Modifier les permissions avec Subinacl

par Mark Minasi - Mis en ligne le 25/08/2003
Subinacl est un outil ligne de commande puissant et utile (disponible dans le Microsoft Windows 2000 Server Resource Kit et le Microsoft Windows NT Server 4.0 Resource Kit) qui vous permet de modifier directement presque toutes les informations de sécurité - permissions, possession ou auditing - sur toutes sortes d'objets.Subinacl permet bien sûr de modifier cette information sur les fichiers, répertoires, shares de fichiers et shares d'imprimantes, mais vous pouvez aussi l'utiliser pour contrôler les permissions sur les clés de registres, les services système et la métabase Microsoft IIS.

Simplifier la reconception des applications

par Sharon L. Hoffman - Mis en ligne le 26/05/2003
La restructuration est généralement la première étape de tout projet de modernisation d'applications et il est souhaitable de la terminer avant d'entreprendre d'autres actions comme la création de nouvelles interfaces utilisateur. Diverses stratégies et terminologies s'appliquent à  cette phase de la reconception. Ainsi, la mise en oeuvre d'un modèle de conception MVC (Model-View-Controller) est en vogue en ce moment.

Le principe sous-jacent du processus de restructuration est toujours le même. Les développeurs visent une architecture qui divise l'application en ses parties constituantes (interface utilisateur, logique de gestion, par exemple) avec des mécanismes de communication clairement définis permettant l'interaction entre les différentes portions de l'application. Bien qu'on puisse restructurer des applications avec n'importe quel langage de programmation, c'est plus facile avec certains outils et techniques. Nous verrons ici quand et comment il faut utiliser les triggers et les contraintes, ainsi que certains des écueils à  éviter. Nous verrons également les procédures stockées et l'utilisation de XML pour définir les interfaces entre les composants de l'application.

Appliquer une sécurité rigoureuse et contrôler l’attribution des rôles

par Ethan Wilansky - Mis en ligne le 17/11/2003

Comment contrôler l'attribution des rôles de Schema Master

Bien que Win2K Server utilise un modèle de réplication multimaître, certains rôles concernant l'ensemble de la forêt, particulièrement les rôles Schema Master et Domain Naming Master, doivent résider sur un DC (domain controller) dans une forêt.Gérez-vous un réseau d'entreprise qui contient une forêt de domaines Windows 2000 ? Est-il important de protéger votre réseau Win2K ? Si vous avez répondu oui à  ces deux questions,poursuivez la lecture. Bien que Win2K Server utilise un modèle de réplication multimaître, certains rôles concernant l'ensemble de la forêt, particulièrement les rôles Schema Master et Domain Naming Master, doivent résider sur un DC (domain controller) dans une forêt.
Win2K offre une infrastructure de sécurité permettant de contrôler efficacement qui peut réattribuer ces rôles spéciaux. Cependant, un utilisateur muni de privilèges administrateur dans un domaine enfant peut trouver le moyen de réattribuer un rôle concernant l'ensemble de la forêt à  un DC dans un domaine enfant. De telles réattributions menacent la sécurité parce que, à  moins de contrôler les rôles touchant à  l'ensemble de la forêt, un domaine Win2K n'est pas vraiment une frontière sûre : la forêt l'est. Je ne traite pas de la réattribution fautive des rôles concernant l'ensemble de la forêt, mais je vous donne une solution de script pour affronter ce genre d'événement.
Le script SchemaControl.vbs, illustré dans le listing 1 impose ce que j'aime à  appeler une sécurité stricte. SchemaControl.vbs détecte la réattribution du rôle Schema Master, redéfinit le rôle à  son emplacement original et envoie un message électronique pour informer quelqu'un de l'événement. D'une certaine façon, ce script fait adhérer ce rôle important à  son emplacement original. Je mets en lumière le rôle Schema Master parce qu'un administrateur dans le domaine auquel ce rôle est réattribué peut endommager le schéma de façon irréparable. Dans le pire scénario, il faudra alors reconstituer toute la forêt. Toutefois, quand vous aurez compris le fonctionnement de SchemaControl. vbs, vous pourrez modifier le script pour détecter la réattribution des autres rôles, comme le rôle Domain Naming Master. Pour exécuter le script, vous devez posséder l'autorisation de changement de rôle appropriée. Pour transformer le rôle Schema Master, vous devez avoir l'autorisation Change Schema Master, octroyée par défaut au groupe Schema Admins.

Actualités Windows NT / 2000 – Semaine 41 – 2003

Toutes les Actualités du 06 au 10 Septembre 2003

Dépanner les mises à  niveau du service pack

par Paula Sharick - Mis en ligne le 08/10/2003

J'ai utilisé trois techniques pour mettre à  niveau des serveurs et des stations de travail, mais je n'ai pas encore essayé de mettre à  niveau un DC (domain controller). Les trois techniques testées comportent une mise à  jour locale que j'ai lancée à  partir de la ligne de commande (w2ksp3.exe), une mise à  jour réseau (update.exe) et une mise à  jour packagée de Group Policy.Beaucoup d'entre vous m'ont écrit pour me signaler des problèmes de mise à  niveau ou pour me poser des questions à  ce sujet. Voici donc la liste des principales étapes qui constituent une mise à  niveau de service pack.

Actualités Windows NT / 2000 – Semaine 28 – 2003

Toutes les Actualités du 7 au 13 Juillet 2003

Sauvegarder les principaux clients Xp et Win2K

par Ed Roth - Mis en ligne le 16/07/2003
Nombreuses sont les sociétés qui n'ont pas de stratégie pour sauvegarder leurs ordinateurs desktop. Si vos utilisateurs stockent des fichiers de données sur un volume réseau que vous sauvegardez en même temps que les serveurs de fichiers, vous pouvez estimer inutile de sauvegarder les stations de travail.

Quand le système desktop d'un utilisateur est défaillant (crash ou mort), vous pouvez installer l'OS et les applications à  partir de zéro ou à  partir d'une image système et rétablir la connexion aux données intactes sur le réseau. Le plus souvent, cette méthode donne un bon équilibre entre la manageabilité et la sécurité des données.

Accès exclusif aux applications – 1ère partie

par Wayne O. Evans - Mis en ligne le 26/05/2003
La plupart des sites informatiques sécurisent les données de manière relativement simple : en contrôlant l'accès aux données des utilisateurs locaux par des interfaces traditionnelles. Ainsi, de nombreuses installations et applications cantonnent l'utilisateur final à  des sélections à  partir de menus d'application et restreignent l'entrée des commandes.

Cette sécurité par menu n'est plus adaptée aux environnements hyperconnectés d'aujourd'hui, parce que les utilisateurs disposent souvent d'outils capables de contourner la contrainte fondée sur les seuls menus. Par exemple, Client Access permet aux utilisateurs de PC d'entrer des commandes, d'utiliser des interfaces du type pointer et cliquer pour supprimer des objets, et d'échanger des fichiers avec l'iSeries (AS/400) et le PC. Les utilisateurs peuvent aussi passer outre la sécurité par menu en utilisant FTP pour obtenir et mettre (en lecture et écriture) des fichiers de données sur votre iSeries.

Quand les utilisateurs ont droit aux données de production, ils ont le moyen de copier, modifier ou supprimer ces données. Si votre installation autorise les utilisateurs à  accéder aux données de production et compte sur la sécurité par menu pour la protection, il est grand temps de modifier la stratégie de sécurité. Je conseille plutôt une stratégie de sécurité des ressources appelée accès application seulement.

En utilisant les fonctions de sécurité de l'iSeries et le niveau de sécurité 30 et supérieur, une stratégie d'accès application seulement restreint l'accès aux données de production en dehors d'une application. J'explique ici pourquoi l'accès application seulement est nécessaire sur l'iSeries. Dans un prochain article, je décrirai les problèmes que j'ai rencontrés la première fois où j'ai essayé d'utiliser cette stratégie et les solutions qui m'ont aidé à  en faire une technique utile.

Sécuriser le comportement des utilisateurs vis-à -vis d’Internet

par David Chernicoff - Mis en ligne le 19/05/2003
L'accès des utilisateurs à  Internet est l'un des nombreux problèmes de sécurité que je traite ou sur lequel les lecteurs m'interrogent. Peu d'administrateurs peuvent se permettre de couper leurs utilisateurs de l'accès à  Internet, malgré les nombreux problèmes qu'il pose. Voici quelques mesures qui faciliteront la sécurisation du comportement de vos utilisateurs visà - vis d'Internet.

DSAccess dans SP2 Exchange 2000

par Tony Redmond - Mis en ligne le 06/05/2003
Microsoft Exchange 2000 Server a introduit des changements architecturaux fondamentaux comme le partitionnement de la mémoire et le fait de confier le support de protocoles à  Microsoft IIS. Mais le fait de se débarrasser de DS (Directory Service) et du modèle de permissions d'Exchange en faveur d'AD (Active Directory) Windows 2000 est peut-être le changement le plus fondamental.DS d'Exchange Server 5.5 est sous le contrôle d'une application, tandis qu'AD est un répertoire polyvalent conçu pour être utilisé par les applications aussi bien que par l'OS. L'encadré « Répertoires locaux vs Directory Service », résume les principales différences entre DS et AD.

Une partie vitale d'Exchange 2000, le composant DSAccess, gère l'interaction d'Exchange 2000 avec AD. Pour SP2 (Service Pack 2), Microsoft a réécrit 60 % du code de DSAccess. Un tel degré de réécriture justifie que l'on examine le travail que DSAccess effectue et comment le composant mis à  niveau influence le fonctionnement d'Exchange 2000.

Personnaliser la sauvegarde automatique d’Operational Assistant

par Gary Guthrie - Mis en ligne le 23/04/2003
Ceux qui ont déjà  écrit des programmes de sauvegarde savent que, en plus d'écrire le code qui sauvegarde les informations, on ajoute souvent la logique des processus d'avant et d'après sauvegarde. Par exemple, pour économiser de la bande et réduire la durée de la sauvegarde, on peut purger les informations inutiles avant de lancer celle-ci ; on peut aussi démarrer des sous-systèmes et certains jobs dès la fin de la sauvegarde.

News iSeries – Semaine 15 – 2003

Semaine du 07 au 13 Avril 2003.

Réparer et récupérer AD

par Sean Daily - Mis en ligne le 01/04/2003
Dans l'article « Pratiquer la maintenance proactive d'AD » (consultez l'article), je passais en revue quelques activités de maintenance et de prévention des sinistres d'AD (Active Directory) à  conduire régulièrement. Abordons maintenant un sujet qu'il faut connaître quand tout le reste échoue : la réparation et la reprise d'AD.

DTS et le Data Warehouse

par Itzik Ben-Gan - Mis en ligne le 27/02/2003
Il y a 3 ans, j'ai participé à  un cours sur les data warehouse pour formateurs. Stewart McCloud, l'un des architectes DTS (Data Transformation Services) de Microsoft est intervenu sur le sujet de la Data Driven Query (DDQ) task dans SQL Server 7.0. J'ai été fasciné par DTS en général et par la puissante DDQ task en particulier.SQL Server 2000 a amélioré DTS avec de nombreuses nouvelles tâches mais, d'après mon expérience, la DDQ task est l'une des plus difficiles à  apprendre.

Authentification centralisée pour Windows et Linux

par Dustin Puryear - Mis en ligne le 11/03/2003
Au fur et à  mesure que les armoires des salles de serveurs des PME se remplissent de serveurs Windows et Linux, un important problème se pose : comment traiter les comptes à  logon multiples pour les utilisateurs. Les petites entreprises ou les départements qui n'ont qu'une poignée de serveurs y sont rarement confrontés ...Après tout, il ne faut à  l'administrateur système qu'une minute ou deux pour redéfinir les mots de passe sur quelques comptes répartis sur deux ou trois serveurs. Mais dès que le nombre de serveurs augmente, cette tâche devient un fardeau de plus en plus lourd pour les administrateurs et une corvée pour les utilisateurs.

Actualités Windows NT / 2000 – Semaine 06 – 2003

Actualités du 03 au 09 Février 2003

Protégez votre Instant Messaging

par Roger A. Grimes - Mis en ligne le 19/05/2003
Le logiciel IM (Instant Messaging), comme AIM (AOL Instant Messenger) et Microsoft MSN Messenger, a séduit les professionnels comme les particuliers. Les produits IM permettent aux utilisateurs de communiquer immédiatement, d'échanger des fichiers et de travailler en collaboration. Le logiciel IM est si populaire qu'on le trouve en standard sur la plupart des nouveaux PC. Il est généralement gratuit, assez facile d'emploi, et est activé dès que le PC fonctionne. La plupart des utilisateurs domestiques ont une copie en action.

Test de charge d’Exchange 2000 : Analyse et ESP

par Evan Morris - Mis en ligne le 12/05/2003
Dans cet article, je décris comment mettre en place le Microsoft Exchange Load Simulator (LoadSim), qui simule des clients MAPI (Messaging API) comme Microsoft Outlook, et comment utiliser le Performance Monitor de Windows 2000 pour capturer les résultats. Mais comme je l'explique dans « Test de charge d'Exchange 2000 », vous devez compter sur d'autres outils - en particulier, l'outil ESP (Exchange Stress and Performance) - pour tester des clients non-MAPI et des protocoles comme POP3, IMAP, SMTP et HTTP-DAV (que Outlook Web Access - OWA - utilise). En fait, vous devez utiliser ESP plutôt que LoadSim pour tester une architecture front-end/back-end, que MAPI ne prend pas en charge. Après avoir appris comment analyser vos résultats LoadSim capturés, vous êtes prêt à  passer à  l'étape suivante : apprendre à  utiliser ESP pour simuler des clients de protocoles Internet.

Connecter les utilisateurs aux ressources réseau

par Christa Anderson - Mis en ligne le 23/04/2003
Dans l'article « Scripter la gestion de Windows », Windows & .Net Magazine juin 2002 (ici), je présentais quelques concepts de script de base. Ce mois-ci, j'applique ces concepts dans un script qui connecte un utilisateur aux ressources réseau d'après le nom de connexion du compte de l'utilisateur.Pour que ce script fonctionne, il faut un moyen de représenter les ressources réseau, un moyen de déterminer qui est actuellement connecté, et un moyen d'allouer les ressources réseau en fonction de qui est connecté, afin que seules les personnes autorisées disposent des ressources. Pour accomplir ces tâches, vous pouvez utiliser VBScript et exploiter un objet WSH (Windows Script Host).

NetManage lance Rumba Developer Edition

NetManage lance Rumba Developer Edition (DE), toolkit de développement pour la création et le déploiement d'applications desktop ou de type browser qui communiquent avec les iSeries et autres hôtes. 

Rumba DE fournit la technologie objet et supporte tous les environnements standards de développement, y compris C++, Javan JavaScript et VBScript.