Les administrateurs système n'ont guère le
temps de visiter chaque machine d'un réseau. Ils ont donc besoin d'outils d'administration
de Windows NT Server 4.0, capables d'exécuter des scripts complexes simultanément
sur plusieurs ordinateurs distants.
Certains administrateurs considèrent les progiciels de contrôle à distance, comme
pcAnywhere de Symantec ou Timbuktu Pro de Netopia comme des solutions satisfaisantes.
Ces applications de contrôle à distance conviennent particulièrement bien pour
prendre le contrôle d'un PC, permettre l'interaction bi-univoque pour guider un
utilisateur dans une tâche compliquée, accomplir une configuration isolée ou régler
des problèmes avec des taches impossibles à accomplir à distance par le biais
de scripts.
Mais ce que je me propose, c'est d'effectuer simultanément chaque tâche administrative
sur plusieurs machines simultanément à partir de l'invite de commande dans un
environnement scripté. Pour cela, j'utilise les outils d'administration à distance
du Kit de ressources de Microsoft Windows NT Server 4.0, y compris le Supplément
4. Pour tous les lecteurs qui veulent en faire autant, j'ai dressé la liste des
outils que je trouve les plus utiles dans mes tâches administratives quotidiennes.
Les outils d’administration à distance du Kit de ressources
Addusers
Addusers (addusers.exe), un utilitaire d’invite de commande pour ajouter
des comptes d’utilisateurs et des groupes globaux et locaux dans la SAM de NT
Server, fonctionne avec la SAM du contrôleur de domaine ou bien un serveur ou
une station de travail membre. Addusers accepte comme données en entrée un fichier
(c’est-à -dire la liste des comptes d’utilisateurs ou des groupes à importer) dans
un format particulier. La commande :
addusers \\myPDC /c userlist.txt
ajoute les utilisateurs et les groupes du fichier userlist.txt à mon PDC. L’option
/c indique à Addusers de créer de nouveaux comptes d’utilisateurs comme le fichier
d’entrée le leur spécifie. On peut également utiliser l’option /d pour vider les
utilisateurs dans un fichier à partir de la SAM. Le fichier qui en résulte est
dans le bon format pour être importé.
Addusers peut servir à garnir un domaine de test avec plusieurs comptes ou pour
vider le contenu de la SAM pour le dupliquer ailleurs. Lors de l’utilisation de
l’option de vidage d’un compte, Addusers ne retient pas le SID de domaine du compte.
L’option de vidage vide simplement en mode texte le nom de l’utilisateur et les
propriétés de compte associées.
Auditpol
Auditpol (auditpol.exe) permet de définir la stratégie d’audit du domaine
ou de la SAM locale pour une machine locale ou distante. (On peut aussi définir
la stratégie d’audit à partir de Gestionnaire des utilisateurs/Stratégies/Audit).
Lorsque la commande Auditpol est dirigée vers le PDC d’un domaine, elle définit
la stratégie d’audit pour le domaine tout entier. On ne peut choisir qu’une option
par catégorie d’audit ; les catégories sont identiques à celles du Gestionnaire
des utilisateurs/Stratégies/Audit. Par exemple, si vous activez l’audit du logon,
vous pouvez spécifier un audit en cas de logon réussi, un audit en cas d’échec
de logon ou les deux.
La commande :
auditpol \\serveura /enable /logon:failure /sam:failure
modifie la stratégie d’audit sur le serveur ServeurA. Si ServeurA était un PDC,
le changement affecterait la stratégie d’audit dans le domaine tout entier. Le
paramètre /enable active la fonction d’audit. Le paramètre /logon:failure audite
les événements d’ouverture et de fermeture de session uniquement pour les événements
ayant échoué. La stratégie /sam:failure audite les tentatives de modification
de la SAM qui ont échoué. Si la tentative de l’administrateur de supprimer un
compte d’utilisateur a échoué à cause de privilèges insuffisants, la stratégie
d’audit /sam:failure déclenchera un événement de sécurité.
Browmon
Browmon (browmon.exe) est un utilitaire graphique permettant de surveiller
l’état de l’explorateur sur un sous-réseau local pour chaque transport de réseau.
Il permet d’identifier le maître explorateur et l’explorateur de sauvegarde du
sous-réseau local, d’examiner leurs listes d’exploration et de réparer les problèmes
d’exploration. Browmon permet de trouver la source d’un problème si, pendant l’exploration
des réseaux, certaines machines n’apparaissent pas sur la liste dans Voisinage
réseau. Browmon sert à identifier les machines du maître explorateur et de l’explorateur
de sauvegarde et à cerner le problème en déterminant à quelle liste, du maître
explorateur et de l’explorateur de sauvegarde, il manque une ou plusieurs machines.
Browmon signale l’état des explorateurs uniquement sur le sous-réseau où il tourne
et ne donne pas les informations des sous-réseaux distants, sauf si la machine
qui l’exécute est physiquement connectée à ceux-ci.
Browstat
Browstat (browstat.exe) dispose des mêmes fonctions que Browmon, mais fournit
aussi des statistiques sur les drapeaux des explorateurs. Chaque machine NetBIOS
d’un réseau possède des drapeaux identifiant son rôle (par exemple serveur, station
de travail, serveur de synchronisation). Si vous utilisez Time Service du kit
de ressources, Browstat peut vous indiquer les serveurs qui s’annoncent comme
les serveurs d’heure primaires. La commande :
browstat view NetBT_ELNK3
affiche une liste de machines sur le transport NetBT_ELNK3 et leurs drapeaux NetBIOS.
(ELNK3 est le nom de l’adaptateur réseau). Browstat s’accompagne de plusieurs
autres commandes liées aux explorateurs, notamment la capacité d’imposer l’élection
d’un explorateur sur un sous-réseau distant (grâce à l’option élection) ou celle
d’arrêter une opération de maître explorateur (grâce à l’option de rappel), ce
qui peut servir lorsqu’on utilise Browmon pour régler des problèmes d’exploration.
Browstat oblige souvent à taper le nom du transport que l’on interroge, car l’explorateur
conserve des listes séparées sur chaque transport (par exemple TCP/IP, NWLink,
NetBEUI). Pour obtenir le nom du transport par défaut, utilisez la commande Browstat
Status.
Compreg
Compreg (compreg.exe) permet de comparer le contenu essentiel du Registre
des machines locale et distante. Par exemple, pour s’assurer que deux machines
ont les mêmes paramètres d’utilisateurs par défaut pour les préférences du bureau,
il faudrait taper
compreg « us\.default\control panel_desktop » \\remotews
Cet exemple compare le contenu de la clé .default\control panel\desktop du sous-arbre
du Registre HKEY_USERS d’une machine locale avec la même clé dans les remotews
de machines distantes. La commande aurait pu aussi bien spécifier deux machines
distantes en incluant un chemin UNC (Uniform Naming Convention) devant le chemin
du Registre (par exemple \\ws2\us\.default\control panel\desktop).
Delprof
Delprof (delprof.exe) permet de supprimer des profils mis en mémoire cache
sur une machine locale ou distante, en faisant une recherche dans la clé du Registre
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList. Le
comportement par défaut de l’outil est d’inviter à supprimer tous les profils
inactifs (par exemple les profils que personne n’a utilisés pendant une période
spécifiée). Pour être invité pour chaque profil, il faut utiliser le paramètre
/p. Le paramètre /d permet, quant à lui, de définir le nombre de jours au bout
desquels Delprof considère comme inactif un profil non utilisé.
Dans l’exemple :
delprof /p /c:serveura /d:10
Delprof supprime tous les profils en mémoire cache sur ServeurA, que personne
n’a utilisés pendant 10 jours. Le paramètre /p indique à Delprof d’inviter à confirmer
la suppression de chaque profil. L’outil ne renverra aucune information lorsque
tous les profils systèmes sont actifs.
Il peut vous arriver de trouver un profil en mémoire cache que Delprof a raté
et qui ne peut pas être supprimé manuellement ou avec d’autres outils. Un bug
de Windows NT 4.0 peut, en effet, permettre à un profil mis en mémoire cache (en
fait, le fichier ntuser.dat du profil) de rester verrouillé, même après déconnexion
de l’utilisateur. La solution la plus facile est de rebooter la machine, sauf
si l’on parvient à déterminer le processus qui a verrouillé le fichier.
Par exemple, le périphérique audio de certaines stations de travail Compaq peut
verrouiller le fichier ntuser.dat du profil. Dans ce cas, on peut habituellement
libérer le fichier et supprimer le profil en désactivant le périphérique audio
dans le Panneau de configuration.
Dhcpmd
Dhcpmd (dhcpme.exe), qui permet d’afficher et de gérer des serveurs DHCP,
peut lister les baux actifs sur une portée, créer de nouvelles portées, ajouter
ou modifier une portée ou des options globales et modifier des paramètres au niveau
du serveur.
La commande :
dhcpmd 192.168.1.1 enumclients 192.168.20.0 -v
crée une liste explicite des baux actifs d’une portée particulière. L’option enumclients
indique à Dhcpmd de lister tous les baux actifs de la portée spécifiée. Dans cet
exemple, 192.168.1.1 est l’adresse IP du serveur DHCP et 192.168.20.0 est le sous-réseau
de la portée dans laquelle la commande liste les baux actifs. L’option -v permet
de choisir un résultat explicite.
Dhcploc
Dhcploc (dhcploc.exe) permet de détecter des serveurs DHCP suspects. Dans
la commande, il faut indiquer une liste d’adresses IP de serveurs DHCP. Dhcploc
envoie alors un ping aux serveurs DHCP et renvoie une liste de réponses.
La commande :
dhcploc -p 192.168.1.20 « 192.168.1.1 192.168.20.1 »
exécute une commande Dhcploc sur l’interface possédant l’adresse IP 192.168.1.20.
La première adresse de l’invite de commande est normalement celle de la machine
à partir de laquelle on exécute la commande. Les adresses IP entre guillemets
sont les adresses des serveurs autorisés. Si les réponses ne sont pas sur la liste
des serveurs valides, les serveurs qui répondent sont suspects. L’option -p indique
à Dhcploc de ne pas afficher les réponses des serveurs valides spécifiés dans
la liste. On peut donc admettre que les réponses reçues sont suspectes. L’utilitaire
peut également envoyer des alertes pour signaler aux utilisateurs (à des intervalles
déterminés) que Dhcploc a détecté des suspects. Pour envoyer des alertes, utilisez
les options -a et -I. La commande :
dhcploc -p 192.168.1.20 « 192.168.1.1 192.168.20.1″ -a: »administrateur » -I:1800
envoie une alerte au compte d’administrateur (option -a) toutes les 30 minutes
(option -I en secondes).
Dhcploc utilise des paquets de découverte DHCP en mode broadcast pour déterminer
les serveurs DHCP qui répondent, et la manière dont le réseau envoie ces broadcasts
peut limiter l’efficacité de l’utilitaire. Dans un réseau routé, il faut configurer
les routeurs pour envoyer des paquets de découverte DHCP à tous les sous-réseaux
susceptibles de contenir des serveurs DHCP suspects. Si cette configuration n’est
pas pratique, il est possible d’utiliser un outil comme le service d’ordonnancement
NT pour exécuter une instance Dhcploc sur une station de travail de chaque sous-réseau.
Dnscmd
Dnscmd (dnscmd.exe) permet de gérer des serveurs DNS NT 4.0. (L’utilitaire
ne fonctionne pas pour les implémentations DNS UNIX). Dnscmd permet de recueillir
des statistiques sur les serveurs, de lister des fichiers de zones, de créer ou
supprimer des zones et de basculer entre des types de zones primaires et secondaires
sur un serveur DNS spécifié.
La commande :
dnscmd monserveur getserver info
recueille des statistiques de serveurs sur le serveur DNS monserveur.
Dommon
Dommon (dommon.exe), utilitaire graphique, permet de surveiller les connexions
approuvées par canal sécurisé entre les contrôleurs de domaine des domaines NT
4.0. Dommon donne une vue d’ensemble de tous les contrôleurs de domaines et de
leur état dans tous les domaines approuvés. Il permet ainsi de régler les problèmes
d’approbation et d’identifier les contrôleurs de domaines qui interrompent les
connexions par canal sécurisé. Si en essayant d’ouvrir une session dans un domaine
à partir d’une station de travail ou d’un serveur, il vous est arrivé de recevoir
le message Aucun serveur d’ouverture de session disponible pour prendre en charge
votre requête, Dommon peut vous être utile en assurant le suivi du problème. Généralement
ce type d’erreur se produit en cas d’échec d’une connexion par canal sécurisé
entre un BDC et le PDC. Dommon peut aider à résoudre le problème en indiquant
l’état de tous les contrôleurs de domaines d’un domaine ou même entre domaines
approuvés. Dans les grands réseaux, Dommon peut mettre plusieurs minutes pour
lister toutes les connexions de domaines approuvées avec tous les contrôleurs
de domaines. Si vous détectez un problème, je recommande d’utiliser Nlmon (nlmon.exe)
ou Nltest (nltest.exe) pour en identifier la source.
Dumpel
Dumpel (dumpel.exe) utilise les informations de filtres que vous fournissez
pour vider le contenu du journal d’événements NT local ou distant dans un fichier.
Dumpel est une version d’invite de commande du filtrage de l’Observateur d’événements
NT et de la fonction Enregistrer sous.
La commande :
dumpel -d 5 -e 515 -m Security -l security -s remote >remotesecurity.log
vide le Journal d’événements de sécurité d’une machine distante baptisée remote
(option -s), en filtrant les 5 derniers jours (option -d) sur l’ID d’événement
515 (option -e). Dans l’exemple, l’option -m spécifie le sous-système NT qui a
déclenché l’ID d’événement 515. Si l’on spécifie l’option -e, il faut aussi spécifier
-m. L’option de sécurité -l spécifie de vider les événements du Journal d’événements
sécurité, au lieu de vider ceux des Journaux des applications ou du système. Dans
l’exemple j’utilise l’opérateur de redirection DOS (>) pour rediriger le résultat
de Dumpel vers le fichier remotesecurity.log. Dumpel propose l’option -f pour
rediriger le résultat vers un fichier, mais -f ne semble pas fonctionner correctement
dans cette version de l’outil.
Fcopy
Fcopy (fcopy.exe) effectue des copies de fichiers fiables multithreads entre
plusieurs systèmes. Il faut installer Microsoft Message Queue Server (MSMQ) sur
tous les systèmes qui utilisent Fcopy. MSMQ garantit que le système effectue des
copies fiables des fichiers sur des liaisons de réseaux intermittentes. Fcopy
est donc suffisamment robuste pour copier des fichiers vers des périphériques
utilisant la commutation ou un WAN.
La commande :
fcopy \\source\temp\*.* \\destination\temp /s /o
copie les fichiers sources vers le système de destination. L’option /s indique
à Fcopy de copier chaque fichier source et /o spécifie la compression.
Fcopy supporte la copie des permissions NTFS, la compression, ainsi que le chiffrement,
et peut valider des totaux de contrôle pour éviter de copier des fichiers existant
déjà dans la destination. Fcopy a besoin de trois fichiers : fcopy.exe pour le
client, fcopysrv.exe pour le serveur et fcopy.dll pour une DLL. Ces trois fichiers
doivent être installés sur les systèmes sources et destinations.
Findgrp
Findgrp (findgrp.exe) permet d’analyser l’appartenance d’un utilisateur à
un groupe particulier. Supposons, par exemple, que vous vouliez faire le suivi
des ultimes permissions d’un utilisateur sur une ressource. La permission d’un
groupe local d’utiliser cette ressource risque de cacher le fait que l’appartenance
de l’utilisateur particulier à un groupe global permet aussi l’accès à la ressource.
Findgrp peut trouver l’appartenance de l’utilisateur à un groupe global et son
appartenance directe ou indirecte à un groupe local.
La commande :
findgrp domainea domaineb\utilisateur
vérifie l’appartenance de DomaineB\utilisateur à un groupe de DomaineA.
Getmac
Getmac (getmac.exe) trouve l’adresse MAC (Media Access Control) et le nom
de transport d’une machine locale ou distante. Ces informations sont utiles si
vous utilisez l’Analyseur de performances pour visualiser le trafic du réseau
et que vous avez besoin de l’adresse MAC d’une machine pour établir un filtre.
La commande :
getmac \\machinea
récupère l’adresse MAC et le nom de transport de MachineA.
Getsid
Getsid (getsid.exe) permet de résoudre les noms d’utilisateurs dans leurs
SID. Il faut entrer deux noms de comptes car Getsid compare les SID sur deux machines.
Mais Getsid peut résoudre un compte unique si vous entrez ce compte deux fois.
Par exemple,
getsid \\pdca utilisateur \\pdca utilisateur
renvoie le SID de Utilisateur du contrôleur de domaine pdca. Si vous spécifiez
un contrôleur de domaine comme serveur, Getsid renvoie le SID du compte pour le
compte de domaine de l’utilisateur. La commande :
getsid \\workstation1 administrateur \\workstation2 administrateur
compare les SID des comptes d’administrateurs locaux de deux stations de travail.
Cette technique s’avère pratique si vous utilisez un logiciels de clonage pour
installer NT Workstation 4.0 et que vous voulez vérifier que les SID changent
correctement d’une machine à l’autre. Getsid indiquera des SID de comptes d’administrateurs
identiques si le logiciel de clonage n’a pas réussi à générer correctement un
nouveau SID.
Global
Global (global.exe) est un utilitaire d’invite de commande qui révèle la
liste des appartenances aux groupes globaux d’un domaine. Par exemple la commande
:
global « Utilisateurs du domaine » \\DC1
donne la liste des membres du groupe des utilisateurs du domaine du domaine DC1.
L’utilitaire Global représente une méthode rapide pour déterminer si un utilisateur
est membre d’un groupe particulier.
Local
Local (local.exe) génère la liste des appartenances aux groupes locaux dans
une configuration de domaine, de serveur ou de station de travail.
Par exemple,
local administrateurs \\workstationa
donne la liste des membres du groupe administrateurs locaux de la station de travail
distante WorkstationA. En revanche il ne renvoie pas les FQDN (Fully Qualified
Domain Name) des membres du groupe local. Par exemple, si DomaineA\Utilisateur
et DomaineB\Utilisateur sont membres d’un groupe local baptisé Utilisateurs, Local
renverra deux instances de Utilisateur sans spécifier leur appartenance aux domaines.
Logevent
Logevent (logevent.exe) permet de générer des événements de journaux d’événements
sur des machines locales ou distantes. Ces événements ne s’affichent que dans
le Journal des événements d’applications : on ne peut pas choisir de les consigner
ailleurs. La commande :
logevent -m \\monpc -s -e -c 9999 « Attention danger «
crée un événement d’erreur sur la machine distante MonPC avec une catégorie d’événement
9999 et du texte de description.
Logevent peut s’avérer utile conjointement avec un script écrit pour effectuer
une tâche d’installation sur un groupe de machines. Logevent permet d’enregistrer
dans un emplacement central où l’installation s’effectue avec succès pour chaque
machine.
Netdom
Netdom (netdom.exe) permet d’effectuer une variété de fonctions liées à Netlogon,
comme le reparamétrage d’une connexion par canal sécurisé sur une machine d’un
domaine et l’ajout et la suppression des comptes de machines. Après avoir ajouté
un compte de machine, vous pouvez demander à la machine de rejoindre le domaine
sans rebooter (si vous utilisez l’interface utilisateur – UI – d’identification
du réseau pour ajouter une machine à un domaine, il faut rebooter la machine).
Par exemple, pour créer un compte de machine pour MonPC et joindre la machine
à DomaineA, il faut exécuter la commande :
netdom /domain:domainea member monpc /add
netdom /domain:domainea member monpc /joindomain
Netsvc
Netsvc (netsvc.exe) permet de lancer, arrêter et interroger l’état de services
locaux ou distants. Pour spécifier un service, on peut utiliser soit le nom d’affichage
complet (par exemple « Windows Time Service »), soit le nom du service qui apparaît
dans le Registre (par exemple w32time). Il faut mettre entre guillemets les noms
de services comportant des espaces.
La commande :
netsvc w32time \\monpc /query
interroge l’état du service w32time sur la machine MonPC.
Netwatch
Netwatch (netwatch.exe), utilitaire graphique, permet de surveiller l’accès
aux partages et d’ouvrir des fichiers sur des systèmes locaux ou distants. Il
peut servir à faire le suivi des connexions à distance à une station de travail
et à visualiser rapidement les partages, cachés ou non, disponibles sur une machine
distante. Mais s’il est utilisé sur un serveur avec beaucoup d’utilisateurs, il
rafraîchit si fréquemment que la vue est inutile.
Nlmon
Nlmon (nlmon.exe) tourne en permanence et surveille les relations d’approbation
entre les domaines et, en option, entre tous leurs domaines approuvés. Par exemple,
sur un système comportant les domaines ResourceA, ResourceB et ResourceC,
la commande :
Nlmon /domainlist:resourcea,resourceb,resourcec /montrust:yes /update:5
surveille les approbations entre les domaines de ressources et leurs domaines
maîtres toutes les 5 minutes et signale les problèmes à l’écran. Le résultat peut
être redirigé vers un fichier texte avec l’opérateur de redirection.
Nltest
Nltest (nltest.exe) permet de tester la fonctionnalité liée au processus
Netlogon de Windows NT. Netlogon effectue plusieurs taches, notamment la gestion
des connexions par canal sécurisé entre les machines d’un domaine. Mon utilisation
favorite de Nltest est de déterminer le nombre de tentatives de mauvais mots de
passe d’un compte d’utilisateur et la date et l’heure à laquelle de la dernière
authentification d’un utilisateur envers un contrôleur de domaine.
La commande :
nl test /server:domainDC /user:utilisateur
affiche des informations sur le compte d’utilisateur Utilisateur dans le domaine
DomainDC. Les informations affichées sont notamment le nom complet et la description
de l’utilisateur, le serveur de base ou de profil, et le nombre de tentatives
de mauvais mots de passe vis-à -vis du compte.
Ntrights
Ntrights (ntrights.exe) permet d’accorder ou de révoquer des droits d’utilisateurs
sur une machine locale ou distante. Ces droits peuvent également se voir dans
le Gestionnaire des utilisateurs/Stratégies/Droits des utilisateurs. La commande
:
ntrights -u « domainea\domain admins » -m \\serveura +r SeServiceLogonRight
active le droit Ouvrir une session en tant que service pour le groupe global des
domaines domain admins sur le serveur ServeurA. Les droits des utilisateurs (par
exemple SeServiceLogonRight) sont sensibles à la casse et on ne peut en accorder
qu’un par invite de commande. L’option -u spécifie l’utilisateur ou le groupe
auquel le droit est accordé. L’option -m spécifie un serveur ou une station de
travail distante vers lequel s’exécute la commande. Si vous spécifiez un PDC,
les droits changent pour le domaine tout entier. L’option +r indique à la commande
d’accorder, au lieu de révoquer (-r), le droit spécifié. Pour accorder un droit
particulier, il faut utiliser le nom de privilège NT 4.0. Pour en savoir plus
sur les droits NT 4.0, consultez la documentation rktools.hlp dans le kit de ressources.
Permcopy
Permcopy (permcopy.exe) copie les permissions de partages d’un partage à
un autre. Cet utilitaire ne copie pas les permissions des fichiers NTFS, mais
il est pratique pour dupliquer un partage sur plusieurs machines, en présence
de permissions de partages élaborées difficiles à dupliquer manuellement. La commande
:
permcopy \\serverua public \\serveurb public-new
copie les permissions de partages du partage public de ServeurA dans le nouveau
partage public de ServeurB. N’essayez pas d’utiliser Permcopy pour copier les
permissions sur les partages administratifs établis par défaut par NT (par exemple
c$, admin$), vous risqueriez de provoquer des problèmes avec votre système en
essayant de copier les partages administratifs qui utilisent des permissions spéciales.
Pulist
Pulist (pulist.exe) donne la liste des processus tournant sur un système
local ou distant, leurs identifiants associés (PID) et le contexte de sécurité
dans lequel s’exécute chacun d’eux (la fonction de contexte de sécurité n’existe
que si la commande s’exécute vis-à -vis d’une machine locale). Si vous entrez plusieurs
machines sur l’invite de commande, Pulist renvoie une liste des processus individuels
exécutés par chaque machine distante.
La commande
pulist \\serveura \\workstationb \\serveurc
montre les processus tournant sur trois machines – ServeurA, WorkstationB et ServeurC.
Pour les machines distantes, l’utilitaire donne les noms de processus et leurs
ID, mais pas le nom d’utilisateur associé à chacun d’eux.
Reg
Reg (reg.exe), utilitaire d’invite de commande, permet de manipuler les clés
et les valeurs du Registre sur des machines locales et distantes. Il sert à ajouter,
supprimer, interroger, sauvegarder, restaurer et changer le Registre. Contrairement
aux outils comme Regini et Regedit, Reg ne traite qu’une commande du Registre
à la fois. Reg est utile pour effectuer des modifications dans le Registre et
conduit à des solutions scriptées. Le listing 1 montre comment utiliser Reg dans
un script séquentiel avec une machine distance, mypc. Le script interroge mypc
pour lui demander la valeur du chemin dans HKEY_CURRENT_USER. Un niveau d’erreur
de 2 ou plus signifie que Reg n’a pas trouvé la valeur ; dans ce cas, la commande
saute au bloc d’ajout et Reg ajoute la valeur.
Regdmp
Regdmp (regdmp.exe) permet de vider les clés et les valeurs du Registre d’une
machine locale ou distante dans un fichier texte. On peut alors utiliser Regini
pour importer les informations vidées. La commande :
regdmp -m \\serveura HKEY_CURRENT_USER\Environment
vide les clés du Registre de la machine distante ServeurA (spécifiée par l’option
-m) dans HKEY_CURRENT_USER\Environment.
Regini
Regini (regini.exe) permet d’effectuer des modifications importantes du Registre
sur des machines locales ou distantes. Il accepte en entrée un fichier texte sous
la forme générée par Regdmp et sort des codes de retour au fur et à mesure qu’il
apporte les modifications au Registre. Un code de retour différent de zéro identifie
un enregistrement manqué. La commande :
regini -m \\serveura regchanges.ini
apporte au Registre de ServeurA les modifications contenues dans le fichier regchanges.ini.
L’option -m spécifie que la commande s’exécute vis-à -vis de la machine distante
ServeurA.
Rkill, Wrkill et Rkillsrv
Rkill (rkill.exe), Wrkill (wrkill.exe) et Rkillsrv (rkillsrv.exe) forment
l’utilitaire Remotekill. Rkillsrv s’installe sur chaque ordinateur où l’on veut
effectuer des suppressions de processus distants et permet d’utiliser l’utilitaire
d’invite de commande Rkill ou l’utilitaire graphique Wrkill pour supprimer les
processus distants.
La commande :
rkill -view \\serveura
permet de visualiser des processus distants sur ServeurA. Pour supprimer un processus,
il faut spécifier son PID.
Par exemple,
rkill -kill \\serveura supprime le processus identifié par le PID. rmtshare \\servera\newshare=c:\newshare /remark: »This is a new share point » crée un nouveau partage sur ServeurA et ajoute un commentaire sur celui-ci.
Rmtshare
Rmtshare (rmtshare.exe) permet de créer et de modifier des partages de fichiers
et d’imprimantes sur des machines locales et distantes. Il peut servir à définir
tous les paramètres des partages qui peuvent être déterminés au moyen de l’Explorateur
Windows.
La commande :
Sc
Sc (sc.exe), qui permet de contrôler tous les aspects des services locaux
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Connaître son client : exploiter les API des réseaux pour offrir des services personnalisés et sur mesure
- Architecte cloud : applications de chatbot & Azure OpenAI Service
- Le LLMjacking : quand les cyberattaques utilisent illicitement des comptes LLM
- Les identités des développeurs doivent être prises en compte !
- Architecture de données ouverte : un levier essentiel pour maximiser les bénéfices de l’IA générative