Liste non exhaustive des réglages à effectuer sur un domaine W
Transcription
Liste non exhaustive des réglages à effectuer sur un domaine W
Fiche technique 2003 Liste non exhaustive des réglages de GPO à effectuer sur un domaine Windows 200x pour avoir le minimum d'embêtement par la suite... Régler le durée de vie maximale du mot de passe Pourquoi? Pour éviter que les users aient a changer de mot de passe tous les 42 jours par défaut Comment ?En modifiant la GPO du domaine GPO Default Domain Policy Ou ? Config/ordinateur/paramètres windows/paramétres de sécurité/stratégies de comptes/stratégies de mots de passe/ durée de vie du mot de passemettre 0 pour que le mot de passe n'expire jamais Désactiver l'exigence de complexité sur les mots de passe Pourquoi ? Pour rendre compatible l'exigence de complexite avec votre « moulinette à compte ( GUNT) » et donc pour éviter que les utilisateurs aient des mots de passe vraiment trop durs à mémoriser. Comment ? En modifiant la GPO du domaine GPO Default Domain Policy Ou ? Config/ordinateur/paramètres windows/paramétres de sécurité/stratégies de comptes/stratégies de mots de passe/ mettre 'le mot de passe doit respevter des exigences de sécurité à désactiver Régler la longueur des mots de passe Pourquoi ? Pour la même raison que ci-dessus. Comment ?En modifiant la GPO du domaine GPO Default Domain Policy Ou ? Config/ordinateur/paramètres windows/paramétres de sécurité/stratégies de comptes/stratégies de mots de passe/ la longueur minimal du mot de passe mettre un nombre de carcatère inférieur ou égal a celui généré par votre moulinette à compte Interdire le cyptage des données Pourquoi ? Le cryptage de dossier et de fichiers étant permis par défaut et fonctionnant avec des certificats, sauf à être costaud sur la gestion des certificats, il faut interdire aux utilisateurs de crypter leurs données pour éviter que leurs données soient a jamais perdues en cas de perte de leur certificat Comment ? En modifiant la GPO du domaine GPO Default Domain Policy Ou ? Config/ordinateur/paramètres windows/paramétres de sécurité/stratégies de clé publiques/sytème de fichiers EFS clic droit / propriétés et décocher "permettre le cryptage". Régler le mode de traitement des GPOs par le traitement de la boucle de rappel Pourquoi ? tout simplement pour que les stratégies utilisateurs définies au niveau d'OU ne contenant que des machines puissent etre appliqués sans problèmes aux utilisateurs et réciproquement pour que des stratégies ordinateurs définies au niveau d OU ne contenant que des utilsateurs puissent etre appliqués sans problème aux machines. Comment ? En modifiant la GPO du domaine GPO Default Domain Policy Ou ? Config/ordinateur/modèles d'administrations/système/stratégies de groupe mettre "mode traitement par boucke de rappel de la stratégie de groupe utilisateur "activée en mode fusionner Toujours attendre le réseau Pourquoi ? Pour être sur lors du démarrage d'une station que tout ce qui doit descendre du serveur soit bien descendu (notament les GPOs et les scripts) et donc que la station soie bien à la connexion dans l'état que souhaite l'adminsitrateur. Comment ? En modifiant la GPO du domaine GPO Default Domain Policy Ou ? Config/ordinateur/modèles d'administrations/système/ouverture de session, mettre "toujours attendre le réseau" à activé Désactiver le paramètre "autoriser ou interdire l'utilisation de la fonctionnalité de fichiers hors ligne" Pourquoi ? Pour éviter une synchronisation en local des ressources reseaux pour les postes nomades (portables) à la connexion et à la deconnexion en cas d'activation accidentelle de cette fonctionalité par les utilisateurs. Comment ? En modifiant la GPO du domaine GPO Default Domain Policy Ou ? Config/ordinateur/modèles d'administrations/réseaux/fichiers hors connexion mettre le paramètre "autoriser ou interdire l utilisation de la fonctionnalité de fichiers hors ligne"à désactivé Exécuter les scripts d'ouverture de session simultanément avec l'ouverture de session windows Pourquoi ? Pour être sur que lorsque l'explorateur windows démarre tous les scripts soient bien terminés ( entre autre les net use et installation d'imprimantes) Comment ?En modifiant la GPO du domaine GPO Default Domain Policy Ou ?Config/ordinateur/modèles d'administrations/système/scripts "excuter les scripts de sessions simultanéments mettre à activé. Attention l 'explication( ou la traduction) Microsoft n'est pas claire Exécuter les scripts de démarrage de manière asynchrone Pourquoi ? Pour etre sur que les scripts d'ouverture s'éxécutent bien les uns derriere les autres Comment ?En modifiant la GPO du domaine GPO Default Domain Policy Ou ? Config/ordinateur/modèles d'administrations/système/scripts "Exécuter les scripts de démarrage de maniére asynchrone" mettre à désactivé Exécuter les scripts de démarrage en mode visible Pourquoi ? Pour éviter que les utilisateurs voient les scripts s'éxécuter et surtout ne puissent pas les fermer Comment ?En modifiant la GPO du domaine GPO Default Domain Policy Ou ?Config/ordinateur/modèles d'administrations/système/scripts "exécuter les scripts de démarrage en mode visible" mette à désactivé Paramétrer windows update Pourquoi ? Pour éviter que chaque machine aille arnarchiquement d'elle même chercher les mises à jour sur internet et que les postes aillent plutot sur le serveur WSUS qui sera paramétré comme le souhaite l'administrateur. Comment ? En modifiant la GPO du domaine OU ? Config/ordinateur/modèles d'administrations/Composants Windows/Windows Update ●Spécifier l'emplacement intranet du service de mise à jour microsoft Activé et taper http://nomdu serveur hébergeant WSUS ●Configuration des mises a jour automatiques Activé , choisir la valeur 4 "télécharger et planifier l'installation, choisir "O" pour "tous les jours" et heure d'installation planifiée" mettre une heure à laquelle lamajorité des machines eront allumées" ●Pas de redémarrage planifié des installations planifiées des installations automatiques Activé ●Autoriser l'installation immédiate des mises à jour automataiques Activé ●Redemander un redemarrage avec les instalations planifiées Désactivé ●Fréquence de détection des mises à jour automatique Activé et vérifier la présences de mise à jour a l'intervalle suivant et choisir 1 ou 2 heures selon le lycée. Les clés de registre ci-desous sont apparues avec XP-PRO et si on ouvre avec une mmc les stratégies du serveur , ces clés ( les adm associés) vont migrer sur le serveur et ces clés seront donc présentes dans les GPOS. Il convient selon votre cas de les traiter ou non. Les 7 stratégies ci-dessous permettent de gérer le moment ou les stratégies nommées seront appliquées. Or par défaut ces stratégies ne sont pas de nouveau appliquées si elle n'ont pas été modifiées (cas des entreprises ou chaque user à sa machine et n'en change quasiment jamais), ce qui permet bien sur de gagner du temps à l'ouverture de session. Or dans nos établissements les élèves changent sans cesse de poste de travail ( salles de cours ,CDI, atelier etc) et nous devons être sur que les stratégies définies (installation d'imprimante par script, redirection des dossiers etc) s'appliquent correctement. Il est à notre avis préférable de "perdre un peu de temps" à l'ouverture de session mais etre sur de l'application de la stratégie.(lire les explications dans les stratégies par exemple pour 'traitement de la stratégie de script'l'explication dit : L'option "Traiter même si les objets Stratégie de groupe n'ont pas été modifiés" met à jour et applique de nouveau les stratégies même si les stratégies n'ont pas été modifiées. De nombreuses implémentations de stratégie spécifient qu'elles sont mises à jours uniquement lorsqu'elles ont été modifiées. De toute façon, vous pourriez vouloir mettre à jour des stratégies non modifiées, telles que appliquer de nouveau un paramètre choisi au cas où un utilisateur l'ait modifié. Paramétrer le traitement de la stratégie du registre Paramétrer le traitement de la stratégie de maintenance explorer Paramétrer le traitement de la stratégie d'installation de logiciel Paramétrer le traitement de la stratégie de redirection de dossier Paramétrer le traitement de la stratégie de scripts Paramétrer le traitement de la stratégie de sécurité Paramétrer le traitement de la stratégie de quota de disque Pour toutes ces clés (enfin celles dont vus vous servez) de registres allez dans Config/ordinateur/modèles d'administrations/système/stratégies de groupes, cocher "activé" et choisir "traiter même si les objets stratégies de groupes n'ont pas été modifiés". JF BADOS DI2-Gérard Lesueur DI7-8 novembre 2006 modifié le 21 nov 2006