Les stratégies de groupe

Le coin de la boite à outils, freeware, shareware pour gérer et entretenir votre PC

Modérateurs : Remi77, Freddie

Règles du forum
Il vous appartient de vérifier auprès de l'éditeur ou de l'auteur du soft si une mise à jour plus récente est disponible et vous invite à en faire part dans ce forum.
Vous êtes libre de poster et demander toutes astuces, recherche de soft dans ce forum.
Répondre
Avatar du membre
Remi77
Administrateur
Administrateur
Messages : 639
Enregistré le : lun. juil. 30, 2007 12:58 pm
Contact :
Contacter Remi77

Les stratégies de groupe

Message : # 1102Message Remi77 »

Les stratégies de groupe

- Exploiter l'éditeur de stratégie de groupe :
Windows XP en version professionnelle a prévu un outil d'interface graphique qui permet de manipuler facilement un nombre important d'entrées du Registre. Les paramètres accessibles sont appelés des stratégies.
Nous dirons, par exemple, que nous avons activé la stratégie obligeant chaque utilisateur à saisir son mot de passe avant de pouvoir accéder à son compte. Nous parlerons alors d'un jeu d'autorisations et de restrictions qui, mises bout à bout, forment un modèle de stratégie. Les modifications possibles concernent tous les aspects de votre système d'exploitation.

- Lancer l'éditeur de stratégie de groupe :
1) Cliquez sur Démarrer/Exécuter, puis saisissez : gpedit.msc
2) Dans la fenêtre Stratégie de groupe, double-cliquez sur le module Stratégie de groupe.
Deux branches apparaissent : Configuration ordinateur et Configuration utilisateur.
Vous avez maintenant accès à des centaines de réglages différents.
Il n'y a aucune différence entre ces deux branches, si ce n'est que les aspects qui sont abordés peuvent être différents.
Voici les principales branches du Registre qui seront modifiées :
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
* HKEY_CURRENT_USER\Software\Policies\Microsoft
* HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
* HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
Dans tous les cas, une modification faite dans le menu Configuration ordinateur ou Configuration utilisateur s'appliquera à tous les utilisateurs de votre machine.
Cela pose évidemment un problème apparemment insoluble, qui peut se résumer ainsi : "Je souhaite empêcher tout accès à l'éditeur de stratégie de groupe à mes enfants qui possèdent un compte sur mon ordinateur. Parfait. Le problème est que, dès que j'active cette stratégie, je me bloque moi-même puisque tous les utilisateurs sont concernés. Je ne peux ainsi plus accéder à l'éditeur de stratégie de groupe, ni désactiver cette restriction !"
Nous touchons là un problème majeur de l'utilisation de cet outil, qui est relativement facile à contourner.

- Utiliser l'éditeur de stratégie de groupe :
Prenons tout d'abord un exemple simple. Imaginons que nous souhaitions empêcher quiconque de modifier l'apparence du Bureau Windows.
1) Dans l'éditeur de stratégie de groupe, parcourez l'arborescence suivante : Configuration utilisateur/Modèles d'administration/Bureau.
2) Dans le volet de droite, double-cliquez sur cette commande : Ne pas enregistrer les paramètres en quittant.
3) Cliquez sur l'onglet Expliquer si vous désirez avoir une explication approfondie des conséquences de cette stratégie.
4) Cliquez sur l'onglet Paramètres.
Trois options sont disponibles :
* Non configuré : aucune modification dans le Registre Windows n'a été effectuée.
* Activé : la restriction est immédiatement effective ou sera opérationnelle après la fermeture de toutes les sessions.
* Désactivé : la restriction est inscrite dans le Registre Windows mais reste pour l'instant désactivée.
5) Cliquez sur le bouton radio Activé.
Dès lors, aucune modification effectuée sur l'apparence du Bureau Windows ne sera enregistrée quand les utilisateurs fermeront leur session interactive.

- Visualiser rapidement les stratégies appliquées sur votre ordinateur :
Un exemple va vous permettre de comprendre rapidement de quoi il en retourne.
1) Cliquez sur Démarrer/Exécuter, puis saisissez : gpedit.msc
2) Dans l'éditeur de stratégie de groupe, ouvrez cette arborescence : Stratégie ordinateur local/Configuration utilisateur/Modèles d'administration/Panneau de configuration/Affichage.
3) Dans le volet de droite, double-cliquez sur le paramètre Masquer l'onglet Ecran de veille, puis cochez le bouton radio Activé.
4) Fermez cette fenêtre.
5) Avec le bouton droit de la souris, cliquez sur une partie vide du Bureau, puis choisissez la commande Propriétés.
Vous pouvez voir que l'onglet Ecran de veille a disparu.
6) Cliquez sur Démarrer/Exécuter, puis saisissez : hcp://system/sysinfo/sysInfoLaunch.htm
7) Cliquez sur ce lien : Afficher les paramètres de stratégie de groupe appliquée.
La page qui apparaît est divisée en deux parties :
* Résultats de la stratégie de groupe pour [Nom_Ordinateur]. Dans notre cas, la rubrique Paramètres du Registre ne contient rien d'intéressant puisque nous n'avons pas activé de stratégie dans la branche Configuration ordinateur.
* Résultats de la stratégie de groupe pour [Nom_Ordinateur]\[Nom_Utilisateur]. Dans la rubrique Paramètres du Registre, une clé est indiquée comme ayant été modifiée : Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage - État 1. Nous avons donc l'indication du nom de la valeur à créer, ainsi que son emplacement dans le Registre.
Les modifications apportées au Registre seront toutes répertoriées.
Le mécanisme est le suivant : une valeur DWORD NoDispScrSavPage, avec pour données de valeur le chiffre 1, a été ajoutée dans ces deux arborescences :
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
* HKEY_USERS\S-1-5-21-1482476501-2111687655-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Policies\System
Rappelons que, si vous voulez modifier directement le Registre Windows, vous aurez le choix entre ces deux arborescences :
* HKEY_LOCAL_MACHINE : si vous souhaitez que cette restriction s'applique à l'ensemble des utilisateurs de votre machine.
* HKEY_CURRENT_USER : si vous préférez que cette restriction ne s'applique qu'à l'utilisateur actuellement connecté.
Juste en dessous, le lien Exécuter l'outil Jeu de stratégies résultant lance directement le module MSC. Ce dernier est directement accessible en cliquant sur Démarrer/Exécuter, puis en saisissant la commande : rsop.msc
Si vous double-cliquez sur le dossier Panneau de configuration, seules les arborescences contenant les stratégies actives seront affichées.

- N'afficher que les stratégies actives ou appliquer un filtre :
1) Avec le bouton droit de la souris, cliquez, par exemple, sur la branche Modèles d'administration puis sur Affichage/Filtrage...
2) Cochez la case Afficher uniquement les paramètres de stratégie configurés.
Si vous cochez la case Filtrer sur l'information Configuration requise, il vous est possible de filtrer les stratégies en fonction de la configuration minimale exigée.

- Connaître les stratégies propres à Windows XP SP2 :
Il vous est possible de télécharger un fichier nommé PolicySettings.xls à partir de cette adresse : http://www.microsoft.com/downloads/deta ... laylang=en
Les différents feuilles énumèrent chacun des fichiers ADM.
* La colonne Registry Settings vous permet de retrouver la correspondance entre une stratégie et l'arborescence du Registre qui sera écrite ou modifiée.
* La feuille Update History énumère les nouvelles stratégies applicables au Service Pack 2.

- Utiliser les stratégies de groupe sur un ordinateur en local :
Nous avons déjà signalé que, par défaut et dans un environnement de groupe de travail (et non de domaine), une stratégie s'applique à l'ensemble des utilisateurs de votre ordinateur, y compris vous. Une astuce permet que les restrictions ne soient applicables qu'aux comptes ne disposant pas de privilèges d'administrateur. Seule limitation connue : vous ne devez avoir que deux types de comptes déclarés sur votre ordinateur : Administrateurs et Utilisateurs avec pouvoir.
1) Lancez l'éditeur de stratégie de groupe en exécutant la commande gpedit.msc, ou la console MMC par la commande mmc, dans laquelle vous ajouterez, comme composant logiciel enfichable, le module Stratégie de groupe.
2) Paramétrez l'ensemble des stratégies.
Par exemple, ouvrez l'arborescence Stratégie ordinateur local/Configuration utilisateur/Modèles d'administration/Panneau de configuration/Affichage puis, dans le volet de droite, double-cliquez sur la stratégie Masquer l'onglet Ecran de veille. Cochez le bouton radio Activé. Cliquez sur OK, ou enregistrez les changements et, éventuellement, votre nouvelle console si vous venez de la créer.
3) Dans l'Explorateur Windows, ouvrez \WINDOWS\system32\GroupPolicy\User.
4) Copiez le fichier Registry.pol à un autre emplacement de l'Explorateur.
5) Activez la fenêtre de l'éditeur de stratégie de groupe, puis placez toutes les commandes que vous avez activées sur le mode Désactivé (et non sur le mode Non configuré).
6) Validez chaque fois en cliquant sur le bouton OK.
7) Copiez la version de sauvegarde du fichier Registry.pol à son emplacement d'origine : \WINDOWS\system32\GroupPolicy\User.
8) Confirmez le remplacement du fichier initial par votre copie de sauvegarde.
9) Vérifiez que la stratégie ne s'applique plus à votre compte administrateur et bien à l'ensemble des autres comptes.
Notez que, à la réouverture de la session du compte à partir duquel vous avez effectué la manipulation, la stratégie sera indiquée comme Activé mais ne s'appliquera toujours pas à votre compte. Si les stratégies de groupe ne s'appliquent qu'aux comptes possédant des privilèges d'administrateur, cliquez avec le bouton droit de la souris sur le fichier Registry.pol, puis sur la commande Propriétés afin d'accéder à l'onglet Sécurité. Ajoutez le groupe des Utilisateurs authentifiés (Ajouter, Rechercher, Avancé) puis, sous la colonne Autoriser, ne cochez que la case Lecture et exécution.



Les fichiers ADM

La question qui vient naturellement à l'esprit est donc de savoir comment retrouver la correspondance entre une stratégie présente dans l'éditeur de stratégie de groupe et les clés et valeurs qu'il faut créer et renseigner afin d'obtenir le même résultat.

- Éditer les fichiers ADM :
Nous allons donc apprendre à éditer les fichiers .adm, qui renferment l'ensemble des modèles de stratégie.
Nous entendons, par modèle de stratégie, les paramètres accessibles regroupés autour d'un même thème. Par défaut, ils sont placés dans \WINDOWS\system32\GroupPolicy\Adm. À chacun de ces modèles est associé un fichier portant l'extension .inf, placé dans \WINDOWS\inf.
Toujours dans cet exemple, le modèle de stratégie System.adm est installé par le fichier sceregvl.inf. Il vous est possible de visualiser son contenu en l'ouvrant avec le Bloc-notes Windows :
1) Avec le bouton droit de la souris, cliquez sur le fichier sceregvl.inf.
2) Dans la boîte de dialogue qui apparaît, cliquez sur Ouvrir avec/Bloc-notes.
3) En parcourant ce fichier, repérez la rubrique intitulée Accounts (placée sous le marqueur [Strings]).
Vous pouvez vous servir de la commande Rechercher, accessible par le menu Edition.
Examinons cette ligne : LimitBlankPasswordUse = "Comptes : restreindre l'utilisation de mots de passe vierges par le compte local à l'ouverture de session console"
Nous avons donc le nom de la valeur (LimitBlankPasswordUse) qui sera inscrite dans le Registre, suivi du libellé de la commande correspondante, accessible depuis l’éditeur de stratégie de groupe.
Vous retrouverez donc cet intitulé en parcourant, dans l'éditeur de stratégie de groupe, cette arborescence : Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales/Options de sécurité. Si vous activez cette stratégie et ouvrez le Registre, vous retrouverez cette valeur placée dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
Les fichiers .adm par défaut sont les suivants : System.adm, Inetres.adm, Wuau.adm, Wmplayer.adm et Conf.adm. Ils possèdent différentes versions dont voici le récapitulatif :
* Windows XP SP2 : 5.0
* Windows Server 2003 et Windows XP : 4.0
* Windows Server 2000 : 3.0

- Syntaxe des fichiers ADM :
Les commentaires sont précédés d'un point-virgule ou de deux slash (//).
Les chaînes peuvent être stockées en tant que variables, auxquelles vous pouvez attribuer un nom arbitraire précédé de deux points d'exclamation. Elles doivent être placées entre guillemets et sont définies sous la section [String]. Imaginons ce type de déclaration :
CATEGORY !!AdministrativeServices
Vous trouverez, dans la section [String] (vers la fin du fichier System.adm), la ligne suivante :
AdministrativeServices="Système"
Nous sommes donc dans la branche Système (Configuration ordinateur ou utilisateur\Modèles d'administration\Système).
De la même façon, la déclaration suivante se retrouve dans la rubrique Category Strings sous cette forme : AdministrativeServices_Help = Autoriser la configuration des différents paramètres système.
CATEGORY !!AdministrativeServices
#if version >= 4
EXPLAIN !!AdministrativeServices_Help
#endif
Ce commentaire apparaîtra dans la rubrique Description quand vous sélectionnerez la branche Système. Apparemment, l'emploi des variables renvoyant systématiquement à la section [String] est obligatoire, sans quoi vous avez des erreurs de syntaxe lors du chargement du fichier .adm.

- CLASS
La rubrique CLASS vous permet de préciser si l'entrée sera placée dans la branche Configuration Ordinateur ou Configuration Utilisateur. La syntaxe est la suivante :
CLASS nom
"nom" doit être : MACHINE ou USER. Par exemple : CLASS MACHINE

- CATEGORY
La rubrique CATEGORY utilise cette syntaxe :
CATEGORY!!Nom
KEYNAME Nom Clé
[Définition de la stratégie]
END CATEGORY
* Nom : c'est le nom de la catégorie telle qu'elle apparaîtra dans l'éditeur de stratégie de groupe. Les noms comprenant des espaces doivent être placés entre guillemets.
* Nom Clé : c'est le chemin relatif dans le Registre. Ne précisez pas l'arborescence visée (HKEY_LOCAL_MACHINE ou HKEY_CURRENT_USER) puisque vous la définissez en utilisant le mot-clé CLASS.
* Définition de la stratégie : chacune des stratégies spécifiées à l'intérieur d'une catégorie.
Les mots-clés permis pour la rubrique CATEGORY sont les suivants : KEYNAME - CATEGORY - POLICY - END - SUPPORTED - POLICY.

- POLICY
La rubrique POLICY permet d'afficher une description courte de la stratégie. La syntaxe de POLICY est la suivante :
POLICY Nom
[KEYNAME Nom de la clé]
[EXPLAIN Aide]
[VALUENAME Nom de la valeur]
[CLIENTEXT guid]
[Définition du type d'interface permettant de paramétrer la valeur]
END POLICY
* Aide : c'est le texte qui apparaîtra en cliquant sur l'onglet Expliquer.
* Nom de la valeur : c'est le nom de la valeur à modifier dans le Registre. Afin de spécifier une valeur différente de la valeur par défaut utilisez ces deux mots-clés : VALUEON et VALUEOFF. Si vous cochez la case, la valeur sera tournée sur VALUEON. Dans le cas contraire, la valeur sera tournée sur VALUEOFF.
Les syntaxes possibles sont les suivantes :
* VALUEON on valeur
* VALUEOFF off valeur
* GUID : c'est une valeur optionnelle qui permet d'attribuer un GUID pour le composant logiciel enfichable.
* [Définition du type d'interface permettant de paramétrer la valeur] : cela peut être une boîte de dialogue, une liste déroulante, etc.
Les mots-clés autorisés par la rubrique POLICY sont les suivants : KEYNAME - PART - VALUENAME - VALUEON - VALUEOFF - ACTIONLISTON - ACTIONLISTOFF - END - HELP - CLIENTEXT - POLICY.

- PART
La catégorie PART permet de créer des listes ou des boîtes à choix multiple. La syntaxe est la suivante :
PART Nom Type Données
[KEYNAME Nom de la clé]
[VALUENAME Nom de la valeur]
END PART
* Nom : définit le nom tel qu'il apparaîtra dans l'éditeur de stratégie de groupe.
* Type : définit le type d'interface.
Voici un tableau récapitulatif des types :
* CHECKBOX : affiche une case à cocher.
* COMBOBOX : affiche une liste déroulante comprenant différentes options à sélectionner.
* DROPDOWNLIST : affiche une liste déroulante.
* LISTBOX : affiche une boîte avec des boutons radio Ajouter et Supprimer.
* EDITTEXT : affiche une zone de texte qui permet de saisir une chaîne de caractères.
* TEXT : affiche une ligne de texte.
* NUMERIC : affiche une boîte contenant des valeurs numériques prédéfinies.
* Données : récapitule les informations de PART.
Les mots-clés autorisés pour PART sont : CHECKBOX - TEXT - EDITTEXT - NUMERIC - COMBOBOX - DROPDOWNLIST - LISTBOX - END - CLIENTEXT - PART.
Examinons maintenant les interfaces qu'il est possible d'utiliser...

- CHECKBOX
La syntaxe de l'interface CHECKBOX est la suivante :
PART Texte CHECKBOX
VALUENAME Nom de la valeur
END PART
* Texte : définit le texte qui sera présent sur la droite.
* Afin de définir une valeur inverse (l'option sera activée par défaut), servez-vous du mot-clé DEFCHECKED.
Par exemple :
PART !!SampleChkBox_NotChked CHECKBOX
DEFCHECKED
VALUENAME "test"
END PART
Vous pouvez également utiliser les mot-clés : VALUEON et VALUEOFF.
Par exemple :
PART !!SampleChkBox_NotChked CHECKBOX
VALUENAME "test"
VALUEON "Enabled"
VALUEOFF NUMERIC 10
END PART
Dans ce cas, la chaîne sera activée quand la case sera cochée. Si la case est décochée, la valeur numérique 12 sera inscrite.
Les mot-clés autorisés pour CHECKBOX sont : KEYNAME - VALUENAME - VALUEON - VALUEOFF - ACTIONLISTON - ACTIONLISTOFF - DEFCHECKED - CLIENTEXT - END.

- TEXT
Ce type d'interface permet d'afficher un texte quand on accède aux propriétés de la stratégie. La syntaxe est la suivante :
PART texte TEXT
END PART
En voici un exemple :
POLICY !!NoActiveDesktop
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
EXPLAIN!!NoActiveDesktop_Help
VALUENAME "NoActiveDesktop"
PART !!NoActiveDesktop_Tip TEXT
END PART
END POLICY

- EDITTEXT
Ce type d'interface permet à l'utilisateur d'entrer une chaîne de caractères alphanumérique dans une zone de texte. La syntaxe est la suivante :
PART !!texte EDITTEXT
VALUENAME Nom de la valeur
END PART
* Nom de la valeur indique le type de chaîne que les utilisateurs sont autorisés à saisir.
En voici une liste :
* DEFAULT : permet de définir une chaîne de caractères initiale.
* MAXLEN : permet de définir la longueur maximale de la chaîne de caractères.
* REQUIRED : permet de dire que l'éditeur de stratégie de groupe n'activera pas cette stratégie si aucune valeur n'est saisie.
* OEMCONVERT : permet de convertir le texte saisi du format ASCII au format OEM.
* EXPANDABLETEXT : permet de spécifier que le texte sera inscrit dans une valeur de chaîne extensible et non dans une valeur chaîne.
Voici un exemple :
POLICY !!Netlogon_GcSiteCoverage
KEYNAME "Software\Policies\Microsoft\Netlogon\Parameters"
EXPLAIN !!Netlogon_GcSiteCoverage_Help
PART !!Netlogon_GcSiteCoverageLabel EDITTEXT REQUIRED
VALUENAME "GcSiteCoverage"
END PART
END POLICY
Les mot-clés autorisés pour EDITTEXT sont : KEYNAME - VALUENAME - DEFAULT - REQUIRED - MAXLENGTH - OEMCONVERT - END - EXPANDABLETEXT – CLIENTEXT.

- NUMERIC
La syntaxe de l'interface NUMERIC est la suivante :
PART texte NUMERIC
VALUENAME Nom de la valeur
MIN valeur
MAX valeur
DEFAULT valeur
SPIN valeur
END PART
* Texte : représente le texte qui sera affiché.
Les options possibles sont les suivantes :
* DEFAULT : définit la valeur numérique initiale.
* MAX : définit la valeur maximale permise (par défaut : 9999).
* MIN : définit la valeur minimale permise (par défaut 0).
* REQUIRED : permet de dire que l'éditeur de stratégie de groupe n'activera pas cette stratégie si aucune valeur n'est saisie.
* SPIN value : permet de définir une valeur d'incrémentation (par défaut : 1).
* TXTCONVERT : inscrit les valeurs comme des valeurs chaîne plutôt que comme des valeurs binaires.
Les mot-clés autorisés pour NUMERIC sont : KEYNAME - VALUENAME - MIN - MAX - SPIN - DEFAULT - REQUIRED - TXTCONVERT - END - CLIENTEXT.

- GOMBOBOX
Les options sont les mêmes que pour EDITTEXT, à la différence que vous pouvez vous servir du mot-clé SUGGESTIONS.
Par exemple :
SUGGESTIONS
Paris Londres Madrid "New York"
END SUGGESTIONS

- DROPDOWNLIST
La syntaxe de DROPDOWNLIST est la suivante :
PART !!Texte DROPDOWNLIST
ITEMLIST
NAME nom VALUE valeur
NAME nom VALUE valeur
END ITEMLIST
END PART
* Texte : définit le texte qui sera affiché sur la droite.
* Valeur : représente une chaîne, à moins de se servir du mot-clé NUMERIC.

- LISTBOX
LISTBOX accepte les paramètres suivants :
* ADDITIVE : dans ce cas, la valeur spécifiée viendra s'ajouter à celles déjà définies dans le Registre.
* EXPLICITVALUE : permet de spécifier à la fois le nom de la valeur et les données de la valeur. La boîte de dialogue affichera deux colonnes.
* VALUEPREFIX : permet de spécifier un préfixe déterminant une partie du nom des valeurs. Par exemple, un préfixe nommé Chaîne générera cette liste de valeurs : Chaîne1; Chaîne2, etc.
Par défaut, quand la boîte de dialogue ne contient qu'une colonne, le nom de la valeur est identique aux données de la valeur.
Les mot-clés autorisés pour LISTBOX sont : KEYNAME - VALUEPREFIX - ADDITIVE - NOSORT - EXPLICITVALUE - EXPANDABLETEXT - END - CLIENTEXT.

- ACTIONLIST
La syntaxe de ACTIONLIST est la suivante :
ACTIONLIST
[KEYNAME nom de la clé]
VALUENAME nom de la valeur
VALUE valeur
END ACTIONLIST
Si VALUE est suivi du mot-clé DELETE, la valeur du Registre sera supprimée.
Les mot-clés suivants sont permis :
* ACTIONLISTON : définit une liste facultative d'actions si la stratégie est activée.
* ACTIONLISTOFF: définit une liste facultative d'actions si la stratégie est activée et non configurée.

- Les éléments additionnels :
* KEYNAME : permet de définir l'arborescence du Registre qui sera modifiée.
* VALUENAME : permet de définir le nom de la valeur du Registre.
* VALUEON et VALUEOFF : permettent de définir des valeurs basées sur l'état de l'option.
Par exemple :
KEYNAME nom de la clé
POLICY!!MaPolice
VALUENAME valeur à modifier
VALUEON 5 VALUEOFF 10
END POLICY
Voici un comparatif entre deux types de fichiers .adm :
POLICY!!EnableSlowLinkDetect
EXPLAIN !!EnableSlowLinkDetect_Help
KEYNAME "Software\Policies\Microsoft\Windows\System"
VALUENAME "SlowLinkDetectEnabled"
END POLICY
* Si la stratégie est activée, la valeur du Registre recevra, comme données, le chiffre 1.
* Si la stratégie est désactivée, la valeur sera supprimée.
* Si la stratégie est sur Non configuré, aucun changement n'interviendra dans le Registre.
Voici une autre possibilité :
POLICY!!EnableSlowLinkDetect
EXPLAIN!!EnableSlowLinkDetect_Help
KEYNAME "Software\Policies\Microsoft\Windows\System"
VALUENAME "SlowLinkDetectEnabled"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
* Si la stratégie est activée, la valeur du Registre recevra, comme données, le chiffre 1.
* Si la stratégie est désactivée, la valeur du Registre recevra, comme données, le chiffre 0.
* Si la stratégie est sur Non configuré, aucun changement n'interviendra dans le Registre.
1) EXPLAIN : permet de définir un texte explicatif.
2) Saut de lignes. Vous avez la possibilité d'utiliser cette syntaxe :
* \n = démarre une nouvelle ligne
* \n\n = crée un saut de ligne
3) #If Version : permet de conditionner les commandes à la version de l'éditeur de stratégie de groupe. La syntaxe est la suivante :
#if Version (opérateur) x
#endif
Les opérateurs suivants sont autorisés :
* > (GT) : Plus grand que.
* < (LT) : Moins grand que.
* == (EQ) : Égal à.
* != (NE) : Différent de.
* >= (GTE) : Plus grand que ou égal.
* <= (LTE) : Moins grand que ou égal.
Les restrictions au nombre de caractères permis sont les suivantes :
* Explain text : 4096.
* Category Explain text : 255.
* EDITTEXT : 1023.

- Créer un fichier ADM :
Le but de la manœuvre est de vous permettre de modifier rapidement le Registre Windows en créant vos propres fichiers de configuration. Nous allons prendre un exemple relativement simple.
1) Dans un nouveau document Bloc-notes, copiez ce contenu :
CLASS USER
CATEGORY !!Explorateur
POLICY !!Hidden
EXPLAIN !!HiddenHelp
KEYNAME "\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
#if version <= 4
SUPPORTED !!SUPPORTED_WIN
#endif
VALUENAME "Hidden"
VALUEON NUMERIC 2
VALUEOFF NUMERIC 1
END POLICY
END CATEGORY
[Strings]
Explorateur="Explorateur"
HiddenHelp="Cette stratégie permet de masquer les fichiers et les dossiers cachés\nSi cette stratégie est activée, tous les fichiers systèmes resteront invisibles pour les utilisateurs.\nSi cette stratégie est désactivée ou non configurée, les fichiers et dossiers système seront visibles."
Hidden="Afficher les fichiers et les dossiers cachés."
SUPPORTED_WIN="Microsoft Windows toutes versions."
2) Enregistrez votre fichier sous le nom explorateur.adm dans le répertoire \windows\inf.
3) Cliquez sur Démarrer/Exécuter puis saisissez : gpedit.msc
4) Ouvrez Configuration utilisateur/Modèles d'administration.
5) Avec le bouton droit de la souris, cliquez sur ce dossier puis sur Ajout/Suppression de modèles...
6) Dans la rubrique Nom, cliquez sur Explorateur puis sur le bouton Ajouter...
Une branche nommée Explorateur apparaît maintenant dans votre arborescence.
7) Avec le bouton droit de la souris, cliquez sur la branche Explorateur puis sur Affichage/Filtrage...
8) Décochez la case N'afficher que les paramètres de stratégie pouvant être entièrement gérés.
9) Double-cliquez sur le dossier Explorateur puis sur la stratégie Ne pas afficher les fichiers et les dossiers cachés.
Cette option est disponible en cliquant dans l'Explorateur Windows sur Outils/Options des dossiers.../Affichage/Fichiers et dossiers cachés. Cela correspond, dans le Registre, à ouvrir : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced et à modifier une valeur DWORD nommée Hidden (2 : ne pas afficher les fichiers et les dossiers cachés ; 1 : afficher les fichiers et les dossiers cachés).

- Les autres modèles de fichiers .adm disponibles :
IL existe d'autres fichiers .adm qui sont "prêts à l'emploi". Ils sont inclus dans les outils de maintenance d’Office XP ou 2003 et livrés avec le Kit de ressources Microsoft Office XP.
Le Microsoft® Office 2003 Editions Resource Kit se télécharge à partir de cette adresse : http://office.microsoft.com/en-us/FX011511471033.aspx
Cliquez sur le lien ork.exe.
Le Kit de ressources pour Office XP se télécharge à partir de cette adresse : www.microsoft.com/office/orkarchive/XPddl.htm. Cliquez, dans ce cas, sur le lien orktools.exe.
1) Procédez à l'installation du programme en double-cliquant sur le fichier exécutable que vous avez téléchargé.
2) Dans l'éditeur de stratégie de groupe, ouvrez la branche Configuration utilisateur.
3) Avec le bouton droit de la souris, cliquez sur la branche Modèles d'administration puis sur la commande Ajout/Suppression de modèles...
4) Cliquez sur le bouton Ajouter...
Dans \Windows\inf, sélectionnez un des fichiers suivants : ACCESS10.ADM, EXCEL10.ADM, OFFICE10.ADM, etc.
5) Cliquez sur les boutons Ouvrir puis Fermer.
Vos nouveaux fichiers .adm seront listés dans le dossier Modèles d'administration.
Ajouter une commande dans l'éditeur de stratégies de groupe

Ce paramètre personnalisé du Registre apparaîtra dans cette arborescence : Stratégie Ordinateur local/Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales/Options de sécurité.
À l’aide d’un éditeur de texte comme le Bloc-notes Windows ouvrez un fichier nommé Sceregvl.inf et qui est placé dans \Windows\Inf.
* Dans la section [Register Registry Values] vous définirez l’entrée dans le Registre qu’il faut modifier ou créer.
La syntaxe est la suivante : Chemin_Registre, Type_D’entrée, %Nom%, Boîte de dialogue, Paramètres
* Chemin_Registre : définit le chemin complet de la clé et la valeur du Registre à créer ou à modifier.
* Type d’entrée : définit le type d’entrée qui sera créée ou modifiée.
1 - REG_SZ : valeur chaîne.
2 - REG_EXPAND_SZ : valeur de chaîne extensible.
3 - REG_BINARY : valeur binaire.
4 - REG_DWORD : valeur DWORD.
7 - REG_MULTI_SZ : valeur de chaînes multiples.
* Nom : désigne une chaîne de caractères qui sera repris dans la section [Strings] placée à la fin du fichier. Le principe est de créer des variables qui seront ensuite utilisées dans cette section. Vous devez les placer entre deux %.
* Boîte de dialogue : permet de définir le type de boîte de dialogue.
0 - Booléen : affiche deux cases d'option permettant d’activer ou de désactiver la valeur du Registre. C’est en général ce qui convient aux valeurs DWORD.
1 – Numérique : affiche un bouton toupie numérique.
2 – Chaîne : affiche une zone de texte.
3 – Liste : affiche une zone de liste.
4 - Valeurs multiples : affiche une zone d'édition.
5 - Masque de bits : affiche une série de cases à cocher, correspondant chacune à une valeur numérique définie dans le champ Paramètres.
* Paramètres : ce champ permet de définir quatre types d’affichage...
0 ou 1 (numérique) – le champ Paramètres contiendra une seule chaîne définissant l’unité de la valeur numérique. Par exemple : MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect,4,%AutoDisconnect%,1,%Unit-Minutes%. Cela correspond à cette section : "Serveur réseau Microsoft : Durée d'inactivité avant la suspension d'une session". La variable %Unit-Minutes%est défini par cette commande : Unit-Minutes="minutes".
3 (liste) : permet de définir la liste des options possibles. Chacune d’elles doivent être séparées par le signe |.
4 (zone de texte) : Par exemple : MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText,7,%LegalNoticeText%,4. Cette section correspond à cette commande : "Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter"
5 (masque de bits) : Chaque choix sera composé d'une valeur numérique séparée par le signe |.
Par exemple : MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel,4,
%LmCompatibilityLevel%,3,0|%LMCLevel0%,1|%LMCLevel1%,2|%LMCLevel2%,3|
%LMCMevel3%,4|%LMCLevel4%,5|%LMCLevel5%.
Cette section correspond à ce paramètre : "Sécurité réseau : Niveau d'authentification Lan Manager"
Note : si le champ Paramètres est égal à 3 ou à 5 vous devez préciser l’ordre choisi dans l’énumération. En reprenant l’exemple précédent :
,%LmCompatibilityLevel%,3,0
%LMCLevel0%,1
%LMCLevel1%,2
* Dans la section [Strings] vous définirez l’entrée dans l’éditeur de configuration système.
La syntaxe est la suivante : Nom Affiché, Texte
Prenons un exemple... Nous allons ajouter une commande qui force la fermeture des fichiers DLL quand leurs applications correspondantes ne sont plus actives :
1) Faites une copie de sauvegarde du fichier Sceregvl.inf.
2) Éditez le fichier Sceregvl.inf à l’aide du Bloc-notes Windows.
3) Ajoutez cette ligne dans la section [Register Registry Values]
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AlwaysUnloadDll,4,%AlwaysUnloadDll%,0
4) Ajoutez cette ligne dans la section [Strings] et, par exemple, la rubrique Shutdown (mais vous pouvez aussi bien créer une nouvelle rubrique) :
AlwaysUnloadDll = "Applications : Forcer la fermeture des fichiers DLL"
5) Enregistrez les changements apportés au fichier Sceregvl.inf.
6) Cliquez sur Démarrer/Exécuter puis saisissez regsvr32 scecli.dll
7) Ouvrez de nouveau l’éditeur de configuration système afin de vérifier si votre nouvelle commande fonctionne correctement.
Notez que les changements apportés à une valeur sont immédiatement répercutés dans le Registre.
Afin de supprimer une commande que vous avez ajoutée suivez cette procédure :
1) Dans l’éditeur du Registre ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values.
2) Supprimez la sous-clé correspondant à l’entrée que vous aviez créée.
3) Cliquez sur Démarrer/Exécuter, puis saisissez ceci : regsvr32 scecli.dll



Programmes utiles à la création de fichiers ADM ou à l'éditeur de stratégie

- Faciliter la création des fichiers ADM :
Vous pouvez télécharger un bouquet d’utilitaires à partir de cette adresse : http://yizhar.mvps.org.
1) Procédez à l’installation du programme puis lancez un outil nommé RegToAdm.
2) Cliquez sur file/Import Reg File puis sélectionnez votre fichier de Registre.
Le contenu du fichier ADM sera visible dans le volet de droite.
Ce n’est évidemment pas parfait mais peut vous permettre tout de même de gagner un temps considérable !

- Gérer facilement un ordinateur avec différents utilisateurs :
1) Vous devez au préalable télécharger et installer ce fichier : UPHClean-Setup.msi à partir de cette page : http://www.microsoft.com/downloads/deta ... laylang=en.
2) Téléchargez puis installez un outil nommé "Microsoft Shared Computer Toolkit for Windows XP" à partir de cette adresse web : http://www.microsoft.com/downloads/deta ... laylang=en.
Le fichier s'appelle : Shared_Computer_Toolkit_ENU.msi.
Il y a de multiples possibilités mais j'ai simplement testé la manière simple sans utiliser l'outil de protection des disques.
3) Lancez le programme Profile Manager
4) Cliquez sur le bouton Select an Account… puis sur le compte d'utilisateur que vous souhaitez modifier.
5) Dans la zone de texte Password:, saisissez le mot de passe attaché au compte.
6) Cliquez sur les boutons Create Profile puis Close.
7) Lancez le programme User restrictions…
8) Cliquez sur le bouton Select a profile… puis sélectionnez le profil que vous venez de définir.
* Les cases présentes dans la rubrique Session Timers: vous permettent de définir la durée en minutes ou la temps d'inactivité avant que la session soit automatiquement fermée.
9) Cliquez sur le bouton Select Drives to Restrict… afin de sélectionner les lecteurs auxquels l'utilisateur ne pourra avoir accès.
* La case Lock this profile: permet de désactiver toute modification dans le profil d'utilisateur.
* Les cases présentes dans la rubrique Recommended restrictions for Shared Accounts proposent toute une gamme de restrictions rappelant celles de l'éditeur de stratégies de groupe.
10) Une fois le paramétrage effectué cliquez sur les boutons Apply et OK.
11) Connectez-vous sur le compte d'utilisateur que vous avez modifié.
Si vous avez défini une durée d'utilisation spécifique, une boîte de dialogue viendra signaler le temps qui vous est imparti. À l'expiration du délai une boîte de dialogue nommée Logoff Warning signalera la fermeture forcée de votre session. Les lettres de lecteur que vous avez interdites resteront invisibles. Toutes les restrictions imposées fonctionnent... En bref, ce programme est vraiment très simple et efficace !
Problèmes sur l'éditeur de stratégie de groupe

La méthode que nous allons décrire maintenant fonctionne quand le problème provient d'entrées du Registre qui entrent en contradiction avec les entrées spécifiées dans l'éditeur de stratégie de groupe.
1) Cliquez sur Démarrer/Exécuter, puis saisissez : gpedit.msc
2) Dans l'éditeur de stratégie de groupe, ouvrez les différentes arborescences jusqu'à localiser la stratégie qui correspond à votre problème.
Dans la colonne État, elle sera indiquée comme étant Non configurée.
3) Double-cliquez dessus et cochez le bouton radio Activé.
4) Redémarrez votre ordinateur puis, dans le même menu, paramétrez-la sur Désactivé.
5) Redémarrez à nouveau et, cette fois-ci, tournez-la sur Non configuré.

- Désactiver les stratégies de sécurité :
1) Ouvrez l'arborescence Stratégie ordinateur local/Paramètres Windows.
2) Avec le bouton droit de la souris, cliquez sur Paramètres de sécurité, puis sur le sous-menu Importer une stratégie.
3) Sélectionnez le fichier setup security.inf, puis cliquez sur le bouton Ouvrir.
Les paramètres de cette arborescence seront réglés sur leur valeur par défaut, tels qu'ils étaient lors de la première installation du système d'exploitation. Si vous avez un message d'erreur (Les paramètres de sécurité de la stratégie de groupe applicable sur cet ordinateur…), validez simplement par OK, puis recommencez la même opération.

- "Échec de l'initialisation du composant logiciel enfichable - Nom : Stratégie de groupe - CLSID : {8FC0B734-A0E1-11D1-A7D3-0000F87571E3}" :
1) Cliquez sur Démarrer/Exécuter puis saisissez : regedit
2) Supprimez cette clé : HKEY_CLASSES_ROOT\CLSID\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}.
3) Cliquez sur Démarrer/Exécuter puis saisissez cette commande : regsvr32 gpedit.dll
Sinon :
Copiez le fichier Framedyn.dll de \Windows\System32\Wbem vers \Windows\System32.
Haut
Répondre

Retourner vers « Le coin informatique »