d’impressions données par les fabricants sont très optimistes, changez les avant.
  • Si vous pouvez, envoyez les alertes « toner vide » à des personnes qui savent les changer. L’impression qui sort toute rose à cause d’un mauvais changement de toner tombe toujours sur un VIP!

Les fichiers bureautiques

  • Offrez une méthode de recherche efficace: soit l’appliance Google Search entreprise, soit Sharepoint search. L’indispensable étant de n’afficher que les fichiers où l’utilisateur a les droits d’accès.
  • Installez Microsoft Access Base enumeration. Il permet de n’afficher que les dossiers que l’utilisateur peut ouvrir, et évite donc des essais infructueux inutiles tout en clarifiant l’arborescence
  • Si le nettoyage par les utilisateurs ne fonctionne pas, mettez en place une solution d’archivage comme Enterprise Vault par exemple. Cela limite les frictions avec les utilisateurs et allège l’infrastructure.

La suite dans un prochain post!

Merci d’avoir lu jusque là!