| [ Index ] |
PHP Cross Reference of Unnamed Project |
[Summary view] [Print] [Text view]
1 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> 2 <html> 3 <head> 4 <title>Solution pre/post-clonage avec NewSID</title> 5 <meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-15" /> 6 <meta name="author" content="Stephane Boireau, A.S. RUE de Bernay/Pont-Audemer" /> 7 <link href="styles.css" rel="stylesheet" type="text/css" /> 8 </head> 9 <body> 10 <div class="content"> 11 <h1 align="center">Solution pre/post-clonage avec NewSID</h1> 12 13 <h2>Introduction</h2> 14 <blockquote> 15 <p>Lorsque l'on clone des postes NT/2K/XP, il faut corriger quelques bricoles sur chaque poste pour assurer un bon fonctionnement en réseau.</p> 16 <ul> 17 <li><p>Si vos postes n'utilisent pas une attribution IP par DHCP, ils ont la même IP lors du premier boot et cela provoque des erreurs.</p></li> 18 <li><p>Ils ont aussi le même nom de machine.</p></li> 19 <li><p>Sur les postes XP, ils ont aussi le même SID (<i>un identifiant de la machine,...</i>).<br> 20 Il faut corriger cela pour des questions de sécurité dans le cadre d'une utilisation hors domaine.<br> 21 Dans le cas d'une utilisation au sein d'un domaine, j'ignore si cela pose un problème.</p></li> 22 </ul> 23 <p><br></p> 24 25 <p>Pour les postes XP, vous pouvez utiliser l'outil Micro$oft SYSPREP pour corriger le nom de machine et le SID lors du premier boot après clonage.<br> 26 L'inconvénient de cet outil, c'est qu'il nécessite l'utilisation d'une clé VLK(?), sans quoi, une fois les machines clonées, il faut saisir sur chaque clone une clé valide (<i>qui corresponde au type d'installation XP pro (toutes les clés ne sont pas interchangeables)</i>).<br> 27 Bref, le risque de galère n'est pas négligeable.</p> 28 <p><br></p> 29 30 <p>Il est également possible d'utiliser l'outil NewSID de SysInternals.<br> 31 Voir <a href="http://www.sysinternals.com">http://www.sysinternals.com</a><br> 32 Cet outil permet également de changer le nom de machine et le SID, mais sans se soucier d'histoires de clés.</p> 33 <p>C'est une solution avec NewSID que j'uilise désormais et que je vais présenter ci-dessous.</p> 34 <p><br></p> 35 36 <p>Pour ce qui est du changement IP,... si vous n'utilisez pas de serveur DHCP, il est possible d'utiliser la commande 'netsh' dans un script pour modifier les paramètres IP après clonage.</p> 37 <p><br></p> 38 39 <p>Pour récapituler, j'utilise:</p> 40 <ul> 41 <li><p>La commande 'netsh' dans un script BATCH pour les changements IP,...</p></li> 42 <li><p>Le programme NewSID de SysInternals (<i>voir la rubrique <a href="#liens">liens</a></i>) pour le changement de nom et de SID.</p></li> 43 <li><p>Auto-it (<i>voir la rubrique <a href="#liens">liens</a></i>) pour lier le tout et pour les boites de dialogue.</p></li> 44 </ul> 45 <p><br></p> 46 47 <p><i>NOTE:</i> A propos de SID...</p> 48 <blockquote> 49 <p>Le SID est un identifiant propre à chaque machine dans un réseau Micro$oft.<br> 50 Qui dit identifiant dit unicité.<br> 51 Deux machines ne doivent pas avoir le même SID sans quoi on n'a plus vraiment affaire à un identifiant.</p> 52 <p>L'identifiant d'un utilisateur se construit avec quelques caractères supplémentaires: un RID<br> 53 Chaque utilisateur a donc un identifiant du type: SID+RID<br> 54 (<i>Ce n'est pas une somme numérique, mais une concaténation</i>)</p> 55 <p>Dans un réseau Micro$oft, les stations ont un SID, le serveur a un SID et le domaine a un SID.</p> 56 <p>Le SID du domaine permet à une station qui a joint le domaine de savoir si elle s'adresse bien au bon serveur lors de ses contacts ultérieurs (<i>si j'ai bien tout compris;o</i>).</p> 57 <p>Le changement de nom de la station ne modifie pas son SID.<br> 58 Or deux utilisateurs distincts créés sur deux clones risquent d'avoir le même identifiant (SID+RID) et ainsi obtenir des droits sur les fichiers, ressources,... de l'autre dans une situation Workgroup (<i>hors domaine Micro$oft/Samba</i>).<br> 59 Cela pose un problème de sécurité sur des partages et sur des supports amovibles formatés en NTFS (<i>si j'ai bien tout compris;o</i>).</p> 60 <p>Dans un domaine, pour ce qui est des identifiants de comptes utilisateurs, ils ne dépendent pas du SID de la machine, mais du SID du domaine (SID du serveur).<br> 61 L'identifiant d'un utilisateur défini sur le domaine est de la forme SID_du_domaine+RID</p> 62 </blockquote> 63 <p><br></p> 64 </blockquote> 65 66 <h2>Démarche</h2> 67 <blockquote> 68 <p>Le principe est le suivant:<br> 69 On met en place avant le clonage tout le nécessaire sur le poste "modèle".<br> 70 Après clonage, en vous connectant en administrateur local, une boite de dialogue s'ouvre pour vous inviter à saisir la nouvelle IP et le nouveau nom de machine.<br> 71 Après validation, des scripts se lancent et amènent la station à rebooter.<br> 72 Lors du login administrateur suivant, le nettoyage est fait pour supprimer ce qui a servi au post-clonage.</p> 73 <p><br></p> 74 75 <p><i>NOTE:</i></p> 76 <blockquote> 77 <p>Le dispositif permet si nécessaire d'intégrer dans la foulée un domaine SambaEdu3.<br> 78 Dans ce cas, on fournit quelques paramètres supplémentaires avant clonage.<br> 79 Et après clonage, il faut compter un reboot de plus puisque le rejoin_se3_XP.vbs se lance là où se termine habituellement l'opération hors situation SE3 (<i>le lancement est automatisé; seul le login administrateur est nécessaire</i>).</p> 80 </blockquote> 81 <p><br></p> 82 </blockquote> 83 84 85 <h2>Sans domaine SambaEdu3</h2> 86 <blockquote> 87 <p>Dans un premier temps, je vais présenter la mise en place du paquet avant clonage dans le cas où l'on ne souhaite pas intégrer un domaine SambaEdu3 dans la foulée.</p> 88 <p><br></p> 89 90 <h2>La mise en place</h2> 91 <blockquote> 92 <p>Il s'agit de désarchiver le paquet fourni (<i>voir <a href="#liens">plus bas</a></i>) dans un dossier quelconque et de lancer le 'setup.exe' qui s'y trouve.<br> 93 Dans le cas où vous avez un logiciel comme PowerArchiver installé, en double-cliquant sur l'archive, le programme vous propose de lancer le 'setup.exe'.</p> 94 <p>L'archive contient les fichiers suivants:<br> 95 <img src="images/post-clonage0a.png" alt="" width="239" height="220"><br> 96 Les fichiers .au3 sont les fichiers source AutoIt (<i>inutiles si vous ne souhaitez pas modifier/améliorer le dispositif</i>).<br> 97 Le dossier 'temp' contient l'ensemble du dispositif mis en oeuvre par le 'setup.exe'.</p> 98 <p><br></p> 99 100 <!--p>post-clonage0b.png<br><img src="images/post-clonage0b.png" alt="" width="121" height="49"></p> 101 <p><br></p> 102 103 <p>post-clonage0c.png<br><img src="images/post-clonage0c.png" alt="" width="144" height="238"></p> 104 <p><br></p--> 105 106 <p>Au lancement de 'setup.exe', la première fenêtre vous invite à définir les paramètres IP communs aux stations qui vont être clonées:<br> 107 <img src="images/post-clonage30b.png" alt="" width="306" height="345"></p> 108 <p>A ce stade, vous pouvez opter pour une configuration en client DHCP (<i>1a</i>) ou en configuration statique (<i>1b</i>).<br> 109 Dans le cas de la configuration statique, vous devez préciser à la fois le masque et la passerelle (<i>vider si il n'y a pas de passerelle</i>), mais ne décochez pas la passerelle sans quoi l'adresse IP ne serait pas modifiée (<i>la commande netsh ne permet pas de modifier l'IP sans modifier/saisir la passerelle associée</i>).</p> 110 <p>Indépendamment de ces choix, vous pouvez aussi modifier (<i>2</i>) le serveur DNS et le serveur WINS (<i>je n'ai prévu qu'un seul serveur de chaque (cela pourra être aisément modifié dans le futur)</i>).<br> 111 Si vous décochez, les paramètres DNS et WINS ne sont pas modifiés.<br> 112 Si vous cochez et videz le champ, le DNS ou WINS est supprimé.</p> 113 <p>Vous pouvez ensuite effectuer une pause après l'affichage de la config IP obtenue (<i>cela implique de l'utilisateur une validation supplémentaire; ce n'était utile que pour du débuggage...</i>).</p> 114 <p>Vous pouvez aussi choisir d'intégrer un domaine SambaEdu3 dans la foulée.<br> 115 Je laisse ce choix de côté pour un autre paragraphe.</p> 116 <p><br></p> 117 118 <p><i>NOTE:</i></p> 119 <blockquote> 120 <p>Dans le cas où vous avez préparé un poste (<i>sans DHCP</i>) avec les bons paramètres IP, ne renseignez que le masque de sous-réseau, la passerelle et laissez cochée la passerelle.<br> 121 Laissez décochés les champs DNS et WINS.</p> 122 </blockquote> 123 <p><br></p> 124 125 <p>Après validation de cette fenêtre, une partie de l'arborescence est mise en place.<br> 126 Une fenêtre DOS s'affiche brièvement pour appliquer des ACL sur le dossier 'C:\temp\clone' et éviter ainsi qu'un utilisateur non administrateur aille y fouiner.</p> 127 <p><br></p> 128 129 <p><a name="corresp_nom_mac_ip_wkgp"></a>Il vous est ensuite proposé de mettre en place un fichier de correspondances de nom de machine, adresse MAC, IP et Workgroup.<br> 130 <img src="images/post-clonage4.png" alt="" width="306" height="165"><br> 131 Si vous répondez Oui, une boite d'Exploration s'ouvre pour aller chercher le fichier.</p> 132 133 <p>L'identifiant du poste est l'adresse MAC de la carte réseau.</p> 134 <p>Si un tel fichier est mis en place, après le clonage, le renommage, changement IP,... seront effectués automatiquement sans saisie de l'administrateur.<br> 135 Si un tel fichier n'est pas proposé, vous serez invité à saisir le nom, l'IP et le Workgroup souhaité lors du redémarrage après clonage.</p> 136 <p>Chaque ligne du fichier (<i>si vous en proposez un</i>) contient les informations suivantes avec le formatage suivant:<br> 137 NOM_DE_MACHINE<font color="red">;</font>ADRESSE_MAC<font color="red">;</font>ADRESSE_IP<font color="red">;</font>WORKGROUP</p> 138 <p>Voici un exemple de fichier:<br> 139 <img src="images/post-clonage6.png" alt="" width="441" height="149"><br> 140 <i>A noter:</i> Le séparateur des champs est le point-virgule.<br> 141 Et le séparateur dans l'adresse MAC est ":".</p> 142 <p><br></p> 143 144 <p>Pour la suite, je ne vais pas mettre en place un tel fichier.</p> 145 <p><br></p> 146 147 148 <p><a name="demarrage_administrateur"></a>La troisième partie de la mise en place débute:<br> 149 Il s'agit de placer l'exécutable 'clone.exe' dans le dossier 'C:\Documents and Settings\<b>XXXXX</b>\Menu démarrer\Programmes\Démarrage\' d'un administrateur de la machine.<br> 150 C'est le compte avec lequel vous devrez vous connecter sur chaque station clonée pour que les corrections IP, nom de machine et SID soient lancées.</p> 151 <p>La fenêtre suivante s'affiche:<br> 152 <img src="images/post-clonage8.png" alt="" width="419" height="166"><br> 153 Elle fournit à peu près les mêmes informations que celles que je viens de proposer.<br> 154 Validez.</p> 155 <p><br></p> 156 157 <p>Dans la fenêtre suivante, choisissez un compte administrateur:<br> 158 <img src="images/post-clonage10.png" alt="" width="324" height="331"><br> 159 Sur cet exemple, je n'ai qu'un compte défini.<br> 160 Il a le statut d'administrateur (<i>ça ne se voit pas sur cet écran</i>).<br> 161 Et il se nomme 'Administrateur'.</p> 162 <p>Après la sélection, validez.</p> 163 <p><br></p> 164 165 <p>La fenêtre de confirmation s'affiche:<br> 166 <img src="images/post-clonage11.png" alt="" width="506" height="175"></p> 167 <p><br></p> 168 169 <p>Après validation, une dernière fenêtre vous indique que tout est en place:<br> 170 <img src="images/post-clonage12.png" alt="" width="306" height="245"></p> 171 <p><br></p> 172 173 <p><a name="autologon"></a>Pour éviter de devoir vous connecter sur chaque station après clonage, vous pouvez mettre en place un Auto-login (<i>il s'agit d'une petite modification dans la base de registre</i>):<br> 174 <img src="images/post-clonage13.png" alt="" width="306" height="245"><br> 175 Cet auto-login sera automatiquement supprimé une fois la tâche de post-clonage effectuée.</p> 176 <p><br></p> 177 178 <p>Lors du Clic sur OK, vous obtenez le message suivant:<br> 179 <img src="images/post-clonage14.png" alt="" width="303" height="113"></p> 180 <p><br></p> 181 182 <p>Vous pouvez dès lors éteindre la machine et procéder au clonage.</p> 183 <p><br></p> 184 185 <p><i>NOTE:</i></p> 186 <blockquote> 187 <p>Les fichiers mis en place le sont:</p> 188 <ul> 189 <li> 190 <p>Dans 'C:\temp\':<br> 191 <img src="images/post-clonage15b.png" alt="" width="127" height="52"><br> 192 Les fichiers à la racine de ce dossier sont ceux qui serviront au nettoyage.</p> 193 <p>Dans le sous-dossier 'C:\temp\clone\', on trouve les paramètres, les BATCH et programmes:</p> 194 <table border="0"> 195 <tr> 196 <td> 197 <img src="images/post-clonage16b2.png" alt="" width="145" height="272"> 198 </td> 199 <td> 200 <p><font color="red">Préciser l'utilité de chacun des fichiers...</font></p> 201 </td> 202 </tr> 203 </table> 204 <p><br></p> 205 </li> 206 <li> 207 <p>Dans 'C:\Documents and Settings\<b>XXXXX</b>\Menu démarrer\Programmes\Démarrage\', le programme 'clone.exe' qui sera exécuté au login correspondant après clonage sur chaque station (<i>modèle compris (pour le modèle, après clonage, vous pourrez annuler les modifs et procéder au nettoyage en lançant directement le programme 'C:\temp\nettoyage2.exe')</i>).</p> 208 </li> 209 </ul> 210 </blockquote> 211 <p><br></p> 212 </blockquote> 213 214 <h2>Le clonage</h2> 215 <blockquote> 216 <p>Procédez au clonage des stations d'après le modèle à l'aide de l'outil de votre choix.<br> 217 Pour ma part j'utilise généralement UdpCast.<br> 218 Voir <a href="http://www.udpcast.linux.lu/">http://www.udpcast.linux.lu/</a></p> 219 <p><br></p> 220 </blockquote> 221 222 <h2>Après clonage</h2> 223 <blockquote> 224 <p>Après clonage, sur chaque station, connectez-vous sous l'identité de l'utilisateur administrateur dans le 'Menu démarrer\Programmes\Démarrage\' duquel le 'clone.exe' a été mis en place (<i>sauf si vous avez mis en place l'<a href="#autologon">autologon</a></i>).</p> 225 <p>Dans cet exemple, il s'agissait de l'utilisateur 'Administrateur':<br> 226 <img src="images/post-clonage19.png" alt="" width="417" height="267"></p> 227 <p><br></p> 228 229 <p>En fin de login, une fenêtre s'ouvre (<i>il faut parfois un peu de temps pour que W$ ait fini de charger tout ce qui se met en tray-icon,...</i>).<br> 230 <img src="images/post-clonage31.png" alt="" width="305" height="205"><br> 231 Saisissez l'IP, le nom et le Workgroup souhaité:<br> 232 <img src="images/post-clonage32.png" alt="" width="306" height="205"><br> 233 Le nom ne doit comporter que des caractères alphanumériques (<i>et éventuellement le caractère '_'</i>).</p> 234 <p>Validez.<br> 235 C'est tout ce que vous aurez à faire sur chaque clone.</p> 236 <p><i>NOTE:</i> Si le nom du Workgroup est laissé vide, il n'est pas modifié.</p> 237 <p><br></p> 238 239 240 <p>Un premier BATCH se lance (<i>'corrigboot.bat'</i>) pour ramener le délai dans le 'boot.ini' à zéro.<br> 241 Ce fichier est une scorie de mes premiers essais avec Sysprep qui avait aussi l'inconvénient de remettre un délai avant de démarrer XP.<br> 242 Il s'exécute très rapidement et c'est une correction qui me convient; je l'ai donc conservé.</p> 243 <p><br></p> 244 245 <p>Un deuxième BATCH se lance (<i>'modifip4.bat'</i>) pour procéder au changement d'IP,... et aux autres modifications éventuelles sur l'interface réseau:<br> 246 <img src="images/post-clonage33.png" alt="" width="668" height="331"><br> 247 L'opération de changement IP,... est assez longue.<br> 248 Cependant, si vous clonez plusieurs machines, pendant que l'opération se fait, vous pouvez vous occuper d'un autre clone.</p> 249 <p><br></p> 250 251 <p>Sans que vous ayez quoi que ce soit à faire, un troisième et dernier BATCH se lance (<i>'new_sid.bat'</i>) pour procéder au changement de workgroup, de nom de machine et de SID:<br> 252 <img src="images/post-clonage51.png" alt="" width="668" height="331"><br> 253 L'opération est assez longue.<br> 254 Lorsqu'elle se termine, la machine reboote automatiquement.</p> 255 <p><br></p> 256 257 <p><i>NOTE:</i></p> 258 <ul> 259 <li><p>Il est recommandé de se connecter à nouveau une fois avec le même compte administrateur pour que le nettoyage soit effectué.<br> 260 Il n'est cependant pas indispensable en mode hors SambaEdu3.</p></li> 261 <li><p>Si vous aviez spécifié un fichier de correspondances NOM;MAC;IP;WORKGROUP, la saisie des informations ne s'affiche pas.<br> 262 En revanche, une fenêtre affiche quelques secondes les paramètres qui vont être appliqués:<br> 263 <img src="images/post-clonage21.png" alt="" width="170" height="139"><br> 264 Puis les modifications s'exécutent sans intervention.</p></li> 265 </ul> 266 <p><br></p> 267 </blockquote> 268 </blockquote> 269 270 <h2>Avec un domaine SambaEdu3</h2> 271 <blockquote> 272 <p>Dans le cas où vous souhaitez intégrer un domaine SambaEdu3, j'ai prévu un dispositif qui mérite quelques explications.<br> 273 Je vais me contenter ici d'indiquer ce qui diffère de la situation précédente.</p> 274 <p><br></p> 275 276 <h2>La mise en place</h2> 277 <blockquote> 278 <p>Comme dans la situation hors domaine SambaEdu3, il s'agit de lancer le 'setup.exe' après avoir extrait l'archive.</p> 279 <p><br></p> 280 281 <p>Voici la situation initiale:<br> 282 On clone des machines d'après un modèle qui n'est pas dans le domaine SAMBAEDU3 (<i>quitte à la sortir du domaine auparavant</i>).</p> 283 <p><img src="images/post-clonage40.png" alt="" width="306" height="345"><br> 284 Les paramètres sont définis et j'ai coché la case qui-va-bien pour intégrer un domaine SambaEdu3 dans la foulée.</p> 285 <p><br></p> 286 287 <p>Ici aussi, l'étape suivante est celle de la mise en place d'un fichier de correspondances de nom de machine, adresse MAC, IP et Workgroup (<i>voir <a href="#corresp_nom_mac_ip_wkgp">plus haut</a></i>).</p> 288 <p><i>NOTE:</i> Si les correspondances indiquées pour le nom et l'adresse MAC sont en contradiction avec le contenu du fichier 'clients.ini' de SambaEdu3, c'est le contenu de ce dernier fichier qui 'emportera (<i>les modifications propres à SambaEdu3 sont effectuées en dernier</i>).</p> 289 <p><br></p> 290 291 <p>La fenêtre suivante s'ouvre:<br> 292 <img src="images/post-clonage40b.png" alt="" width="306" height="175"><br> 293 Les deux premiers champs sont remplis automatiquement (<i>domaine par défaut et IP du serveur WINS</i>).<br> 294 Il reste à préciser le mot de passe à l'abri des regards indiscrets.</p> 295 <p>Après validation, des fichiers sont générés pour accéder à des partages en tant qu'utilisateur 'admin' de SambaEdu3.<br> 296 Le mot de passe y est en clair.<br> 297 C'est donc une faille de sécurité exploitable de diverses façons (<i>voir <a href="#securite">plus bas</a></i>).</p> 298 <p><br></p> 299 300 <p>Après validation, un premier BATCH se lance pour récupérer le fichier 'clients.ini' s'il existe.<br> 301 <img src="images/post-clonage40c.png" alt="" width="668" height="331"></p> 302 <p>Ce fichier se trouve dans le partage [Progs] dans le dossier 'install\installdll\'.<br> 303 Il contient les correspondances nom de machine/adresse MAC de la carte réseau.<br> 304 Si lors de l'intégration à l'aide du rejoin_se3_XP.vbs l'adresse MAC de la la station est trouvée dans ce fichier, le nom de machine est automatiquement récupéré du 'clients.ini'.</p> 305 <p>Il convient donc de faire en sorte que l'accès ci-dessus soit un succès.<br> 306 Si par exemple la config réseau actuelle est incompatible avec l'accès au partage, le fichier ne sera pas récupéré.<br> 307 Ce n'est pas dramatique, mais lors du post-clonage, vous vous verrez proposer un champ 'Nom de machine' dont il ne sera pas tenu compte si la machine avait déjà rejoint le domaine lors d'un usage précédent.<br> 308 C'est le nom inscrit dans le 'clients.ini' situé dans le partage qui sera finalement imposé (<i>c'est le fonctionnement normal du 'rejoin_se3_XP.vbs'</i>).</p> 309 <p>Lors de cette opération, une version modifiée du 'rejoin_se3_XP.vbs' est également mise en place pour éviter que le VBS vous demande de confirmer.<br> 310 Le script se nomme alors 'rejoin_se3_XP_clone.vbs'.<br> 311 La modification consiste à commenter deux boites de dialogue et à imposer le nom de machine courant comme nom à utiliser si la machine n'était pas déjà dans le 'clients.ini'.<br> 312 Si la mise en place de ce script échoue, la mise en place est tentée à nouveau après le clonage.<br> 313 Dans le pire des cas, c'est le 'rejoin_se3_XP.vbs' qui se lance et vous aurez une ou deux boites de dialogues en plus à valider.</p> 314 <p><br></p> 315 316 <p>Dans le cas où l'on souhaite intégrer un domaine SambaEdu3, il est donc préférable de disposer d'une config IP qui permette d'accéder dès à présent au serveur SambaEdu3.<br> 317 Cela n'a pas d'importance dans le cas où on ne souhaite pas intégrer un domaine SambaEdu3.</p> 318 <p><br></p> 319 320 <p>Si l'accès précédent a réussi, un deuxième BATCH est lancé pour mettre en place sur le Bureau de l'utilisateur 'admin' de SambaEdu3 un raccourci vers le programme de nettoyage.<br> 321 <img src="images/post-clonage40d.png" alt="" width="668" height="331"><br> 322 Si l'accès est un échec, la mise en place sera tentée à nouveau sur chaque station clonée après la reconfiguration IP.</p> 323 <p><br></p> 324 325 <p>Contrairement à la situation hors domaine SambaEdu3, il est très important d'effectuer le nettoyage sur les machines pour des questions de sécurité (<i>voir <a href="#securite">plus bas</a></i>).<br> 326 Si pour une raison ou une autre, le raccourci ne peut pas être mis en place, il est toujours possible (<i>et même recommandé</i>) de lancer le 'C:\temp\nettoye2.exe' (<i>ou de se connecter avec le compte administrateur local dont le 'Menu démarrer\Programmes\Démarrage\' contiendra le 'clone.exe'</i>)</p> 327 <p><br></p> 328 329 <p>Je ne détaille pas davantage la suite des opérations.<br> 330 La fenêtre de choix du compte administrateur local s'ouvre.<br> 331 Voir <a href="#demarrage_administrateur">ci-dessus</a> pour la fin de la mise en place.</p> 332 <p><br></p> 333 334 <p>Les fichiers mis en place dans 'C:\temp\clone\' sont un peu plus nombreux que lorsqu'on n'intègre pas un domaine SambaEdu3 dans la foulée:<br> 335 <img src="images/post-clonage41.png" alt="" width="151" height="392"><br> 336 <font color="red">Préciser l'utilité de chacun des fichiers...</font></p> 337 <p><br></p> 338 339 <p><i>NOTE:</i><a name="securite"></a></p> 340 <blockquote> 341 <p>Le mot de passe de l'utilisateur 'admin' de SambaEdu3 est en clair dans plusieurs fichiers de 'C:\temp\clone\'.<br> 342 Des ACL sont mises en place sur ce dossier pour éviter qu'un utilisateur non-administrateur de la machine aille y fouiner.<br> 343 Ces ACL n'ont d'effet que si votre partition système est formatée en NTFS et non en FAT32.</p> 344 <p>Même si aucun intrus ne dispose du mot de passe d'un compte administrateur de la machine, il est possible d'accéder à ce dossier de diverses façons.<br> 345 Il est notamment possible d'utiliser la mini-distribution Linux 'Offline NT Password and Recovery Kit' pour vider le mot de passe d'un compte administrateur et ainsi ensuite se connecter en administrateur pour aller lire le mot de passe.<br> 346 Il est aussi possible d'accéder aux fichiers directement depuis une distribution Live Linux ou autre en montant la partition NTFS...</p> 347 <p>Il est même possible à un utilisateur de se mettre en client de votre programme de clonage pour cloner une machine de plus sur laquelle il pourra trafiquer sans que vous le voyez (<i>si vous clonez beaucoup de machines, un client de plus passera sûrement inaperçu</i>).</p> 348 <p>Enfin, et sans prétendre à l'exhaustivité, un utilisateur peut sniffer le réseau pendant les accès 'admin' pour récupérer le mot de passe (<i>mais cela reste vrai en dehors de la situation de post-clonage</i>).</p> 349 </blockquote> 350 <p><br></p> 351 </blockquote> 352 353 <h2>Le clonage</h2> 354 <blockquote> 355 <p>Procédez au clonage des stations d'après le modèle à l'aide de l'outil de votre choix.<br> 356 Pour ma part j'utilise généralement UdpCast.<br> 357 Voir <a href="http://www.udpcast.linux.lu/">http://www.udpcast.linux.lu/</a></p> 358 <p><br></p> 359 </blockquote> 360 361 <h2>Après clonage</h2> 362 <blockquote> 363 <p>Après le clonage, vous vous connectez avec le compte administrateur local choisi précédemment sur chacune des stations clonées (<i>sauf si vous avez mis en place l'<a href="#autologon">autologon</a></i>).</p> 364 <p><br></p> 365 366 <p>Si un fichier de correspondances NOM;MAC;IP;WORKGROUP a été mis en place, il s'affiche:<br> 367 <img src="images/post-clonage21.png" alt="" width="170" height="139"></p> 368 <p><br></p> 369 370 <p>Sinon, il y a deux situations (<i>dans les captures ci-dessous, les classes IP e sont pas les mêmes (le serveur SambaEdu3 de test n'était pas le même)</i>):</p> 371 <table border="0"> 372 <tr valign="top"> 373 <td> 374 <p>Si le fichier 'clients.ini' a été récupéré et si l'adresse MAC de la station courante s'y trouvait, un des deux champs sera rempli automatiquement et non modifiable:<br> 375 <img src="images/post-clonage60a.png" alt="" width="306" height="175"></p> 376 </td> 377 <td> 378 <p>Si la machine n'était pas dans le 'clients.ini', ou si la récupération du 'clients.ini' a échoué, vous obtenez une boite de dialogue avec deux champs à remplir:<br> 379 <img src="images/post-clonage60b.png" alt="" width="306" height="175"></p> 380 <p><i>NOTE:</i> Si le 'clients.ini' n'a pas pu être récupéré et qu'il contient l'adresse MAC correspondant à la machine, la saisie du nom de machine sera outrepassée par le script 'rejoin_se3_XP'<br>(<i>en fait le nom de machine est modifié une première fois par le script 'newsid.bat' et une deuxième fois par le script 'rejoin_se3_XP.vbs'</i>).</p> 381 </td> 382 </tr> 383 </table> 384 <p><br></p> 385 386 <p>C'est tout ce que vous avez à faire jusqu'à ce que la station ait rebooté.<br> 387 Passez à une autre station.</p> 388 389 <p>Voici ce qui se produit:</p> 390 391 <p>Après validation, un premier BATCH (<i>'corrigboot.bat'</i>) corrigeant éventuellement le 'boot.ini' est lancé.<br> 392 Un deuxième BATCH est lancé (<i>'modifip4.bat'</i>) pour procéder aux modifications IP,...<br> 393 <img src="images/post-clonage61.png" alt="" width="668" height="331"></p> 394 <p><br></p> 395 396 <p>Un deuxième BATCH (<i>'new_sid.bat'</i>) se lance ensuite pour effectuer le changement de nom de machine et de SID:<br> 397 <img src="images/post-clonage62.png" alt="" width="668" height="331"><br> 398 Lorsque l'opération se termine, la machine reboote.</p> 399 <p><br></p> 400 401 <p>Après le reboot, il faut à nouveau se connecter avec le compte administrateur local pour procéder à l'intégration du domaine (<i>sauf si vous avez mis en place l'<a href="#autologon">autologon</a></i>).<br> 402 <img src="images/post-clonage64.png" alt="" width="416" height="267"></p> 403 <p><br></p> 404 405 <p>Une fois connecté, vous pouvez passer à une autre machine.<br> 406 Le script d'intégration du domaine va se lancer automatiquement.</p> 407 408 <p>Un lecteur réseau pointant vers le partage [Progs] est créé.<br> 409 Le script 'rejoin_se3_XP_clone.vbs' situé dans le dossier 'install/installdll/' est ensuite lancé:<br> 410 <img src="images/post-clonage66.png" alt="" width="668" height="331"></p> 411 <p><br></p> 412 413 <p><i>NOTE:</i> A ce stade, le(s) fichier(s) contenant le mot de passe de l'utilisateur 'admin' de SambaEdu3 est supprimé (<i>les opérations restantes ne nécessitent plus ce mot de passe</i>) et la corbeille est vidée.<br> 414 L'autologon est également supprimé s'il avait été mis en place.</p> 415 <p><br></p> 416 417 <p>Le VBS se lance:<br> 418 <img src="images/post-clonage67.png" alt="" width="385" height="147"></p> 419 <p><br></p> 420 421 <p>Window$ finit par se refermer:<br> 422 <img src="images/post-clonage69.png" alt="" width="417" height="144"></p> 423 <p><br></p> 424 425 <p>A partir de là, c'est le fonctionnement classique du 'rejoin_se3_XP.vbs':<br> 426 La machine va rebooter <b>deux fois</b> pour effectuer toute la mise en place (<i>jonction au domaine, création d'adminse3, mise en place de la DLL,ajout de l'utilisateur 'admin' à la liste des administrateurs locaux,...</i>)</p> 427 428 <p>Une fois les deux reboot effectués, vous vous connectez en utilisateur 'admin' de SambaEdu3:<br> 429 <img src="images/post-clonage70.png" alt="" width="417" height="296"></p> 430 <p><br></p> 431 432 <p>Une fois connecté, pour des questions de sécurité (<i>voir <a href="#securite">plus haut</a></i>), effectuez le nettoyage:<br> 433 <img src="images/post-clonage71.png" alt="" width="48" height="54"></p> 434 <p><br></p> 435 </blockquote> 436 </blockquote> 437 438 <h2>Scorie</h2> 439 <blockquote> 440 <p>En fin d'opération, ne subsiste sur chaque station que le fichier 'C:\temp\nettoye2.exe'.<br> 441 Vous pouvez le supprimer manuellement, ou le laisser (<i>ce n'est pas très gênant</i>).</p> 442 <p><br></p> 443 </blockquote> 444 445 <!--h2></h2> 446 <blockquote> 447 <p></p> 448 <p><br></p> 449 </blockquote--> 450 451 <h2>La commande NETSH</h2> 452 <blockquote> 453 <p>La commande 'netsh' est ici utilisée pour les changements IP,...<br> 454 Voici l'aide pour les <a href="ressources/netsh_int_ip.html">Commandes Netsh pour l'interface IP</a><br> 455 Cette commande permet bien d'autres opérations encore.</p> 456 <p><br></p> 457 458 <p>De façon générale, vous pouvez accéder à l'Aide de la ligne de commande WinXP par la commande:<br> 459 <span class="console">%windir%\hh.exe ms-its:%windir%\Help\ntcmds.chm::/ntcmds.htm</span><br> 460 Pour plus de commodité, voici un BATCH permettant de lancer l'aide: <a href="ressources/aide_cmd.bat">aide_cmd.bat</a></p> 461 <p><br></p> 462 </blockquote> 463 464 <h2>Licences</h2> 465 <blockquote> 466 <p>Pour ce qui concerne les licences, se reporter à celles de NewSID et d'AutoIt (<i>voir la rubrique <a href="#liens">liens</a></i>).<br> 467 Quant à mes scripts BATCH et .AU3, ils sont librement modifiables, diffusables,...</p> 468 <p><br></p> 469 </blockquote> 470 471 <h2>Téléchargement</h2> 472 <blockquote> 473 <p>Voici le paquet présenté dans cette page: <a href="ressources/paquet_post-clonage_20051008.zip">paquet_post-clonage_20051008.zip</a></p> 474 <p>Et la version corrigée pour tenir compte de la mise à jour du 09/11/2005 du 'rejoin_se3_XP.vbs': <a href="ressources/paquet_post-clonage_20051119.zip">paquet_post-clonage_20051119.zip</a></p> 475 <p>Et une nouvelle version avec des fonctions en plus: <a href="ressources/paquet_post-clonage_20061101.zip">paquet_post-clonage_20061101.zip</a> (<i>voir le changelog</i>)</p> 476 <p>Et une nouvelle version avec encore des fonctions en plus: <a href="ressources/paquet_post-clonage_20061129.zip">paquet_post-clonage_20061129.zip</a> (<i>voir le changelog</i>)</p> 477 <p>Et une nouvelle version permettant de ne pas mettre en place d'ACL sur C:\temp\clone si jamais cela pose un problème: <a href="ressources/paquet_post-clonage_20070131.zip">paquet_post-clonage_20070131.zip</a> (<i>voir le changelog</i>)</p> 478 <p>Et encore une nouvelle version plus souple sur le format de l'adresse MAC dans le fichier de correspondances NOM;MAC;IP;WORKGROUP: <a href="ressources/paquet_post-clonage_20070201.zip">paquet_post-clonage_20070201.zip</a> (<i>voir le changelog</i>)</p> 479 <p>Correction d'un bug sur le mode DHCP: <a href="ressources/paquet_post-clonage_20070323.zip">paquet_post-clonage_20070323.zip</a> (<i>voir le changelog</i>)</p> 480 <p>Ajout de fonctionnalité: <a href="ressources/paquet_post-clonage_20070326.zip">paquet_post-clonage_20070326.zip</a> (<i>voir le changelog</i>)</p> 481 <p>Ajout de la prise en compte de se3-wpkg: <a href="ressources/paquet_post-clonage_20070616.zip">paquet_post-clonage_20070616.zip</a> (<i>voir le changelog</i>)</p> 482 <p>Amélioration de la prise en compte de se3-wpkg: <a href="ressources/paquet_post-clonage_20080120.zip">paquet_post-clonage_20080120.zip</a> (<i>voir le changelog</i>)</p> 483 484 <p>Possibilité de fournir un fichier de correspondance NOM;MAC;IP;WORKGROUP avec IP=DHCP.<br /> 485 Correction d'un bug sur le renommage du poste en mode client DHCP: <a href="ressources/paquet_post-clonage_20080714.zip">paquet_post-clonage_20080714.zip</a> (<i>voir le changelog</i>)</p> 486 <p><br></p> 487 </blockquote> 488 489 <h2>A FAIRE</h2> 490 <blockquote> 491 <p>Remettre tout ça au propre et faire un changelog...</p> 492 <p>Voici une amorce de <a href="changelog.html">Changelog</a>.</p> 493 <p><br></p> 494 495 <p>Permettre de personnaliser les IP proposées lors de la mise en place et dans la fenêtre de saisie de l'IP (<i>par défaut, on se voit proposer du 10.127.xxx.xxx</i>).</p> 496 <p><br></p> 497 </blockquote> 498 499 <h2>Liens<a name="liens"></a></h2> 500 <blockquote> 501 <p>NewSID: <a href="http://www.sysinternals.com">http://www.sysinternals.com</a></p> 502 <p>AutoIt: <a href="http://www.autoitscript.com/autoit3/docs/index.html">http://www.autoitscript.com/autoit3/docs/index.html</a></p> 503 <p><br></p> 504 </blockquote> 505 </div> 506 </body> 507 </html>
title
Description
Body
title
Description
Body
title
Description
Body
title
Body
| Generated: Tue Mar 17 22:47:18 2015 | Cross-referenced by PHPXref 0.7.1 |