Le blog technique

Toutes les astuces #tech des collaborateurs de PI Services.

#openblogPI

Voir tous les articles

Retrouvez les articles à la une

SQL Server – Récupérer les permissions sysadmin lorsqu’aucun compte sysadmin n’est disponible

par | 30 Oct 2022 |

Lorsqu’une instance est créé dans un serveur SQL, l’authentification des utilisateurs peut être configurée de 2 façons différentes :

  • Windows Authentication – les comptes de la machine et/ou du domaine AD peuvent être utilisés pour se connecter avec différents niveaux de privilèges
  • Mixed mode – l’authentification Windows ainsi que l’authentification SQL (accès avec des comptes locaux à l’instance) peuvent être utilisé

Lorsque Windows Authentication est choisi, le compte local à l’instance appelé sa qui est membre du groupe sysadmin est désactivé.

sa (system administrator) est un compte utilisateur par défaut local à l’instance SQL dont le mot de passe n’est pas connu

sysadmin est un groupe par défaut local à l’instance SQL dont les membres ont les permissions les plus élevées sur l’instance SQL

 

Dans l’éventualité ou la personne qui a créé l’instance n’est pas disponible et qu’elle n’a pas configuré ou communiqué des accès de secours, par exemple, mixed mode ou ajout d’autres IT en tant que sysadmin, les accès administrateurs à l’instance SQL semblent impossible.

 

Les prérequis pour récupérer les permissions sysadmin

  • Être administrateur du serveur sur lequel le serveur SQL est installé
  • Avoir SQL Server Managmement Studio (SSMS) installé sur le serveur
  • Si l’instance concerne un environnement de production, avertir que lors de la récupération des accès, l’instance SQL sera indisponible

 

Récupérer les permissions sysadmin

1. Se connecter sur le serveur sur lequel le serveur SQL est installé

2. Ouvrir la console SQL Server Configuration Manager

3. Faire un clic droit sur l’instance SQL dont l’accès sysadmin doit être récupéré et cliquer sur Properties

4. Ouvrir l’onglet Startup Parameters, dans Specify a startup parameters saisir -m puis cliquer sur Add, le paramètre -m permet de mettre l’instance SQL en mode maintenance, un utilisateur qui est admin du serveur et qui se connecte à l’instance SQL via SSMS sera, dans ce mode, également sysadmin. Ce mode n’autorise qu’un seul utilisateur à se connecter à la fois.

5. Redémarrer l’instance SQL, dont l’accès sysadmin doit être récupéré, via la console SQL Server Configuration Manager en faisant un clic droit sur l’instance puis choisir Restart

6. Depuis la console SQL Server Configuration Manager, vérifier que le service SQL Server Agent n’est pas démarré, si c’est le cas l’arrêter, auquel cas il utilisera la seule connecxion disponible pour se connecter à l’instance SQL

7. Ouvrir la console SQL Server management Studio en tant qu’administrateur

8. Se connecter à l’instance SQL dont l’accès sysadmin doit être récupéré avec comme méthode d’authentification Windows Authentication

9. Dans l’arborescence de l’instance SQL, déplier le dossier Security puis faire un clic droit sur Logins et clique sur New login…

10. Dans l’onglet General, dans le champs Login name choisir le compte utilisateur ou le groupe qui sera sysadmin, choisir Windows Authentication

11. Aller dans l’onglet Server Roles et cocher sysadmin puis clique sur OK 

12. Le nouvel accès apparaît dans la liste des Login

13. Fermer SSMS

14. Dans SQL Server Configuration Manager retirer le paramètre -m de l’instance SQL dont les accès sysadmin ont été récupéré, en sélectionnant -m et en cliquant sur Remove

15. Depuis la console SQL Server Configuration Manager redémarrer l’instance SQL dont l’accès sysadmin a été récupéré

 

 

Intune : Filtrer un déploiement pour une version d’OS spécifique

par | 29 Oct 2022 |

Scénario:

Nous avons besoin d’appliquer une stratégie de conformité dans Intune à un groupe d’appareils qui contient des ordinateurs sous Windows 10 et Windows 11.

La configuration doit s’appliquer uniqument sur les appareils Windows 11.

Solution:

  • Créer un filtre pour les appareils Windows 11 dans Intune
  • Inclure le filtre dans le déploiement

1. Pour créer un filtre, connectez-vous au Microsoft Endpoint Manager admin center et sélectionnez Tenant administration > Filters. Sélectionnez Create

2. Pour inclure le filtre dans le déploiement, sélectionnez Devices > Windows > Compliance policies. Sélectionnez la stratégie de conformité à modifier et ajoutez un filtre dans Properties > Assignments > Edit filter

Maintenant, la stratégie de conformité « Compliance policy for Windows 11 » s’appliquera uniquement sur les appareils Windows 11 dans le groupe INTUNE_BYOD_POC.

Exchange 2013_Impossible de supprimer l’autorisation Envoyer en tant / Accès total

par | 17 Oct 2022 | ,

Symptômes:

Lorsque vous essayez de supprimer l’autorisation « Accès total » ou « Envoyer en tant que »  sur une boite aux lettres, vous pouvez être confronté aux messages d’avertissements indiquant que l’entrée de contrôle d’accès ne peut pas être supprimée.

Ce problème apparaîtra quand vous essayez de supprimer l’autorisation à l’aide du PowerShell Exchange ou depuis l’interface graphique.

  •  A la suppression de l’autorisation « Envoyer en tant que» via la console d’administration ECP, vous aurez  le message d’avertissement ci-dessous :
  • Quand vous supprimez l’autorisation « Accès total» , pas de message d’avertissement , mais la délégation n’est pas supprimée.
  • A la suppression de l’autorisation « Full Access/ send as » depuis une BAL en powershell,  vous aurez les messages d’avertissement suivants :

Solution:

Les étapes suivantes s’appliquent pour les boites aux lettres liées. La solution de contournement consiste à déconnecter la BAL de l’utilisateur, modifier les autorisations puis la reconnecter :

Exemple : Supprimer l’autorisation de User01 sur la BAL de User02:

  • Exécutez la commande suivante: Set-User -Identity useridentity -LinkedMasterAccount $null Cette commande permet de dissocier la boîte aux lettres liée et la convertir en boîte aux lettres utilisateur.

    Le paramètre Identity spécifie l’utilisateur que vous souhaitez modifier. Vous pouvez utiliser n’importe quelle valeur qui identifie l’utilisateur de manière unique. Par exemple:

    • Name
    • Distinguished name (DN)
    • Canonical DN
    • GUID
    • UserPrincipalName

  • Supprimez par la suite les autorisations en exécutant les commandes suivantes :

    Pour supprimer la délégation Full Access  Remove-MailboxPermission -Identity MailboxAccount -User UserAccount -AccessRights FullAccess -InheritanceType All

    Exemple:  Remove-MailboxPermission -Identity « user02 » -User « User01 » -AccessRights FullAccess -InheritanceType All

    Pour supprimer la délégation Send As  Remove-ADPermission -Identity « MailboxAccount » -User « UserAccount » -ExtendedRights « Send As »

    Exemple: Remove-ADPermission -Identity  » User02″ -User  » User01″ -ExtendedRights « Send As »

  • Une fois les délégations supprimées, reconnectez de nouveau la boite aux lettres de l’utilisateur via la commande :

    Set-User -Identity “UserAccount” – LinkedDomainController “domaincontroller” -LinkedMasterAccount “DomainName\user

    Exemple:  Set-User -Identity User01@contoso.com – LinkedDomainController dc01.contoso.com -LinkedMasterAccount “contoso\User01”

  • Vérifier par la suite que les autorisations ont été bien supprimées.

Derniers articles

Catégories

Archives

Auteurs/Autrices