IACA
Version 10. Auteur A. Sayer
Documentation > Questions réponses
Plusieurs cas peuvent être envisagés.
Cette date est retenue dans Active Directory. Cependant Windows ne met pas cette date à jour de façon systématique, la date retenue peut être en retard de 15 jours au maximum.
Ce manque de précision n'est pas gênant si votre souhait est de trouver les utilisateurs qui ne se sont pas logués depuis longtemps.
Dans la suite je suppose que vous avez le programme Repadmin.exe sur votre serveur (il est présent à partir de Windows 2008 et fait partie des "Supports tools" que vous pouvez télécharger sur le site de Microsoft sinon).
Dans une fenêtre DOS tapez cette grande ligne (en remplaçant SERV1 par le nom de votre serveur et en remplaçant formation et priv par ce qui convient pour votre domaine) :
repadmin /showattr SERV1 ou=iaca,dc=formation,dc=priv /subtree /filter:"((&(lastLogontimeStamp=*)(objectCategory=Person)(objectClass=user)))" / attrs:lastLogontimeStamp > c:\resultat.txt
Cela aura pour effet de créer le fichier texte resultat.txt que vous trouverez à la racine de C.
Celui qui utilise le programme Devoirs ou EnvoiMsg doit s'identifier avec un compte du domaine IACA. Ce compte peut avoir été créé par IACA ou avoir été créé directement dans Active Directory du domaine IACA. Dans la suite je suppose que cet utilisateur s'appelle DUPOND.
DUPOND doit être autorisé à utiliser le programme. Pour cela avec IACA allez dans "Paramètres > Droits particuliers". DUPOND (ou un groupe auquel il appartient) doit être dans la zone "Autorisés". Si le compte DUPOND n'a pas été créé par IACA, il ne sera pas présent dans la liste mais vous pourrez tout de même l'ajouter en passant par "Edition > Ajouter un utilisateur ou un groupe".
Comme DUPOND souhaite utiliser le programme sans être client IACA, vous devez en plus autoriser l'utilisation de ce programme aux "non clients IACA". Pour cela avec IACA allez dans "Paramètres > Paramètres divers > Autorisations spéciales" et cochez la case correspondante.
Le programme doit être appelé par un chemin de la forme \\(nom du serveur)\NETLOGON \(nom du programme). L'adresse IP à la place du nom du serveur ne conviendrait par. Il est possible de connecter un lecteur réseau vers le chemin. Par exemple :
net use m: \\serv-peda\NETLOGON /user:DUPOND
Le mot de passe de DUPOND sera alors demandé puis le lecteur réseau m: sera connecté.
Le programme pourra alors être appelé par m:\Devoirs.exe ou m:\EnvoiMsg.exe
Le programme demandera à DUPOND de s'identifier.
Comme Devoirs et EnvoiMsg ont besoin du nom du serveur, il faut que la station soit capable de trouver l'adresse IP de serv-peda. Deux solutions sont possibles :
Si la station utilise un serveur DNS et que vous pouvez paramétrer celui-ci, alors ajoutez serv-peda et indiquez son adresse IP dans ce serveur DNS.
Sinon vous pouvez modifier le fichier Hosts de la station. Pour cela exécutez Notepad avec les droits d'administrateur, ouvrez le fichier C:\Windows\System32\Drivers\etc\Hosts et ajoutez une ligne de la forme Adresse IP de serv-peda suivi d'au moins un espace puis de serv-peda (mettez le vrai nom du serveur IACA).
Il s'agit de recréer le profil IACA.
Je suppose dans la suite que l'administrateur de modèles s'appelle Admin1.
1- Placez-vous sur une station du sous parc et ouvrez la session avec
l'administrateur local.
2 - Supprimez le dossier C:\Profils
3 - Supprimez le profil de Admin1 (en passant par "Propriétés système
avancées" et "Profil des utilisateurs").
4 - Ouvrez la session avec Admin1, vérifiez que les différentes applications
installées fonctionnent puis faites "Appliquer" afin de copier le
profil.
1- Placez-vous sur la station et ouvrez la session avec un compte qui a les
droits d'administrateur de la station.
2 - Supprimez le profil de DUPOND (en passant par "Propriétés système
avancées" et "Profil des utilisateurs").
Peut-être que le modèle de ces sous parcs redirige ou synchronise AppData ou LocalAppData avec le dossier personnel et que ce dossier comporte des anomalies.
1 - Dupond ne doit pas avoir une session ouverte.
2 - Sur le serveur allez dans IACA\Perso\...\Dupond\System. Si les stations sont
des 2000 ou XP, supprimez AppData ou Local AppData. Si les stations sont au
moins des Vista, supprimez AppDataV2 ou Local AppDataV2. A lieu de supprimer
vous pouvez les renommer, cela vous permettra de revenir en arrière en cas de
problème.
3 - Dupond devrait pouvoir à nouveau ouvrir une session sur ces stations.
Cela peut venir du dossier C:\Users\Default qui a été supprimé ou détruit sur cette station. Vous pouvez récupérer ce dossier à partir d'une autre station équivalente.
Voir la page qui traite des mots de passe.
A partir de Windows 8.1 le menu démarrer ou écran d''accueil se présente sous la forme de tuiles.
Si votre compte d'administrateur de modèles a un profil iaca local alors la suite ne vous concerne pas.
En étant Administrateur de modèles, vous avez fait "Appliquer" avec la case "Copier l'écran d'accueil" cochée. Avec Modeles, vous avez choisi pour l'écran d'accueil "Imposé par l'admin de modèles".
Vous ouvrez la session avec un utilisateur client IACA et l'écran d'accueil ou menu des tuiles que vous avez défini s'applique bien.
Vous ouvrez la session avec l'administrateur de modèles mais le menu des tuiles diffère de celui que vous avez enregistré.
Lorsque le menu des tuiles est appliqué à l'utilisateur, il est nécessairement non modifiable. C'est bien pour un utilisateur standard mais ne convient pas toujours pour l'administrateur de modèles. Le client IACA n'impose donc pas le menu tuiles pour l'administrateur de modèles. Celui-ci retrouve donc le menu tel qu'il l'a laissé sur la station la dernière fois qu'il a ouvert la session.
Aucune des deux solutions suivantes n'est parfaite :
- Si le client IACA applique le menu des tuiles du modèle à l'administrateur de modèles alors le menu des tuiles n'est pas modifiable.
- Si le client IACA n'applique pas le menu tuiles alors l'administrateur de modèles peut avoir un menu des tuiles qui diffère de celui du modèle.
Depuis la version 10.27 de IACA, il est possible de palier à ce problème, cepdendant la solution nécessite deux ouvertures de session de la part de l'administrateur de modèles.
Conditions :
Utiliser au moins la version 10.27 de IACA.
Etre sur une station en Windows 8.1 ou Windows 10.
Ouvrir la session avec l'administrateur de modèles.
Le profil de l'administrateur de modèles ne doit pas être obligatoire.
Avoir déjà copié le menu des tuiles vers le serveur
Vous pouvez effectuer ceci :
1. Ouvrez la session et dans la fenêtre IACA choisissez votre modèle et cochez "Accueil du modèle".
La session s'ouvre et le menu tuiles doit correspondre à celui du modèle. Malheureusement il n'est pas modifiable.
2. fermez et ouvrez à nouveau la session, ne cochez pas "Accueil du modèle".
La session s'ouvre sans modifier le menu tuiles mais le menu est modifiable. Vous pouvez le modifier et éventuellement utiliser l'icône IACA pour l'envoyer vers le serveur.
Les mots de passe des utilisateurs apparaissent dans IACA sous forme de symboles bizarres.
Vous avez utilisé IACA version au moins 10.27 et vous venez de revenir à une version plus ancienne (10.26 ou inférieure). Les mots de passe sont cryptés différemment depuis la version 10.27 de IACA.
Le mieux est de réinstaller la dernière version de IACA. Les mots de passe seront à nouveau corrects à l'affichage mais peut-être pas dans Active Directory. Afin d'être certain que les mots de passe soient bons dans Active Directory, il suffit de faire une mise à jour des comptes en cochant "Vérification complète des comptes".
Si vous voulez tout de même revenir à une version plus ancienne alors vous devez procéder de cette façon :
- Installer au moins la version 10.27 et faire "Outils > Exporter les
mots de passe".
- Installer la version 10 ancienne de votre choix et faire "Outils >
Importer les mots de passe".
- Faire une mise à jour des comptes en cochant "Vérification complète
des comptes".
Par défaut, le courrier et le paramétrage de Thunderbird sont stockés dans le dossier AppData.
Le dossier AppData peut être local, ou redirigé dans le dossier personnel ou synchronisé avec le dossier personnel. Voici le comportement normal si vous ne paramétrez pas Thunderbird avec Modèles :
Si le modèle est paramétré pour utiliser AppData normal alors lorsque l'utilisateur change d'ordinateur, il ne retrouve pas son courrier.
Exemple de dossier utilisé : C:\Users\Dupond\AppData\Roaming\Thunderbird
Si le modèle est paramétré pour utiliser AppData du dossier personnel
alors le client IACA utilise suivant la version de Windows U:\System\AppData
(jusqu'à XP) ou U:\System\AppDataV2
(de Vista à W7) ou U:\System\AppDataV5
(W8 et W10 début) ou U:System\AppDataV6 (W10 mis à jour).
L'utilisateur ne retrouve donc pas son courrier s'il change de catégorie de
version de Windows.
Le dossier du dossier personnel correspondant à la version de Windows est
rapatrié sur la station. Thunderbird utilise alors celui de la station.
Dans ce cas encore l'utilisateur ne retrouve pas son courrier s'il change de
catégorie de version de Windows.
Depuis la version 10.27 de IACA, le programme Modèles permet de rediriger le courrier et les paramètres du courrier dans le dossier personnel. L'utilisateur retrouve alors son courrier même lorsqu'il change d'ordinateur.
Le courrier n'est plus stocké dans AppData mais dans U:\System\Thunderbird
Supposons que, avant de rediriger Thunderbird, Dupond utilisait AppData dans le dossier personnel et que Dupond utilisait essentiellement des Windows 7. Le courrier de Dupond était donc stocké dans U:\System\AppDataV2\Thunderbird
Dupond utilise Thunderbird sur un Windows 10. Il ne retrouve donc pas son courrier mais un dossier U:\System\AppDataV5\Thunderbird est créé presque vide.
Avec Modèles vous choisissez de rediriger Thunderbird. Puis Dupond ouvre une session.
Deux cas peuvent se produire :
- Dupond ouvre la session sur un Windows 7. Le client IACA déplace alors U:\System\AppDataV2\Thunderbird vers U:\System\Thunderbird. Dupond retrouve donc son courrier.
- Dupond par malchance ouvre la session sur un Windows 10. Le client IACA déplace U:\System\AppDataV5\Thunderbird qui est presque vide vers U:\System\Thunderbird.
Voici plusieurs méthodes permettant de corriger ce problème :
Solution 1 : Dupond supprime le dossier Thunderbird qui se trouve dans U:\System puis Dupond ouvre une session sur un Windows 7.
Solution 2 : Dupond supprime le contenu du dossier U:\System\Thunderbird\Profiles
et crée dans le dossier Profiles un dossier Default (ne pas oublier la lettre
l devant le t).
Ensuite Dupond copie le contenu du dossier U:\System\AppDataV2\Thunderbird\Profiles\xxxx
dans U:\System\Thunderbird\Profiles\default
xxx correspond à un nom de dossier par exemple
Perso.Default
La solution 2 fonctionne quelque soit la version de Windows.
Ces documents montrent une installation basique de Windows serveur.
Pour Windows 2016, 2019 et 2022 regardez le document Windows 2012
Le fichier XML des élèves obtenu par SIECLE depuis la rentrée 2016 n'utilise plus le champ NOM mais utilise à la place le champ NOM_DE_FAMILLE. Avec une version antérieure à la version 10.29 de IACA, l'importation recherche le champ NOM et ne trouve donc aucun élève.
Si vous êtes en version 10 de IACA, mettez IACA à jour avec la nouvelle version. Depuis la version 10.29 les champs NOM et NOM_DE_FAMILLE sont acceptés.
Avec une version antérieure à la version 10.29 de IACA, il est possible tout de même d'effectuer l'importation. Pour cela ouvrez le fichier des élèves avec Wordpad et faites "Edition > Remplacer" afin de remplacer NOM_DE_FAMILLE par NOM.
Si vous utilisez les profils IACA locaux, Windows utilise le profil qui se trouve dans C:\Profils. Cela ne génère donc pas de trafic réseau. Si vous utilisez un profil ayant un chemin de la forme \\serveur\profils\commun alors cela génère un trafic important.
Le démarrage du client IACA est optimisé au maximum. La recherche des serveurs présents ne nécessite que quelques trames très courtes. Les fichiers nécessaires au fonctionnement de IACA ne sont rapatriés que s'ils sont différents.
Prenons l'exemple du fichier Domaines.xml qui se trouve dans Netlogon des serveurs. Le client ne copie ce fichier sur la station que dans le cas où celui de la station est différent de celui du serveur. Le client IACA ne génère donc un trafic réseau que dans le cas où Domaines.xml a été modifié, de plus le trafic est faible puisque Domaines.xml est un petit fichier. Le client IACA utilise le fichier Domaines.xml de la station.
Suivant le choix fait avec Modèles pour "AppData" et "Local AppData" le trafic réseau va varier.
Si vous avez choisi de synchroniser un de ces dossiers alors au moment de l'ouverture de session, tous les fichiers qui ne sont pas présents ou qui sont différents sur la station sont rapatriés à partir du serveur. Cela peut générer un trafic important.
Les autres choix ne génèrent pas de trafic lors de l'ouverture de session.
Lorsque l'utilisateur lit ou enregistre des fichiers dans son dossier personnel, cela génère du trafic réseau qui dépend de la taille des fichiers. Ce n'est pas là que l'on peut réduire la bande passante.
Si l'administrateur a activé les quotas de IACA alors régulièrement chaque station parcourt l'ensemble du répertoire personnel afin d'en déterminer la taille totale des fichiers. Le trafic réseau peut être important surtout si vous avez beaucoup de stations. De plus, lorsque des utilisateurs dépassent le quota autorisé, la vérification du quota se fait plus fréquemment.
Suivant le choix fait avec Modèles pour "AppData" et "Local AppData" le trafic réseau va varier.
Si vous avez fait le choix "dans U:" alors le trafic réseau va dépendre des logiciels utilisés. Certains peuvent accéder de façon importante au dossier AppData ou Local AppData.
Les autres choix ne génèrent pas de trafic en cours de session.
Si vous utilisez un profil iaca local alors le client IACA rapatrie le profil du serveur vers C:\Profils seulement dans le cas où le profil a été modifié et seulement les fichiers nouveaux ou modifiés. La plupart du temps cela ne génère donc pas de trafic.
La fermeture de session ne génère en général que très peu de trafic réseau.
Si vous avez fait le choix de synchroniser AppData ou Local AppData alors il y a trafic de la station vers le serveur.
Si vous utilisez un profil itinérant ayant un chemin de la forme \\serveur\profils\%username% qui n'est pas "obligatoire" alors cela génère un trafic important lors de la fermeture de session. Un profil IACA local ne génère pas de trafic réseau.
Avec plusieurs serveurs, vous profitez d'une répartition de charge. La mise en place de DFS va générer du trafic entre les serveurs mais celui-ci se fera en tâche de fond afin de ne pas saturer la bande passante. Les stations pourront alors se répartir les serveurs.
Si vous voulez économiser la bande passante :
Evitez d'utiliser les quotas de IACA
Evitez d'utiliser des profils itinérants autres que le profil iaca local.
Choisissez de préférence AppData normal et Local AppData normal.
Utilisez plusieurs serveurs et activer DFS afin de répartir la charge entre vos serveurs.
Lors de l'importation, IACA indique qu'il trouve deux utilisateurs ayant le même nom et les mêmes prénoms.
Si vous continuez, IACA ne prendra en compte qu'un seul utilisateur (le dernier lu dans les fichiers).
Une "mauvaise" solution consisterait à modifier le fichier utilisé lors de l'importation. Il s'agit d'une mauvaise solution car vous devriez refaire ce même changement à chaque fois que vous récupèrerez un nouveau fichier.
La bonne solution consiste à utiliser les filtres. Un filtre permet de demander à IACA de lire le fichier en le voyant différent de la réalité. Comme le filtre est indépendant du fichier, vous n'aurez pas de modification à effectuer les prochaines fois que récupérerez un nouveau fichier.
Depuis la version 10.65, lorsque deux utilisateurs ont le même nom et les mêmes prénoms (en respectant les majuscules) et que ces utilisateurs possèdent un identifiant différent (champ "Le code identifiant" renseigné dans la définition des fichiers à utiliser lors de l'importation) alors IACA propose d'ajouter automatiquement un filtre afin de considérer ces deux utilisateurs comme deux personnes différentes.
Vous pouvez cependant créer vos filtres vous même :
Par exemple si le fichier à importer contient deux fois le nom DUPOND Eliot, l'un né le 12/03/2002 et l'autre le 05/09/2001, on va pouvoir demander à IACA lors de la lecture du fichier, de faire comme si celui qui est né le 12/03/2002 s'appelait par exemple DUPOND Eliot1.
Avec IACA, dans "Définir la liste des fichiers à utiliser lors de l'importation", placez-vous sur le fichier contenant les homonymes et utilisez le bouton "Filtrage spécial..."
Dans notre cas, le filtre pourrait être :
((CN=DUPOND)&(CP=Eliot)&(CD=12/03/2002)){CP=Eliot1}
qui sera compris par IACA lors de la lecture du fichier : "si je rencontre l'utilisateur DUPOND Eliot né le 12/03/202 alors je fais comme si son prénom était Eliot1"
Faites ensuite l'importation. Vous devez alors constater que IACA a trouvé les deux utilisateurs. Si ce n'est pas le cas, quittez IACA sans faire la mise à jour des comptes, redémarrez IACA et corrigez le filtre.
Au lieu de filtrer sur la date de naissance, il aurait été possible de filtrer sur l'identifiant. Ne filtrez pas sur le groupe (la classe pour un établissement scolaire) car celui-ci peut changer.
IACA en version Standard et Pro utilise une seule partition pour héberger les dossiers personnels, mais il existe une solution en montant une partition comme indiqué plus loin.
IACA version Multisite permet de répartir les dossiers personnels sur plusieurs serveurs. Cette solution est en général utilisée pour regrouper plusieurs établissements dans un même domaine mais elle peut également être utilisée pour répartir les dossiers personnels sur plusieurs serveurs. Par exemple, dans un établissement scolaire, vous pouvez mettre les dossiers des professeurs dans un site et les dossiers des élèves dans un autre site. Chaque site contenant au moins un contrôleur de domaine. Voir la page Multisite pour plus d'information.
Les utilisateurs de linux ne seront pas déroutés. Les utilisateurs de Windows ne sont pas habitués car les partitions sont déjà nommées par une lettre de lecteur.
Si vous n'êtes pas habitués, il est peut-être bon de commencer par faire une sauvegarde avant d'effectuer ces manipulations
A faire lorsque les dossiers utilisateurs ne sont pas utilisés puisqu'ils vont être déplacés.
Prenons encore l'exemple d'un établissement scolaire. Le disque E: contient actuellement tous les dossiers personnels et il sera bientôt plein. C'est l'occasion de déplacer par exemple les dossiers personnels des élèves vers un autre disque. Le problème c'est que IACA ne permet pas d'utiliser deux partitions pour les dossiers personnels.
Je suppose que vous venez d'ajouter un nouveau disque et que la lettre attribuée est G:.
Placez-vous dans le répertoire E:\IACA\PERSO\ELEVES et sélectionnez toutes les classes afin de les déplacer à la racine de G:
Le répertoire E:\IACA\PERSO\ELEVES doit être vide (tout ce qui resterait dans ce répertoire ne serait plus accessible lorsqu'il pointera vers une autre partition)
Dans "Gestion de l'ordinateur" > "Gestion des disques", placez-vous sur le nouveau disque et allez dans "Modifier la lettre de lecteur et les chemins d'accès". Ce disque est déjà accessible par la lettre G. Dans la zone "Monter dans le dossier NTFS vide suivant" choisissez E:\IACA\PERSO\ELEVES
Les dossiers des élèves seront donc accessibles de deux façons :
Vous pouvez continuer à utiliser IACA comme avant car pour IACA tous les dossiers personnels sont dans E: alors que physiquement ils sont répartis sur deux partitions.
Suivant l'âge des utilisateurs vous pouvez souhaiter utiliser des mots de passe simples et visibles par l'administrateur ou des mots de passe complexes et connu que de l'utilisateur. C'est ce deuxième cas que nous allons étudier ici.
Sur le serveur :
Résultat :
En cas d'oubli :
Remarques :
Gestion des stratégies de groupe :