SCCM – Requête WQL pour trouver une machine par son adresse MAC

Avec SCCM, il peut être très utile de rechercher une machine par son adresse mac.

Malheureusement cette recherche n’est pas disponible par l’interface et il est nécessaire de créer une requête pour la découvrir.

Pour cela, rendez-vous dans la console SCCM dans l’onglet Monitoring puis dans Queries.

Ici Cliquer sur Create query, donnez un nom à la requête puis cliquez sur Edit Query Statement, puis Show Query Language et collez la requête suivante puis validez:

select distinct SMS_R_System.Name, SMS_R_System.MACAddresses from  SMS_R_System where SMS_R_System.MACAddresses = ##PRM:SMS_R_System.MACAddresses## order by SMS_R_System.MACAddresses

Exécuter maintenant la requête et entrez l’adresse mac séparée par des « : »

exemple : AA:BB:CC:DD:EE:FF

query_sccm_mac

Source en anglais https://blogs.technet.microsoft.com/michaelgriswold/2011/09/20/prompted-query-to-find-machines-based-on-mac-address/ 

Windows 10 – Modèles de GPO ADMX

windows10-logo

Microsoft a publié les nouveaux modèles de GPO pour Windows 10 à l’adresse suivante : http://www.microsoft.com/en-us/download/details.aspx?id=48257

A noter que les modèles peuvent être installés sur une machine qui n’a pas Windows 10.

L’installeur est au format MSI et copie les modèles dans C:\Program Files (x86)\Microsoft Group Policy\Windows 10\PolicyDefinitions

Par défaut, le répertoire contient les fichiers ADMX et les sous dossiers de traduction linguistique avec les fichiers ADML.

Ce package intègre 10 fichiers supplémentaires par rapport à ceux présents nativement dans le système Windows 10 qu’on peut trouver dans le répertoire C:\Windows\PolicyDefinition

  • Fileserverssagent.admx
  • grouppolicypreferences.admx
  • gamedvr.admx
  • terminalserver-server.admx
  • userdatabackup.admx
  • deliveryoptimization.admx
  • grouppolicy-server.admx
  • mmcsnapins1.admx
  • textinput.admx
  • windowsserver.admx

Pour profiter de ces nouveaux réglages sur l’ensemble du parc, il faut les déployer dans le Sysvol (%systemroot%\sysvol\domain\policies\PolicyDefinitions) du Central Store d’un des controleurs de domaine : https://msdn.microsoft.com/en-us/library/bb530196.aspx

Après l’insertion des ADMX, il est possible de rencontrer un warning dans la console des stratégies de groupe gpmc.msc indiquant : Microsoft.Policies.Sensors.WindowsLocationProvider’ is already defined.

Ce problème est connu et documenté chez Microsoft à l’adresse suivante : https://support.microsoft.com/en-us/kb/3077013

Microsoft a également publié la liste des réglages disponibles à l’adresse suivante :

Group Policy Settings Reference for Windows and Windows Server

On y trouve notamment des réglages pour gérer le nouveau navigateur Microsoft Edge.

Internet Explorer 11 – Mode Entreprise

Le navigateur Internet de Microsoft, Internet Explorer est aujourd’hui disponible en version 11.

Internet Explorer 11

Face à la concurrence de Mozilla Firefox et Google Chrome, Microsoft améliore son navigateur et y implémente des fonctionnalités majeures comme le mode entreprise ou la protection de la vie privée.

Le navigateur peut être téléchargé à cette adresse : http://windows.microsoft.com/fr-fr/internet-explorer/download-ie

A propos d'IE11

A propos d’IE11

La page dédié à Internet Explorer dans Technet http://technet.microsoft.com/fr-fr/library/bb265256.aspx offre la possibilité de consulter le guide de déploiement d’Internet Explorer 11 ou encore de télécharger le kit d’administration (IEAK) pour Internet Explorer 11.

Déployer IE11

Le mode Entreprise d’Internet Explorer 11 est un mode de compatibilité qui permet d’afficher des sites Web à l’aide d’une configuration de navigateur modifiée conçue pour émuler Internet Explorer 8. On évite ainsi des problèmes de compatibilité couramment associés aux applications Web écrites et testées sur des versions anciennes d’Internet Explorer.

Ce mode apporte :

  • une compatibilité accrue des sites Webs et des applications

    Mode entreprise activé

    Mode entreprise activé

  • un controle centralisé grâce aux stratégies de groupes (GPO utilisateur, Composants Windows, Internet Explorer)
Spécifier ici l'URL du fichier XML généré avec l'application Entreprise Mode Site List Manager pour centraliser la diffusion de la configuration

Spécifier ici l’URL du fichier XML généré avec l’application Entreprise Mode List Site Manager pour centraliser la diffusion de la configuration par GPO

Autoriser les utilisateurs à activer le mode entreprise

Autoriser les utilisateurs à activer le mode entreprise par GPO

L'utilisateur peut activer le mode entreprise par le menu Outils

L’utilisateur peut activer le mode entreprise par le menu Outils

 

IE11 List Manager

IE11 Enterprise Mode Site List Manager

L’application permet de générer une liste au format XML des sites à afficher avec le mode entreprise.

 

L’ensemble de ces réglages est accessible également à partir du registre

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main\EnterpriseMode]
"SiteList" = Adresse URL du Fichier
 
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main\EnterpriseMode]
"Enable" = "" | {URL:port}
Les paramètres du mode entreprise dans le registre

Les paramètres du mode entreprise dans le registre

Enfin, on notera qu’il est possible d’activer ce paramètre à partir d’Internet Explorer grâce au menu développeur, accessible en pressant la touche F12

L'émulation de versions antérieures d'IE en mode développeur

L’émulation de versions antérieures d’IE en mode développeur

Pour plus d’nformations : http://msdn.microsoft.com/fr-fr/library/dn640687.aspx ou http://blogs.msdn.com/b/ie/archive/2014/04/02/stay-up-to-date-with-enterprise-mode-for-internet-explorer-11.aspx

Nettoyer l’espace disque des mises à jour Windows

A l’occasion d’un projet de virtualisation de postes de travail, j’ai du créer un Master optimisé, notamment en terme d’espace disque.

Après la longue phase de mises à jour de Windows 7, mon image avait pris quelques gigas et c’est donc à cette occasion que je me suis intéressé au nettoyage des fichiers de désinstallation des mises à jour Windows intégrées à mon master.

L’utilitaire de Nettoyage de disque, CleanMgr, bien connu depuis longtemps, a recu une mise à jour de la part de Microsoft pour prendre en charge cette fonctionnalité.

Cette  mise à jour, disponible à partir de Windows 7 SP1, est disponible sous la forme d’un KB avec la référence KB2852386 accessible à l’adresse suivante : http://support.microsoft.com/kb/2852386

Une fois cette mise à jour installée, l’outil nettoyage est accessible à partir du menu démarrer dans tous les programmes, accessoires puis outils système.

On peut aussi lancer l’outil grâce à la commande cleanmgr.exe disponible dans le répertoire C:\Windows\System32.

CleanMgr, l'outil Microsoft de Nettoyage de disque

En cliquant sur « Nettoyer les fichiers système », l’outil se recharge et propose des options de nettoyage supplémentaires notamment les fichiers de mise à jour Windows obsolètes.

L'option de nettoyage des mises à jour obsolètes

Microsoft propose d’automatiser la configuration et le lancement de l’outil en ligne de commande avec cleanmgr.exe /sageset:n et cleanmgr.exe /sagerun:n où n peut être toute valeur comprise entre 0 et 65 535. La documentation est accessible ici : http://support.microsoft.com/kb/315246 

A la recherche d’une méthode pour automatiser ce nettoyage à la fin d’une sequence de tâche MDT ou SCCM, je suis tombé sur plusieurs scripts dont celui-ci, réalisé par Mikael Nystrom, qui a l’avantage de proposer un nettoyage complet et ce pour toutes les versions d’OS disponibles (Windows 7 SP1, Windows 8 et 8.1 ainsi que les versions serveurs 2008 R2, 2012, R2 etc.)

Action – Cleanup Before Sysprep

http://deploymentbunny.com/2014/06/05/nice-to-know-get-rid-of-all-junk-before-sysprep-and-capture-when-creating-a-reference-image-in-mdt/

Déclaré comme une application dans MDT, je l’ai intégré dans les Custom Tasks de la phase State Restore.

Application MDT

MDT Custom task

Il y a également celui-ci, réalisé par Aaron Czechowski, mais qui ne différencie pas les versions d’OS dans son script.

CustomDiskCleanup

http://blogs.technet.com/b/aaronczechowski/archive/2012/01/04/disk-cleanup-in-a-mdt-task-sequence.aspx

 

Kaspersky Endpoint Security 10.2 désinstalle automatiquement SCCM 2012 !

J’avais prévu aujourd’hui de migrer le client antivirus Kaspersky de mon serveur SCCM de la version 8 vers la version 10.2.

Quelle ne fut pas ma surprise de voir que l’installation de Kaspersky Endpoint Security 10.2 lance AUTOMATIQUEMENT et SILENCIEUSEMENT la désinstallation de SCCM 2012 !

Journal de déinstallation de SCCM

Journal de désinstallation de SCCM

Il était pourtant bien spécifié dans les paramètres de la tâche d’installation de ne pas supprimer automatiquement les applications incompatibles.

La case est bien décochée

La case est bien décochée

Heureusement pour moi, mon infrastructure SCCM dispose d’un site enfant et la présence de ce dernier a empêché la bonne désinstallation du produit.

La présence du site enfant en sauveur !

La présence du site enfant en sauveur !

Une recherche plus tard sur les forums de Kaspersky montre que le problème est connu depuis le mois de février !! ARRGGGGHHH !!

 

J’ai demandé au support une solution de contournement, mais si vous êtes dans mon cas, suivez-ce conseil : remettez à plus tard la migration de KES.

 

EDIT : Le support de kaspersky m’a répondu que ce problème serait corrigé dans KES 10 SP1.

Pour le moment la seule solution de contournement consiste à by-passer le contrôle des applications incompatibles lors de l’installation de KES :

==> Installation locale :
setup.exe /pSKIPPRODUCTCHECK = 1

==> Installation à distance via SC 10 :
– Modifiez le fichier kes10win.kpd et kes10win.kud dans le sous-dossier exec depuis le dossier du paquet d’installation de l’application.
– Ouvrez Kes10win.kpd dans un éditeur de texte.
– Trouvez la section [setup], et modifiez la ligne comme suit :
Params = / s / pAKINSTALL = 1 / Peula = 1 / pSKIPPRODUCTCHECK = 1 / pSKIPPRODUCTUNINSTALL = 1
– Enregistrez les modifications dans Kes10win.kpd.
Faites la même chose avec le fichier Kes10win.kud.

Fin de support de Windows XP

XPEOL2

C’est ce 8 avril 2014 que Microsoft cessera définitivement le support de son système d’exploitation Windows XP, de sa suite bureautique Office 2003 et de son navigateur Internet Explorer 8.

XP_EOL

Cela signifie que Microsoft ne diffusera plus de nouveaux correctifs pour ce système qui a vu le jour il y a 13 ans le 25 octobre 2001. Les anciens correctifs seront par contre toujours disponibles via Windows Update ou WSUS.

L’éditeur diffuse d’ailleurs au grand public une mise à jour appelée « Notification de fin d’assistance technique pour Windows XP » qui fait apparaitre un popup d’avertissement de la fin du support de Windows XP.

popupxp

 Heureusement, cette mise à jour n’est pas diffusée par WSUS dans les entreprises.

Microsoft martèle donc de partout qu’il faut migrer vers Windows 8.1 à l’aide de moyens plus ou moins professionnels (Bandes Dessinées, vidéos YouTube, infographies sécurité, il y en a pour tous les goûts) :

BobineauWinXP01-Horizontal

InfographieSecurite

Enfin, l’antivirus Microsoft Security Essentials ne sera plus disponible au téléchargement pour Windows XP à partir de cette même date.
Les postes déjà installés recevront cependant encore les nouvelles signatures anti-malware jusqu’au 14 juillet 2015.

Avec ce tapage médiatique, on l’aura compris, il est grand temps de migrer les dernières machines de votre parc sous Windows 7 ou 8.1 (si vous aimez les défis).

Le contrôle logiciel dans SCCM 2012

SCCM 2012 propose une fonction de contrôle logiciel qui permet d’auditer l’usage de logiciels sur les postes de travail.

Dans une période où il faut faire des économies, il est toujours intéressant de pouvoir récupérer des licences logicielles sur des PC qui ne les utilisent jamais.

Dans cet exemple nous verrons comment :

  • activer la fonctionnalité du contrôle logiciel dans la console d’administration;
  • Créer une règle de surveillance pour l’application Adobe Acrobat;
  • Activer la fonctionnalité du contrôle logiciel dans la politique du client et paramétrer les remontées de surveillance;
  • Consulter les logs relatifs à la surveillance d’une application;
  • Gérer les tâches de maintenance relatives au contrôle logiciel;
  • Afficher un rapport d’utilisation d’un logiciel contrôlé.

La fonctionnalité de Contrôle logiciel est disponible au travers de la console d’administration dans la vue Ressources et Conformité

Propriétés_Control_logiciel

Par défaut, SCCM crée automatiquement des règles de contrôle à partir des données d’inventaire récemment utilisées. Elles sont désactivées par défaut mais bien présentes dans la liste. Il suffit juste d’activer la surveillance pour commencer le contrôle.

Pour avoir une console moins chargée, je préfère désactiver cette fonction et ajouter moi-même les logiciels à contrôler.

Pour créer une nouvelle règle, cliquer sur le bouton « Créer une règle de contrôle de logiciel » et remplir l’assistant.

regle_control_logiciel_acrobat2

ATTENTION : C’est à ce stade qu’il faut être vigilant car la détection automatique de la langue ou de la version d’un fichier exécutable peut vous jouer des tours.

Acrobat_propriétés2

En effet, j’ai rencontré plusieurs cas où la remontée d’utilisations d’applications contrôlées ne s’effectuait pas à cause de ces deux réglages.

Une mise à jour changeant le numéro de version, une version multilingue et l’application ne sera plus surveillée. N’hésitez donc pas à utiliser le caractère * pour rendre la règle plus générique (par exemple 9.* au lieu de 9.5.3) et à choisir « n’importe quelle langue » pour être certain d’avoir des résultats. Si nécessaire, on pourra toujours affiner la surveillance par la suite.

A ce stade, la règle de contrôle est créée. Il faut s’assurer que dans la politique du client, l’agent de contrôle logiciel est bien activé et spécifier le délai de regroupement des données.
Pour cela, rendez-vous dans le volet Administration, paramètres du client puis éditer la politique diffusée sur les postes de travail.

Ctrl_Logiciel_Client

Une fois la politique appliquée sur les postes de travail, ils vont commencer à auditer l’utilisation des applications surveillées.

On peut le vérifier en consultant le log local mtrmgr.log à l’aide de cmtrace.

Ouvrez le log puis lancer l’application surveillée pour constater le début du contrôle.

log_mtrmgr

On constate ici que le processus « Acrobat.exe » est bien détecté avec son PID dès son lancement et qu’il est bien associé à une règle de surveillance.

log_mtrmgr_finOn peut aussi lire dans le log la détection de la fermeture du processus quand on quitte l’application.

Le poste a donc bien détecté l’usage d’une application surveillée. Pour accélérer la remontée de cette information sur le serveur, on peut forcer l’exécution du rapport par le panneau de configuration de l’agent local.

CfgMgrCtrlPanel

Sélectionner, « Cycle du rapport d’utilisation du contrôle de logiciel » et cliquer sur Exécuter maintenant.

Le log de cette action locale s’appelle SWMTRReportGen.log.

log_SWMTRReportGen

Une fois l’information remontée au serveur, il va falloir que le server résume ces données pour pouvoir les consulter à partir des rapports SCCM.

Cette action est gérée dans les tâches de Maintenance de site, accessibles dans les réglages du site du volet Administration.

TachesDeMaintenance

Par défaut, les deux tâches relatives au contrôle logiciel sont exécutées quotidiennement.

TachesDeMaintenanceCtrlLogiciel

Il n’y a malheureusement pas la possibilité de forcer l’exécution de ces tâches de maintenance par l’interface graphique.

Dès le lendemain, on peut donc aller voir les rapports pour voir si le contrôle est bien effectif.

Les rapports sont accessibles dans le volet Surveillance, dans Rapports, Rapports puis Contrôle Logiciel.

Rapports_Control_Logiciel 2

En exécutant le rapport « Ordinateurs ayant exécuté un programme contrôlé spécifique » et en filtrant sur le logiciel Acrobat, on obtient le résultat suivant

Rapport_Control_Logiciel2

Dans cet exemple, nous aurons donc fait une démonstration du contrôle logiciel dans SCCM 2012 de sa création jusqu’à l’exécution d’un rapport d’utilisation.

600 raccourcis clavier sur Windows 8.1

Avec l’arrivée de Windows 8.1, Microsoft a publié une page qui regroupe tous les raccourcis clavier de son nouveau système.

Même s’il est impossible de tous les retenir, il y en a certains qui vous changeront la vie.

J’utilise très régulièrement la touche Touche Windows avec les flèches directionnelles pour repositionner mes fenêtres (indispoensable lorsqu’on utilise plusieurs écrans) ou encore Touche Windows+L pour verrouiller ma session !

La liste des 600 raccourcis est disponile ici : http://windows.microsoft.com/fr-fr/windows-8/keyboard-shortcuts  

10 raisons de privilégier MDT à SCCM pour créer des masters

Je vous recommande l’article de Yannick Plavonil (MVP Setup & Déployment) qui liste plusieurs raisons qui poussent à préférer MDT à SCCM pour la création des images de références.

J’utilise moi même cette technique et je crois que les meilleurs arguments sont la rapidité et la simplicité d’utilisaion au regard du même travail à réaliser avec SCCM.

L’article en détail est disponible en français à l’adresse suivante : http://www.deploiementwindows.com/10-raisons-dutiliser-mdt-pour-creer-les-images-de-references