Permissions sur les journaux d'événements - Equipe Domaine et Sécurité - Microsoft CSS&MCS. Sous Windows NT4 et Windows 2000, il n'est pas possible de définir de manière détaillée les permissions sur les journaux d'événements. Les permissions implémentées par défaut vis-à-vis des journaux d'événements sont: Full control pour les utilisateurs possédant le droit "Manage auditing and security log". Lecture des journaux Application et System pour tout le monde, y compris pour le compte Guest. Il est possible de retirer le droit de lecture au compte Guest des journaux Application et System en créant la valeur RestrictGuestAccess de type REG_DWORD et en la mettant à 1 sous la clé: HKLM\System\CCS\Services\EventLog\<nom_journal> (Par exemple: HKLM\System\CCS\Services\EventLog\System) Un redémarrage est nécessaire pour que cette valeur soit prise en compte.
A partir de Windows Server 2003 et Windows XP, l'accès aux journaux d'événement est contrôlé: Par les permissions gérant les accès distants à la registry. Les valeurs de CustomSD contiennent le secutity descriptor au format SDDL. Log Parser (Microsoft) The "Swiss Army Knife" for Intrusion Investigators and Computer Forensics Examiners Return to Main Forensics Index page Backgrou Microsoft has, for quite some time, produced a log parsing tool known as "Log Parser". It's current release (as of June 2006) was version 2.2. Microsoft doesn't officially support this tool, dubbing it internally as "skunkware". As Microsoft doesn't really do this tool justice, a log parser support site has been formed to promote its use and growth, which is at: and is dubbed the "The Unofficial Log Parser Support Site". When you consider that the tool is free from Microsoft and you can purchase a toolkit (book and queries) for under $40.00, you have a powerful tool at a bargain price.
The only downside to this tool is a front-end learning curve. Tool Overview: Log parser consists of three components, which are: 1) input engine, 2) SQL query engine, and 3) output engine. Examples: Basic: To continue, you must have installed log parser. La journalisation dans le monde Microsoft, découvrez l'API EventLog. Le but de ce document est de présenter la journalisation, les concepts utilisés ainsi que l'API de programmation de la journalisation dans le monde Microsoft. Ce document est organisé en plusieurs chapitres : Le chapitre 2 présente le rôle de la journalisation de manière générale.
Le chapitre 3 présente les spécificités introduites et les concepts manipulés par le sous-système EventLog Microsoft dans la fonctionnalité de journalisation. Le chapitre 4 présente l'API Microsoft permettant de manipuler la journalisation aussi bien en mode écriture/génération qu'en mode lecture/analyse. Le chapitre 5 présente un exemple complet de code permettant de générer des messages EventLog. Le chapitre 6 présente un exemple complet de code permettant de récupérer et analyser les messages EventLog. 2.1. La journalisation est l'action d'enregistrer dans un journal tout ou partie des évènements qui se produisent dans un système informatique pendant son fonctionnement. 2.2. 2.3. 2.4. L'API Event Logging.
Comment faire pour définir la sécurité du journal des événements localement ou par le biais de la Stratégie de groupe dans Windows Server 2003. Windows Server 2003 permits administrators to customize security access rights to their event logs. These settings can be configured locally or through Group Policy. This article describes how to use both of these methods. You can grant users one or more of the following access rights to event logs: ReadWriteClearImportant You can configure the security log in the same way.
However, you can change only Read and Clear access permissions. Configure Event Log Security Locally Important This section, method, or task contains steps that tell you how to modify the registry. . ( ) How to back up and restore the registry in Windows The security of each log is configured locally through the values in the following registry key: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog For example the Application log Security Descriptor is configured through the following registry value: And the System log Security Descriptor is configured through the following:
Comment affiner la délégation sur des journaux d’évènements dans Windows 2003 « Blog des consultants du Permis Informatique. Par défaut, il n’est pas possible de personnaliser les permissions sur les différents types de journaux d’évènements d’un ordinateur ou serveur. Il peut être utile de pouvoir accorder à une équipe spécifique de votre entreprise un accès en lecture seule à un type de journaux d’évènements. En fait les droits sur les journaux d’évènements sont affectés pour chaque type d’évènements dans le registre. La liste de contrôle d’accès (ACL) est stockée comme une chaine SDDL (Security Descriptor Definition Language) dans une valeur REG_SZ « CustomSD » Afin de simplifier la gestion de ses droits, il conviendra de passer par une GPO et donc de modifier un fichier .inf pour voir apparaitre de nouveaux paramètres de GPO.
Modification du fichier Sceregvl.inf Ce fichier est situé dans WK3/inf , il faut modifier le fichier INF du serveur sur lequel vous allez afficher la GPO. La modification est la suivante : Rajouter les lignes suivantes dans la section [Register Registry Values] : Dans la GPO, développez: Explorer. Raccourcis avec la touche "Windows" (claviers 105 touches) Certains raccourcis clavier ne fonctionnent pas si les touches rémanentes sont activées dans les options d'accessibilité. Dans le cas d'une connexion à Windows 2000 via le client des services Terminal Microsoft, certains raccourcis ont été modifiés. Définition des icônes des dossiers système (Poste de travail, corbeille,...) Ces icônes sont définies dans des sous-clefs de la clef HKEY_CLASSES_ROOT\CLSID\, chaque sous-clef ayant pour nom l'identifiant de composant ActiveX correspondant. Cet identifiant est unique (et le même partout, aussi bien sous Windows 95 que sous Windows NT).
Remarques : Pour retrouver le n° de Classe ID d'un dossier système, il suffit d'effectuer une recherche sur le nom de l'icône correspondante du bureau, depuis l'origine de la clef HKEY_CLASSES_ROOT\CLSID. Paramètres de explorer.exe Syntaxe Commutateurs /n Ouvre une nouvelle fenêtre sous la forme d'un panneau simple (type Poste de travail). Exemples. Creation d'une console d'administration MMC personnalisee. Dans le menu Affichage, sélectionnez Personnaliser. Décochez toutes les cases puis cliquez sur OK. Allez ensuite dans le menu Console et sélectionnez Options. Vous pouvez modifier le nom de la console, par exemple en Direction Management et changer l'icône de la console en cliquant sur Changer d'icône... (vous trouverez pas mal d'icônes dans la DLL Shell32.dll se trouvant dans : %SystemRoot%\system32\shell32.dll).
Dans la liste Mode de console, sélectionnez Mode utilisateur - accès limité, fenêtre unique. Décochez Activer les menus contextuels pour les listes des tâches de cette console et Autoriser l'utilisateur à personnaliser les vues et cochez l'option Ne pas enregistrer les modifications apportées a cette console. Allez dans le menu Fenêtre et sélectionnez 1 Racine de la console Utilisateurs et ordinateurs Active Directory. La console d'administration est alors prête à être utilisée. Comment faire pour modifier la valeur de délai persistant par défaut dans Internet Explorer. This article describes how to change the default HTTP keep-alive value in Microsoft Internet Explorer.
When Internet Explorer establishes a persistent HTTP connection with a Web server (by using Connection: Keep-Alive headers), Internet Explorer reuses the same TCP/IP socket that was used to receive the initial request until the socket is idle for one minute. After the connection is idle for one minute, Internet Explorer resets the connection. A new TCP/IP socket is used to receive additional requests. You may want to change the HTTP KeepAliveTimeout value in Internet Explorer. If either the client browser (Internet Explorer) or the Web server has a lower KeepAlive value, it is the limiting factor. By default, Internet Explorer has a KeepAliveTimeout value of one minute and an additional limiting factor ( ServerInfoTimeout ) of two minutes.
Important This section, method, or task contains steps that tell you how to modify the registry. . ( ) . How to Replicate File Shares Using Microsoft RichCopy | Symantec Connect. Microsoft RichCopy is a freely available utility written by Microsoft Developer Ken Tamaru. It is designed to copy large numbers of files over the network. It is optimized for high performance and supports many useful features such as Graphical User Interface and command-line interface, extended file and directory include and exclude filtering, FTP access, retain timestamp, remove files from destination that do not exist at source, verify, retry and resume failed copies, and much more.
A common scenario that begs the use of RichCopy is to replicate images, personality packages, software packages, etc. for use with Deployment Solution 6.x. Deployment Solution 6.x does not have any built-in mechanism for file replication, so RichCopy fits very nicely here. On all servers, including Deployment Server, determine a location with free space to hold all your images, personality packages, software packages, etc. with plenty of room to grow.
Exchange. Storage Monitoring and Reporting. In my last two articles here on WindowsNetworking.com we walked through some of the capabilities of the File Server Resource Manager (FSRM) console, a new feature of Windows Server 2003 R2 that integrates various enhancements for managing file servers. In particular, we’ve seen how to use this console to configure volume and folder quotas and to implement file screening . In both of those articles I passed over how the reporting feature works in FSRM and that’s what we’re going to look at in this present article. Generating On-Demand Reports First we need to understand that there are three different kinds of reports that FSRM can be used to generate: on-demand, scheduled and incident reports. To generate an on-demand report for this, right-click on the root node in FSRM and select Configure Options, then select the Storage Reports tab as shown in Figure 1: Configuring the default storage reports in FSRM In the Reports listbox you can see various default reports that FSRM can generate.
Lister les partages réseau. How can I run scripts against multiple computers and gather information? - VBScript FAQ. Making Scripts Enterprise Ready By Mark D. MacLachlan If you are new to scripting and looking for some great reference material and sample scripts you will most definitely want to visit and download copies of the WMI Scriptomatic tool and the Portable Script center. Each is filled with valuable examples that can help you handle nearly any task. The problem with these resources is that they only provide examples for a single computer.
Lacking is a good explanation on how to convert these scripts to make them “Enterprise Ready.” Well, I am here to help you in that endeavor. Reading From Active Directory Reading directly from Active Directory is the most straight forward approach. If you need to script against all computer objects in your domain, then the following code will do the trick. We can do some tweaking to the above code to limit our results to a specific OU and sub OUs. PCQuery = "< & strDNC & _ Like this: 1. 2. Download Free Windows 2000 Resource Kit Tools. By Daniel Petri - January 8, 2009 Where can I download the Windows 2000 Resource Kit tools? You can download the Windows 2000 Resource Kit software tools listed on this page for free and install them on your computer. These utilities can help you streamline administrative tasks such as managing Active Directory, administering security features, working with Group Policy and Terminal Services, automating application deployment, and other important jobs.
Nearly 300 such tools are included on the Windows 2000 Server Resource Kit companion CD. These tools are designed to be installed and run only on Microsoft Windows 2000. They are neither localized nor supported by Microsoft. Note: Microsoft only lets you download a subset of the original Resource Kit Tools. Note: Please note that these are NOT the entire Reskit tools set. Note: Links may change or break. Note: If any of you are willing to provide hosting space for these tools please let me know Available Tools.
Comment faire pour restaurer des comptes d'utilisateurs supprimés et leur appartenance aux groupes dans Active Directory. You can use three methods to restore deleted user accounts, computer accounts, and security groups. These objects are known collectively as security principals. In all three methods, you authoritatively restore the deleted objects, and then you restore group membership information for the deleted security principals. When you restore a deleted object, you must restore the former values of the member and memberOf attributes in the affected security principal. The three methods are: Methods 1 and 2 provide a better experience for domain users and administrators because they preserve the additions to security groups that were made between the time of the last system state backup and the time the deletion occurred.
In method 3, instead of making individual adjustments to security principals, you roll back security group memberships to their state at the time of the last backup. Most large-scale deletions are accidental. Note The Advanced Features check box must be enabled to view that tab.