Doc3
Transcription
Doc3
Règles de sécurité et définition des environnements des postes clients Windows (98 et XP) en environnement réseau SE3 [email protected] - Mai 2004 - Matice PRINCIPES Chaque utilisateur du domaine peut disposer d'un environnement qui lui est propre, quelle que soit la machine sur laquelle il travaille. (profils itinérants). Le serveur SE3 permet d'agir de façon permanente sur l'environnement des postes clients (environnement de l'utilisateur, configuration des applications). Une même station peut proposer une configuration différente selon l'utilisateur connecté (en fonction des groupes auxquels il appartient). La configuration appliquée par SE3 peut également varier en fonction de la salle où se situe la station. Le serveur SE3 permet d'agir de façon très fine sur l'environnement des postes clients. CONSTRUCTION DE L'ENVIRONNEMENT A l'ouverture de session, le serveur SE3 peut effectuer les actions suivantes : Connecter des lecteurs réseau. Mettre en place des raccourcis sur le bureau. Mettre en place une stratégie de sécurité. ✔ Autoriser/Interdire certaines actions. ✔ Paramétrer Windows ainsi que les applications installées. A tout moment il est possible, via le serveur SE3 de déployer un fichier vers l'environnement de l'utilisateur (connecté ou non). Chacune de ces actions peut dépendre des groupes auxquels appartient l'utilisateur ainsi que de la machine sur laquelle il se trouve. LES « TEMPLATES » Chaque groupe d'utilisateur et chaque parc machine peuvent être matérialisés par un template. Un template est un dossier qui contient : Plusieurs fichiers dont : logon.bat ; logon_Win2k.bat ; logon_Win95.bat Un dossier « Bureau » et un dossier « Démarrer » Par défaut 4 templates existent : admins base eleves profs Il est possible de créer un template pour chaque groupe présent dans l'annuaire et un pour chaque parc existant. L'OUVERTURE DE SESSION A chaque ouverture de session, le serveur effectue plusieurs actions : Construction du script de connexion (fichier de commandes MS-DOS (.bat), au nom de l'utilisateur, stocké dans X:\netlogon) ➔ Résultat de la concaténation des scripts contenus dans les templates (base, ensuite « groupes », ensuite « parc ») Exécution du script Mise à jour du bureau ➔ Les fichiers contenus dans les dossiers « bureau des templates sont ajoutés sur le bureau de l'utilisateur. Mise à jour du Menu démarrer ➔ Les fichiers contenus dans les dossiers «Démarrer » des templates sont ajoutés dans le menu démarrer Le template base est utilisé pour chacun des utilisateurs. Les autres templates ne sont utilisés que s'ils correspondent aux groupes auxquels appartiennent l'utilisateur ou au parc auquel appartient la station. \\se3\netlogon\registre.vbs chloe.delautre CREATION DU SCRIPT \\se3\netlogon\registre.vbs chloe.delautre CREATION DU SCRIPT rem script de login commun à tous net use I: \\se3\Docs net use H: \\se3\Classes net use L: \\se3\Progs \\se3\netlogon\registre.vbs chloe.delautre CREATION DU SCRIPT rem script de login commun à tous net use I: \\se3\Docs net use H: \\se3\Classes net use L: \\se3\Progs rem script de login spécifique aux clients win 9x net use K: \\se3\homes \\se3\netlogon\registre.vbs chloe.delautre CREATION DU SCRIPT rem script de login commun à tous net use I: \\se3\Docs net use H: \\se3\Classes net use L: \\se3\Progs rem script de login spécifique aux clients win 9x net use K: \\se3\homes rem script de login spécifique au groupe profs net use P: \\se3\profnotes \\se3\netlogon\registre.vbs chloe.delautre CREATION DU SCRIPT rem script de login commun à tous net use I: \\se3\Docs net use H: \\se3\Classes net use L: \\se3\Progs rem script de login spécifique aux clients win 9x net use K: \\se3\homes rem script de login spécifique au groupe profs net use P: \\se3\profnotes rem script de login spécifique au parc cdi net use R: \\se3\cdi LES CLES DE RESTRICTION/CONFIGURATION Clés de restriction : ➔ peuvent avoir 2 états (active / inactive). Clés de configuration: ➔ Ne peuvent prendre qu'une seule valeur (configuration du système). Actions possibles depuis l'interface : ➔ Importer des clés / des groupes de clés ➔ Exporter des clés ➔ Attribuer des groupes de clés à un template ➔ Test des restrictions effectives Principe de base : ➔ Il faut appliquer chacune des restrictions choisies au niveau du template base et les lever si nécessaire dans les autres templates. Chacune de ces actions peut dépendre des groupes auxquels appartient l'utilisateur ainsi que de la machine sur laquelle il se trouve.