Archives par mot-clé : GPO

Empêcher la connexion des étudiants sur les postes profs par GPO

Les postes profs sont classés dans des OU spécifiques sur le LDAP, les étudiants sont aussi dans une OU spécifique sur le LDAP.

Créer une GPO appliquée à l'OU comprenant les ordinateurs « profs ».

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales

  • Interdire l'ouverture d'une session locale → ajouter l'OU correspondant aux comptes à bloquer.

Exiger CTRL+ALT+SUPP pour une connexion sous Windows® 10 par GPO

Il doit probablement exister une variable pour ça, mais je passe par la modification d'une clé de registre.

Créer une GPO à appliquer aux ordinateurs.

Configuration ordinateur > Préférences > Paramètres Windows > Registre

Créer une clé de registre dans la ruche : SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Créer un clé nommée « DisableCAD » de type REG_DWORD ayant pour valeur 00000000

Ajouter l’icône « mes documents » sur le bureau par GPO

Méthode 1

Créer une GPO appliquée aux utilisateurs.

Configuration utilisateurs > Stratégies > Modèle d'administration > Bureau > Supprimer l'icône Mes Documents du Bureau : Désactiver

Méthode 2

Si la précédente étape ne suffit pas, vous pouvez ajouter un raccourci sur le bureau en créant une GPO appliquée aux utilisateurs.

Configuration utilisateurs> Préférences > Paramètres Windows > Raccourcis.

Lire la suite de l'article « Ajouter l’icône « mes documents » sur le bureau par GPO »

Ajouter l’icône « poste de travail » sur le bureau par GPO

Méthode 1

Créer une GPO appliquée aux utilisateurs.

Configuration utilisateurs > Stratégies > Modèle d'administration > Bureau > Supprimer poste de travail du Bureau : Désactiver

Méthode 2

Si la précédente étape ne suffit pas, vous pouvez ajouter un raccourci sur le bureau en créant une GPO appliquée aux ordinateurs.

Configuration ordinateur > Préférences > Paramètres Windows > Raccourcis.

Lire la suite de l'article « Ajouter l’icône « poste de travail » sur le bureau par GPO »

Déployer une application au format MSI par GPO (exemple avec 7-zip)

Pour mon boulot j'ai parfois besoin de déployer sur un « grand nombre » de postes (trop grand pour le faire un à un) des applications. Cas concret de la semaine : mise à jour de sécurité de 7-zip sur une partie de mon parc... que je viens de réinstaller deux semaines plus tôt !

Si les développeur proposent des fichiers au format msi, ça simplifie grandement les choses : nul besoin de scripter.

Voici les différentes étapes que j'applique en prenant exemple sur le déploiement de 7-zip nouvelle version :

  1. Récupérez le fichier msi correspondant chez les développeurs : https://www.7-zip.org/download.html et testez le sur un client
  2. Créez un répertoire partagé dans lequel vous déposez le fichier .msi et accessible par tous les utilisateurs : « \\serveur\deploy\7zip\ »
  3. Créez une GPO nommée : « APP - install 7-zip »
  4. Assignez le fichier msi à la GPO (ici appliqué à un ordinateur, mais peut être fait sur un utilisateur) :
    • Clic droit sur la GPO > Modifier
    • Configuration ordinateur > Stratégies > Paramètres du logiciel > Installation de logiciel
    • Clic droit dans la zone blanche > Nouveau > Package
    • Indiquer le chemin UNC complet du fichier : \\serveur\deploy\7zip\7z1805-x64.msi puis cliquez sur Ouvrir
    • Sélectionnez Attribué
    • Validez avec OK
  5. Liez la GPO à un groupe d'ordinateur de test, et testez...

Le logiciel devrait s'installer au démarrage de la machine.

Quelques remarques supplémentaires :

  • Les modifications de stratégies de groupe peuvent prendre du temps, vous pouvez forcer sa prise en compte sur un client en faisant un : « gpudpate /force » dans l'invite de commande.
  • La commande « gpresult » permet de savoir ce qui est appliqué sur un client. Par exemple : « gpresult /H c:\gpresult.html »générera un fichier html avec le résultat de votre commande GPResult
  • Pour redéployer un package déjà déployé, retournez sur la GPO jusqu'au package, puis faites un clic droit sur le package > Toutes les taches > Redéploiement des applications
  • Pour supprimer un package déployé, retournez sur la GPO jusqu'au package, puis faites un clic droit sur le package > Toutes les taches > Supprimer

Paramétrer iTALC par GPO

J'ai déjà parlé d'iTALC en expliquant à quoi il servait et comment l'installer et l'utiliser dans un précédent article... Je vous laisse le consulter si nécessaire.

Puisque j'ai eu l'occasion de refaire quelques installations dernièrement, je vais en profiter pour mettre ça au propre sur ce blog et le partager avec vous.

Quel est le besoin ?

iTALC est installé dans beaucoup de salles de cours par le biais d'un déploiement d'images avec une configuration de base commune à tous les PC ou groupes de PC.

Il faut maintenant améliorer la situation :

  • Chaque enseignant connecté sur le poste enseignant ne doit pouvoir accéder qu'aux PC de se salle de cours (donc une paire de clés publique / privée de type « enseignant » par salle de cours)
  • L'administrateur doit pouvoir accéder à tous les PC de toutes les salles de cours (donc une paire de clés publique / privé de type « admin » pour tout l'établissement).
  • Pour des raisons de sécurité, le changement des clés doit être facile et instantané.

Démarche

La première phase consiste à déployer les postes avec iTALC version client déjà installée par défaut.

La deuxième consiste à modifier le poste enseignant déployé pour installer la « version maitre » d'iTALC et générer la paire de clés de type « enseignant » pour la salle de cours en question, ainsi que son fichier de configuration « GlobalConfig.xml » (éventuellement récupérable si il s'agit d'une réinstallation de salle).

La clé privée reste sur le poste maitre, la clé publique et le fichier de configuration sont placés dans un espace réseau accessible en lecture seule à tout le monde. Je le fais directement lors l'installation comme ça il crée lui même les répertoires admin et teacher.

Enfin, les postes clients de chaque salle de cours doivent être modifiés automatiquement par GPO pour aller chercher la clé publique correspondant à la salle où ils sont installés.

Lire la suite de l'article « Paramétrer iTALC par GPO »