Il peut être souhaitable, pour différentes raisons, comme par exemple satisfaire la demande d’un client, que les utilisateurs simples d’un domaine, soient admins sur leurs machines, pour la gérer comme ils l’entendent, au niveau de l’installation de logiciels et autres. Ceci se paramètre via les Groupes Restreints.

Sous Windows Server 2012, il faut executer (sur le controleur de domaine)

gpmc.msc

puis descendre dans le domaine à gérer, aller dans les paramètres de la Default Domain Policy, faire un clic-droit puis Modifier, pour ouvrir l’Editeur de gestion des stratégies de groupes.

Puis on va dans

Config ordinateur
|-Stratégies
  |-Paramètres Windows
    |-Paramètres de sécurité
      |-Groupes restreints

On fait un clic-droit -> ajouter un groupe, puis on spécifie le Groupe de sécurité dont les utilisateurs seront élevés en tant qu’Admin locaux. Par exemple Utilisateurs du domaine pour tout le monde, ou encore un groupe Admin Locaux que l’on aura pris le soin de créer auparavant.

Puis dans la fenètre des proprietés de ce groupe restreint qui apparaît, dans le cadre “ce groupe est membre de”, on fait Ajouter, puis on sélectionne le groupe Administrateurs.

On force l’application de la GPO sur un client avec la commande

gpupdate /force

puis on déconnect et reconnecte une session sur un utilisateur faisant partie du groupe sus-spécifié, et il sera désormais admin de sa propre machine.

Source : honteusement pompé (une fois de plus) de http://www.frickelsoft.net/blog/?p=13

Il suffit de taper ces 3 commandes en powershell :

w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL
Stop-Service w32time
Start-Service w32time

Source : honteux copier-coller, après vérification, de ce site, qui explique plus en détail : http://www.sysadminlab.net/windows/configuring-ntp-on-windows-server-2012

Lorsque l’on a plusieurs environnements de bureau installés, par exemple KDE, Gnome 3 et Mate, et que l’on utilise LightDM pour gérer la connexion graphique, la connexion se fera automatiquement sur le DE par défaut. Je suppose, sans être sûr, que c’est le dernier installé. On peut modifier ce choix à la volée, avec le menu déroulant prévu pour, mais ceci est à faire à chaque fois, et peut donc être pénible.

pour définir un nouvel environnement par défaut, à l’échelle du système, il suffit d’utiliser les alternatives. C’est donc la commande :

sudo update-alternatives --config x-session-manager

qui permet de voir et choisir à quel DE correspondra ce choix par défaut !

Sous XP, il peut arriver qu’il soit impossible de rendre accessible des partages réseau, notamment lorsque l’ordinateur essaie d’accéder à ses propres partages réseau ( \127.0.0.1\partage par exemple).

Le message d’erreur est de type : \serveur\partage est inaccessible. […] Mémoire insuffisante sur le serveur pour traiter cette commande.

Ce problème a été rencontré par beaucoup d’utilisateurs lorsque Acronis ou Norton Ghost étaient installés.

Il faut pour corriger ceci modifier une valeur du registre. Aller à la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Modifier (ou créer si elle n’existe pas) la valeur IRPStackSize, de type DWORD, et la positionner à une valeur supérieure. Sous XP, les valeurs peuvent aller de 0x1 (1) à 0x32 (50). La valeur par défaut est 0xF (15). Il est recommandé par Microsoft de monter les valeurs 3 par 3.

Il faut redémarrer la machine pour que les changements soient pris en compte.

Si l’on souhaite que les utilisateurs sans privilèges ne puissent pas se connecter en local sur un poste (par exemple pour en réserver l’accès aux admins), il faut utiliser les stratégies de groupe. Executer :

gpedit.msc

Et aller dans

Config ordi
  |-Paramètres Windows
    |-Paramètres de sécurité
      |-Stratégies locales
        |-Attribution des droits utilisteurs
          |-Permettre l'ouvrture d'une session locale  --> Enlever Utilistaeurs

Et voilà. Ceci n’empêche pas qu’ils ouvrent une session via une connexion RDP.

La comande md5sum, disponible en standard sous Linux (paquet coreutils sous Debian), permet de faire le md5 d’un fichier. Si on souhaite faire directement le md5 d’une chaine de caractères, il faut pour ceci utiliser la syntaxe suivante :

echo -n ma chaine de caracteres meme avec des espaces | md5sum

Il est indispensable de passer l’option -n, qui permet de supprimer le retour chariot (mis automatiquemeent par echo) de fin de chaine, qui modifie radicalement le md5.

Lorsqu’une Livebox est remplacée, il faut qu’elle fasse une actualisation auprès des serveurs H323 (ou SIP selon le protocole) d’Orange. Ceci est fait automatiquement sous 24h.

On peut cependant souhaiter réactiver plus rapidement cet accès à la téléphonie. Il faut pour ceci redémarrer 3 fois la Livebox, à environ 5 minutes d’écart (s’assurer que la connexion au net se soit bien rétablie entre 2 redémarrages), en maintenant la Box débranchée au moins 1 minutes à chaque fois. À chaque redémarrage, elle forcera l’opération suivante d’actualisation du serveur (qui se fait normalement automatiquement toutes les 6 à 8h).

Ainsi, au bout du 3ème redémarrage au max, les informations entre la Livebox et les différents serveurs H323 seront cohérentes, et la connexion au réseau VoIP sera opérationnelle (le voyant téléphonique s’allume environ 2 minutes après que la connexion au net soit effective, c’est à dire que le voyant @ est allumé)

Source : un technicien du 3901 - méthode appliquée avec succès sur une Livebox Pro V2.

En cas d’infection par des malwares publicitaires (Yontoo, Delta, Lyricspal, qvo6 etc), les paramètres du navigateur sont souvent modifiés pour remplacer les outils légitimes par ceux de la société derrière l’infection. Cela se manifeste par un moteur de recherche foireux, une page d’accueil du même acabit, et souvent des extensions du navigateur qui visent à ajouter des publicités à des pages n’en contenant pas. Il y a souvent un logiciel/service installé qui surveille les modification effectuées par l’utilisateur pour rétablir les paramètres dès leur modification. Se débarrasser de ces softs est la première étape vers la guérison.

Une fois les logiciels désinstallés, les effets sur le navigateur sont généralement encore visibles. On peut facilement rétablir la page d’accueil, le moteur de recherche par défaut et enlever les extensions, le tout directement au sein du navigateur.

Il peut cependant arriver que la page à l’ouverture du navigateur ne soit toujours pas celle désirée, bien que les paramètres soit corrects. Le procédé est dans ce cas différent : au lieu de paramétrer le navigateur pour changer sa page d’accueil, l’infection va lancer le navigateur en lui donnant une url en paramètre. Ainsi, malgré toutes les configuration possibles, le raccourci du menu donnera l’ordre de lancer le navigateur sur une page précise.

Pour corriger ceci, il faut ouvrir le menu démarre e l’utilisateur (ou de tous les utilisateurs si l’entrée du menu est commune) : par exemple pour Firefox C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Mozilla Firefox
En faisant un clic droit -> Propriétés sur le raccourci Firefox présent dans ce répertoire, on peut voir que la valeur du raccourci est le chemin de l’exécutable, avec un url derrière, en paramètre. Il suffit de supprimer le paramètre pour que l’ouverture du navigateur redevienne normale.

La procédure est légèrement pour l’élément Internet du menu démarrer (tout en haut). Cet élément est un élément défini par le système, et n’est pas accessible directement dans le dossier du menu démarrer. Il faut passer par le registre pour modifier sa valeur. Lancer regedit et aller à la clé : HKLM\SOFTWARE\Clients\StartMenuInternet
Chacun des programmes pouvant être le navigateur par défaut (et donc figurer dans la liste) a sa clé ici. La manipulation suivante est à faire pour chacun des navigateurs (Firefox, Chrome, IE etc…) Aller à la clé HKLM\SOFTWARE\Clients\StartMenuInternet\NAVIGATEUR.EXE\shell\open\command On trouve ici la valeur (par défaut), qui donne le chemin de l’exécutable, ainsi qu’un éventuel paramètre. Il suffit de supprimer l’url en paramètre pour retrouver une ouverture normale du navigateur.

Il peut arriver que les extensions restent masquées, malgré le fait que la case dédiée dans les Options des dossiers soit décochée. Dans ce cas, aller voir dans la base de registre cette clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced et vérifier la valeurs de HideFileExt (qui doit être à 0). Pareil sur la clé propre à l’utilisateur : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Grâce au paquet live-build, on peut aisément construire une image personnalisée d’un système live Debian Wheezy. Ceci a été réalisé sous Wheezy en 64 bits, et je souhaitais obtenir une image i386 (pour la compatibilité avec le maximum d’ordinateurs à des fins de dépannage).

Première étape : installer le paquet :

sudo aptitude install live-build

créer un dossier dedié à la construction de l’image et aller dedans :

mkdir debian_live && cd debian_live

créer un dossier auto pour la conf, et y coller les exemples :

mkdir auto && cp /usr/share/doc/live-build/examples/auto/* ./auto/

Préparer la configuration en éditant le fichier auto/config pour qu’il contienne ceci

#!/bin/sh

lb config noauto \
    --architectures 'i386' \
    --archive-areas 'main contrib non-free' \
    --bootappend-live 'boot=live config locales=fr_FR.UTF-8 keyboard-layouts=fr' \
    --binary-images 'iso-hybrid' \
    --distribution 'wheezy' \
    --linux-flavours '486 686-pae' \
    --source 'false' \
    --apt 'aptitude' \
    --apt-secure 'false' \
    "${@}"

le --apt-secure 'false' permet d’installer les paquets non-signés pour installer mate.

Puis on initie la configuration :

lb config

Les infos sont récuperées du fichier que l’on vient d’éditer.

Il faut ensuite ajouter les dépôts additionnels ; dans mon exemple celui de Mate, mais cela peut être n’importe quel dépôt. pour cela, créer le fichier

nano ./config/archives/mate.list.chroot

et copier dedans l’adresse du dépôt

deb http://packages.mate-desktop.org/repo/debian/ wheezy main

Ce(s) fichier(s) doit être de la forme xxxx.list.chroot pour être pris en compte automatiquement lors de la construction de l’image (à l’étape du chroot). Il est aussi possible de nommer un fichier xxx.list.binary si l’on souhaite que le dépôt se retrouve dans le sources.list du système live.

Nous spécifions ensuite la liste des paquets que nous souhaitons voir installés dans le système, grâce au fichier :

nano ./config/package-lists/packages.list.chroot

dans lequel nous collons la liste de tous les paquets souhaités. Par exemple :

vlc openoffice.org  openoffice.org-l10n-fr openjdk-7-jre mdadm  rdesktop conky nmap rcconf network-manager-gnome firmware-linux firmware-atheros firmware-b43-installer firmware-bnx2 firmware-bnx2x firmware-brcm80211 firmware-intelwimax firmware-ipw2x00 firmware-ivtv firmware-iwlwifi firmware-libertas firmware-myricom firmware-netxen firmware-qlogic firmware-ralink firmware-realtek gparted hfsprogs ntfs-3g hfsplus hfsutils dosfstools hplip system-config-printer xsane simple-scan lightdm mate-desktop-environment bash-completion chntpw caja-open-terminal clamav dcfldd bootlogd less mesa-utils numlockx ethtool grub2 mesa-utils ssh gdisk testdisk python-tk iftop nethogs pm-utils dmraid unrar

De la même manière, le format doit respecter la syntaxe xxx.list.chroot pour être pris en compte lors de la construction de l’image.

Puis on peut lancer la construction à proprement parler, en root :

sudo lb build

Qui amène à la création d’un fichier binary.hybrid.iso dans le dossier courant, prêt à être gravé sur cd ou dumpé sur clé usb avec la commande

dd if=./binary.hybrid.iso of=/dev/sdX

Pour plus d’infos, ne pas oublier de consulter les mans :

man live-build
man lb config