De nombreuses grandes entreprises passent beaucoup de temps à écrire des scripts
et programmes pour générer automatiquement des rapports sur leurs bases de données.
Certaines écrivent leurs programmes en Visual Basic ou Visual C++ ; certaines
utilisent des applications comme Excel, Access ou Visual Basic for Applications
; et les autres utilisent d'autres méthodes. Avec Active Directory, les choses
changent.
Avec l'arrivée de Windows 2000 et d'Active Directory, il peut devenir intéressant
d'apprendre comment utiliser de simples scripts pour utiliser Excel 2000 en mode
automatique afin qu'il génère des rapports. Ces scripts peuvent en effet désormais
bénéficier d'ADSI (Active Directory Services Interface) pour interroger AD. L'exemple
qui suit devrait vous en faire prendre conscience.
Imaginons une entreprise dans laquelle un utilisateur désire installer Windows
2000 sur un client. L'utilisateur doit utiliser un système maison avec un frontal
Web pour créer le compte machine du client. L'utilisateur devra entrer son profil
et les détails de la machine. Les neuf détails de la machine sont : l'adresse
MAC (Media Access Control) de la carte réseau ; le nom de l'installateur de la
machine ; le département, le bâtiment, l'étage et le bureau ; et le nom, numéro
de téléphone et l'adresse e-mail de la personne qui connaît le mot de passe d'administrateur
de la machine. L'utilisateur peut également spécifier un nom qu'il souhaite utiliser
pour la machine. Lorsque l'utilisateur envoie le formulaire Web, le système lance
une série de procédures de vérifications contrôlant les détails de l'utilisateur
et de la machine. Ensuite, le système affecte un nom à la machine. Le système
peut accepter le nom fournit par l'utilisateur, si tel est le cas, ou il peut
en créer un. Ensuite, le système Web renvoie le nom résultant à l'utilisateur
et lui demande s'il accepte ce nom. Si le nom est accepté par l'utilisateur, le
système Web crée un objet de compte utilisateur dans AD. Si l'utilisateur n'accepte
pas le nom, le formulaire réapparaît avec les données d'origine inchangées et
un processus de négociation s'engage, le système suggérant une liste de noms ou
l'utilisateur en proposant.
L'ensemble du processus de la saisie des données à la réception et l'accord sur
le nom ne prend que quelques instants. Une fois ce processus effectué, l'utilisateur
peut utiliser le compte d'ordinateur créé dans AD pour installer Windows 2000
sur le client. Le système Web fournit très facilement les 9 détails de la machine
comme données pour les neuf attributs étendus du compte de l'ordinateur dans AD.
On peut utiliser un script tel que celui du listing 1 pour afficher les attributs
du système dans la boîte de message de l'écran 1.
Générer automatiquement des rapports de déploiement
La possibilité d’imprimer les informations sur l’ordinateur et d’examiner ces
données à votre guise est une fonction utile. L’affichage de ces données sous
forme de tables et de graphiques rend les données plus utiles. Voyons comment
l’on peut rapidement écrire des routines VBScript qui font qu’Excel 2000 affichera
automatiquement ces données de façon utile. Cet article se cantonnera aux objets
d’ordinateurs, mais les mêmes principes s’appliquent à tous les objets AD.
Imaginons que vous avez une feuille de calculs comprenant 13 colonnes. Ces colonnes
correspondent au nom de l’ordinateur, les neuf attributs de la machine et trois
attributs supplémentaires d’objet d’ordinateur : version de l’OS, date de création
et date de modification. Lorsque l’on utilise le processus Web décrit précédemment
pour créer un compte d’ordinateur dans AD, les attributs d’objet date de création
et de modification stockent une valeur une valeur d’horodatage pour cet événement.
A partir de là , si quiconque modifie l’objet de compte d’ordinateur, seul l’attribut
de date de modification changera. Par exemple, lorsqu’un client Windows 2000 (installé
avec la procédure décrite plus avant) rejoint un compte de domaine, le client
modifie le compte, ce qui fait que l’attribut de date de modification change.
Cette modification change également l’attribut de version d’OS, dont la valeur
identifie la version et le numéro de build. Ainsi, si vous avez des clients sous
Windows 2000 build 2031 et d’autres sous Windows 2000 build 2072, les valeurs
respectives des attributs seraient 5.0 (2031) et 5.0 (2072).
Le fait de connaître ces trois informations permet de déduire d’autres informations
utiles. Par exemple, si vous connaissez les deux valeurs d’horodatage, vous pouvez
vérifier si ces valeurs sont identiques ou différentes pour un compte d’ordinateur
donné. On peut ainsi savoir si quelqu’un a déjà utilisé le compte (autrement dit,
si un PC portant ce nom a jamais rejoint ce compte de domaine). On peut utiliser
cette information pour expirer tous les comptes inutilisés depuis plus mois.
Il est également possible d’utiliser l’information de version d’OS. (Les builds
2031 et 2072 sont des versions beta, mais le concept fonctionnera pour Windows
2000 et ses services packs.) On peut donc facilement créer un diagramme camembert
identifiant combien d’ordinateurs sont sous une version particulière d’un OS.
Téléchargez cette ressource
Comment sécuriser une PME avec l’approche par les risques ?
Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.
