Contexte

Cette page a pour but de décrire la mise en place d'une configuration minimale nécessaire pour un Windows dans un domaine ( Active Directory ) supervisé par le pack windows-by-WinRM__shinken.

Configuration de WinRM pour domaine ( Active Directory )

L'entièreté de la configuration de vos machines Windows se fera depuis une seule machine, votre contrôleur de domaine.

Autant que possible, la configuration sera définit avec des GPO ( Global Policy Object ) et sera déployé automatiquement à l'ensemble des machines voulus.


Toutes les étapes suivantes doivent être appliqués depuis votre contrôleur de domaine, avec un compte Administrateur.

Étapes préliminaires

La première étape est d'organiser votre Active Directory avec des UO ( Unité d'organisation ), des nouveaux groupes et utilisateurs de supervisions.

  • Ouvrir "Utilisateurs et ordinateurs Active directory" ( dsa.msc )


Organiser ses machines par UO

  • Cliquer sur son domaine
  • Repérer dans quels dossiers sont les ordinateurs à superviser.
  • Si tout les serveurs sont dans le dossier "Computers", il est nécessaire de les déplacer dans un nouveau dossier UO. Le dossier "Computers", présent par défaut, ne permet pas d'appliquer des GPOs ou de créer de sous-dossiers.
    • Clic-Droit sur le nom de domaine, Sélectionner "Nouveau" > "Unité d'organisation" et lui donner un nom tel que "Serveus".
    • Se déplacer dans le dossier "Computers", selectionner et déplacer les ordinateurs dans la nouvelle UO créée.
  • Pour chacun des UO où sont vos ordinateurs à superviser, créer un UO et nommer le par exemple "Shinken supervised server - windows-by-WinRM".
  • Déplacer les ordinateurs dans la nouvelle UO.

Cette page est en cours de construction et sera disponible prochainement.
En attendant, voici quelques conseils afin de faire votre propre configuration WinRM.


L'entièreté de la configuration de votre parc Windows se fera depuis une seule machine, votre contrôleur de domaine.

Autant que possible, la configuration devra être déployée par GPO ( Global Policy Object ), sinon par script à usage unique.


Voici les étapes auquelle un déployement par GPO est possible :

  • Activer le démarrage de WinRM.
  • Installer la langue Anglaise ( Etats-Unis ).
  • Créer un utilisateur de domaine, et l'ajouter dans des groupes locaux nécessaires.
  • Configurer la langue du nouvel utilisateur de supervision.
  • Configurer WinRM pour l'authentification Basic ou Negotiate, puis HTTP.
  • Configurer l'utilisateur de supervision pour récupérer les informations de W32Time, le service NTP de Windows.


Ensuite, il sera nécessaire d'appliquer les configurations suivantes avec un script à utilisation unique.

  • Configurer l'utilisateur de supervision pour exécuter des commandes WinRM.
  • Configurer l'utilisateur de supervision pour récupérer les informations WMI/CIM root\cimv2.
  • Configurer l'utilisateur de supervision pour récupérer les informations WMI/CIM root\standardcimv2.

Configuration des permissions

Permissions WinRM


AddSecurityPrincipalonDefaultWinRMSDDL.ps1

Autorisation aux objets WMI/CIM


Set-WMINameSpaceSecurity.ps1