dcdiag – VerifyEnterpriseReferences – msDFSR-ComputerReferenceBL – Q312862

En préparant un plugin nagios sur la santé AD, dcdiag /e /c a eu la bonne idée de remonter cette alerte:

Starting test: VerifyEnterpriseReferences

The following problems were found while verifying various important DN

references. Note, that these problems can be reported because of

latency in replication. So follow up to resolve the following

problems, only if the same problem is reported on all DCs for a given

domain or if the problem persists after replication has had

reasonable time to replicate changes. 

 [1] Problem: Missing Expected Value

Base Object: CN=myDC,OU=Domain Controllers,DC=mydomain,DC=net

Base Object Description: "DC Account Object"

Value Object Attribute Name: msDFSR-ComputerReferenceBL

Value Object Description: "SYSVOL FRS Member Object"

Recommended Action: See Knowledge Base Article: Q312862

 

L’article Q312862 n’est plus vraiment d’actualité, mais le problème sous-jacent est bien réel.

Depuis Windows 2008, la réplication AD est censée se faire via DFS-R et non plus FRS. Cependant, cela implique de n’avoir plus que des DC > Windows Server 2003.

Donc si vos DC sont à jours, il faut utiliser dfsrmig dont les principales commandes sont:

Vérifier l’état global:

PS C:usersmchateauDesktop> dfsrmig /GetGlobalState

Current DFSR global state: 'Start'

Succeeded.

Les différents états possibles sont:

0 'Start'
1 'Prepared'
2 'Redirected'
3 'Eliminated'

==>Si vous êtes déjà en DFS-R, l’état est Eliminated.

 

Vérifier l’état de la migration:

PS C:usersmchateauDesktop> dfsrmig /GetMigrationState

All domain controllers have migrated successfully to the Global state ('Start').
Migration has reached a consistent state on all domain controllers.
Succeeded.

 

Passer à l’état Prepared:

PS C:usersmchateauDesktop> dfsrmig /SetGlobalState 1

Current DFSR global state: 'Start'

New DFSR global state: 'Prepared'

Migration will proceed to 'Prepared' state. DFSR service will copy the contents of SYSVOL to SYSVOL_DFSR folder.
If any domain controller is unable to start migration, try manual polling.
Or run with option /CreateGlobalObjects.
Migration can start anytime between 15 minutes to 1 hour.
Succeeded.

 

Vérifier l’état (en cours):

PS C:usersmchateauDesktop> dfsrmig /GetMigrationState

The following domain controllers have not reached Global state ('Prepared'):

Domain Controller (Local Migration State) - DC Type
===================================================

myDC01 ('Start') - Writable DC
myDC02 ('Start') - Writable DC
myDC03 ('Start') - Primary DC
myDC04 ('Start') - Writable DC

Migration has not yet reached a consistent state on all domain controllers.
State information might be stale due to Active Directory Domain Services latency.
PS C:usersmchateauDesktop>

 

Il ne reste plus qu’à faire les 2 états suivants tour à tour:

dfsrmig /SetGlobalState 2
dfsrmig /SetGlobalState 3

 

Au final:

PS C:usersmchateauDesktop> dfsrmig /GetMigrationState
All domain controllers have migrated successfully to the Global state ('Eliminated').
Migration has reached a consistent state on all domain controllers.
Succeeded.

GPMC : 0x80070005 – access denied – E_Accessdenied

En voulant modifier une GPO chez un client, j’ai eu ce message d’erreur GPMC, et la GPO n’est effectivement pas modifiée:

En utilisant Process Monitor, de Sysinternals, l’accès au fichier registry.pol est refusé alors que mon compte est admin du domaine:


Suite à un incident et une restauration autoritaire, les fichiers ont en fait l’attribut lecture seule:

Après avoir décocher l’attribut lecture seule, la modification des GPO fonctionnent de nouveau 🙂

SharePoint 2010: People search relevance is not optimized when the Active Directory has errors in the manager reporting structure

L’analyseur SharePoint remonte souvent cet avertissement:

Il faut commencer par identifier les comptes AD sans manager. Par exemple avec adfind:

adfind -f "(&(objectclass=user)(!(manager=*)))" samaccountname -qlist

Il suffit ensuite, pour ceux ne devant pas avoir de manager, d’utiliser les commandes Add-SPProfileleader comme indiqué dans le message.

 

Project Server 2010 SP1: échec de génération du cube

Contexte:

  • Project Server 2010 SP1
  • Génération d’un cube OLAP
Problème:
Après avoir pourtant fonctionné, la génération du cube ne se fait plus.
Symptômes:
Depuis l’eventlog
Source:Project Server   Event ID:7704
Erreur PS : GeneralQueueJobFailed (26000)

A queue job has failed. This is a general error logged by the Project Server Queue everytime a job fails – for effective troubleshooting use this error message with other more specific error messages (if any), the Operations guide (which documents more details about queued jobs) and the trace log (which could provide more detailed context). More information about the failed job follows. GUID of the failed job: . Name of the computer that processed this job: MyServer (to debug further, you need to look at the trace log from this computer). Failed job type: CBSRequest. Failed sub-job type: CBSQueueMessage. Failed sub-job ID: 2. Stage where sub-job failed: (this is useful when one sub-job has more than one logical processing stages).

Dans les logs SharePoint (ULS):

Cette méthode peut uniquement convertir les revendications d’identité et uniquement lorsqu’il existe une conversion logique.  Parameter name: encodedClaim
ConvertWindowsClaimToWindowsPrincipalName() encountered error: Some or all identity references could not be translated.

 

Résolution:

Parmi les utilisateurs déclarés dans Project, un ou plusieurs ont disparus d’Active Directory.
Normalement, cela est géré automatiquement si:

  • Le service « user profile Synchronization » fonctionne,
  • Les groupes project sont synchronisés avec des groupes AD
  • Une synchro AD et une synchro des groupes Project ont tourné depuis la suppression.
Si vous n’avez pas de synchro AD ou qu’elle est cassée, vous voici donc ici. Ce message d’erreur ne semble se produire qu’à partir du SP1 et quand on est en mode Claim.
Pour résoudre manuellement, il faut vérifier si chaque user existe toujours dans l’AD.
Voici un script permettant d’automatiser ce dur labeur:

import-module « ActiveDirectory« 
$pwaUrl=« http://myspssite/pwa« 
$svcProjectUrl=$pwaUrl+« /_vti_bin/PSI/Resource.asmx?wsdl« 
$c=Get-Credential
$svcProjectProxy=New-WebServiceProxy -uri $svcProjectUrl -credential $c

$users=$svcProjectProxy.ReadUserList(« Active« ).Resources
foreach ($u in $users)
{
$temp= [regex]::Replace($u.WRES_ACCOUNT, « ^.*\« , «  »);
if ((get-aduser $temp) -eq $false)
{
« missing ad user « +($u.RES_NAME)
}
}

 

Lenteurs SharePoint 2007

J’ai été récemment confronté par deux fois à d’importantes lenteurs sous SharePoint 2007:

  • Lors du premier appel suite à recyclage de l’application pool: 2 minutes pour avoir la page
  • Lors de la recherche d’une personne dans l’AD : au moins 30 secondes

2 minutes lors du premier appel

IIS essaye de contacter crl.microsoft.com en http, mais n’y arrive pas. Ceci afin de vérifier la signature des assembly dans le GAC .Net. Les symptômes ainsi que des solutions sont proposées sur ce blog:

http://www.muhimbi.com/blog/2009/04/new-approach-to-solve-sharepoints.html

J’ai choisi la méthode suivante:

Et voilà, on passe à environ 20 secondes, ce qui est « normal » dans la mesure où il doit compiler. Vous pouvez aller encore plus loin en:

  • changeant l’heure par défaut de recyclage de l’application pool
  • Utiliser SPWakeUp, pour « chauffer » le moteur SharePoint en appelant chaque site

Recherche dans l’AD : au moins 30 secondes

Symptômes: vous essayez d’autoriser un utilisateur, un groupe, ou juste assigner une tâche à quelqu’un, cela prends au moins 30 secondes au lieu d’une seconde en général. Je parle ici du temps entre le moment où l’on clique sur la recherche et le moment où le nom est souligné (donc validé).

Analyse du problème: dans mon cas, en traçant l’activité réseau du serveur, on se rend compte qu’il essaye de contacter en vain des contrôleurs de domaines d’une autre forêt en vain au même moment à plusieurs reprise. Cette tentative de connexion est dûe à l’ajout d’une autre forêt via stsadm pour la propriété peoplepicker. Par défaut, SharePoint ne cherche des utilisateurs que dans le domaine où il est. Pour étendre la recherche à d’autre domaines/forêt, il faut les ajouter avec cette commande:
stsadm -o setproperty -url http://SharePointSite:85 -pn peoplepicker-searchadforests –pv “domain1.com”,<loginname1>,<password1>;”domain2.com”,<loginname2>,<password2>

S’il y a une relation d’approbation entre les forêts, il n’y a pas besoin de spécifier un login et un mot de passe.

Voici un post plus détaillé sur le sujet: http://www.gk.id.au/2009/04/people-picker-sharepoint-and-forest.html

Solution: Autoriser les serveurs SharePoint à se connecter aux contrôleurs de domaines de la forêt ciblée. Le port à ouvrir est ldap (389) à la fois en TCP et UDP.

Et voilà, la recherche prend de nouveau environ une seconde et on peut maintenant aussi chercher des utilisateurs de l’autre forêt!

Vers une DSI++: incassable

La sécurité informatique est souvent vue comme une contrainte coûtant de l’argent, ce qui la met en première ligne quand il s’agit de faire des économies. Déjà faut-il encore sortir du clivage « Mon McAffee est mieux que ton Symantec« .
Surtout qu’il s’agit de mesurer un risque et une probabilité, un peu comme une assurance vie…

Je vais essayer ici de vous faire une synthèse ici de l’essentiel, avec quelques friandises valant un « ++ » 😉

Gestion des mots de passes

S’il y a bien un sujet où l’on sent la contrainte, c’est bien celui-là. Vous dites « mot de passe » à n’importe qui, il pense tout de suite sécurité! Et d’ajouter « ils doivent faire au moins 14 caractères » pour qu’il vous réponde « c’est sécurisé chez vous! » (suivi d’un regard plein de compassion sur la souffrance que vous devez éprouver!)
Traite de plaisanterie, les mots de passes sont une rempare comme une autre, et ne servent à rien si d’autres mesures ne sont pas là. J’ai déjà traduis un excellent article de Steve Riley, disponible ici

Gestion du mot de passe administrateur local
Le compte administrateur local est difficile à protéger si l’utilisateur est déterminé. Je vois deux grands axes:
-Rendre les choses difficiles pour décourager ou ralentir
-Faire des vérifications périodiques automatiques pour s’apercevoir des fraudes.

Corser le jeu:

-La longueur du mot de passe doit être supérieure à 14 caractères pour empêcher le stockage en LM hash.
-Chaque station doit avoir un mot de passe administrateur différent. Si c’est le même, n’importe qui l’ayant est admin local du parc, ce qui inclus votre station. Trop facile de vous piéger ensuite!
-Désactivez ce compte. Il n’est pas nécessaire en temps normal, et ne peut se verrouiller.
-Mettez un mot de passe bios, là encore un différent par station. N’autorisez que le boot sur disque dur: pas de CD ni clé USB, ni réseau (si possible).
-Imposez les membres des groupes administrateurs et utilisateurs avec pouvoir locaux via GPO (groupes restreints).

Vérifications récurrentes:
-Mettez un script de logon sur le compte administrateur local. Ce script créera un drapeau pour vous indiquer qu’il a été utilisé et quand. Base de registre ou fichier texte au choix.
-Auditez les journaux d’évènements pour des traces suspectes.
-Changez le mot de passe administrateur local tous les X mois. Quand vous le changez, vérifiez que c’est bien toujours l’ancien. Si quelqu’un l’a claqué, vous le saurez.
-Faites des inventaires des logiciels installés sur les stations. Le droit admin local est recherché pour pouvoir installer ce que l’on veut. Surtout sur les portables, que l’on peut amener chez son meilleur amis,l’expert en informatique bien sûr!

Gérer ses admins
En voilà une idée me direz vous… L’époque où l’admin travaillait avec un compte « administrateurs du domaine » en permanence est révolu, du moins d’un point de vue sécurité. Ils doivent avoir deux comptes, un standard pour la bureautique, et un avec pouvoir (genre monlogin-su), pour les opérations nécessitant des droits supplémentaires. Droits supplémentaires ne voulant pas dire forcément « administrateur du domaine »… Un admin SQL n’a pas besoin de ce privilège par exemple.

Le réseau n’est pas dupe

  • Filtrez les adresses mac par vlan. Un poste venant de nulle part ne doit pas avoir un bail de votre serveur dhcp, ni pouvoir causer avec le réseau.
  • Filtrez les annonces BPDU sur les ports où il n’y pas d’équipement réseaux, activez rootguard si possible.
  • Limitez l’accès aux interfaces de gestion des routeurs/switchs/firewall à vos ip d’administrations.
  • Telnet est interdit. SSH V2 est votre amis.
  • Limitez à une adresse mac par port réseau pour les stations, afin d’empêcher de mettre des hub et autre joyeuseté.
  • Installez une solution de type NAP si vous avez des nomades. Interfacez-là avec vos switch si possible.

Firewall sans trou

  • Version de l’os/firmware ou logiciel à jour
  • Seulement le strict nécessaire est ouvert
  • Les règles de type « accept » ne sont pas logguées sauf raison valable
  • Si possible, des restrictions horaires sont en place
  • Aucun accès TCP direct vers Internet depuis les postes
  • Antispoofing actif
  • Firewall de type stateful

Spécifiques Windows

  • Le compte administrateur du domaine est désactivé
  • Les membres du groupe « Administrateurs du domaine » se comptent sur les doigts de la main. Et tous ces comptes ont un mot de passe > 14 caractères, avec expiration
  • Les logs de sécurité des DC tiennent plus de 24H (rétention)
  • Les eventlogs sont centralisés
  • Il n’y a pas de verrouillage sur les comptes après des essais infructueux
  • Vous avez un WSUS, et les patchs mensuels de sécurité sont appliqués
  • Les machines du domaine sont dans un nuage IPSEC fermé
  • Le firewall Windows est actif sur les stations
  • Un antivirus à jour est installé
  • Le mscache est à zéro si possible, à 1 sur les portables

Spécifiques Unix/Linux
On retrouve ici pas mal de classique…Rappelez-vous qu’un unix/linux par défaut n’est pas plus sûr qu’un Windows…

  • Dites au revoir à inetd et tous les r* (rlogin…)
  • Dites bonjour à SSH (v2 et pas de login root direct), NFSV3, NIS
  • SNMP, oui mais restreint et protégé
  • A jour en terme de patch et noyau ! Vous faites le malin avec un uptime de 800 jours ? Ca en dit long sur la fraicheur de votre kernel…
  • Centralisation des logs avec syslogs

Les applications Windows

  • Vos applications Windows s’appuient sur Active Directory pour l’authentification des utilisateurs…. Avec une authentification transparente (SSO): ++
  • Vos applications se basent sur l’appartenance à un ou des groupes AD, et utilise le SID des groupes pour cette vérification
  • Elles fonctionnent avec les droits utilisateurs standards Windows. Elles ont un Manifest pour XP et pour Vista.
  • Elles ne contiennent pas de comptes d’accès, que ce soit SQL ou autre dans leur configuration.

Les sites Web

  • Utilisez des reverse proxy, par exemple Microsoft ISA 2006. Confiez leur la charge SSL, et activez les protections contre les attaques DOS.
  • Protégez la chaîne de connexion à la base de donnée en la cryptant
  • Si vous avez un formulaire d’authentification:
    • Le nom du formulaire et des champs login/password doivent être dynamiques pour empêcher la saisie semi-automatique
    • La page doit être en SSL
    • Utilisez une procédure stockée pour vérifier la concordance dans la base de donnée.

La messagerie
C’est presque fusionnel avec les utilisateurs…Ils se plaignent de recevoir trop de mail, coupez le serveur, ils hurlent!

  • Mettez toutes vos protections antispam le plus en amont possible, si possible sur le premier relais:
    • Whitelist
    • Reverse DNS
    • SPF / SenderID
    • Rbldns multiples
    • vérification dans les bases publiques type chainmail et phising
    • moteur bayésien
    • Gray listing
    • Antivirus
  • Si vous avez Outlook, utilisez le SCL pour qu’outlook déplace tout seul ces mail dans « courrier indésirable »

vers une DSI++

A première vue, il peut sembler simple d’être une DSI++, mais tout dépend de ce qu’on entend par ++…

La plupart des DSI offrent à peu près les mêmes services aux utilisateurs. Pour se différencier vers le haut, il faut donc arriver à en donner plus pour le même prix! Le problème est de ne pas promettre monts et merveilles qui ne seront jamais atteints…J ‘ai décidé de proposer quelques « ++ » qui me semblent être appréciés par les utilisateurs, et qui ne me semblent pas tant répandus que ça dans les DSI. Je les ai classés par thème.

Toute proposition de votre part sera la bienvenue, n’hésitez pas!

Messagerie Exchange 2003

Tout le monde ayant Exchange pense fournir un service optimum, seulement voilà, il y a des petits extras qui font la différence!

  • Bien évidemment, la base, le minimum syndical, c’est qu’Outlook s’autoconfigure avec le bon serveur Exchange au premier lancement. Utilisez le Ressource Kit Office.
  • Personnalisez les messages d’alertes sur les quota. Il s’agit d’un petit addon Microsoft gratuit méconnu, Exchange quota Service. Il permet de personnaliser les messages d’alertes, et de les écrire notamment en Français.
  • Exchange 2003 ne propose rien en standard pour gérer dignement les réservations de ressources, type salle de réunion. Si vous ne voulez plus entendre un truc du genre « sous Lotus on pouvait« , je vous recommande l’installation d’un autre addon Microsoft, l’agent d’acceptation automatique. Il permet de gérer les conflits de réservations, d’inviter la ressource directement, et de limiter les abus de réservations.
  • Installez WDS pour indexer notamment la boite Outlook sur le poste. Microsoft fournit les templates  de GPO pour le gérer de façon centrale. En plus ca soulagera vos serveurs Exchange!
  • Activez par GPO les numéros de semaines dans le calendrier, et configurez correctement le premier jour de l’année pour que la numérotation soit correcte.
  • Proposez de vrai alternatives aux utilisateurs pour envoyer des pièces jointes de taille importante (voir des pièces jointes tout court). Sharepoint permet un travail collaboratif efficace, dl.free.fr permet d’envoyer gratuitement via http des pièces jointes jusqu’à 1Go (même si vous n’êtes pas chez free, et ce sans demander aucun compte Free).
  • Les fichiers PST ont toujours été un problème. Soit ils sont en local mais non sauvegardés, soit sur un serveur de fichiers mais ils prennent une place folle. Les possibilités sont limitées: addin Microsoft de synchro du pst entre la station et le réseau, dire à l’utilisateur de graver soit même soit pst (DSI–), soit une solution d’archivage de messagerie comme Enterprise Vault (DSI++).

Les profils utilisateurs

  • Redirigez le dossier « Mes Documents » plutôt que dire aux utilisateurs de stocker leurs documents sur P:. Toutes les applications proposent le dossier Mes documents par défaut.
  • Un quota oui, mais géré proprement par GPO avec proquota. L’utilisateur doit savoir qu’il a un problème de quota avant de vouloir fermer sa session!
  • Votre HelpDesk ne doit jamais avoir besoin du mot de passe d’un utilisateur, jamais. Ils doivent connaitre les méthodes correctes pour faire leur travail sans en avoir besoin.
  • Pas de prise de main à distance sauvage. Approbation de l’utilisateur indispensable.
  • Utilisez bginfo pour positionner les quelques informations indispensables sur le fond d’écran (numéro de la hotline, nom du poste de travail…), le tout sans remplacer la photo de bébé mais en surimpression. Ne pas afficher 25 informations non plus, histoire de ne pas le défigurer!

Les stations de travail fixes

  • Programmez un defrag une fois par mois avec SMS ou le planificateur de tâche Windows.
  • Nettoyez les copies de profiles itinérants qui n’ont pas été utilisé depuis XX jours sur les postes avec delprof.exe de Microsoft.
  • Protégez le bios des machines avec un mot de passe
  • Industrialisez l’installation de Windows et de toutes les applications via Ris ou plutôt WDS maintenant. MS SCCM 2007 permet d’automatiser la reconstruction d’un poste de travail, et même de sauvegarder les profiles utilisateurs avant la réinstallation.

Les stations nomades

Les besoins des nomades sont souvent contraires aux règles des DSI (comment ca je peux pas installer Adibou pendant mes vacances?). Il est parfois difficile de faire la part des choses entre un vrai besoin professionnel et une utilisation plus…personnel du matériel. Comment savoir ? N’autorisez pas l’installation de logiciels et ne fournissez pas de logiciel de lecture vidéo…S’ils en veulent toujours c’est que c’est sérieux!. Blague à part voici la check’list!

  • Diffusez le paramétrage du proxy de l’entreprise via un fichier wpad depuis le dhcp. Ainsi Internet Explorer marchera à l’extérieur.
  • Le Wifi doit fonctionner correctement depuis un compte utilisateur standard. Privilégiez le service pack 3 de XP pour avoir le WPA2 natif.
  • Windows vista (SP1) est vraiment un plus pour les portables.
  • Le master doit avoir les derniers pilotes, et la mise en veille, prolongée ou non, doit être vraiment fiable.
  • Le HelpDesk doit pouvoir venir en aide à l’utilisateur en prenant la main à distance. Le plus simple est d’utiliser une solution type LogMeIn, qui fonctionne même depuis un hôtel.(c’est le poste client qui se connecte à un serveur, ca traverse donc les firewalls et le nat). Pourquoi pas à travers un vpn ? Ben parque ce s’il appel, c’est peut être parce que le vpn ne marche pas ! Le rustique a souvent du bon dans ce genre de situation (géographiquement éloigné, utilisateur stressé).
  • Les cartes 3G c’est pas mal, mais la 3G ne passe pas partout et ça coûte cher en roaming. Un abonnement à des hotspots est un vrai plus (à l’hôtel, aéroport…)

Smartphone mon amour (Windows Mobile powered, of course)

Sujet potentiellement brûlant et sans reconnaissance des efforts fournis par les utilisateurs (« BlackBerry c’est mieux… »‘), il n’est pas simple d’avoir le statut « ++ » en la matière. Voici l’état de mes réflexions sur le sujet.

  • Forcer en Edge par défaut. La 3G est un trou noir pour la batterie, et n’apporte rien pour de la synchro mail/calendrier/contacts. Remarquez, il y a pire, la 3G+!. Le ++ (pas 3G++, hein!) dans l’histoire, c’est d’ajouter un bouton « 3G » dans le comm’ Manager (là où on passe en mode avion) avec Advanced Config. De cette façon, la bascule entre Edge et 3G est très simple et rapide pour l’utilisateur.
  • Refaire le menu avec seulement l’essentiel.
  • Gérer la configuration de la flotte avec Microsoft Mobile Device Manager. Plus de 130 paramètres possibles.
  • Utiliser des certificats clients pour l’authentification. Finie la synchro qui ne marche plus à chaque changement de mot de passes!
  • Une intervention technique (changement de carte sim ou téléphone) doit impacter au minimum l’utilisateur. Sauvegarder les SMS et le smartphone avant.
  • Installez Googlemaps, c’est gratuit et c’est génial !
  • Formez les utilisateurs! Un euro investit dans la formation aux smartphones sera toujours plus rentable que la course aux modèles tendances
  • Les personnes qui créent l’image de déploiement ou gère la flotte doivent impérativement avoir aussi un smartphone avec l’abonnement data.
  • Avoir du spare n’est évidemment pas une option!

Les imprimantes

  • Pour les imprimantes recto/verso, partagez deux fois l’imprimante: une fois en normal par défaut, et une fois en recto/verso par défaut. Cela permet aux utilisateurs d’imprimer en recto/verso sans toucher aux paramètres.
  • Créer un site Web afin de localiser les imprimantes dans les étages. c’est facile à faire et toujours apprécié par les utilisateurs (surtout les nouveaux arrivants)
  • Bloquez le bac d’entrée manuel, c’est une source de problème incroyable
  • Bloquez la gameboy de l’imprimante, c’est une deuxième hérésie…
  • Analysez les incidents sur les imprimantes (HP WebjetAdmin, gratuit). Remplacez le top 5 des imprimantes à problèmes (bourrages…). Ajoutez des bacs papiers aux top 5 qui ont des alertes manque de papier.
  • Les capacités d’impressions données par les fabricants sont très optimistes, changez les avant.
  • Si vous pouvez, envoyez les alertes « toner vide » à des personnes qui savent les changer. L’impression qui sort toute rose à cause d’un mauvais changement de toner tombe toujours sur un VIP!

Les fichiers bureautiques

  • Offrez une méthode de recherche efficace: soit l’appliance Google Search entreprise, soit Sharepoint search. L’indispensable étant de n’afficher que les fichiers où l’utilisateur a les droits d’accès.
  • Installez Microsoft Access Base enumeration. Il permet de n’afficher que les dossiers que l’utilisateur peut ouvrir, et évite donc des essais infructueux inutiles tout en clarifiant l’arborescence
  • Si le nettoyage par les utilisateurs ne fonctionne pas, mettez en place une solution d’archivage comme Enterprise Vault par exemple. Cela limite les frictions avec les utilisateurs et allège l’infrastructure.

La suite dans un prochain post!

Merci d’avoir lu jusque là!

Gérer les GPO depuis un VISTA SP1

Si vous souhaitez gérer vos GPO depuis un PC sous Vista SP1, je vous recommande d’utiliser le pack RSAT de Microsoft:

Microsoft Remote Server Administration Tools for Windows Vista (KB941314)

Ce pack est initiallement prévu pour gérer du Windows 2008, mais cela fonctionne avec du 2003 aussi 🙂

Une fois installé, il faut activer les features: