-
Notifications
You must be signed in to change notification settings - Fork 0
Génération et déploiement des scripts clients
Dans le menu principal de la console d'administration, cliquer sur le lien "Génération des fichiers VBS".
Trois fichiers VBScript peuvent être générés :
-
logon.vbs
: ce script est exécuté à l'ouverture de la session Windows. Il crée une ligne de connexion dans la base Winlog. -
logout.vbs
: ce script est exécuté à la fermeture de la session Windows. Il met à jour la ligne de connexion ouverte dans la base. -
matos.vbs
: ce script est exécuté à l'arrêt du système. Il remonte des informations relative au système et au matériel du PC dans la base.
La génération des fichiers de script permet d'insérer automatiquement dans le code certaines valeurs de configuration comme l'URL du serveur Winlog ou la clé partagée entre le serveur et le client.
Pour générer chacun de ces scripts, cliquer simplement sur le lien ad hoc et enregistrer localement le fichier téléchargé depuis le navigateur.
Chaque script doit ensuite être placé à l'emplacement adéquat dans les GPO pour être exécuté au moment voulu.
Exemple avec Active Directory sous Windows Server 2008 R2 :
logon.vbs :
Dans l'outil de Gestion de Stratégie de Groupes, faire "modifier" sur "Domain Users", puis dans l'éditeur de gestion des stratégies, ouvrir "Configuration utilisateur/Stratégies/Paramètres Windows/Scripts/Ouverture de session" et ajouter logon.vbs à cet endroit.
logout.vbs :
Dans l'outil de Gestion de Stratégie de Groupes, faire "modifier" sur "Domain Users", puis dans l'éditeur de gestion des stratégies, ouvrir "Configuration utilisateur/Stratégies/Paramètres Windows/Scripts/Fermeture de session" et ajouter logout.vbs à cet endroit.
matos.vbs :
Dans l'outil de Gestion de Stratégie de Groupes, faire "modifier" sur l'OU "Salles / Ordinateurs", puis dans l'éditeur de gestion des stratégies, ouvrir "Configuration ordinateur/Stratégies/Paramètres Windows/Scripts/Arrêt du système" et ajouter matos.vbs à cet endroit.
Tous les scripts VBS utilisent la librairie WinHttpRequest5.1 incluse dans tous les systèmes Windows depuis Windows XP.
Il peut arriver que les librairies de chiffrement (SSL/TLS) d'anciennes versions de Windows ne soient plus compatibles avec les librairies installées sur le serveur Winlog.
Dans ce cas, il faudrait soit installer d'anciennes versions de ces librairies sur le serveur Winlog, soit laisser le trafic passer en clair entre les postes et le serveur Winlog (non recommandé), ... soit ne pas monitorer simplement les postes ayant ces anciens systèmes.
Vérifiez en premier lieu que le poste Windows est enregistré dans Active Directory et qu'il se trouve bien dans l'une des branches de recherche déclarée dans le fichier winlog_admin_conf.php
.
Vérifiez ensuite que la GPO délivrant les scripts VBS s'applique bien sur lui en tapant ceci en ligne de commande directement sur le poste Windows concerné :
C:\> gpresult /z
Vérifiez ensuite que ce poste accède bien à Winlog sur le port 443 :
C:\> telnet nom.serveur.winlog 443
Si tout est bon, copiez alors le fichier logon.vbs
généré localement sur le poste concerné, éditez le et commentez la première ligne en ajoutant le caractère "apostrophe" au début :
'On error resume next
Enregistrez le fichier modifié et exéctutez le en double-cliquant dessus.
Si un message vous indique quelque chose comme "le message reçu est inattendu ou mal formé", alors c'est qu'il y a incompatibilité entre les librairies SSL/TLS clientes et serveurs.