OCS Inventaire Parc informatique

OCS Inventaire Parc informatique v7 GJU - CARMI EP ACADÉMIE DE GRENOBLE mars 2012

Table des matières Introduction 5 I - Avant de commencer l'installation... 7 A. Les pré-requis...7 II - Serveur LCS : Activation du module OCS 9 A. Installation du module OCS-Inventory...9 III - Archive d'installation de la GPO 11 A. Télécharger l'archive GPO depuis le serveur LCS...11 B. Décompresser l'archive GPO...11 IV - Serveur PDC : Installation de la GPO 13 A. Mise en place initiale de la GPO...13 1. Console de Gestion Stratégie de Groupe...13 B. Créer une nouvelle GPO...14 C. Mettre à jour la GPO...15 D. Ajuster les paramètres de la GPO...16 E. Lier la GPO à une Unité d'organisation...18 F. Accélérer la prise en compte de la GPO...19 V - Accès en visu depuis un navigateur web 21 A. Depuis le réseau local (lan) ou depuis Internet (wan)...21 VI - Règle Firewall sur le SLIS 23 A. Autoriser les clients du LAN à remonter les inventaires sur le serveur OCS...23 VII - Remonté des infos d'inventaire dans OCS 27 A. Remontée des machines clientes dans l'inventaire OCS...27 VIII - Fichier LOG sur les stations clientes 29 3

A. Présentation...29 B. Détails (paramètre minlog / maxlog)...31 Conclusion 33 4

Introduction Le Plugin OCS-Inventory (application open-source) permet de pouvoir recenser de manière automatique, les machines du parc informatique du réseau pédagogique (configuration matérielle des machines, logiciels installés, n de série...). Un agent local est déployé automatiquement sur l'ensemble des stations du parc au travers d'une GPO présente au niveau de l' Active Directory sur le serveur contrôleur de domaine. Les informations remontent alors quotidiennement des clients vers la base OCS sur le serveur LCS, et sont consultables depuis l'application Parc Informatique sur LCS. Le dialogue entre les machines clientes et le serveur de gestion est basé sur des standards ouverts (protocole HTTP, formatage des données en XML). Remarque : Par défaut, seules les machines intégrées au domaine Active Directory seront concernées par ce dispositif (installation automatique de l'agent OCS au travers une GPO). Bien que cela ne soit pas pour le moment préconisé coté CARMI (et donc explicitement documenté), il reste néanmoins possible de pouvoir installer l'agent OCS localement sur certains postes particuliers non intégrés au domaine. Notez cependant que cette installation nécessitera alors un paramétrage particulier (paramètres à transmettre au setup d'installation). N'hésitez pas à contacter le CARMI si vous souhaitez obtenir de plus amples informations. 5

Avant de I - commencer l'installation... Les pré-requis 7 I A. Les pré-requis Merci de vous assurer que cette documentation est bien la dernière version disponible. Pour l'obtenir, vous pouvez vous rendre à l'adresse suivante : http://www.slis.fr/doc img01 Le CARMI a programmé (au travers les stages de suivi PRT) une formation des personnels techniques dans les établissements afin de les accompagner dans l'installation de cet outil. Notez que la mise en place de GPO sur le serveur contrôleur principal de domaine, nécessite de prendre certaines précautions. Si vous souhaitez obtenir des compléments d'informations ou poser des questions, n'hésitez pas à contacter votre mousquetaire référent, ou contactez directement le Guichet unique au 0810.76.76.76 7

Serveur LCS : II - Activation du module OCS II Installation du module OCS-Inventory 9 A. Installation du module OCS-Inventory Depuis le réseau LAN d'établissement, à partir d'un navigateur, se rendre sur l'interface web du serveur LCS à l'adresse : http://172.16.0.1/lcs Connectez-vous avec le compte utilisateur admin Puis allez dans le menu Administration / Gestion des modules / Modules disponibles. img02 Sur la Ligne Inventory, cliquez sur l'icône : Installer img04 Vérifiez ensuite que l'installation s'est bien déroulée. 9

Serveur LCS : Activation du module OCS img05 Remarque : Attention, si vous obtenez un message du type : "n'est pas opérationnel", ne tentez pas de faire une désinstallation ou autre. Laissez tout en l'état (afin de ne pas écraser le contexte courant) et contactez le Guichet Unique au Carmi : 0810.76.76.76.76. Si tout est correct, l'application OCS est à présent accessible au travers du Menu : Administration / Parc Informatique / Inventaire 10

III - Archive d'installation de la GPO III Télécharger l'archive GPO depuis le serveur LCS 11 Décompresser l'archive GPO 11 A. Télécharger l'archive GPO depuis le serveur LCS Depuis l'interface LCS : http://172.16.0.1/lcs téléchargez l'archive Gpo : Cliquez sur Administration / Parc Informatique Selon la version de l'os du serveur PDC, sélectionnez GPO-w2003 ou GPO-w2008 img07 B. Décompresser l'archive GPO pour un PDC en version W2003 Décompressez le contenu de l'archive sur le serveur contrôleur de domaine (abritant les rôles FSMO d'active-directory notamment le rôle Emulateur PDC) dans le dossier C:\carmi.gpo\... Créez le dossier si nécessaire. 11

Archive d'installation de la GPO img08 pour un PDC en version W2008 Décompressez le contenu de l'archive sur le serveur contrôleur de domaine (abritant les rôles FSMO d'active-directory notamment le rôle Emulateur PDC) dans le dossier C:\carmi.gpo\... Le dossier est déjà existant sur les serveurs w2008 img09 12

Serveur PDC : IV - Installation de la GPO IV Mise en place initiale de la GPO 13 Créer une nouvelle GPO 14 Mettre à jour la GPO 15 Ajuster les paramètres de la GPO 16 Lier la GPO à une Unité d'organisation 18 Accélérer la prise en compte de la GPO 19 A. Mise en place initiale de la GPO 1. Console de Gestion Stratégie de Groupe La console de Gestion Stratégie de Groupe est-elle bien présente sur le serveur? pour un PDC en version W2003 Installez la Console de Gestion Stratégie de Groupe GPMC (Group Policy Management Console) Effectuez un clic-droit sur le fichier : c:\carmi.gpo\ocs-agent-w2003_gpov7\setup-gpmc-w2003.msi et sélectionnez : Installer img10 pour un PDC en version W2008 La Console de Gestion Stratégie de Groupe est présente nativement sur les serveurs w2008. 13

Serveur PDC : Installation de la GPO B. Créer une nouvelle GPO Lors la la mise en place initiale, la GPO doit-être crée sur le serveur. pour un PDC en version W2003 ou w2008 Lancer la console GPMC : Exécuter (WIN+R) : gpmc.msc ou bien passez par Menu-Démarrer / Outils d'administration / Gestion des stratégies de groupe Effectuez un clic-droit sur : Objets de stratégie de groupe puis sélectionnez : Nouveau Saisissez : Agent-OCS cliquez sur : Ok img11 pour un PDC version W2003 pour un PDC version W2008 C. Mettre à jour la GPO pour un PDC version W2003 ou W2008 Effectuez un clic-droit sur : Agent-OCS puis sélectionnez : Importer des paramètres... 14

Serveur PDC : Installation de la GPO Cliquez sur Suivant /Suivant /Parcourir img14 Indiquez alors l'emplacement du dossier contenant la GPO à importer : C:\carmi.gpo\ocs-agent-w2003_GPO-v7\gpo-ocs-agent_w2003 ou C:\carmi.gpo\ocs-agent-w2008_GPO-v7\gpo-ocs-agent_w2008 Cliquez sur Ok Cliquez 3x sur Suivant Cliquez sur Terminer Puis Cliquez sur Ok img15 img16 D. Ajuster les paramètres de la GPO Effectuez un clic-droit sur Agent-OCS puis sélectionnez Modifier 15

Serveur PDC : Installation de la GPO A ce moment, la fenêtre Éditeur d'objets de stratégie de groupe s'ouvre. Allez dans : Configuration ordinateur / paramètres windows / Scripts (Démarrage/Arrêt) puis effectuez un clic-droit sur Démarrage et sélectionnez Propriétés img17 img18 16

Serveur PDC : Installation de la GPO Sélectionnez ensuite l'élément Agent-Ocs... Cliquez sur Modifier img19 17

Serveur PDC : Installation de la GPO Remplacez le mot RNE par le n de RNE réel de l'établissement Cliquez x2 sur Ok Fermez la fenêtre : Éditeur d'objets de stratégie de groupe Fermez la fenêtre : Gestion des stratégie de groupe Pour vérifier le bon paramétrage de la GPO, vous pouvez procéder ainsi : Exécutez à nouveau : gpmc.msc Dans : Objets de stratégie de groupe Sélectionnez : Agent-OCS Allez dans l'onglet : Paramètres Cliquez sur le lien : Tout afficher img21 Vous pouvez alors vérifier les paramètres transmis à la GPO img22 E. Lier la GPO à une Unité d'organisation Il nous reste à présent à lier la GPO à une OU (Unité d'organisation) afin de spécifier 18

Serveur PDC : Installation de la GPO au niveau d'active Directory, quelles sont les machines qui seront impactées par cette GPO. Depuis la console GMPC Effectuez un clic-droit sur le nom du domaine de l'établissement Sélectionnez : Lier un objet... existant Sélectionnez la GPO : Agent-OCS Cliquez sur Ok Puis fermez la console. img23 img24 Remarque.1 : Dans ce cas de figure, la GPO a été liée au niveau du domaine, ce qui signifie que l'ensemble des machines windows intégrées au domaine seront impactées par cette GPO (tant les stations que les serveurs). Notez que la GPO fournie (Agent-OCS) doit être activée au niveau machine (et non au niveau utilisateur). Remarque.2 : Les OU (Unités d'organisation) sont actuellement crées dans l'active-directory par HARP serveur. La version actuelle de HARP ne crée pas encore d'ou pour les stations. Ceci est amené à changer avec la prochaine version de HARP. Des OU correspondant aux salles seront alors créés, dans lesquelles seront rangées les stations. Il vous sera alors possible de pouvoir lier cette GPO plus finement, si vous le souhaitez. 19

Serveur PDC : Installation de la GPO F. Accélérer la prise en compte de la GPO Remarque : La mise à jour des modifications effectuées au niveau de l'active directory, vers les autres serveurs contrôleur de domaine, s'effectue automatiquement toutes les 5 min. Pour ce qui est des stations, cette mise à jour peut prendre jusqu'à 90 min, avant que les mises à jour soient répercutées à l'ensemble des stations connectées. Il vous est cependant possible de pouvoir forcer une mise à jour immédiate depuis le serveur. Cette même manipulation peut-être réalisée au niveau d'une station, afin de forcer la mise à jour de cette dernière. Sur le serveur contrôleur de domaine (connecté en tant qu'administrateur), ouvrir une invite de commande : Exécutez (WIN+R) : cmd Puis tapez la commande : gpupdate /force Vérifiez la prise en compte de la GPO : lancez la commande : gpresult img25 et vérifiez que l'objet Agent OCS apparaît bien dans Objets de stratégies de groupe appliquées sur la machine courante. img26 20

Accès en visu V - depuis un navigateur web V Depuis le réseau local (lan) ou depuis Internet (wan) 21 A. Depuis le réseau local (lan) ou depuis Internet (wan) Par défaut, l'accès à la visualisation des inventaires (pour tout compte utilisateur authentifié sur LCS et disposant des droits requis) n'est autorisée que depuis le LAN via l'adresse : http://172.16.0.1/lcs Si vous souhaitez rendre cet accès à l'inventaire possible depuis internet via l'url http://nom-du-slis.ac-grenoble.fr/lcs (l'idéal étant de ne le faire que de manière temporaire), vous pouvez l'activer via l'icône dédiée à cet effet sur l'interface LCS. img27 21

Règle Firewall sur VI - le SLIS VI Autoriser les clients du LAN à remonter les inventaires sur le serveur OCS 23 A. Autoriser les clients du LAN à remonter les inventaires sur le serveur OCS Une règle prédénie doit être activée au niveau du pare-feu sur la machine SLIS. Pour ce faire, ouvrez depuis votre navigateur, la page d'administration du SLIS : https://172.16.0.1:1098 Allez dans le menu : Sécurité / Pare-feu / Pare-feu Dans la partie : Administration de la DMZ cliquez sur : Vue d'ensemble img28 img29 23

Règle Firewall sur le SLIS Sur la ligne correspondant à la machine LCS Cliquez sur le bouton : modifier img30 Dans la partie : Service proposés par l'hôte Chercher la ligne intitulée : Inventaire du parc informatique (réseau local) Cliquez alors sur la croix rouge afin d'autoriser l'inventaire pour le réseau local Vous devez alors visualiser l'état suivant : img30a img30b 24

Remonté des infos VII - d'inventaire dans OCS VII Remontée des machines clientes dans l'inventaire OCS 25 A. Remontée des machines clientes dans l'inventaire OCS Attendre que les clients remontent peu à peu au niveau de l'interface OCS (hébergée sur le serveur web : Lcs). Sur le domaine windows, toutes les stations déjà allumées seront informées de la présence de cette nouvelle GPO au maximum 90 minutes après sa mise en place. Le script ne sera pas exécuté pour autant. C'est au lancement des stations que la GPO lancera le script d'installation de l'agent OCS. Si aucun agent Ocs n'est présent sur le poste, ou si la version détectée n'est pas celle attendue, un nouvel agent OCS sera installé sur la station. Remarque : L'information indiquant la version de l'agent OCS attendue sur la station est stockée dans un fichier texte sur le serveur LCS. Le script lancé par la GPO va récupérer ce fichier à l'adresse suivante : http://172.16.0.1/inventory/agent-ocs_version.txt Si tout ce passe correctement, les stations remontent progressivement leur inventaire... 25

Remonté des infos d'inventaire dans OCS img31 26

Fichier LOG sur les VIII - stations clientes VIII Présentation 27 Détails (paramètre minlog / maxlog) 29 A. Présentation Un fichier LOG est renseigné au niveau de chaque station cliente à cet emplacement : C:\WINDOWS\ agent-ocs_gpo.log Au démarrage de la station, la GPO Agent-OCS est exécutée automatiquement et procède au lancement du script VBS associé. Ce script va indiquer dans le ficher LOG tous les changements opérés sur la machine (installation agent, mise à jour d'une nouvelle version de l'agent, etc...). Par défaut, le fichier LOG est réinitialisé à chaque nouvelle exécution du script. Vous pouvez cependant modifier un paramètre au niveau de la GPO, afin que fichier LOG soit conservé, et que tous les événements soient concaténés les uns à la suite des autres. Ceci peut-être utile, notamment si vous rencontrez des problèmes d'installation des agents sur certains postes ou si vous constatez des problèmes dans la remontée des inventaires au niveau de certaines machines clientes. Remplacer alors le paramètre MINLOG au niveau de la GPO, par MAXLOG Pour ce faire : Lancer la console GPMC Exécuter (WIN+R) : gpmc.msc ou bien passer par Menu-Démarrer / Outils d'administration / Gestion des stratégies de groupe Dans : Objets de stratégie de groupe Effectuez un clic-droit sur : Agent-OCS puis sélectionnez : Modifier img32 A ce moment, la fenêtre Éditeur d'objets de stratégie de groupe s'ouvre. Allez dans : Configuration ordinateur / paramètres windows / Scripts (Démarrage/Arrêt) 27

Fichier LOG sur les stations clientes Effectuez un clic-droit sur : Démarrage et sélectionnez : Propriétés Cliquez sur le bouton : Modifier img33 Sur la 2ième ligne, modifiez le 3ième paramètre : MINLOG par : MAXLOG Cliquez sur Ok img34 img35 Fermez la fenêtre : Éditeur d'objets de stratégie de groupe Fermez la fenêtre : Gestion des stratégie de groupe Une fois que toutes les stations remontent bien leur inventaire, vous pouvez repositionner le paramètre à la valeur MINLOG 28

B. Détails (paramètre minlog / maxlog) Fichier LOG sur les stations clientes Aperçu du LOG avec le paramètre MINLOG Emplacement du fichier log généré : C:\WINDOWS\ agent-ocs_gpo.log Avec le paramètre MINLOG positionné, nous ne voyons ici que la trace correspondant à la dernière exécution du script. On constate ici que la version de l'agent en place correspond bien à celle référencée sur le serveur LCS. Aucune action n'est réalisée. C'est en fait, cette trace que l'on trouvera le plus souvent sur les stations. img36 Aperçu du LOG avec le paramètre MAXLOG Ici tous les événements sont consignés les uns à la suite des autres. Voici un exemple d'une première exécution du script qui détecte une version obsolète de l'agent (version OCS-NG au lieu de OCS-Fusion). Ceci entraîne une Désinstallation puis une Récupération du nouvel agent (fusion-inventory) depuis le serveur LCS Une installation est effectuée... img37 Un autre exemple extrait peu plus loin dans le fichier log, nous montre que la version référencée sur le serveur LCS n'est plus en phase avec celle détectée sur le poste. Désinstallation / Récupération de la nouvelle version de l'agent (fusion) sur LCS et installation. 29

Fichier LOG sur les stations clientes img38 30

Conclusion Nous restons à votre disposition si vous avez des questions... Vous pouvez nous joindre au travers du Guichet unique au 0810.76.76.76 Vous pouvez également nous joindre en envoyant un mail à assistance@ac-grenoble.fr 1 (dés lors que votre adresse mail est bien référencée comme contact identifié pour l'établissement) Ceci aura pour effet d'enregistrer automatiquement votre demande à travers le dispositif d'assistance (vous recevrez alors en retour un mail de confirmation avec le n de la fiche attribuée). 1 - mailto:assistance@ac-grenoble.fr 31