Les postes profs sont classés dans des OU spécifiques sur le LDAP, les étudiants sont aussi dans une OU spécifique sur le LDAP.
Créer une GPO appliquée à l'OU comprenant les ordinateurs « profs ».
Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales
Il doit probablement exister une variable pour ça, mais je passe par la modification d'une clé de registre.
Créer une GPO à appliquer aux ordinateurs.
Configuration ordinateur > Préférences > Paramètres Windows > Registre
Créer une clé de registre dans la ruche : SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Créer un clé nommée « DisableCAD » de type REG_DWORD ayant pour valeur 00000000
Créer une GPO appliquée aux utilisateurs.
Configuration utilisateurs > Stratégies > Modèle d'administration > Bureau > Supprimer l'icône Mes Documents du Bureau : Désactiver
Si la précédente étape ne suffit pas, vous pouvez ajouter un raccourci sur le bureau en créant une GPO appliquée aux utilisateurs.
Configuration utilisateurs> Préférences > Paramètres Windows > Raccourcis.
Lire la suite de l'article « Ajouter l’icône « mes documents » sur le bureau par GPO »
Créer une GPO appliquée aux utilisateurs.
Configuration utilisateurs > Stratégies > Modèle d'administration > Bureau > Supprimer poste de travail du Bureau : Désactiver
Si la précédente étape ne suffit pas, vous pouvez ajouter un raccourci sur le bureau en créant une GPO appliquée aux ordinateurs.
Configuration ordinateur > Préférences > Paramètres Windows > Raccourcis.
Lire la suite de l'article « Ajouter l’icône « poste de travail » sur le bureau par GPO »
Pour mon boulot j'ai parfois besoin de déployer sur un « grand nombre » de postes (trop grand pour le faire un à un) des applications. Cas concret de la semaine : mise à jour de sécurité de 7-zip sur une partie de mon parc... que je viens de réinstaller deux semaines plus tôt !
Si les développeur proposent des fichiers au format msi, ça simplifie grandement les choses : nul besoin de scripter.
Voici les différentes étapes que j'applique en prenant exemple sur le déploiement de 7-zip nouvelle version :
Le logiciel devrait s'installer au démarrage de la machine.
Quelques remarques supplémentaires :
Je partage avec vous un retour d'expérience sur la migration d'un Moodle installé sur un Ubuntu 14 version un nouveau serveur sur un OS Ubuntu LTS.
J'ai voulu profiter de cette migration pour faire une remise à zéro : mon ancien Moodle commence à dater (2005) et à subi quelques soucis de débutants et modifications de code à la main qui peuvent apporter des instabilités, voir des problèmes de sécurité. Je n'ai donc pas opté pour simplement copier le répertoire et la base de donnée.
Avant tout : assurer une sauvegarde complète et fonctionnelle du site.
Lire la suite de l'article « Migration d’un Moodle sur un autre serveur »
Surprise...
Installation d'une salle informatique sous Windows© 7 en juillet pour préparer la rentrée de septembre (tout marche bien), petite update fin aout = la salle informatique qui ne veut plus fonctionner correctement sous Windows© 7 à la rentrée : plus de mise à jour possible car les processeurs sont trop récents !
Bref : légère incitation à passer à Windows© 10.
Non de diou... plus de mise à jour de sécurité... pour votre bien les gars... Ils sont pas un peu tarés ?
J'ai enfin fait une petite recherche pour contourner le problème (car l'achat de licences Windows© 10 est pas encore totalement clair chez nous), et je suis tombé sur ça : WuFuc (soit Windows Update F...).
Installation simple, et ça semble fonctionner... Merci Zeffi.
J'hésite à déployer...
Nota : il faut utiliser la version v0.7.1.81, car la suivante plante.
PS : Pour anticiper, la mise à jour gratuite (et forcée) entre 7 à 10 ça marche bien pour les particuliers. Coté entreprise avec les licences de groupées, c'est pas pareil.
Veyon est le successeur officiel d'iTALC, dont j'avais fait quelques articles précédemment et qui n'est plus maintenu.
J'ai été surpris de voir que le développement avait repris et qu'il mène à un produit bien sympa.
Une fois le client Veyon installé sur le poste de vos étudiants, vous pouvez voir les écrans de vos ouailles avec le Veyon Master (pour savoir s'ils glandent ou travaillent).
Pour l'aspect moral, légal et politique, je m'auto-réfère à mon article sur iTALC : mon avis n'a pas changé.
Et le petit plus : ça marche sur Windows et Linux, car ça utilise simplement VNC.
Ha... et c'est bien sûr open source, disponible sur github, et gratuit...
Mais c'est comme iTALC ?
Ben, oui mais non, y'a des trucs qui sont revenus, d'autres disparus, et un petit plus génial que je vous réserve pour plus tard (suspens...).
Lire la suite de l'article « Superviser les ordinateurs de votre salle de cours avec Veyon »
Logcheck est un logiciel qui analyse les logs du serveur et renvoi par mail des infos sur les problèmes rencontrés.
Malgré le paramétrage qui semble être correct, les règles d'évitement (ignorance) des log de sSMTP n'étaient pas appliquées et je recevais toutes les heures un message du type :
System Events
=-=-=-=-=-=-=
Mar 28 07:02:06 hostname sSMTP[32192]: Creating SSL connection to host
Mar 28 07:02:07 hostname sSMTP[32192]: SSL connection using RSA_AES_128_CBC_SHA1
Mar 28 07:02:09 hostname sSMTP[32192]: Sent mail for mail@domain.com (221 2.0.0 closing connection t19071wmt.23 - gsmtp) uid=110 username=logcheck outbytes=1437J'ai trouvé la solution sur cet article :
Le fichier dans lequel les règles sont inscrites n'a pas les même droits que les autres... Vérifiez en faisant :
cd /etc/logcheck/ignore.d.server
llChez moi, le fichier ssmtp n'a pas les mêmes autorisations que ses copains.
Pour corriger ça :
chown root:logcheck /etc/logcheck/ignore.d.server/ssmtp
chmod 644 /etc/logcheck/ignore.d.server/ssmtpL'expression des règles est incomplète. J'utilise maintenant celles proposées dans l'article cité.
nano /etc/logcheck/ignore.d.server/ssmtp
Y coller les règles suivantes :
# My custom pattern
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sSMTP\[[0-9]+\]: Creating SSL connection to host$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sSMTP\[[0-9]+\]: SSL connection using [._[:alnum:]-]+$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sSMTP\[[0-9]+\]: Sent mail for .*$
# End of custom patternLe serveur hébergeant entre autres Moodle et GLPI est une machine virtuelle située dans notre établissement.
Voici notre politique de sauvegarde et les scripts associés.
Chaque nuit, les BDD et les répertoires critiques de mon serveur sont copiés sur un espace disque partagé et sécurisé. Il en résulte donc un répertoire par jour d'environ 200 Go avec une navigation rapide dans l'arborescence si nécessaire.
Chaque semaine, ces même sauvegardes (mais pas seulement) sont copiées sur un disque externe, puis mise dans un coffre fort situé dans un autre bâtiment. Deux disques jouent ce rôle l'un après l'autre.
Il en résulte donc 3 semaines de sauvegarde facilement accessibles et relativement bien protégées.
J'ai hérité de scripts de sauvegarde que j'ai adapté à mes besoins pour gagner en efficacité et rapidité de traitement.
Les copies seront dans un premier temps placées dans un répertoire réseau partagé avec accès par un utilisateur en écriture correspondant à la machine qui crée la sauvegarde.
Par sécurité, chaque base de donnée à un accès en écriture par un utilisateur différent (je n'utilise pas l'utilisateur root...). Je crée donc un utilisateur « dump » dédié à la tache de copier la base et qui n'a besoin que d'un accès en lecture à chacune des base.
mysql -u root -p -e "CREATE USER 'dump'@'localhost' IDENTIFIED BY 'LEMOTDEPASSE';"
mysql -u root -p -e "GRANT SELECT , SHOW DATABASES , LOCK TABLES , SHOW VIEW ON * . * TO 'dump'@'localhost' IDENTIFIED BY 'LEMOTDEPASSE' WITH MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0 ;"Petite explication des étapes :
sauvegarde.sh
#!/bin/bash
# Création des variables
# Globales
MAIL='mail@domaine.fr'
HOSTNAME='computer name'
SAVE_DIR='//192.168.1.1/backup'
MOUNTED_DIR='/mnt/sauvegarde'
LOCAL_SQL_DIR='/home/scripts/dump_sql'
LOG_FILE='/home/scripts/backup.log'
ERROR_LOG_FILE='/home/scripts/error.log'
# User for external disk usage
EXT_USER='user'
EXT_PASS='password'
EXT_DOMAIN='domain'
# SQL user informations
SQL_USER='dump'
SQL_PASS='pass_sql'
SQL_EXCLUSION='(information_schema|performance_schema)'
# Dates
NOW=$(date +"%Y-%m-%d")
DAY=$(date +"%A")
MOUNTH=$(date +"%m")
WEEK=$(date +"%V")
YEAR=$(date +"%Y")
# Destination directory
DEST_DIR=$MOUNTED_DIR/$DAY
# Error log
echo "Error log for $NOW :">$ERROR_LOG_FILE
exec 2>> $ERROR_LOG_FILE
# Low priority
ionice -c3 -p$$ &>/dev/null
renice -n 19 -p $$ &>/dev/null
## Let's go
echo "Backup for $NOW on $HOSTNAME :">$LOG_FILE
echo " ">>$LOG_FILE
# Local MySQL dump
echo "Local MySQL dump">>$LOG_FILE
# Make local directory if not exist
mkdir -p $LOCAL_SQL_DIR;
# Get bases name
databases="$(mysql -u$SQL_USER -p$SQL_PASS -Bse 'show databases' | grep -v -E $SQL_EXCLUSION)"
# Dump
for database in ${databases}
do
echo "$(date +"%H:%M:%S") : dump $database">>$LOG_FILE
mysqldump -u$SQL_USER -p$SQL_PASS $database > $LOCAL_SQL_DIR/${database}.sql
done
# End local MySQL dump
echo "$(date +"%H:%M:%S") : dump finished">>$LOG_FILE
echo "------------------------------------">>$LOG_FILE
# Directory sync
echo "Files sync">>$LOG_FILE
# Make mounted directory if not exist
mkdir -p $MOUNTED_DIR;
# Mount
echo "$(date +"%H:%M:%S") : mount $MOUNTED_DIR">>$LOG_FILE
mount -t cifs -o username=$EXT_USER,pass=$EXT_PASS,domain=$EXT_DOMAIN $SAVE_DIR $MOUNTED_DIR
# Make destination directory if not exist
mkdir -p $DEST_DIR;
# Sync files
echo "$(date +"%H:%M:%S") : sync $LOCAL_SQL_DIR">>$LOG_FILE
rsync -a --stats --progress --delete-after $LOCAL_SQL_DIR $DEST_DIR
echo "$(date +"%H:%M:%S") : sync /var/www/html">>$LOG_FILE
rsync -a --stats --progress --exclude-from=/home/scripts/excludes_html.txt --delete-after /var/www/html $DEST_DIR
echo "$(date +"%H:%M:%S") : sync /root">>$LOG_FILE
rsync -a --stats --progress --copy-links --delete-after /root $DEST_DIR
echo "$(date +"%H:%M:%S") : sync /etc">>$LOG_FILE
rsync -a --stats --progress --copy-links --delete-after /etc $DEST_DIR
echo "$(date +"%H:%M:%S") : sync /home/moodledata">>$LOG_FILE
rsync -a --stats --progress --exclude-from=/home/scripts/excludes_moodledata.txt --delete-after /home/moodledata $DEST_DIR
# End directory sync
echo "$(date +"%H:%M:%S") : sync finished">>$LOG_FILE
echo "------------------------------------">>$LOG_FILE
# Synchronisation des buffers des disques
sync
# Log file copy
echo "$(date +"%H:%M:%S") : copy log file">>$LOG_FILE
cp $LOG_FILE $DEST_DIR/
echo "$(date +"%H:%M:%S") : copy error file">>$LOG_FILE
cp $ERROR_LOG_FILE $DEST_DIR/
# Umount
echo "$(date +"%H:%M:%S") : unmount $MOUNTED_DIR">>$LOG_FILE
umount $MOUNTED_DIR
# Ended
echo "$(date +"%H:%M:%S") : -- Backup done ! --">>$LOG_FILE
# Send mail report
mail -s "$HOSTNAME : $NOW backup report" $MAIL < $LOG_FILE
mail -s "$HOSTNAME : $NOW error log" $MAIL < $ERROR_LOG_FILE
J'enlève les fichiers bak et log, les fichiers de sessions et temporaires de moodle (peut être un héritage des anciennes versions d'ailleurs).
excludes_moodledata.txt
*.bak
*.log
/moodledata/sessions
/moodledata/tempJ'enlève les fichiers bak et log, les fichiers de sessions de GLPI, et quelques répertoires situés dans /var/www/html commençant par _.
excludes_html.txt
*.bak
*.log
/html/glpi/files/_sessions
/html/_*Après essais et ajustement, et surtout vérification que les fichiers de la sauvegarde soient bien présents et utilisables, je demande à un cron d’exécuter ce script chaque nuit à 23h00.
00 23 * * * sh /home/scripts/sauvegarde.shÉdition :
Sources d'inspiration :