| 1 admindu71, le 17 déc 2008 à 09:42:52Ayant moi même été contraint et forcé d'avoir un scribe dans mon établissement voici le début d'une petite liste des problèmes rencontrés :
Serveur :
1. Interface de gestion (EAD2) très « rustique » et vétuste.
2. Scribe n’offre pas les performances d’un Win2008 pour des postes Vista (SMB2) (Si toute fois il acceptait les clients Vista). (Il faut donc un serveur beaucoup plus cher pour offrir les mêmes performances).
3. La structuration et droits des dossiers des professeurs/élèves est très simpliste et figée.
4. Maintenance très difficile.
5. Pas de possibilité de fonctionner en multi serveurs et d’y répartir les données.
6. Gestion « opaque » des scripts de login.
7. Les postes du « pseudo-domaine » ne peuvent pas être mis à jour (cf WSUS).
8. Le serveur a beaucoup de difficultés à se mettre à jour.
9. Une synchronisation des comptes par jour qui ne se fait pas forcément. (un changement d’un mot de passe met près de 24 heures à être effectif)
10. Serveur en DMZ.
Clients installés sur les postes :
1. Scribe nécessite un client constitué de 3 exécutables et d’une multitude de DLLs, le service lance les autres exécutables au moment de l’ouverture de session par exemple. (mécanisme assez lourd et peu élégant)
2. Le client scribe est un service qui écoute sur un port des commandes de type DOS (exécution d’applications, extinction ….) envoyées par le serveur scribe. (une superbe backdoor).
3. Le client est écrit en python et occupe plusieurs dizaines de mégaoctets sur le disque et en mémoire en permanence (le client scribe occupe plus de place en mémoire qu'une suite bureautique en code compilé à titre de comparaison).
GPOs vs Scribe :
1. Scribe ne propose pas de stratégies de groupes mais la encore un autre exécutable (client ESU) lancé à l’ouverture de session.
2. Ce client n’est pas sécurisé car un fichier accessible à tous contient le mot de passe d’un administrateur des machines crypté de manière réversible. (Des méthodes de hack sont proposées sur internet, elles permettent de devenir administrateur des postes).
3. Il n’y a pas de possibilité de gérer des stratégies organisées sous forme arborée.
4. Cette solution (ESU) n’offre pas de possibilité de rédiger des bilans, de mettre au point ni de dépanner des stratégies, on lance et on espère que ça marche !
5. Les stratégies ne sont pas réactualisée « à chaud », il est donc possible de les supprimer pour toute la durée de la session par un petit script ou exécutable très simple réaliser.
6. Seulement un peu plus de 200 règles sont proposées dans un format propriétaire, c’est trop peu car il existe tout de même plusieurs milliers de règles à l‘heure actuelle.
7. Le client ESU ne fonctionne pas sous Windows Vista (problème d’élévation de pouvoir pour le super utilisateur administrateur des machines).
Le Firewall des postes :
1. Le firewall des stations est désactivé et remplacé par NUFW, qui n’est pas développé de manière aussi sérieuse que celui des postes et qui ne se met pas à jour automatiquement, les stations sont donc potentiellement en danger. | 3 abcdefg, le 2 jan 2009 à 16:44:37Pour répondre à Bob45thechocobo, il faut que tu ailles sur https://ip_scribe:4200/.
Pour répondre à admindu71 :
L'EAD2 est un service de type Web2, il n'y a rien de plus neuf. Les appels ne rafraichissent pas toute la page par exemple.
Tu dis que Win2008 est plus performant que Samba3 avec Vista, explique, nous sommes tous très curieux de savoir de quel chapeau tu sors cette information. Les derniers benchmarks pencheraient plutôt pour Samba3...
Séparation des services pour répartir la charge sur plusieurs serveurs ? C'est là => http://eole.orion.education.fr/wiki/index.php/Scribe_1.0-separation (en même temps, ce n'est pas vraiment pertinent de séparer car Linux sait supporter la charge pour laquelle il faudrait plusieurs Windows)
Qu'entends-tu par "gestion opaque" ? Le code source est entièrement disponible, contrairement à Windows qui lui fait vraiment preuve d'opacité...
Les postes windows ne peuvent pas être mis à jour ? première nouvelle tous les bahuts fonctionnant sur Scribe ont leur poste windows qui se mettent à jour via windowsUpdate de façon tout à fait classique. D'ailleurs je ne vois pas le rapport avec WSUS. Rien ne t'empêche d'installer un WSUS dans un domaine Scribe.
Le serveur a des difficultés à se mettre à jour ? Intéressant, donc si je récapitule, tout le monde a du mal à se mettre à jour. Ca ne serait pas plutôt ta connexion Internet qui a des problèmes ...?
Le changement des mot de passe est IMMEDIAT ! Là il faut vraiment que tu cesses l'utilisation intensive d'extrait de moquette dans les cigarettes que tu fumes.
Serveur en DMZ. Heu il me semble que la DMZ est un concept prévu précisément pour y placer des serveurs. Encore un qui croit (à tord) que la DMZ est une zone moins sécurisée que le réseau pédagogique ou administratif... Le cloisonnement des serveur a toujours été une méthode de sécurisation.
http://www.commentcamarche.net/contents/protect/dmz cloisonnement.php3
Quand au client, tes remarques sont tellement à côté de la plaque que je n'ai même pas envie de prendre le temps de répondre. Je signalerai quand même au passage que la technique utilisée est celle préconisée par microsoft sur MSDN. Le code source du client, comme celui du serveur, est disponible sur Internet, une lecture du code te le prouvera (si tu es capable de lire du code selon je doute grandement vu les inepties que tu racontes).
Les GPO ne font que modifier des clés de registre, Windows n'a rien de magique...
Le parefeu Windows ? développé avec sérieux ? Laisse moi rire, avec le nombre d'alerte de sécurité qu'il a provoqué à lui tout seul. Ah non, j'ai trop mal au ventre tellement je rigole ! | 4 publicy, le 20 jan 2009 à 21:43:41Bonjour,
J'ai des pb de lenteur de connexion au réseau scribe, avant l'ouverture du script.
Ceux-ci n'arrivent que pour des postes pour lesquels il y a des fibre optiques entre les clients et scribe.
Le contenu du .config est de 30MO au max, la plupart du temps 3MO
Des idées ?
Merci |
| 5 Kentin, le 21 jan 2009 à 11:25:37Tu es pas très courageux. Tu aurais dû signer.
Ceci dit, je suis entièrement d'accord.
A bon entendeur.
Salut. |
| 6 Marco, le 28 jan 2009 à 12:56:48Vu votre dénigrement vous faites partie de l'équipe d'idélogiste "éole", et quand on lit des choses comme :
"Les GPO ne font que modifier des clés de registre, Windows n'a rien de magique... "
Je veux bien croire que vous avez quelques compétences dans le monde linux, mais visiblement vous ne connaissez rien du monde des GPOs.
Tout est expliqué sur le MSDN, je vous encourage à vous y rendre avant d'avancer n'importe quoi.
Marc STEPHAN. | 7 coucou, le 16 fév 2009 à 12:27:12A Marc Stephan.
Il est vrai que la documentation MSDN dont je fais grand usage chaque jour tend à nous faire croire qu'il existe un système très complexe qui nous dépasse tous et qui nécessite de la technologie extra-terrestre pour être compris.
Malheureusement, windows n'a rien de féérique (pas comme certaines peintures).
Les GPO permettent le déploiement d'applications et l'exécution de commandes ce qui ne se traduit effectivement pas par des entrées dans la BDR.
Cela-dit, l'application d'une restriction via les GPO tel que "Supprimer le menu Aide du menu Démarrer" ne reste ni plus ni moins que le positionnement de la clé :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\NoSMHelp: 0x00000001
Le fait qu'elle s'applique "en live" n'est que la conséquence de l'exécution d'une méthode d'actualisation disponible dans l'API standard de windows ou via la commande 'rundll32'...
Alors "Les GPO ne font que modifier des clés de registre, Windows n'a rien de magique... " est une affirmation vraie. | 13 rémi, le 18 jun 2009 à 08:20:09Il existe des ouvrages plus faciles à lire que le site MSDN, par exemple les éditions ENI ont des tas de livres sur l'Active Directory et la vous trouverez une explication sans doute plus claire de ce que sont les GPO car visiblement vous avez loupé une grosse partie du "truc". Il n'y a rien d'extra terrestre dnas tout ca je vous rassure, et il est inutile de passer par des ligne de commandes compliquée pour effectuer des paramétrages courants comme celui qui est évoqué. |
|
|
|
|
Filezilla server
