J’ai un Mac…C’est grave docteur ?

Those who read my blog for some time may get surprised, but i just bought a Mac! A MacBook Air, the one with an SSD of 128GB. My XPS M1210 is now quite old (2006) and didn’t loose its weight since! Notebook with high performance (alienware..) are around 3 kilos minimum, so i stopped the rush to performance, as i can know connect to my hosted server to get the missing performances..

The good:

  • It’s really faster than my previous one. The CPU is lower, but the system bus upper than 1Ghz helps a lot, as having DDR3.
  • The WiFi is really great, bandwidth climb immediately to the top of my ADSL access, with both MacOSX & Windows 7. The chip is a Broadcom 802.11n.
  • The SSD is also great, close to my SuperTalent.
  • Windows 7 64 bit RC get ready in 28 seconds.
  • The keyboard is lighted

The not so good:

  • I installed Windows 7 64 bit through Boot Camp. Windows is working great, but the Apple’s drivers a lot less (see later in this post).
  • MacOSX keeps the time in GMT (in bios). When Windows 7 boot, i then have 2 hours late. If Boot Camp get installed, it adds a time service to hide this difference (AppleTimesrv.exe)
  • The graphic card memory is shared, so we have 1764MB of memory for Windows.
  • No TPM, so no smart encryption with Windows 7.

SSD Performances:

Boot Camp drivers & Windows 7 64 bit:
By default, the setup stop immediately:
Now we have 2 ways:

  • Change the MSI to skip this check, but Windows 7 alerts on issue with it…Safe to install?
  • Apply directly drivers to device without Apple setup.

I chose the second way, that worked, but no Boot Camp control panel as i didn’t install the Apple layer. That generates some issues:

  • To switch to MacOSX, i have to hold “Alt” when powering on.
  • No right click, neither multitouch, even with drivers.
  • No access to shortcuts over F1-12.

Not having the right click by now is not funny at all. MacBook Air only have one USB port, so connecting an external mouse full time is not an option. (The Ethernet module need it too..)

So i choose to finally install Boot Camp anyway. The DVD i got with the laptop already contains Boot Camp version 2.1. As it won’t let you going the smart way, we have to lie it a bit:

  • Switch regional settings (Formats) to English (United States). Their MSI doesn’t stand French at least, generating an error 2229.
  • Launch the MSI directly from the DVD:Boot CampDriversAppleBootCamp64.msi
  • If it’s not enough, you will have to change the registry key HKLMSOFTWAREMicrosoftWindows NTCurrentVersion from 6.1 to 6.0 to simulate Vista. To be put back after.

If you are having issue, here are some infos to help out:

Path to the Boot Camp control panel: C:windowssystem32AppleControlPanel.exe

Drivers/services/shims launched by Apple at boot time:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun:
Apple_KbdMgr Boot Camp Manager c:program filesboot campkbdmgr.exe
IRW IR Receiver Application c:windowssystem32irw.exe
RtHDVCpl HD Audio Control Panel Realtek Semiconductor c:program filesrealtekaudiohdaravcpl64.exe

HKLMSystemCurrentControlSetServices:
AppleOSSMgr c:windowssystem32appleossmgr.exe
AppleTimeSrv c:windowssystem32appletimesrv.exe
aapltctp Apple Trackpad Enabler c:windowssystem32driversaapltctp.sys
aapltp Apple Trackpad Driver c:windowssystem32driversaapltp.sys
applebt Apple Bluetooth c:windowssystem32driversapplebt.sys
applemtm Apple Multitouch Mouse Driver c:windowssystem32driversapplemtm.sys
applemtp Apple Multitouch Trackpad Driver c:windowssystem32driversapplemtp.sys
AppleODD Apple Optical Disc Drive c:windowssystem32driversappleodd.sys
AppleUSBEthernet Apple USB Ethernet Adapter Driver c:windowssystem32driversappleusbethernet.sys
DevUpper Apple iSight Driver c:windowssystem32driversisightft.sys
IRRemoteFlt IR Receiver Driver c:windowssystem32driversirfilter.sys
KeyAgent Apple KeyAgent Driver c:windowssystem32driverskeyagent.sys
KeyMagic Apple Keyboard Driver c:windowssystem32driverskeymagic.sys

Devices as they must appears:


Boot Camp must have a Trackpad tab among others:

Some tips:

  • Right click: 2 fingers on the touchpad + trackpad button
  • Page up/down: 2 fingers that go up or down on the touchpad (multitouch)
  • Delete: Fn + backspace
  • Choose OS at boot time: hold Alt key while powering on.

Hope it helps!

DSI++: Going 64bit:: leader or last one ?

64 bit platform has been reserved for ‘big system” during a long time, when a lot of memory or cpu math were needed. With the time being, it’s now so common that any pretty current desktop /laptop can do 64 bit. Nevertheless, 64 bit keep used only when it’s mandatory, as it’s still not so obvious on what it brings. Microsoft put some pressure by supporting Exchange 2007 on 64 bit. As it’s stalling, they add more pressure by supporting Windows 2008 R2 only on 64 bit.

Why do we put the brakes on 64 bit ?

  • A lot of software editors don’t offer a 64 bit version of teir products. So it will works, but through Wow64 to emulate 32 bit anyway.
  • Drivers must be signed by Microsoft. Why ? Around 2 blue screen (BSOD) on 3 are due to bug in drivers. To be signed, a driver must pass some tests, to be considered as stable. You can even make these tests yourself by launching verifier. This is as simple as doing Start / Execute / verifier. Even if you are an admin and not a developper, you will want to use the developper scenario. Many checks are available:

You shouldn’t activate these tests on all drivers, as you may not be able to boot again. Except if you are really confident on your drivers quality (or already signed)!

Some editors provide a 64bit version, but all processes are still 32 bit. It’s just that their 32 bit version still works in 64 bit.

Apple, with Snow Leopard, finally make the big bang choice: they only provide a 64 bit version. iMacs and others won’t have this new version, and editors will have to povide correct 64 bit versions.

Should you be a leader on 64 bit deployment ? I don’t think so, except if you truly need it, as with all new technology. But, deploying 64 bit in 2009 doesn’t make you a leader anymore! Ok, you still have to manage changes on your teams, a lot on the dev team. As i always recommend, think big but start small. Use new project to learn on 64 bit impacts.

Cygwin1.dll et le mystérieux problème de version

As i started computing on Linux/FreeBSD, I still my little habits to parse logs (awk/sed/cat/sort/uniq…).
Recently, cygwin, a Unix shell port on Windows, stopped working:

cygwin

So there is a trouble with cygwin1.dll. Indeed, i am also using another tool, John the ripper, that has been ported to Windows through cygwin.
But the DLL for JTR is much older than the one included in my cygwin. Starting in the reverse order gives same result, except it’s JTR that crash for same reason.

Procmon from Sysinternals confirm that each program load its own cygwin1.dll. But cygwin doesn’t read the DLL file, instead it just do a “Load image”. JTR does it, but after reading the DLL file:

procmon

Process Explorer helps me to point out the root cause. Cygwin1.dll uses a section type handle that have the same name, anyway which version of the DLL is used.

Handles for JTR:
cygwin1_processexplorer_jtr

Handles for cygwin itself (bash.exe)cygwin1_processexplorer_cygwin

I could confirm the diagnostic using a feature of Process Explorer: close an handle inside a process:

cygwin1_processexplorer_jtr_close

 

The cygwin shell is now working while JTR is also running. The thing is that i don’t what could be the consequences in JTR:

cygwin

The case of the driver leaking handles – Marvell Yukon Service

I noticed that one of my process, rundll32, was leaking handles thanks to Process Explorer, a sysinternal tool. Rundll32 is a Windows hosting process, so it’s the process hosted inside that is leaking. Hopefully Process explorer says who is behind by just overlaping the cursor:
So the hosted service is Marvell Yukon Service (yksvc), used by my network card. To find what sort of handle is leaking, i added the lower pane inside Process explorer by pressing crtl +L. Scrolling down, i found a lot of mutant, always on the same object, BaseNameObjectsNetCfgWriteLock. All new handle are highlighted in green, so i found out that it keeps opening a new handle every second or so:
A right click allows to get its property:
As Mark always recommend, i checked my driver version, which is a bit old:
A newer version is available on the Marvell support page, so i decided to give it a try.
Before doing the driver update, i used perfmon on my system to check the handle behavior before and after the upgrade. It confirmed that the bug is now resolved:
Thanks to mark tools & tutorial, this problem is gone 🙂

vers une DSI++: Nommer les projets

Nommer vos projets informatiques peut avoir une conséquence sur sa notoriété dans l’entreprise. Il est vite fait de détourner un nom ou d’utiliser un second sens afin de descendre ledit projet… Tout projet a des partisans, et d’autres plus hostiles, qui ne manqueront pas une petite talonade en comité de pilotage ou autre!

Les méthodes “classiques”:

  • Prendre la première lettre de chaque mot du titre complet en essayant d’en faire quelque chose. Ma dernière “création”: Rolex (RéOrganisons LEXploitation). S’agissant d’un ordonnanceur entre autre, la relation avec l’horlogerie parait sympathique… Cependant une Rolex a un coût important, quolibet potentiel en réunion, surtout si le projet ne finit pas à l’heure…
  • Des noms Grecs, Latins, Mythologies…
  • Comme les tornades: http://www.atl.ec.gc.ca/weather/hurricane/hurricanes4_f.html

Mes recommandations:

  • Le nom doit rester le plus court possible
  • Il doit être facile à se rappeler (et à écrire)
  • Il doit exprimer autant ce peut l’objet/objectif du projet
  • Si le nom du projet est public, chercher le nom auquel vous pensez sur des moteurs de recherches. Moins il est répandu, mieux c’est.

Ma conclusion:

  • Il ne faut se compliquer l’esprit à vouloir justifier chaque lettre. Si en pensant à votre projet, un mot vous vient à l’esprit, et qu’il vous fait penser en retour à ce projet précisément, retenez-le. Une fois le nom répandu, la signification de chaque lettre n’intéresse plus personne!

CIO Online a publié récemment ces deux dessins:


 

vers une DSI++: La sauvegarde, bilan de santé du SI ?

Après quelques péripéties sur la sauvegarde, voici quelques réflexions….

1/La sauvegarde permet de s’assurer de la cohérence des données. Si la sauvegarde complète du SI fonctionne, cela est déjà très positif! Car cela indique que toutes les données éparpillées partout sont lisibles.

2/L’évolution du temps de sauvegarde indique une tendance. S’il vous faut de plus en plus de temps pour sauvegarder un volume de données à peu près identique, cela indique une baisse de forme du SI. La sauvegarde peut être un exercice intense, car il s’agit de transférer un maximum de données en un minimum de temps. Cela test donc à la fois la capacité de lecture des différentes sources (SAN, AS/400…) et le backbone réseau.
On peut comparer la sauvegarde à une course de vitesse, où les dépôts de données sont les muscles et le réseau le sang circulant dans les veines. En cas de baisse de forme, il convient de diagnostiquer en détail ce qui ralentit. La fragmentation des disques durs est une raison fréquente, mais le service pack 2 de Windows 2003 a quelques effets sur les performances réseaux à ne pas négliger..

3/ L’expérience tend à montrer qu’une des premières briques du SI à se dégrader est la sauvegarde. Cela commence par une augmentation de la fenêtre de sauvegarde, puis des avertissements sur des fichiers non sauvegardés. Et là, alors que vous ne voulez toujours pas vous occuper de ces trop nombreux avertissements, une partition du serveur de fichiers principal lâche, d’un coup d’un seul… Enfin, c’est ce que l’on pense au début..Car on se rend compte que la sauvegarde se plaint depuis 15 jours de ne plus pouvoir sauvegarder des fichiers, de façon de plus en plus nombreux. Seulement voilà, il est trop tard, là où vous aviez un seul caillou dans la chaussure, vous avez d’un coup un menhir! Si je résume:

T0: tout va bien…
T1:tout va bien sauf quelques avertissements sur quelques fichiers, vous passez votre chemin..
T2:de plus en plus de fichiers non sauvegardés, mais bon “ce n’est qu’un avertissement” (laisser mariner 15 jours la situation…)
T3: Toute la partition est corrompue!

Sauf que maintenant, vous avez 15 jours de sauvegardes aussi complets qu’un emmental. Alors qu’il suffirait normalement de restaurer les données de la veille, ces données ne valent rien. Expliquer à son DSI et plus haut qu’une panne fait perdre une journée de travail, c’est déjà dur, mais lui expliquer que c’est 15 jours qui sont perdus…Pas la même histoire.

On peut alors se poser la question “pourquoi ne pas avoir traité ces avertissements?”
Sur un SI un peu évolué, avec une centaine de serveurs, il est très difficile d’avoir toutes les sauvegardes de tous les serveurs sans aucun avertissement. Il y a toujours un serveur pour faire parler de lui le matin au rapport d’exploitation. D’une part, les personnes en charge prenne l’habitude de voir quelques avertissements qui vont et viennent. Ils ne se formalisent plus en dessous du mot “échec”. Je pense que le terme “avertissement” n’est pas approprié est amène les administrateurs à penser que cela va suffisamment bien pour ne pas s’inquiéter.
La sauvegarde est un sujet ingrat, comme un vaccin. Il n’intéresse personne jusqu’à ce qu’il y en ait besoin. Et là personne ne comprends que la sauvegarde de la veille n’ait pas fonctionné, sans chercher plus en détail les causes profondes du maux.

Quelques conseils pour une DSI++:

  • Ne rien lâcher, traiter les avertissements comme un échec. Ne rien laisser entraver le bon déroulement de la sauvegarde. Arrêter cette ancienne application tous les soirs s’il le faut.
  • Historier tous les temps de sauvegardes (et volumétrie). Générer un rapport mensuel sur les performances des 6 derniers mois.
  • Faire un test de restauration au moins tous les mois, toujours sur un élément différent.

La sauvegarde est la dernière chose à fonctionner, et la première à tomber.

Vers une DSI++: incassable

La sécurité informatique est souvent vue comme une contrainte coûtant de l’argent, ce qui la met en première ligne quand il s’agit de faire des économies. Déjà faut-il encore sortir du clivage “Mon McAffee est mieux que ton Symantec“.
Surtout qu’il s’agit de mesurer un risque et une probabilité, un peu comme une assurance vie…

Je vais essayer ici de vous faire une synthèse ici de l’essentiel, avec quelques friandises valant un “++” 😉

Gestion des mots de passes

S’il y a bien un sujet où l’on sent la contrainte, c’est bien celui-là. Vous dites “mot de passe” à n’importe qui, il pense tout de suite sécurité! Et d’ajouter “ils doivent faire au moins 14 caractères” pour qu’il vous réponde “c’est sécurisé chez vous!” (suivi d’un regard plein de compassion sur la souffrance que vous devez éprouver!)
Traite de plaisanterie, les mots de passes sont une rempare comme une autre, et ne servent à rien si d’autres mesures ne sont pas là. J’ai déjà traduis un excellent article de Steve Riley, disponible ici

Gestion du mot de passe administrateur local
Le compte administrateur local est difficile à protéger si l’utilisateur est déterminé. Je vois deux grands axes:
-Rendre les choses difficiles pour décourager ou ralentir
-Faire des vérifications périodiques automatiques pour s’apercevoir des fraudes.

Corser le jeu:

-La longueur du mot de passe doit être supérieure à 14 caractères pour empêcher le stockage en LM hash.
-Chaque station doit avoir un mot de passe administrateur différent. Si c’est le même, n’importe qui l’ayant est admin local du parc, ce qui inclus votre station. Trop facile de vous piéger ensuite!
-Désactivez ce compte. Il n’est pas nécessaire en temps normal, et ne peut se verrouiller.
-Mettez un mot de passe bios, là encore un différent par station. N’autorisez que le boot sur disque dur: pas de CD ni clé USB, ni réseau (si possible).
-Imposez les membres des groupes administrateurs et utilisateurs avec pouvoir locaux via GPO (groupes restreints).

Vérifications récurrentes:
-Mettez un script de logon sur le compte administrateur local. Ce script créera un drapeau pour vous indiquer qu’il a été utilisé et quand. Base de registre ou fichier texte au choix.
-Auditez les journaux d’évènements pour des traces suspectes.
-Changez le mot de passe administrateur local tous les X mois. Quand vous le changez, vérifiez que c’est bien toujours l’ancien. Si quelqu’un l’a claqué, vous le saurez.
-Faites des inventaires des logiciels installés sur les stations. Le droit admin local est recherché pour pouvoir installer ce que l’on veut. Surtout sur les portables, que l’on peut amener chez son meilleur amis,l’expert en informatique bien sûr!

Gérer ses admins
En voilà une idée me direz vous… L’époque où l’admin travaillait avec un compte “administrateurs du domaine” en permanence est révolu, du moins d’un point de vue sécurité. Ils doivent avoir deux comptes, un standard pour la bureautique, et un avec pouvoir (genre monlogin-su), pour les opérations nécessitant des droits supplémentaires. Droits supplémentaires ne voulant pas dire forcément “administrateur du domaine”… Un admin SQL n’a pas besoin de ce privilège par exemple.

Le réseau n’est pas dupe

  • Filtrez les adresses mac par vlan. Un poste venant de nulle part ne doit pas avoir un bail de votre serveur dhcp, ni pouvoir causer avec le réseau.
  • Filtrez les annonces BPDU sur les ports où il n’y pas d’équipement réseaux, activez rootguard si possible.
  • Limitez l’accès aux interfaces de gestion des routeurs/switchs/firewall à vos ip d’administrations.
  • Telnet est interdit. SSH V2 est votre amis.
  • Limitez à une adresse mac par port réseau pour les stations, afin d’empêcher de mettre des hub et autre joyeuseté.
  • Installez une solution de type NAP si vous avez des nomades. Interfacez-là avec vos switch si possible.

Firewall sans trou

  • Version de l’os/firmware ou logiciel à jour
  • Seulement le strict nécessaire est ouvert
  • Les règles de type “accept” ne sont pas logguées sauf raison valable
  • Si possible, des restrictions horaires sont en place
  • Aucun accès TCP direct vers Internet depuis les postes
  • Antispoofing actif
  • Firewall de type stateful

Spécifiques Windows

  • Le compte administrateur du domaine est désactivé
  • Les membres du groupe “Administrateurs du domaine” se comptent sur les doigts de la main. Et tous ces comptes ont un mot de passe > 14 caractères, avec expiration
  • Les logs de sécurité des DC tiennent plus de 24H (rétention)
  • Les eventlogs sont centralisés
  • Il n’y a pas de verrouillage sur les comptes après des essais infructueux
  • Vous avez un WSUS, et les patchs mensuels de sécurité sont appliqués
  • Les machines du domaine sont dans un nuage IPSEC fermé
  • Le firewall Windows est actif sur les stations
  • Un antivirus à jour est installé
  • Le mscache est à zéro si possible, à 1 sur les portables

Spécifiques Unix/Linux
On retrouve ici pas mal de classique…Rappelez-vous qu’un unix/linux par défaut n’est pas plus sûr qu’un Windows…

  • Dites au revoir à inetd et tous les r* (rlogin…)
  • Dites bonjour à SSH (v2 et pas de login root direct), NFSV3, NIS
  • SNMP, oui mais restreint et protégé
  • A jour en terme de patch et noyau ! Vous faites le malin avec un uptime de 800 jours ? Ca en dit long sur la fraicheur de votre kernel…
  • Centralisation des logs avec syslogs

Les applications Windows

  • Vos applications Windows s’appuient sur Active Directory pour l’authentification des utilisateurs…. Avec une authentification transparente (SSO): ++
  • Vos applications se basent sur l’appartenance à un ou des groupes AD, et utilise le SID des groupes pour cette vérification
  • Elles fonctionnent avec les droits utilisateurs standards Windows. Elles ont un Manifest pour XP et pour Vista.
  • Elles ne contiennent pas de comptes d’accès, que ce soit SQL ou autre dans leur configuration.

Les sites Web

  • Utilisez des reverse proxy, par exemple Microsoft ISA 2006. Confiez leur la charge SSL, et activez les protections contre les attaques DOS.
  • Protégez la chaîne de connexion à la base de donnée en la cryptant
  • Si vous avez un formulaire d’authentification:
    • Le nom du formulaire et des champs login/password doivent être dynamiques pour empêcher la saisie semi-automatique
    • La page doit être en SSL
    • Utilisez une procédure stockée pour vérifier la concordance dans la base de donnée.

La messagerie
C’est presque fusionnel avec les utilisateurs…Ils se plaignent de recevoir trop de mail, coupez le serveur, ils hurlent!

  • Mettez toutes vos protections antispam le plus en amont possible, si possible sur le premier relais:
    • Whitelist
    • Reverse DNS
    • SPF / SenderID
    • Rbldns multiples
    • vérification dans les bases publiques type chainmail et phising
    • moteur bayésien
    • Gray listing
    • Antivirus
  • Si vous avez Outlook, utilisez le SCL pour qu’outlook déplace tout seul ces mail dans “courrier indésirable”

Vers une DSI++: Green IT

Je ne sais pas si c’est seulement une tendance qui “fait bien“, ou une (r)évolution de fond, auquel cas EDF pourrait se préparer à une migraine… Heureusement pour eux, les Moyens Généraux et les DSI se causent pas trop à priori. La facture EDF est valable pour tout l’immeuble, difficile d’isoler la part des vilains PC allumés la nuit, ou bien cette HP 9050 ici et là qui s’endort jamais. La question est: combien de DSI sont allées plus loin que les quelques rudiments faciles à mettre en œuvre ?

Voici mon petit tour d’horizon sur le sujet, avec certains ++ pas facile à avoir 😉

Les stations de travail

  • Eteindre les PC le soir et les allumer le matin avec WOL.
  • L’outil de distribution est capable d’allumer les stations et les arrêter à la fin.
  • La gestion de l’énergie sur les PC est gérée en central via EZ GPO sous XP, et par GPO native sous Vista. Le minimum étant d’éteindre l’écran rapidement

La salle machine

  • Les nouveaux serveurs utilisent des processeurs basse consommation, de préférence dans des lames.
  • Le câblage est correctement fait afin de laisser passer l’air frais.
  • Une analyse calorifique de la salle machine indique que l’air circule correctement…(Bonus x4 ++ si vous avez ce genre d’analyse ci-dessous!)

  • Les serveurs inutiles sont éteints automatiquement le soir quand ils ne sont pas utiles la nuit, notamment les serveurs de pré production/qualification
  • Les ressources des serveurs sont utilisées à 80%, sinon ils sont mutualisés ou virtualisés.
  • L’extinction incendie  ne pollue évidemment pas l’environnement.

Réduire les impressions

  • Les fax arrivent et partent en mail/PDF, et ne sont donc pas imprimés.
  • Les imprimantes:
    • Sont en mode recto/verso par défaut uniquement, l’utilisateur doit manuellement changer la configuration pour imprimer uniquement en recto par impression
    • Elles se mettent en veille après 1 heure d’inactivité
  • En interne, des workflows numériques remplacent le courrier interne papier.
  • Vers l’externe:
    • Les Appels D’offres et autres sont déposés sur une plateforme au format numérique
    • Les applications peuvent envoyer des documents signés numériquement aux clients et ainsi ne plus les imprimer et mettre sous pli

Targeting IT Dept ++

At first sight, it may looks easy to be an IT Dept ++, but it depends where you place the ++.
Most of IT Department offer the same services to end users. To make a clear difference with a higher level, you have to give more for the same price ! Without promising impossible things to them… I decided to propose some « ++ » that’s are appreciated by our users, and that’s are not so much known.

Any propoal will be welcomed ! Please don’t hesitate !

Mail : Exchange 2003
All IT that have Exchange thinks they offer the maximum service user scan expect, but there are some small extras that make the difference!
· The clear minimum is having Outlook selfconfiguring at first launch.
· Customized the quota alert message. You will have to use a small free but unknown addon from Microsoft, Exchange quota Service. It allow us to translate the messages to french, which is better for our end users. We added tips for them too.
· Exchange 2003 doesn’t give a way to manage resources in standard, like room reservations. If you want to stop the recurring “We could under Lotus“, I recommend you to install another Microsoft addon, the auto accept agent. It manages conflicts, allows to invite room directly and prevent abuse.
· Install WDS to index the mailbox on workstation. Microsoft gives GPO templates to get it managed centrally. And it will keep your exchange servers cool !
· Activate weeks numbers on calendar through GPO.
· Give end users true others way to send attachments. Sharepoint allow an effective collaborative work, dl.free.fr allows to send attachment through Website, up to 1GB (no account needed).
· PST files have always been a problem. Either local but unsaved, either on a server but taking a lot of space. Ways are limited: addin Microsoft to sync pst between the workstation and the network, tell end users to burn files (–), or a true mail archiving solution like Enterprise Vault.

Users’ profiles
· Redirect « My Documents » folder. Nearly all software save documents there by default.
· A quota, yes, but managed the good and clean way through with proquota. User must knowns that he has a quota issue before trying to logoff!
· Your HelpDesk must never have to know user password, never. Instead, they have to know how to correctly do their job without needing it.
· No remote control wilderness. User acknowledge is mandatory.
· Use bginfo to set some useful informations on the wallpaper (helpdesk phone number, station’s name…), without replacing the baby’s photo on the wallpaper !

Fixed workstations
· Schedule a defrag once a month through MS SMS or the local task’s scheduler.
· Clean local roaming profiles that haven’t been used for XX days with delprof.exe from Microsoft.
· Protect the Bios with a password.
· Automate Windows and applications installation through WDS and MS SCCM 2007.

Notebooks
Nomads needs are often violating IT Dept. rules (What ? I am not allowed to install Call Of duty 4 while on holidays ?). It’s often hard to distinguish between a real true professionnal need and something more…Personnal. How to guess it out ? Don’t allow software installations, and don’t give DVD video player…If they are still interested in having notebook, then it’s a true need! Joke appart, here is my checklist :
· Set the entreprise web proxy with a wpad through dhcp. So IE will work outside.
· Wifi must works correctly with a standard account. Take a look at XP Service pack 3 to get WPA2 managed natively, or better, Windows Vista.
· Windows vista (SP1) is really a must for notebooks.
· You must provide the latest drivers, and all hibernate mode must works.
· HelpDesk must be able to help with remote control while the user is outside. The easiest way is something like LogMeIn, which works even through an hotel (The workstation is making the connection, so it get through NAT and firewall). Why not through your nice corporate VPN ? Because he may be calling about this damned VPN that doesn’t work ! Remote users are often doing powerpoint presentations or other things that make them stressed, so keep it dumb simple.
· 3G cards are quite good, but this type of network is not always available and is costly when roaming. Subscribing to hotspot is cheap and a true alternative.

Smartphone my love (Windows Mobile powered, of course)
As it can be a hot topic without users rewarding efforts made (“BlackBerry is better…”‘), it’s not easy to get the “++” stars.
· Enforce Edge by default. 3G is a black hole when it comes to battery, and brings nothing to mail/calendar/contacts synchro. Notice it can be worse, there is 3G++ (HDSPA) ! To reach the ++, add a « 3G » button in comm’ Manager (where you go to plane mode) with Advanced Config. This way, switching between Edge and 3G is really simple for end users.
· Make over the Start Menu.
· Manage the configuration with Microsoft Mobile Device Manager. More than 130 settings possible.
· Use client certificate for authentification. Say Goodbye to broken synchro after every password changes!
· Technical intervention (replacing sim card or phone) mustn’t impact the end user. Backup SMS or the whole smartphone before.
· Install Googlemaps, It’s free and great !
· Train users! One single euro or $ invested in training on smartphone will always be more profitable than running after the last model
· People that create image to deploy or manage smartphones must have one theirselves. This is mandatory. With Data subscribtion, of course.
· Having spare is not an option!

Printers
· For two sided printers, share them twice: One for one side prints by default, and one for two sided prints by default. This allow users to print in two sided mode without having to change parameters.
· Create a website to help end users to locate and connect printers.
· Block the manual tray, it’s a source of trouble.
· Block the tactile screen, it’s an incredible source of trouble
· Analyze issues on printers (HP WebjetAdmin is free). Replace the top 5 of printers with jam issues. Add paper tray to the top 5 of printers with no paper issue.
· Printers’ capacity given by manufacturer are higher than reality, change them before.
· If you can, send « low toner » alerts to people than know how to change them. Printing that goes out full of magenta because of a bad replacement always fall on a VIP !

Desktop files
· Offer a way to make efficient search: either appliance Google Search entreprise, either Sharepoint search.
· Install Microsoft Access Base enumeration. It allows to only display folders user can open, so users keep a clear view.
· If cleaning by users doesn’t work, choose a good archiving solution like Enterprise Vault for example.

Thanks for reading down to the end !