Un didacticiel sur
l'Éditeur de stratégie de groupe
et les fichiers ADM.
Dernière mise à jour : 26/02/2006
Pages complémentaires : créer une console
MMC, appliquer une restriction
logicielle, utiliser
IPSec.
Les stratégies de groupe-
Exploiter l'éditeur de stratégie de groupe :
Windows XP en version professionnelle a prévu un outil d'interface
graphique qui permet de manipuler facilement un nombre important
d'entrées du Registre. Les paramètres accessibles
sont appelés des stratégies.
Nous dirons, par exemple, que nous avons activé la stratégie
obligeant chaque utilisateur à saisir son mot de passe avant
de pouvoir accéder à son compte. Nous parlerons alors
d'un jeu d'autorisations et de restrictions qui, mises bout à
bout, forment un modèle de stratégie. Les modifications
possibles concernent tous les aspects de votre système d'exploitation.
- Lancer l'éditeur de stratégie de groupe
:
1) Cliquez sur Démarrer/Exécuter, puis saisissez :
gpedit.msc
2) Dans la fenêtre Stratégie de groupe, double-cliquez
sur le module Stratégie de groupe.
Deux branches apparaissent : Configuration ordinateur et Configuration
utilisateur.
Vous avez maintenant accès à des centaines de réglages
différents.
Il n'y a aucune différence entre ces deux branches, si ce
n'est que les aspects qui sont abordés peuvent être
différents.
Voici les principales branches du Registre qui seront modifiées
:
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
* HKEY_CURRENT_USER\Software\Policies\Microsoft
* HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
* HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
Dans tous les cas, une modification faite dans le menu Configuration
ordinateur ou Configuration utilisateur s'appliquera à tous
les utilisateurs de votre machine.
Cela pose évidemment un problème apparemment insoluble,
qui peut se résumer ainsi : "Je souhaite empêcher
tout accès à l'éditeur de stratégie
de groupe à mes enfants qui possèdent un compte sur
mon ordinateur. Parfait. Le problème est que, dès
que j'active cette stratégie, je me bloque moi-même
puisque tous les utilisateurs sont concernés. Je ne peux
ainsi plus accéder à l'éditeur de stratégie
de groupe, ni désactiver cette restriction !"
Nous touchons là un problème majeur de l'utilisation
de cet outil, qui est relativement facile à contourner.
- Utiliser l'éditeur de stratégie de
groupe :
Prenons tout d'abord un exemple simple. Imaginons que nous souhaitions
empêcher quiconque de modifier l'apparence du Bureau Windows.
1) Dans l'éditeur de stratégie de groupe, parcourez
l'arborescence suivante : Configuration utilisateur/Modèles
d'administration/Bureau.
2) Dans le volet de droite, double-cliquez sur cette commande :
Ne pas enregistrer les paramètres en quittant.
3) Cliquez sur l'onglet Expliquer si vous désirez avoir une
explication approfondie des conséquences de cette stratégie.
4) Cliquez sur l'onglet Paramètres.
Trois options sont disponibles :
* Non configuré : aucune modification dans le Registre Windows
n'a été effectuée.
* Activé : la restriction est immédiatement effective
ou sera opérationnelle après la fermeture de toutes
les sessions.
* Désactivé : la restriction est inscrite dans le
Registre Windows mais reste pour l'instant désactivée.
5) Cliquez sur le bouton radio Activé.
Dès lors, aucune modification effectuée sur l'apparence
du Bureau Windows ne sera enregistrée quand les utilisateurs
fermeront leur session interactive.
- Visualiser
rapidement les stratégies appliquées sur votre ordinateur
:
Un exemple va vous permettre de comprendre rapidement de quoi il
en retourne.
1) Cliquez sur Démarrer/Exécuter, puis saisissez :
gpedit.msc
2) Dans l'éditeur de stratégie de groupe, ouvrez cette
arborescence : Stratégie ordinateur local/Configuration utilisateur/Modèles
d'administration/Panneau de configuration/Affichage.
3) Dans le volet de droite, double-cliquez sur le paramètre
Masquer l'onglet Ecran de veille, puis cochez le bouton radio Activé.
4) Fermez cette fenêtre.
5) Avec le bouton droit de la souris, cliquez sur une partie vide
du Bureau, puis choisissez la commande Propriétés.
Vous pouvez voir que l'onglet Ecran de veille a disparu.
6) Cliquez sur Démarrer/Exécuter, puis saisissez :
hcp://system/sysinfo/sysInfoLaunch.htm
7) Cliquez sur ce lien : Afficher les paramètres de stratégie
de groupe appliquée.
La page qui apparaît est divisée en deux parties :
* Résultats de la stratégie de groupe pour [Nom_Ordinateur].
Dans notre cas, la rubrique Paramètres du Registre ne contient
rien d'intéressant puisque nous n'avons pas activé
de stratégie dans la branche Configuration ordinateur.
* Résultats de la stratégie de groupe pour [Nom_Ordinateur]\[Nom_Utilisateur].
Dans la rubrique Paramètres du Registre, une clé est
indiquée comme ayant été modifiée :
Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage
- État 1. Nous avons donc l'indication du nom de la valeur
à créer, ainsi que son emplacement dans le Registre.
Les modifications apportées au Registre seront toutes répertoriées.
Le mécanisme est le suivant : une valeur DWORD NoDispScrSavPage,
avec pour données de valeur le chiffre 1, a été
ajoutée dans ces deux arborescences :
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
* HKEY_USERS\S-1-5-21-1482476501-2111687655-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Policies\System
Rappelons que, si vous voulez modifier directement le Registre Windows,
vous aurez le choix entre ces deux arborescences :
* HKEY_LOCAL_MACHINE : si vous souhaitez que cette restriction s'applique
à l'ensemble des utilisateurs de votre machine.
* HKEY_CURRENT_USER : si vous préférez que cette restriction
ne s'applique qu'à l'utilisateur actuellement connecté.
Juste en dessous, le lien Exécuter l'outil Jeu de stratégies
résultant lance directement le module MSC. Ce dernier est
directement accessible en cliquant sur Démarrer/Exécuter,
puis en saisissant la commande : rsop.msc
Si vous double-cliquez sur le dossier Panneau de configuration,
seules les arborescences contenant les stratégies actives
seront affichées.
- N'afficher que les stratégies
actives ou appliquer un filtre :
1) Avec le bouton droit de la souris, cliquez, par exemple, sur
la branche Modèles d'administration puis sur Affichage/Filtrage...
2) Cochez la case Afficher uniquement les paramètres de stratégie
configurés.
Si vous cochez la case Filtrer sur l'information Configuration requise,
il vous est possible de filtrer les stratégies en fonction
de la configuration minimale exigée.
- Connaître
les stratégies propres à Windows XP SP2 :
Il vous est possible de télécharger un fichier nommé
PolicySettings.xls à partir de cette adresse : www.microsoft.com/downloads/details.aspx?FamilyID=7821C32F-DA15-438D-8E48-45915CD2BC14&displaylang=en
Les différents feuilles énumèrent chacun des
fichiers ADM.
* La colonne Registry Settings vous permet de retrouver la correspondance
entre une stratégie et l'arborescence du Registre qui sera
écrite ou modifiée.
* La feuille Update History énumère les nouvelles
stratégies applicables au Service Pack 2.
-
Utiliser les stratégies de groupe sur un ordinateur en local
:
Nous avons déjà signalé que, par défaut
et dans un environnement de groupe de travail (et non de domaine),
une stratégie s'applique à l'ensemble des utilisateurs
de votre ordinateur, y compris vous. Une astuce permet que les restrictions
ne soient applicables qu'aux comptes ne disposant pas de privilèges
d'administrateur. Seule limitation connue : vous ne devez avoir
que deux types de comptes déclarés sur votre ordinateur
: Administrateurs et Utilisateurs avec pouvoir.
1) Lancez l'éditeur de stratégie de groupe en exécutant
la commande gpedit.msc, ou la console MMC par la commande mmc, dans
laquelle vous ajouterez, comme composant logiciel enfichable, le
module Stratégie de groupe.
2) Paramétrez l'ensemble des stratégies.
Par exemple, ouvrez l'arborescence Stratégie ordinateur local/Configuration
utilisateur/Modèles d'administration/Panneau de configuration/Affichage
puis, dans le volet de droite, double-cliquez sur la stratégie
Masquer l'onglet Ecran de veille. Cochez le bouton radio Activé.
Cliquez sur OK, ou enregistrez les changements et, éventuellement,
votre nouvelle console si vous venez de la créer.
3) Dans l'Explorateur Windows, ouvrez \WINDOWS\system32\GroupPolicy\User.
4) Copiez le fichier Registry.pol à un autre emplacement
de l'Explorateur.
5) Activez la fenêtre de l'éditeur de stratégie
de groupe, puis placez toutes les commandes que vous avez activées
sur le mode Désactivé (et non sur le mode Non configuré).
6) Validez chaque fois en cliquant sur le bouton OK.
7) Copiez la version de sauvegarde du fichier Registry.pol à
son emplacement d'origine : \WINDOWS\system32\GroupPolicy\User.
8) Confirmez le remplacement du fichier initial par votre copie
de sauvegarde.
9) Vérifiez que la stratégie ne s'applique plus à
votre compte administrateur et bien à l'ensemble des autres
comptes.
Notez que, à la réouverture de la session du compte
à partir duquel vous avez effectué la manipulation,
la stratégie sera indiquée comme Activé mais
ne s'appliquera toujours pas à votre compte. Si les stratégies
de groupe ne s'appliquent qu'aux comptes possédant des privilèges
d'administrateur, cliquez avec le bouton droit de la souris sur
le fichier Registry.pol, puis sur la commande Propriétés
afin d'accéder à l'onglet Sécurité.
Ajoutez le groupe des Utilisateurs authentifiés (Ajouter,
Rechercher, Avancé) puis, sous la colonne Autoriser, ne cochez
que la case Lecture et exécution.
Les
fichiers ADM
La question qui vient naturellement à l'esprit est donc de
savoir comment retrouver la correspondance entre une stratégie
présente dans l'éditeur de stratégie de groupe
et les clés et valeurs qu'il faut créer et renseigner
afin d'obtenir le même résultat.
-
Éditer les fichiers ADM :
Nous allons donc apprendre à éditer les fichiers .adm,
qui renferment l'ensemble des modèles de stratégie.
Nous entendons, par modèle de stratégie, les paramètres
accessibles regroupés autour d'un même thème.
Par défaut, ils sont placés dans \WINDOWS\system32\GroupPolicy\Adm.
À chacun de ces modèles est associé un fichier
portant l'extension .inf, placé dans \WINDOWS\inf.
Toujours dans cet exemple, le modèle de stratégie
System.adm est installé par le fichier sceregvl.inf. Il vous
est possible de visualiser son contenu en l'ouvrant avec le Bloc-notes
Windows :
1) Avec le bouton droit de la souris, cliquez sur le fichier sceregvl.inf.
2) Dans la boîte de dialogue qui apparaît, cliquez sur
Ouvrir avec/Bloc-notes.
3) En parcourant ce fichier, repérez la rubrique intitulée
Accounts (placée sous le marqueur [Strings]).
Vous pouvez vous servir de la commande Rechercher, accessible par
le menu Edition.
Examinons cette ligne : LimitBlankPasswordUse = "Comptes :
restreindre l'utilisation de mots de passe vierges par le compte
local à l'ouverture de session console"
Nous avons donc le nom de la valeur (LimitBlankPasswordUse) qui
sera inscrite dans le Registre, suivi du libellé de la commande
correspondante, accessible depuis l’éditeur de stratégie
de groupe.
Vous retrouverez donc cet intitulé en parcourant, dans l'éditeur
de stratégie de groupe, cette arborescence : Configuration
ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies
locales/Options de sécurité. Si vous activez cette
stratégie et ouvrez le Registre, vous retrouverez cette valeur
placée dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
Les fichiers .adm par défaut sont les suivants : System.adm,
Inetres.adm, Wuau.adm, Wmplayer.adm et Conf.adm. Ils possèdent
différentes versions dont voici le récapitulatif :
* Windows XP SP2 : 5.0
* Windows Server 2003 et Windows XP : 4.0
* Windows Server 2000 : 3.0
- Syntaxe des fichiers
ADM :
Les commentaires sont précédés d'un point-virgule
ou de deux slash (//).
Les chaînes peuvent être stockées en tant que
variables, auxquelles vous pouvez attribuer un nom arbitraire précédé
de deux points d'exclamation. Elles doivent être placées
entre guillemets et sont définies sous la section [String].
Imaginons ce type de déclaration :
CATEGORY !!AdministrativeServices
Vous trouverez, dans la section [String] (vers la fin du fichier
System.adm), la ligne suivante :
AdministrativeServices="Système"
Nous sommes donc dans la branche Système (Configuration ordinateur
ou utilisateur\Modèles d'administration\Système).
De la même façon, la déclaration suivante se
retrouve dans la rubrique Category Strings sous cette forme : AdministrativeServices_Help
= Autoriser la configuration des différents paramètres
système.
CATEGORY !!AdministrativeServices
#if version >= 4
EXPLAIN !!AdministrativeServices_Help
#endif
Ce commentaire apparaîtra dans la rubrique Description quand
vous sélectionnerez la branche Système. Apparemment,
l'emploi des variables renvoyant systématiquement à
la section [String] est obligatoire, sans quoi vous avez des erreurs
de syntaxe lors du chargement du fichier .adm.
-
CLASS
La rubrique CLASS vous permet de préciser si l'entrée
sera placée dans la branche Configuration Ordinateur ou Configuration
Utilisateur. La syntaxe est la suivante :
CLASS nom
"nom" doit être : MACHINE ou USER.
Par exemple : CLASS MACHINE
- CATEGORY
La rubrique CATEGORY utilise cette syntaxe :
CATEGORY!!Nom
KEYNAME Nom Clé
[Définition de la stratégie]
END CATEGORY
* Nom : c'est le nom de la catégorie telle qu'elle apparaîtra
dans l'éditeur de stratégie de groupe. Les noms comprenant
des espaces doivent être placés entre guillemets.
* Nom Clé : c'est le chemin relatif dans le Registre. Ne
précisez pas l'arborescence visée (HKEY_LOCAL_MACHINE
ou HKEY_CURRENT_USER) puisque vous la définissez en utilisant
le mot-clé CLASS.
* Définition de la stratégie : chacune des stratégies
spécifiées à l'intérieur d'une catégorie.
Les mots-clés permis pour la rubrique CATEGORY sont les suivants
: KEYNAME - CATEGORY - POLICY - END - SUPPORTED - POLICY.
- POLICY
La rubrique POLICY permet d'afficher une description courte de la
stratégie. La syntaxe de POLICY est la suivante :
POLICY Nom
[KEYNAME Nom de la clé]
[EXPLAIN Aide]
[VALUENAME Nom de la valeur]
[CLIENTEXT guid]
[Définition du type d'interface permettant de paramétrer
la valeur]
END POLICY
* Aide : c'est le texte qui apparaîtra en cliquant sur l'onglet
Expliquer.
* Nom de la valeur : c'est le nom de la valeur à modifier
dans le Registre. Afin de spécifier une valeur différente
de la valeur par défaut utilisez ces deux mots-clés
: VALUEON et VALUEOFF. Si vous cochez la case, la valeur sera tournée
sur VALUEON. Dans le cas contraire, la valeur sera tournée
sur VALUEOFF.
Les syntaxes possibles sont les suivantes :
* VALUEON on valeur
* VALUEOFF off valeur
* GUID : c'est une valeur optionnelle qui permet d'attribuer un
GUID pour le composant logiciel enfichable.
* [Définition du type d'interface permettant de paramétrer
la valeur] : cela peut être une boîte de dialogue, une
liste déroulante, etc.
Les mots-clés autorisés par la rubrique POLICY sont
les suivants : KEYNAME - PART - VALUENAME - VALUEON - VALUEOFF -
ACTIONLISTON - ACTIONLISTOFF - END - HELP - CLIENTEXT - POLICY.
- PART
La catégorie PART permet de créer des listes ou des
boîtes à choix multiple. La syntaxe est la suivante
:
PART Nom Type Données
[KEYNAME Nom de la clé]
[VALUENAME Nom de la valeur]
END PART
* Nom : définit le nom tel qu'il apparaîtra dans l'éditeur
de stratégie de groupe.
* Type : définit le type d'interface.
Voici un tableau récapitulatif des types :
* CHECKBOX : affiche une case à cocher.
* COMBOBOX : affiche une liste déroulante comprenant différentes
options à sélectionner.
* DROPDOWNLIST : affiche une liste déroulante.
* LISTBOX : affiche une boîte avec des boutons radio Ajouter
et Supprimer.
* EDITTEXT : affiche une zone de texte qui permet de saisir une
chaîne de caractères.
* TEXT : affiche une ligne de texte.
* NUMERIC : affiche une boîte contenant des valeurs numériques
prédéfinies.
* Données : récapitule les informations de PART.
Les mots-clés autorisés pour PART sont : CHECKBOX
- TEXT - EDITTEXT - NUMERIC - COMBOBOX - DROPDOWNLIST - LISTBOX
- END - CLIENTEXT - PART.
Examinons maintenant les interfaces qu'il est possible d'utiliser...
- CHECKBOX
La syntaxe de l'interface CHECKBOX est la suivante :
PART Texte CHECKBOX
VALUENAME Nom de la valeur
END PART
* Texte : définit le texte qui sera présent sur la
droite.
* Afin de définir une valeur inverse (l'option sera activée
par défaut), servez-vous du mot-clé DEFCHECKED.
Par exemple :
PART !!SampleChkBox_NotChked CHECKBOX
DEFCHECKED
VALUENAME "test"
END PART
Vous pouvez également utiliser les mot-clés : VALUEON
et VALUEOFF.
Par exemple :
PART !!SampleChkBox_NotChked CHECKBOX
VALUENAME "test"
VALUEON "Enabled"
VALUEOFF NUMERIC 10
END PART
Dans ce cas, la chaîne sera activée quand la case sera
cochée. Si la case est décochée, la valeur
numérique 12 sera inscrite.
Les mot-clés autorisés pour CHECKBOX sont : KEYNAME
- VALUENAME - VALUEON - VALUEOFF - ACTIONLISTON - ACTIONLISTOFF
- DEFCHECKED - CLIENTEXT - END.
- TEXT
Ce type d'interface permet d'afficher un texte quand on accède
aux propriétés de la stratégie. La syntaxe
est la suivante :
PART texte TEXT
END PART
En voici un exemple :
POLICY !!NoActiveDesktop
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
EXPLAIN!!NoActiveDesktop_Help
VALUENAME "NoActiveDesktop"
PART !!NoActiveDesktop_Tip TEXT
END PART
END POLICY
- EDITTEXT
Ce type d'interface permet à l'utilisateur d'entrer une chaîne
de caractères alphanumérique dans une zone de texte.
La syntaxe est la suivante :
PART !!texte EDITTEXT
VALUENAME Nom de la valeur
END PART
* Nom de la valeur indique le type de chaîne que les utilisateurs
sont autorisés à saisir.
En voici une liste :
* DEFAULT : permet de définir une chaîne de caractères
initiale.
* MAXLEN : permet de définir la longueur maximale de la chaîne
de caractères.
* REQUIRED : permet de dire que l'éditeur de stratégie
de groupe n'activera pas cette stratégie si aucune valeur
n'est saisie.
* OEMCONVERT : permet de convertir le texte saisi du format ASCII
au format OEM.
* EXPANDABLETEXT : permet de spécifier que le texte sera
inscrit dans une valeur de chaîne extensible et non dans une
valeur chaîne.
Voici un exemple :
POLICY !!Netlogon_GcSiteCoverage
KEYNAME "Software\Policies\Microsoft\Netlogon\Parameters"
EXPLAIN !!Netlogon_GcSiteCoverage_Help
PART !!Netlogon_GcSiteCoverageLabel EDITTEXT REQUIRED
VALUENAME "GcSiteCoverage"
END PART
END POLICY
Les mot-clés autorisés pour EDITTEXT sont : KEYNAME
- VALUENAME - DEFAULT - REQUIRED - MAXLENGTH - OEMCONVERT - END
- EXPANDABLETEXT – CLIENTEXT.
- NUMERIC
La syntaxe de l'interface NUMERIC est la suivante :
PART texte NUMERIC
VALUENAME Nom de la valeur
MIN valeur
MAX valeur
DEFAULT valeur
SPIN valeur
END PART
* Texte : représente le texte qui sera affiché.
Les options possibles sont les suivantes :
* DEFAULT : définit la valeur numérique initiale.
* MAX : définit la valeur maximale permise (par défaut
: 9999).
* MIN : définit la valeur minimale permise (par défaut
0).
* REQUIRED : permet de dire que l'éditeur de stratégie
de groupe n'activera pas cette stratégie si aucune valeur
n'est saisie.
* SPIN value : permet de définir une valeur d'incrémentation
(par défaut : 1).
* TXTCONVERT : inscrit les valeurs comme des valeurs chaîne
plutôt que comme des valeurs binaires.
Les mot-clés autorisés pour NUMERIC sont : KEYNAME
- VALUENAME - MIN - MAX - SPIN - DEFAULT - REQUIRED - TXTCONVERT
- END - CLIENTEXT.
- GOMBOBOX
Les options sont les mêmes que pour EDITTEXT, à la
différence que vous pouvez vous servir du mot-clé
SUGGESTIONS.
Par exemple :
SUGGESTIONS
Paris Londres Madrid "New York"
END SUGGESTIONS
- DROPDOWNLIST
La syntaxe de DROPDOWNLIST est la suivante :
PART !!Texte DROPDOWNLIST
ITEMLIST
NAME nom VALUE valeur
NAME nom VALUE valeur
END ITEMLIST
END PART
* Texte : définit le texte qui sera affiché sur la
droite.
* Valeur : représente une chaîne, à moins de
se servir du mot-clé NUMERIC.
- LISTBOX
LISTBOX accepte les paramètres suivants :
* ADDITIVE : dans ce cas, la valeur spécifiée viendra
s'ajouter à celles déjà définies dans
le Registre.
* EXPLICITVALUE : permet de spécifier à la fois le
nom de la valeur et les données de la valeur. La boîte
de dialogue affichera deux colonnes.
* VALUEPREFIX : permet de spécifier un préfixe déterminant
une partie du nom des valeurs. Par exemple, un préfixe nommé
Chaîne générera cette liste de valeurs : Chaîne1;
Chaîne2, etc.
Par défaut, quand la boîte de dialogue ne contient
qu'une colonne, le nom de la valeur est identique aux données
de la valeur.
Les mot-clés autorisés pour LISTBOX sont : KEYNAME
- VALUEPREFIX - ADDITIVE - NOSORT - EXPLICITVALUE - EXPANDABLETEXT
- END - CLIENTEXT.
- ACTIONLIST
La syntaxe de ACTIONLIST est la suivante :
ACTIONLIST
[KEYNAME nom de la clé]
VALUENAME nom de la valeur
VALUE valeur
END ACTIONLIST
Si VALUE est suivi du mot-clé DELETE, la valeur du Registre
sera supprimée.
Les mot-clés suivants sont permis :
* ACTIONLISTON : définit une liste facultative d'actions
si la stratégie est activée.
* ACTIONLISTOFF: définit une liste facultative d'actions
si la stratégie est activée et non configurée.
- Les éléments additionnels :
* KEYNAME : permet de définir l'arborescence du Registre
qui sera modifiée.
* VALUENAME : permet de définir le nom de la valeur du Registre.
* VALUEON et VALUEOFF : permettent de définir des valeurs
basées sur l'état de l'option.
Par exemple :
KEYNAME nom de la clé
POLICY!!MaPolice
VALUENAME valeur à modifier
VALUEON 5 VALUEOFF 10
END POLICY
Voici un comparatif entre deux types de fichiers .adm :
POLICY!!EnableSlowLinkDetect
EXPLAIN !!EnableSlowLinkDetect_Help
KEYNAME "Software\Policies\Microsoft\Windows\System"
VALUENAME "SlowLinkDetectEnabled"
END POLICY
* Si la stratégie est activée, la valeur du Registre
recevra, comme données, le chiffre 1.
* Si la stratégie est désactivée, la valeur
sera supprimée.
* Si la stratégie est sur Non configuré, aucun changement
n'interviendra dans le Registre.
Voici une autre possibilité :
POLICY!!EnableSlowLinkDetect
EXPLAIN!!EnableSlowLinkDetect_Help
KEYNAME "Software\Policies\Microsoft\Windows\System"
VALUENAME "SlowLinkDetectEnabled"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
* Si la stratégie est activée, la valeur du Registre
recevra, comme données, le chiffre 1.
* Si la stratégie est désactivée, la valeur
du Registre recevra, comme données, le chiffre 0.
* Si la stratégie est sur Non configuré, aucun changement
n'interviendra dans le Registre.
1) EXPLAIN : permet de définir un texte explicatif.
2) Saut de lignes. Vous avez la possibilité d'utiliser cette
syntaxe :
* \n = démarre une nouvelle ligne
* \n\n = crée un saut de ligne
3) #If Version : permet de conditionner les commandes à la
version de l'éditeur de stratégie de groupe. La syntaxe
est la suivante :
#if Version (opérateur) x
#endif
Les opérateurs suivants sont autorisés :
* > (GT) : Plus grand que.
* < (LT) : Moins grand que.
* == (EQ) : Égal à.
* != (NE) : Différent de.
* >= (GTE) : Plus grand que ou égal.
* <= (LTE) : Moins grand que ou égal.
Les restrictions au nombre de caractères permis sont les
suivantes :
* Explain text : 4096.
* Category Explain text : 255.
* EDITTEXT : 1023.
- Créer un fichier ADM
:
Le but de la manœuvre est de vous permettre de modifier rapidement
le Registre Windows en créant vos propres fichiers de configuration.
Nous allons prendre un exemple relativement simple.
1) Dans un nouveau document Bloc-notes, copiez ce contenu :
CLASS USER
CATEGORY !!Explorateur
POLICY !!Hidden
EXPLAIN !!HiddenHelp
KEYNAME "\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
#if version <= 4
SUPPORTED !!SUPPORTED_WIN
#endif
VALUENAME "Hidden"
VALUEON NUMERIC 2
VALUEOFF NUMERIC 1
END POLICY
END CATEGORY
[Strings]
Explorateur="Explorateur"
HiddenHelp="Cette stratégie permet de masquer les fichiers
et les dossiers cachés\nSi cette stratégie est activée,
tous les fichiers systèmes resteront invisibles pour les
utilisateurs.\nSi cette stratégie est désactivée
ou non configurée, les fichiers et dossiers système
seront visibles."
Hidden="Afficher les fichiers et les dossiers cachés."
SUPPORTED_WIN="Microsoft Windows toutes versions."
2) Enregistrez votre fichier sous le nom explorateur.adm dans le
répertoire \windows\inf.
3) Cliquez sur Démarrer/Exécuter puis saisissez :
gpedit.msc
4) Ouvrez Configuration utilisateur/Modèles d'administration.
5) Avec le bouton droit de la souris, cliquez sur ce dossier puis
sur Ajout/Suppression de modèles...
6) Dans la rubrique Nom, cliquez sur Explorateur puis sur le bouton
Ajouter...
Une branche nommée Explorateur apparaît maintenant
dans votre arborescence.
7) Avec le bouton droit de la souris, cliquez sur la branche Explorateur
puis sur Affichage/Filtrage...
8) Décochez la case N'afficher que les paramètres
de stratégie pouvant être entièrement gérés.
9) Double-cliquez sur le dossier Explorateur puis sur la stratégie
Ne pas afficher les fichiers et les dossiers cachés.
Cette option est disponible en cliquant dans l'Explorateur Windows
sur Outils/Options des dossiers.../Affichage/Fichiers et dossiers
cachés. Cela correspond, dans le Registre, à ouvrir
: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
et à modifier une valeur DWORD nommée Hidden (2 :
ne pas afficher les fichiers et les dossiers cachés ; 1 :
afficher les fichiers et les dossiers cachés).
-
Les autres modèles de fichiers .adm disponibles :
IL existe d'autres fichiers .adm qui sont "prêts à
l'emploi". Ils sont inclus dans les outils de maintenance d’Office
XP ou 2003 et livrés avec le Kit de ressources Microsoft
Office XP.
Le Microsoft® Office 2003 Editions Resource Kit se télécharge
à partir de cette adresse : http://office.microsoft.com/en-us/FX011511471033.aspx
Cliquez sur le lien ork.exe.
Le Kit de ressources pour Office XP se télécharge
à partir de cette adresse : www.microsoft.com/office/orkarchive/XPddl.htm.
Cliquez, dans ce cas, sur le lien orktools.exe.
1) Procédez à l'installation du programme en double-cliquant
sur le fichier exécutable que vous avez téléchargé.
2) Dans l'éditeur de stratégie de groupe, ouvrez la
branche Configuration utilisateur.
3) Avec le bouton droit de la souris, cliquez sur la branche Modèles
d'administration puis sur la commande Ajout/Suppression de modèles...
4) Cliquez sur le bouton Ajouter...
Dans \Windows\inf, sélectionnez un des fichiers suivants
: ACCESS10.ADM, EXCEL10.ADM, OFFICE10.ADM, etc.
5) Cliquez sur les boutons Ouvrir puis Fermer.
Vos nouveaux fichiers .adm seront listés dans le dossier
Modèles d'administration.
Ajouter
une commande dans l'éditeur de stratégies de groupe
Ce paramètre personnalisé du Registre apparaîtra
dans cette arborescence : Stratégie Ordinateur local/Configuration
ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies
locales/Options de sécurité.
À l’aide
d’un éditeur de texte comme le Bloc-notes Windows ouvrez
un fichier nommé Sceregvl.inf et qui est placé dans
\Windows\Inf.
* Dans la section [Register Registry Values] vous définirez
l’entrée dans le Registre qu’il faut modifier
ou créer.
La syntaxe est la suivante : Chemin_Registre, Type_D’entrée,
%Nom%, Boîte de dialogue, Paramètres
* Chemin_Registre : définit le chemin complet de la clé
et la valeur du Registre à créer ou à modifier.
* Type d’entrée : définit le type d’entrée
qui sera créée ou modifiée.
1 - REG_SZ : valeur chaîne.
2 - REG_EXPAND_SZ : valeur de chaîne extensible.
3 - REG_BINARY : valeur binaire.
4 - REG_DWORD : valeur DWORD.
7 - REG_MULTI_SZ : valeur de chaînes multiples.
* Nom : désigne une chaîne de caractères qui
sera repris dans la section [Strings] placée à la
fin du fichier. Le principe est de créer des variables qui
seront ensuite utilisées dans cette section. Vous devez les
placer entre deux %.
* Boîte de dialogue : permet de définir le type de
boîte de dialogue.
0 - Booléen : affiche deux cases d'option permettant d’activer
ou de désactiver la valeur du Registre. C’est en général
ce qui convient aux valeurs DWORD.
1 – Numérique : affiche un bouton toupie numérique.
2 – Chaîne : affiche une zone de texte.
3 – Liste : affiche une zone de liste.
4 - Valeurs multiples : affiche une zone d'édition.
5 - Masque de bits : affiche une série de cases à
cocher, correspondant chacune à une valeur numérique
définie dans le champ Paramètres.
* Paramètres : ce champ permet de définir quatre types
d’affichage...
0 ou 1 (numérique) – le champ Paramètres contiendra
une seule chaîne définissant l’unité de
la valeur numérique. Par exemple : MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect,4,%AutoDisconnect%,1,%Unit-Minutes%.
Cela correspond à cette section : "Serveur réseau
Microsoft : Durée d'inactivité avant la suspension
d'une session". La variable %Unit-Minutes%est défini
par cette commande : Unit-Minutes="minutes".
3 (liste) : permet de définir la liste des options possibles.
Chacune d’elles doivent être séparées
par le signe |.
4 (zone de texte) : Par exemple : MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText,7,%LegalNoticeText%,4.
Cette section correspond à cette commande : "Ouverture
de session interactive : contenu du message pour les utilisateurs
essayant de se connecter"
5 (masque de bits) : Chaque choix sera composé d'une valeur
numérique séparée par le signe |.
Par exemple : MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel,4,
%LmCompatibilityLevel%,3,0|%LMCLevel0%,1|%LMCLevel1%,2|%LMCLevel2%,3|
%LMCMevel3%,4|%LMCLevel4%,5|%LMCLevel5%.
Cette section correspond à ce paramètre : "Sécurité
réseau : Niveau d'authentification Lan Manager"
Note : si le champ Paramètres est égal
à 3 ou à 5 vous devez préciser l’ordre
choisi dans l’énumération. En reprenant l’exemple
précédent :
,%LmCompatibilityLevel%,3,0
%LMCLevel0%,1
%LMCLevel1%,2
* Dans la section [Strings] vous définirez l’entrée
dans l’éditeur de configuration système.
La syntaxe est la suivante : Nom Affiché, Texte
Prenons un exemple... Nous allons ajouter une commande qui force
la fermeture des fichiers DLL quand leurs applications correspondantes
ne sont plus actives :
1) Faites une copie de sauvegarde du fichier Sceregvl.inf.
2) Éditez le fichier Sceregvl.inf à l’aide du
Bloc-notes Windows.
3) Ajoutez cette ligne dans la section [Register Registry Values]
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AlwaysUnloadDll,4,%AlwaysUnloadDll%,0
4) Ajoutez cette ligne dans la section [Strings] et, par exemple,
la rubrique Shutdown (mais vous pouvez aussi bien créer une
nouvelle rubrique) :
AlwaysUnloadDll = "Applications : Forcer la fermeture des fichiers
DLL"
5) Enregistrez les changements apportés au fichier Sceregvl.inf.
6) Cliquez sur Démarrer/Exécuter puis saisissez regsvr32
scecli.dll
7) Ouvrez de nouveau l’éditeur de configuration système
afin de vérifier si votre nouvelle commande fonctionne correctement.
Notez que les changements apportés à une valeur sont
immédiatement répercutés dans le Registre.
Afin de supprimer une commande que vous avez ajoutée suivez
cette procédure :
1) Dans l’éditeur du Registre ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SeCEdit\Reg Values.
2) Supprimez la sous-clé correspondant à l’entrée
que vous aviez créée.
3) Cliquez sur Démarrer/Exécuter, puis saisissez ceci
: regsvr32 scecli.dll
Programmes utiles à
la création de fichiers ADM ou à l'éditeur
de stratégie
- Faciliter la création des fichiers ADM :
Vous pouvez télécharger un bouquet d’utilitaires
à partir de cette adresse : http://yizhar.mvps.org.
1) Procédez à l’installation du programme
puis lancez un outil nommé RegToAdm.
2) Cliquez sur file/Import Reg File puis sélectionnez votre
fichier de Registre.
Le contenu du fichier ADM sera visible dans le volet de droite.
Ce n’est évidemment pas parfait mais peut vous permettre
tout de même de gagner un temps considérable !
- Gérer facilement un ordinateur avec différents
utilisateurs :
1) Vous devez au préalable télécharger et
installer ce fichier : UPHClean-Setup.msi à partir de cette
page : http://www.microsoft.com/downloads/details.aspx?familyid=1b286e6d-8912-4e18-b570-42470e2f3582&displaylang=en.
2) Téléchargez puis installez un outil nommé
"Microsoft Shared Computer Toolkit for Windows XP" à
partir de cette adresse web : http://www.microsoft.com/downloads/details.aspx?familyid=7256D456-E3DA-42EA-857D-92B716077A84&displaylang=en.
Le fichier s'appelle : Shared_Computer_Toolkit_ENU.msi.
Il y a de multiples possibilités mais j'ai simplement testé
la manière simple sans utiliser l'outil de protection des
disques.
3) Lancez le programme Profile Manager
4) Cliquez sur le bouton Select an Account… puis sur le
compte d'utilisateur que vous souhaitez modifier.
5) Dans la zone de texte Password:, saisissez le mot de passe
attaché au compte.
6) Cliquez sur les boutons Create Profile puis Close.
7) Lancez le programme User restrictions…
8) Cliquez sur le bouton Select a profile… puis sélectionnez
le profil que vous venez de définir.
* Les cases présentes dans la rubrique Session Timers:
vous permettent de définir la durée en minutes ou
la temps d'inactivité avant que la session soit automatiquement
fermée.
9) Cliquez sur le bouton Select Drives to Restrict… afin
de sélectionner les lecteurs auxquels l'utilisateur ne
pourra avoir accès.
* La case Lock this profile: permet de désactiver toute
modification dans le profil d'utilisateur.
* Les cases présentes dans la rubrique Recommended restrictions
for Shared Accounts proposent toute une gamme de restrictions
rappelant celles de l'éditeur de stratégies de groupe.
10) Une fois le paramétrage effectué cliquez sur
les boutons Apply et OK.
11) Connectez-vous sur le compte d'utilisateur que vous avez modifié.
Si vous avez défini une durée d'utilisation spécifique,
une boîte de dialogue viendra signaler le temps qui vous
est imparti. À l'expiration du délai une boîte
de dialogue nommée Logoff Warning signalera la fermeture
forcée de votre session. Les lettres de lecteur que vous
avez interdites resteront invisibles. Toutes les restrictions
imposées fonctionnent... En bref, ce programme est vraiment
très simple et efficace !
Problèmes
sur l'éditeur de stratégie de groupe
La méthode que nous allons décrire maintenant fonctionne
quand le problème provient d'entrées du Registre qui
entrent en contradiction avec les entrées spécifiées
dans l'éditeur de stratégie de groupe.
1) Cliquez sur Démarrer/Exécuter, puis saisissez
: gpedit.msc
2) Dans l'éditeur de stratégie de groupe, ouvrez
les différentes arborescences jusqu'à localiser
la stratégie qui correspond à votre problème.
Dans la colonne État, elle sera indiquée comme étant
Non configurée.
3) Double-cliquez dessus et cochez le bouton radio Activé.
4) Redémarrez votre ordinateur puis, dans le même
menu, paramétrez-la sur Désactivé.
5) Redémarrez à nouveau et, cette fois-ci, tournez-la
sur Non configuré.
- Désactiver les stratégies de sécurité
:
1) Ouvrez l'arborescence Stratégie ordinateur local/Paramètres
Windows.
2) Avec le bouton droit de la souris, cliquez sur Paramètres
de sécurité, puis sur le sous-menu Importer une
stratégie.
3) Sélectionnez le fichier setup security.inf, puis cliquez
sur le bouton Ouvrir.
Les paramètres de cette arborescence seront réglés
sur leur valeur par défaut, tels qu'ils étaient
lors de la première installation du système d'exploitation.
Si vous avez un message d'erreur (Les paramètres de sécurité
de la stratégie de groupe applicable sur cet ordinateur…),
validez simplement par OK, puis recommencez la même opération.
- "Échec de l'initialisation du composant
logiciel enfichable - Nom : Stratégie de groupe - CLSID
: {8FC0B734-A0E1-11D1-A7D3-0000F87571E3}" :
1) Cliquez sur Démarrer/Exécuter puis saisissez
: regedit
2) Supprimez cette clé : HKEY_CLASSES_ROOT\CLSID\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}.
3) Cliquez sur Démarrer/Exécuter puis saisissez
cette commande : regsvr32 gpedit.dll
Sinon :
Copiez le fichier Framedyn.dll de \Windows\System32\Wbem vers
\Windows\System32.
|
|
