Chapitre 12. Préliminaire Chapitre 13. Configuration du réseau

Chapitre 12. Préliminaire
Avertissement: les adresses IP sont données ici à titre d'exemple et pour rester en cohérence avec la documentation
d'installation de SE3.
• Adresse du serveur SE3: 192.168.65.10
• Adresse de la passerelle: 192.168.65.2
• Adresse du client Windows XP (si pas de DHCP): 192.168.65.12
• Nom de domaine NT: sambaedu3
• Nom du poste: bibiwinxp
On suppose que la connexion au réseau du client Windows XP est opérationnelle.
Chapitre 13. Configuration du réseau.
Cliquez sur Démarrer-->Paramètres-->Panneau de configuration-->Réseau.
Les trois lignes ci-dessus doivent figurer:
• Client pour réseau Microsoft
• Type de la carte réseau de l'ordinateur.
• TCP-IP
Vérifiez que l'ouverture de la session réseau principale est bien « Client pour les réseaux Microsoft ».
Chapitre 14. Client pour les réseaux Microsoft.
Table des matières
CAS N°1: UN SERVICE DHCP EST PRÉSENT SUR VOTRE RÉSEAU
CAS N°2: VOTRE RÉSEAU EST DÉPOURVU DE SERVICE DHCP.
Cliquez sur la ligne « Client pour les réseaux Microsoft » puis sur « Propriétés. »
Cliquez les options ci-dessus et entrez le nom de domaine NT « sambaedu3 ».
Cliquez sur OK
Adresse IP de votre client Windows.
Mettre en surbrillance TCP/IP et cliquez sur Propriétés.
Attention, deux cas sont possibles:
CAS N°1: UN SERVICE DHCP EST PRÉSENT SUR
VOTRE RÉSEAU
Alors, il suffit de cocher la case « Obtenir automatiquement une adresse IP » pour que le DHCP se charge d'attribuer une
adresse IP libre automatiquement.
Il se peut que votre service DHCP, ne configure pas entièrement les paramètres réseau du client comme l'adresse de la
passerelle, ou bien celle du serveur de nom DNS...
Il faut alors procéder à la configuration manuelle de ces paramètres. Pour cela, reportez vous suivant le cas aux parties
traitées dans le CAS N°2 RÉSEAU DÉPOURVU DE SERVICE DHCP.
Windows98 reboot. La configuration réseau du client est terminée.
Vous pouvez vous rendre directement au §4. Activation des règles Netconflight et UserShellFolder.
CAS N°2: VOTRE RÉSEAU EST DÉPOURVU DE
SERVICE DHCP.
Vous devez rentrer alors manuellement pour votre poste client Windows une adresse IP disponible sur votre réseau ainsi que
le masque de sous-réseau.
Cliquez ensuite sur l'onglet Configuration DNS.
Dans l'onglet Configuration DNS, ajoutez l'adresse IP du serveur DNS de votre réseau (si vous avez un serveur DNS).
Cliquez sur l'onglet Passerelle, ajoutez l'adresse IP de la passerelle de votre réseau. Elle est identique à celle donnée lors de
l'installation du serveur SE3.
Cliquez ensuite sur l'onglet Configuration Wins , cochez la case « Activer la résolution WINS » et rentrez l'adresse IP de
votre serveur SE3.
Cliquez sur OK.
Windows reboot.
Passez au paragraphe suivant
Chapitre 15. Configuration spécifique à SambaEdu3
Une fois que Windows a rebooté, connectez vous sous le compte « admin » et rentrez le mot de passe de l'administrateur
SE3.
Cliquez sur poste de travail-->Lecteur L:-->Install-->9x-->Registry.
Cliquez sur :
Netconflight( évite que Windows garde un double des mots de passe et donc évite la confirmation des mots de passe)
et aussi sur:
-UserShellFolder (permet de diffuser le profil utilisateur sur le réseau) .
Trouvé sur un forum :
Bonjour à tous...
voila ce que j'ai sur la base de registre la plupart des cles fonctionnent pour 98 mais certaines fonctionnent aussi
pour xp, j'ai pu notamment tester en ce qui concerne l'interdiction de changer le fond d'ecran ou bien les
paramètres ie.
Donc dans les trois fichiers joints :
description.txt : toutes les clés que j'ai pu rassembler avec qq explications, néanmoins je ne les utilisent pas
toutes, je ne suis pas pour complètement "blinder" une machine donc chacun pourra choisir en
fonction de ses besoins
admin.txt (admin.reg renommé en txt pour que mon serveur de mail laisse passer car il filtre les .reg par defaut)
Dans ce fichier un ex de ce que j'utilise au quotidien pour sécuriser mes postes w9x, la il s'agit du fichier pour
tout déverrouiller, modifiez les 00000000 par des 00000001 et vous aurez l'inverse :)
optimise_xp_samba.txt : tout ce que j'ai pour xp en particulier, je n'ai pas tout tester, certaines de ces clés sont
sans doute deja dans le .reg de se3.
A ce propos, je cherche la clé permettant de désactiver le scan du réseau a la recherche de répertoires ou
imprimantes partagés, si qq a cela, sinon je chercherai moi même.
j'ai rassemblé aussi qq infos pour les restrictions propres a xp les voila en bas de ce message. Certaines sont sans
doute aussi valables pour w9x
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoToolbarsOnTaskbar"=dword:00000001 La Barre des tâches n' affiche aucune barre d'outils personnalisée
"NoTrayContextMenu"=dword:00000001 Masque les menus qui apparaissent lorsque vous cliquez avec le
bouton droit de la souris dans la barre des tâches et sur les éléments de la barre des tâches, tels que le bouton
Démarrer, l' horloge et les boutons de la barre des tâches
"NoNetConnectDisconnect"=dword:00000001 Désactive les options Connecter un lecteur réseau et Déconnecter
un lecteur réseau du menu Outils de l'Explorateur
"NoNetworkConnections"=dword:00000001 Empêche l' ouverture du dossier Connexions réseau
"NoChangeStartMenu"=dword:00000001 Empêche les utilisateurs d' utiliser la méthode de glisser-déplacer pour
réordonner ou supprimer des éléments dans le menu Démarrer. Elle supprime également les menus contextuels
du menu Démarrer
"NoSMHelp"=dword:00000001 Supprime la commande Aide du menu Démarrer
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"NoEntireNetwork"=dword:00000001 Supprime l’option Tout le réseau dans Favoris Réseau
"NoWorkgroupContents"=dword:00000001 Quand la clé est à 1, les stations du domaine ou du groupe de travail
local sont invisibles dans le voisinage réseau.
"NoFileSharing"=dword:00000001 Désactive le partage des fichiers.
"NoPrintSharing"=dword:00000001Désactive le partage des imprimantes.
Netconf
[HKEY_LOCAL_MACHINE\Network\Logon]
"MustBeValidated"=dword:00000001 # empeche d’appuyer sur echap au login.
"LMLogon"=dword:00000001 # Oblige l'utilisateur à se connecter avec un mot de passe valide
"DontShowLastUser"=dword:00000001 # ne pas montrer le login du dernier utilisateur
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network]
"DisablePwdCaching"=dword:00000001 # empeche le cache des mots de pass (important pour la securite)
Restrict
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFavoritesMenu"=dword:00000001 #Pas de favoris dans le menu du bouton Démarrer
"NoSetActiveDesktop"=dword:00000001 pas possibilite de mettre active dekstop
"NoChangeStartMenu"=dword:00000001
"NoFolderOptions"=dword:00000001 # pas de panneau de conf ni imprimante
"NoRecentDocsHistory"=dword:00000001 #Pas de Documents Récents dans le menu du bouton demarrer
"NoRecentDocsMenu"=dword:00000001
"NoDriveTypeAutoRun"=hex:95,00,00,00 pas d’autorun pour les drives concernes comme
"EditLevel"=dword:00000000 # autoriser les chgt sur le menu dem ici on peu metre de 0 à 4
"NoNetHood"=dword:00000001 #Pas de voisinage réseau sur le bureau
"NoActiveDesktop"=dword:00000001 pas d’active dekstop
"NoInternetIcon"=dword:00000001
"ClassicShell"=dword:00000001
"NoFileMenu"=dword:00000001 #pas de menu fichier ds explorer
"NoViewContextMenu"=dword:00000001 #Pas de bouton droit de la souris
"NoNetConnectDisconnect"=dword:00000001 #pas de cnx ou dcnx a un lecteur rezo
"NoRun"=dword:00000001 #Pas de Exécuter dans le menu du bouton Démarrer
"NoSetFolders"=dword:00000001 pas de panneau de conf ni imprimante
"NoSetTaskbar"=dword:00000001 #pas de proprietes ds la barre des taches
"NoFind"=dword:00000001 #Pas de Rechercher dans le menu du bouton Démarrer
"NoDrives"=dword:0000000d #Masquage des lecteurs : Chaque lettre a une valeur : A=1, B=2, C=4, D=8, E=16
etc... On additionne les valeurs des lecteurs à masquer et on les convertit en hexadécimal (avec la calculatrice de
windows) ici c'est 0000000d cad 13. "NoSaveSettings"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispCPL"=dword:00000001# Pas de panneau de configuration
#Les clés suivantes correspondent aux differentes rubriques du panneau de config.
"NoDispBackgroundPage"=dword:00000001
"NoDispScrSavPage"=dword:00000001
"NoDispAppearancePage"=dword:00000001
"NoDispSettingsPage"=dword:00000001
"NoDevMgrPage"=dword:00000001
"NoConfigPage"=dword:00000001
"NoFileSysPage"=dword:00000001
"NoVirtMemPage"=dword:00000001
"DisableRegistryTools"=dword:00000001#Interdit d'utiliser Regedit
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
"Disabled"=dword:00000001 #Pas de Programmes MSDOS
"NoRealMode"=dword:00000001 #Pas de redémarrage en mode DOS
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000001 #Tous ces réglages interdisent les modifs de la configuration d'Internet Explorer.
"Ratings"=dword:00000001
"Connection Settings"=dword:00000001
"Proxy"=dword:00000001
"Autoconfig"=dword:00000001
"Advanced"=dword:00000001
#pas d'active desktop
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoCloseDragDropBands"=dword:00000001
"NoMovingBands"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Infodelivery]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions]
"NoChannelUI"=dword:00000001
#pas de w$ update
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoWindowsUpdate"=dword:00000001 -------------- next part -------------REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]
#INTERDICTIONS levees AU NIVEAU DES REGLAGES ET RECHERCHE...
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00
"EditLevel"=dword:00000000
"NoFileMenu"=dword:00000000
"NoRun"=dword:00000000
"NoSetFolders"=dword:00000000
"NoControlPanel"=dword:00000000
"NoSetTaskbar"=dword:00000000
"NoFind"=dword:00000000
"NoDrives"=dword:00000000
"NoSaveSettings"=dword:00000000
"NoDeletePrinter"=dword:00000000
"NoAddPrinter"=dword:00000000
"NoPrinterTabs"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
#panneau de conf aff...
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispCPL"=dword:00000000
"NoDispBackgroundPage"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispAppearancePage"=dword:00000000
"NoDispSettingsPage"=dword:00000000
"NoDevMgrPage"=dword:00000000
"NoConfigPage"=dword:00000000
"NoFileSysPage"=dword:00000000
"NoVirtMemPage"=dword:00000000
"NoSecCPL"=dword:00000000
#param rezo
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"NoNetSetup"=dword:00000000
#il faut pas se loguer imperativement
[HKEY_LOCAL_MACHINE\Network\Logon]
"MustBeValidated"=dword:00000000
"LMLogon"=dword:00000000
# pas de cache des mots de pass
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network
"DisablePwdCaching"=dword:00000001
#pas de ms dos exclusif
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
"Disabled"=dword:00000000
"NoRealMode"=dword:00000000
#param IE accessibles
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000000
"Ratings"=dword:00000000
"Connection Settings"=dword:00000000
"Proxy"=dword:00000000
"Autoconfig"=dword:00000000
"Advanced"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoCloseDragDropBands"=dword:00000000
"NoMovingBands"=dword:00000000
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Infodelivery]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions]
"NoChannelUI"=dword:00000000
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoWindowsUpdate"=dword:00000000
-------------- next part -------------Windows Registry Editor Version 5.00
#Désactiver l’Assistant de Recherche
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
"use search asst"="no"
# voir les chemins complets ds l'explorateur
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
"FullPath"=dword:00000001
"FullPathAddress"=dword:00000001
"Settings"=hex(03):0c,00,02,00,0b,01,06,00,60,00,00,00
#pas d'avertissement pour les pilotes non signés
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows NT\Driver Signing]
"BehaviorOnFailedVerify"=dword:00000000
#Supprimer les DLL de la mémoire
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"AlwaysUnloadDll"=dword:00000001
#Verrouillage du clavier numérique
[HKEY_CURRENT_USER\Control Panel\Keyboard]
"InitialKeyboardIndicators"="2"
[HKEY_CURRENT_USER\Control Panel\Keyboard]
"InitialKeyboardIndicators"="2"
#supprime les tâches planifiées du réseau
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\Na
meSpace\D6277990-4C6A-11CF-8D87-00AA0060F5BF]
#Désactiver le Rapport d’Erreur
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
"AllOrNone"=dword:00000000
"IncludeMicrosoftApps"=dword:00000000
"IncludeWindowsApps"=dword:00000000
"IncludeKernelFaults"=dword:00000000
"DoReport"=dword:00000000
"ShowUI"=dword:00000000
#pas d'update de IE
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions]
"NoUpdateCheck"=dword:00000001
#supprime la mise à jour automatique
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ControlsFolder\System\shellex\
PropertySheetHandlers\Extension de la page de propriétés de mise à jour automatique]
#désactive messenger
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Messenger]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Messenger\Client]
"PreventRun"=dword:00000001
#active la complétion sous dos
[HKEY_CURRENT_USER\Software\Microsoft\Command Processor]
"CompletionChar"=dword:00000009
#affichage classique (98 ou w2000) a la place de l'affichage type xp ds le menu dem
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"classicshell"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WPAEvents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WPAEvents]
"OOBETimer"=hex:ca,82,b8,55,d4,04,b5,cf,cc,5b,24,97
#menu classique
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSimpleStartMenu"=dword:00000001
#pas d'autorun, de menu demarrer intelligents, apparition de decnx ds demarrer, vidage des listes des fichiers
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b5
"ClearRecentDocsOnExit"=hex:01,00,00,00
"NoInstrumentation"=dword:00000001
"ForceStartMenuLogOff"=dword:00000001
"Intellimenus"=dword:00000001
#pas de bulles d'aide, voir les fichiers caches et systemes pas d'affichage type page web, voir les extensions
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"enableballoontips"=dword:00000000
"ClassicViewState"=dword:00000001
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
# attention le suivant permet de voir les fichiers systemes, a activer avec prudence donc !!
"ShowSuperHidden"=dword:00000001
#meme proxy pour tous
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxySettingsPerUser"=dword:00000000
#desactiver les fichiers hors cnx
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\NetCache]
"Enabled"=dword:00000000
#samba XP
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters]
"requiresignorseal"=dword:00000000
"requirestrongkey"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Netlogon\Parameters]
"requiresignorseal"=dword:00000000
"requirestrongkey"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"requiresignorseal"=dword:00000000
"requirestrongkey"=dword:00000000
#samba XP SP1
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"CompatibleRUPSecurity"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"CompatibleRUPSecurity"=dword:00000001
# ne pas stocker les profils errants en local
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DeleteRoamingCache"=dword:00000001
#ne pas garder les cnx sur les partages ouverts apres dcnx de l'utilisateur
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Network\Persistent Connections]
"SaveConnections"="no"
Chapitre 16. Accéder à l'interface d'administration
SambaEdu3
L'installation du poste client Windows 98 est terminée.
1. Comment accéder à l'interface d'administration du serveur se3 ?
Deux cas sont possibles :
1. Il n'y a pas de serveur DNS sur votre réseau:
Entrez alors dans un navigateur (Internet Explorer ou autres) l'adresse suivante :
http://adresse_IP_du_serveur_se3/se3/index.html
Dans notre exemple, adresse_IP_du_serveur_se3 est 192.168.65.10
Il y a un serveur DNS sur votre réseau:
Entrez alors dans un navigateur l'adresse suivante :
http://nom_DNS_complet_du_serveur/se3/index.html
Dans notre exemple, nom_DNS_complet_du_serveur est le nom DNS complet défini dans la section 2 de l'installation de se3
comme le rappelle la capture d'écran ci-dessous:
Le nom DNS complet commence par se3pdc suivi par le nom de l'établissement suivi par l'adresse académique normalisée.
Exemple: Pour le lycée Alain situé dans l'Orne (61) , département de l'académie de Caen.
Le nom DNS complet sera se3pdc.alain.lyc61.ac-caen.fr
Chapitre 20. Description du processus de configuration du
registre Windows
Table des matières
Le menu clefs
Le menu groupe de clés
L'attribution des configurations
Description du mécanisme coté serveur
Description du mécanisme coté client
SambaEdu3 permet l'application de configurations particulières sur les clients Windows par le biais de la modification de la
base de registre. Il est donc possible sur un meme poste d'obtenir des paramétrages différents (restrictions ou autre) en
fonction de l'utilisateur connecté. Pour ce faire, trois menus sont a votre disposition:
Le menu clefs
Ce menu permet de définir au niveau de l'interface SambaEdu3 les clés qui pourront être appliquées aux utilisateurs. Il est
possible d'en rajouter à loisir. Une base de plus de 210 clés est disponible par défaut via un menu d'import qui permet de se
mettre a jour automatiquement depuis un serveur central. Afin de gérer facilement toutes ces clés, une catégorisation a été
mise en place.
Il existe deux types de clés: les clés de restrictions et les clés de configuration. Les clés de restrictions peuvent avoir 2 états:
activé et désactivé. Un exemple de clé de restriction est "Masquer le panneau de configuration". Cette restriction peut être
activée (le panneau est masqué) ou désactivée (le panneau est affiché). Les clés de configurations au contraire n'ont qu'une
seule valeur qui représente la configuration que l'on veut mettre en place sur le poste. Un exemple est la page de démarrage
d'Internnet Explorer, que l'on configure sur http://www.crdp.ac-caen.fr :)
Le menu groupe de clés
Souvent, une configuration type ne se fait pas au moyen du changement d'une clé unique mais d'un ensemble de clés.
SambaEdu3 permet la définition de "groupes de clés" permettant de mettre en place des configurations type qui pourront
ainsi être appliquées globalement. Deux groupes sont prédéfinis et complétés automatiquement: fulrestict et norestrict.
Comme pour les clés, une procédure d'import automatique vous est proposée et vous permet de récupérer d'autres groupes
prédéfinis: Options de sécurité permettant d'établir une configuration par défaut sur les postes, Restrictions légères contenant
des clés de restrictions pouvant s'appliquer pour sécuriser un peu les postes sans trop brider leur usage, et Restrictions
moyennes offrant une sécurisation acceptable des postes vis à vis des élèves.
L'attribution des configurations
Le dernier menu "Attribution des clés" permet d'attribuer des configurations particulières aux utilisateurs par le biais des
templates. Ainsi, tout utilisateur concerné par le template bénéficiera des clés attribuées à ce template. Une fois définies les
clés à attribuer, vous fabriquez alors par l'interface un fichier registre.zrn qui sera stocké dans le répertoire du template.
Description du mécanisme coté serveur
A chaque fois qu'un utilisateur se logue, un script nommé logon.pl est exécuté sur le serveur afin de construire
l'environnement de l'utilisateur en fonction des templates qui le concerne. Lors de cette exécution, les fichiers registre.zrn des
différents templates concernés sont agrégés dans le fichier utilisateur.txt sous netlogon
Description du mécanisme coté client
Coté client, le script de login de l'utilisateur va faire appel à un script VBS qui va détecter la version de windows et appliquer
les clés de utilisateur.txt relatives à cette version. Concernant la configuration des postes, deux cas se présentent
Client Windows 9x
C'est le cas le plus simple car aucune sécurité n'existe sur le système. Activer le système de configuration de registre sur ces
clients, il suffit de créer sur le disque dur un dossier c:\netinst\Logs qui contiendra le journal des configurations appliquées.
Client 2000/XP
Dans ce cas, un utilisateur non privilégié ne peut pas configurer n'importe quoi dans le registre. Pour contourner cette
sécurité, une DLL a été prévue. Celle-ci doit être installée en suivant la procédure décrite dans le chapitre d'installatn des
staions 2000/XP. Ensuite, elle dispose des privilèges administrateur sur la station ce qui lui donne les droits d'écriture
n'importe ou dans le registre.
Chapitre 21. Premier contact avec l'interface
Table des matières
Importation de la base de clés
Mise en place d'une configuration basique
Ajout d'une configuration supplémentaire
Tester sa configuration
Importation de la base de clés
En standard, SambaEdu3 est livré sans aucune clé ni groupe de clés. Une importation initiale s'impose. Pour cela, assurezvous que le serveur SambaEdu3 est bien connecté à internet, puis allez dans le menu Clients Windows / Import/Export des
clés. Cliquez sur le lien Effectuer la mise a jour de la base de clés ?. Une fois les clés importées, recommencez l'opération
avec Effectuer la mise a jour des groupes de clés ?. Si les deux importations se sont bien passées, vous devriez avoir en
retour un message du type
Connexion à ftp://wawadeb.crdp.ac-caen.fr/se3/mod.xml.gz
Options de sécurité
24 clés modifiées , 0 clés ajoutés , 0 clés ignorées pour le groupe
de clés Options de sécurité
Restrictions légères
42 clés modifiées , 0 clés ajoutés , 0 clés ignorées pour le groupe
de clés Restrictions légères
Restrictions moyennes
83 clés modifiées , 0 clés ajoutés , 0 clés ignorées pour le groupe
de clés Restrictions moyennes
Dans le cas où votre serveur SambaEdu ne serait pas directement connecté au web ou bien doive passer par un serveur proxy,
l'import direct des clés ou des groupes de clés échoue. Afin de réaliser ces importations, suivez la procédure suivante:
1.
2.
3.
Téléchargez et décompressez les deux fichiers ftp://wawadeb.crdp.ac-caen.fr/pub/sambaedu/rules.xml.gz et
ftp://wawadeb.crdp.ac-caen.fr/pub/sambaedu/mod.xml.gz
Sélectionnez le niveau d'interface Intermédiaire ou Confirmé
Dans le menu Clients Windows / Import/Export des clés utilisez les fonctions d'import XML pour les clés et les
groupes de clés afin d'initialiser votre base de données avec les clés et les groupes par défaut.
Mise en place d'une configuration basique
Dans l'exemple qui suit, nous désirons mettre en place pour tous un niveau de restriction sur les postes assez fort de manière à
sécuriser par défaut l'environnement windows. Pour les profs cependant, nous allons définir une politique de restriction plus
légères leur permettant plus de souplesse au niveau de l'environnement de travail. Enfin, l'utilisateur admin verra toutes les
restrictions levées.
Toute cette configuration peut être réalisée simplement au moyen de l'interface configurée au niveau Débutant. Pour cela,
allez dans le menu Attribution des clés:
Comme le montre la capture ci-dessus, l'interface vous propose alors la liste des templates SambaEdu3 déjà définis.
•
•
•
•
base s'applique a tout le monde
profs s'applique aux Professeurs
eleves s'applique aux élèves
admin s'applique à l'utilisateur générique admin
Il est bien sur possible de rajouter d'autres templates. Je vous renvoie pour cela à la section traitant de ce sujet. Les templates
déjà définis par défaut vont être tout à fait suffisants pour répondre à notre problématique. Pour cela:
1.
2.
3.
Sélectionnez base, puis choisir le niveau de sécurité "Restrictions Moyennes"
Sélectionnez profs, puis choisir le niveau de sécurité "Restrictions légères"
Sélectionnez admin puis choisir le niveau de sécurité "Aucune protection"
Ajout d'une configuration supplémentaire
Parmi les groupes de clés définis par défaut, le groupe "Options de sécurité" définit un ensemble de règles, pas
nécessairement restrictives, qu'il peut être souhaitable d'appliquer sur tous les postes, indépendament de l'identité de celui qui
se connecte. Le groupe "SambaEdu3 config 9x" contient quant à lui la configuration qu'il est nécessaire d'appliquer aux
postes windows 9x dans un réseau SambaEdu.L'application de ce groupe de clés dispense donc de l'application des fichiers
de registre UserShellFolders.reg et netconflight.reg.
Pour cela, il est nécessaire de sélectionner au minimum le niveau Intermédiaire sur l'interface SambaEdu. Cela étant fait,
sélectionnez le template base dans le menu attribution des clés. Un bouton "Incorporer des groupes de clés" apparaît
alors. En cliquant sur ce nouveau bouton, vous obtiendrez la liste des groupes de clés que vous pourrez ajouter à la
configuration du template.
Cochez le ou les groupes voulus et validez votre choix. La configuration sera automatiquement mise a jour.
Remarque: Il est important de bien distinguer les actions de choisir un niveau de sécurité et d'incorporer un groupe de
clés. En Choisissant un niveau de sécurité, vous initialisez la configuration du template avec les clés définies dans le niveau
choisi. Toute configuration anterieure est effacée. En incorporant un groupe de clé au contraire, les configurations antérieures
sont conservées et les clés définies dans le ou mes groupes à incorporer sont ajoutées.
Tester sa configuration
La configuration définitive appliquée à un utilisateur sur son poste dépend des fragments de configurations appliqués à tous
les templates (utilisateur, groupes, machine, parcs, doubles templates) associés à l'utilisateur lorsqu'il se connecte sur sa
machine. Lors de configurations complexes, il est parfois difficile de savoir qui héritera de quoi. C'est le rôle de la fonction
"Test des restrictions effectives" qui, à partir d'un nom d'utilisateur et de machine, va réaliser un calcul des clés de registres
qui seront effectivement applicables sur le poste.
Chapitre 22. Gestion des clés
Ce menu vous permet de gérer les clés de registre disponibles. Il n'est visible sur l'interface SambaEdu3 qu'aux niveaux
Intermédiaires et confirmés. Du fait du nombre important de clés disponibles; celles-ci sont rangées par catégories et sous
catégories.
Modification des valeurs des clés
La modification des valeurs des clés n'est autorisée qu'en mode Confirmé. En mode intermédiaire, les boutons
d'édition sont grisés.
Vous pouvez modifier les valeurs des cles de restrictions ou de configuration comme vous le souhaitez. Si la clé modifiée a
été attribué a certains templates, ceux-ci apparaitront avec des cases à cocher. Vous pourrez ainsi, si vous le souhaitez, mettre
a jour les templates impactés par la modification.
Si aucun template n'est concerné par cette clé, il ne vous est pas proposé de mettre à jour la clé dans les templates.
Il est également possible de modifier les OS concernés et le type de la clé ( attention, si le type n'est pas correct, la clé ne
s'appliquera pas)
Suppression d'une clé
Vous ne pouvez supprimer une clé qui est utilisée dans les templates, ceci afin de garantir que cette suppression n'entrainera
pas des blocages sur les postes, difficiles à supprimer par la suite. La suppression est plutôt destinée à vous permettre de
corriger une entrée erronée. La suppression d'une clé de la base ne doit pas être effectuée sans être sûr que tous vos clients
windows ne seront pas affectés par celle-ci. Ce qui peut vouloir dire que tous les postes doivent avoir executé le script
donnant l'antidote.
Ajout d'une clé
Lors de l'ajout d'une clé , vous définissez si la clé est de type configuration ou restriction.
Soyez très attentif à la syntaxe du registre, ce n'est plus modifiable. Sur windows XP, ces restrictions ne seront prises en
comptes que si la dll adéquate a été auparavant installée. Toute nouvelle clé de restriction est ajoutée aux groupes de clés
fullrestrict et norestrict.
Exportation des clés.
Afin de faciliter la mutualisation du travail sur les clés, de puissantes fonctions d'import/export sont à votre disposition. Pour
plus de lisibilité et de compatibilité avec d'autres projets, le format retenu est XML. Pour mettre vos clés à disposition d'un
autre serveur SE3, il vous suffit de réaliser une exportation. L'intégralité de la base sera stockée dans un fichier XML.
Ajout en nombre de clés
Pour l'ajout en nombre, il vous suffit de cliquer dans le menu Import/Export sur Effectuer la mise a jour de la base de clés. Si
votre serveur SE3 est connecté à l'internet, l'interface téléchargera et intègrera la base de clé définie à l'emplacement contenu
dans la variable $urlxmlrules (Menu Configuration Générale / Paramètres serveur ). Vous avez également la possibilité
d'ajouter les clés contenues dans un fichier de clé au format xml. Dans ce cas, sélectionnez le fichier puis cliquez sur le
bouton Incorporer.
Ici trois clés ont été ignorées:
Importation d'un point reg
Il est possible d'importer directement une clé par un point reg, mais seulement clé par clé. A la suite de l'import , vous pouvez
vérifier et corrigez les eventuelles erreurs
Aide sur les clés
Dans l'aide vous avez accés aux informations principales sur les clés en particulier la valeur prise par la clé dans les templates
et dans les groupes de clés où elle intervient.
Chapitre 23. Gestion des groupes de clés
Le menu gestion des groupes de clé permet de rassembler des clés de registre et de les appliquer rapidement aux templates.
Affichage d'un groupe de clé
Il est possible d'appliquer très rapidement un groupe de clé à un template, et de générer les fichiers zrn en même temps en
cochant dans ce menu les templates existants. Mais dans ce cas les valeurs par défaut des clés seront appliquées. Les valeurs
de clés existantes dans le template de valeur eventuellement différentes seront écrasées.
Un récapitulatif rapide est donné dans ce cas.
Ajout de clé dans un groupe de clé
Création d'un nouveau groupe de clé.
Vous pouvez copier un groupe de clé lors de la création d'un nouveau groupe.
Chapitre 24. Attribution des clés
Table des matières
Principes de base
Utilisation de l'interface d'attribution
Les groupes spéciaux
Approfondissement du fonctionnement de l'attribution des clés
Principes de base
Une fois définis les clés et les groupes de clés, il faut les attribuer aux utilisateurs ou aux machines. Dans SambaEdu3, le
vecteur naturel de distribution de configuration est le template. En effet, celui-ci permet la distribution de raccoucis sur le
bureau, dans le menu démarrer, mais aussi des scripts de login en fonction des utilisateurs, des groupes, des machines et des
groupes de machines. Il est donc parfaitement naturel que ce soit par les templates que les configurations de registre soient
également distribuées.
Ce mode de distribution possède néanmoins un gros inconvénient: l'ordre de concaténation des templates n'est pas totalement
maitrisé. Si on en connait les grandes lignes:
1.
2.
3.
4.
5.
6.
7.
8.
9.
base
groupes d'utilisateurs
parcs de machines
machine
utilisateur
utilisateur@@machine
utilisateur@@Parcs
groupes@@machine
groupes@@parcs
On ne maitrise pas dans chaque catégorie l'ordre d'application. Par exemple, si un utilisateur appartient au groupe Eleves,
Classe_2nd, Cours_2nd_maths, Cours_2nd_Francais, et si il existe 2 templates
cours_2nd_maths, cours_2nd_francais, il n'y a pas moyen de savoir à l'avance lequel de ces deux templates
sera évalué en premier. Par conséquent, si une restriction est appliquée dans l'un de ces template et levée dans l'autre, au final,
le résultat sera aléatoire pour un utilisateur qui dépendrait de ces deux templates !!
Une telle indétermination dans le résultat d'application de clés de registre n'est bien sur pas acceptable. C'est pourquoi
l'interface impose un certain nombre de règles visant à imposer une stratégie rigoureuse d'application des règles de restriction.
Ces règles, énumérées en dernière partie de ce chapitre, découlent du principe de base suivant
Dans le cas de clés de restrictions, les restrictions sont appliquées pour tous dans le template base et enlevées dans tout
template autre que base.
En procédant ainsi, on est sur que l'utilisateur aura en toutes circonstances les configurations de registre auxquelles on peut
s'attendre puisque les restrictions sont appliquées puis ensuite levées en fonction des privilèges attribués à chacun des
templates qui le concerne. Peu importe l'ordre dans lequel les restrictions se lèvent, l'utilisateur bénéficiera du cumul des
privilèges.
Utilisation de l'interface d'attribution
L'interface en mode Débutant et intermédiaire a déjà été vue lors du tutoriel de prise en main débutant cette partie. Nous
allons donc étudier plus en détail les fonctionnalités supplémentaires accessibles depuis l'interface expert.
Une fois choisi un template, l'interface expert permet de définir un niveau de sécurité pour ce template, d'incorporer un
groupe de clés ou alors d'ajouter une clé de registre particulière. Les deux premières fonctions sont celles accessibles depuis
le mode Débutant ou intermédiaire, leur fonctionnement a été expliqué précédemment. Le bouton "Ajouter une clé" permet
l'ajout d'une configuration particulière sans avoir à passer par un groupe de clés. Pour ce faire, il suffit de cocher les cases
correspondant aux clés à insérer.
L'interface expert permet également d'afficher toutes les clés attribuées à chaque template et - dans le cadre du respect du
principe de base régissant les clés de restrictions énoncé ci-dessus - d'en modifier la valeur, voire de les supprimer,
individuellement ou par lot. La capture ci-dessous montre les clés attribuées au template admin :
L'icône corbeille permet de supprimer individuelement une clé. Le lien "supprimer les clés affichées" supprimera toutes les
clés de la catégorie affichée, donc dans cet exemple, les clés de la catégorie "Barre des taches". Si vous cliquez sur la
catégorie "tout" puis "supprimer les clés affichées", vous procèderez à une réinitialisation totale de la configuration associée
au template en suprimant toutes ses clés associées.
La modification des valeurs des clés se fait au moyen de l'icône d'édition. Vous remarquerez que dans le cas des clés de
restrictions, celle-ci est grisée, rendant la modification de la valeur impossible. Pour une clé de configuration, la modification
est possible. Cela est une illustration du principe de base énoncé en début de chapitre. Nous sommes sur un template non
base, donc les clés de restrictions ne peuvent être que désactivées. Les clés de configurations quant à elles peuvent voir leur
valeur modifiée.
Le cas du template base est de ce point de vue différent: C'est en effet le seul autorisé à recevoir des clés de restrictions
actives. La capture ci-dessous ilustre un exemple de configuration du tempkate base.
On remarquera la présence d'une clé de restriction désactivée. Cela sert dans le cas ou on voudrait supprimer une restriction.
En supprimant la clé de restriction, il se peut que la restriction reste encore active sur certains postes ou des utiisateurs
affublés de la restriction en question se sont connectés en dernier. Pour éviter ce désagrément, il est préférable de lever la
restriction pour tous dans le template base, le temps que la restriction soit supprimée de tous les postes clients. Ensuite, la
suppression de la clé est possible. Lors de la suppression d'une telle clé, un message d'avertissement vous est d'ailleur proposé
afin de vous mettre en garde contre les dangers d'une telle opération:
Les groupes spéciaux
Il existe en plus des groupes de restrictions prédéfinis (fullrestrict, Restrictions moyennes, Restrictions légères, norestrict)
deux grupes ayant un fonctionnement un peu particulier:
•
•
Tout interdit: Appliquer ce niveau de restriction à un template non base revient à le débarrasser de toutes les
levées de restrictions qu'il contient. Il hérite dont ainsi de toutes les interdictions définies dans bases. Mais aucune
restriction autre que celles définies dans base n'est appliquée à ce template. Ce groupe se distingue donc de
fullrestrict qui applique l'ensemble des clés de restrictions existantes.
Aucune protection: Appliquer ce niveau de restriction à un template revient à y appliquer l'ensemble des levées de
restrictions présentes dans base. Aucune restriction n'est donc plus appliquée aux bénéficiaires de ce template. La
encore, ce niveau n'est pas à confondre avec norestrict qui appliquerait au template l'ensemble des levées de
restriction pour l'ensemble des clés de restriction définies sur l'interface.
Approfondissement du fonctionnement de l'attribution des
clés
Afin de maitriser parfaitement les mécanismes d'attribution des clés aux templates, nous allons énumérer ici les règles qui ont
servi au développement de l'interface et donner quelques illustrations de fonctionnement. Il est important de bien comprendre
ces règles sans quoi certains comportements peuvent paraître déroutants. Par exemple: lorsque l'on attribue une clé de
restriction à un template non base, celle-ci s'applique à tous les templates !! il vaut mieux le savoir afin de ne pas bloquer sans
s'en rendre compte des utilisateurs qui n'étaient pas visés à l'origine par la restriction...
les règles suivantes ne s'appliquent qu'aux clés de restrictions. Les clés de config sont à traiter à part.
1. La commutativité
1.1 La règle de base pour s'assurer de la commutativité de l'application des restricts est que les restrictions doivent etre
appliquées dans base et levées dans nonbase.
1.2 En conséquence de 1.1, il n'est pas possible d'appliquer une restriction sur un template nonbase mais seulement une levée
de restriction.
1.3 Cela implique que base possède le niveau de restriction le plus élevé. il ne faut donc pas autoriser l'application d'une
restriction sur un template nonbase.
2. Les niveaux de restrictions
2.1 Les niveaux de restrictions sont des groupes de clés correspondant à des niveaux de restriction prédéfinis. Ils ont pour but
de permettre une gestion simplissime de la sécurité des clients windows pour les débutants. On définit 4 niveaux de
restrictions : full - moyen - light et norestrict.
2.2 Si on applique un niveau de restriction à base alors toutes les clés existantes de base passent au vert sauf les clés du
niveau appliqué qui passent au rouge. Si une clé du niveau de restrict choisi n'est pas dans base, elle est ajoutée.
2.3 Si on applique un niveau de restriction à nonbase, alors en vertu du principe 1.2, ce niveau doit etre inferieur à celui de
base. Les restrictions étant posées dans base, il suffit alors de lever les restrictions qui ne sont pas conformes au niveau
choisi, c'est à dire de recopier et mettre au vert les restrictions de base qui ne sont pas dans le niveau choisi.
3. Les clés de restrictions qui figurent dans des groupes de clés
3.1 en vertu du principe 1.1, toute restriction mise dans un groupe de clé doit etre appliquée à base. Cela peut se faire dès le
renseignement du groupe de clé.
3.2 en vertu du principe 3.1,lorsqu'on applique un groupe de clé sur le template base, les clés de restrictions seront ignorées
car déjà présentes.
3.3 d'après 1.1, lorsqu'on applique un groupe de clé sur un template nonbase, les clés de restrictions seront positionnées au
vert. Les clés de restrictions renseignées dans le groupe seront donc des ajout de privilèges.
4. Le nettoyage de base
base représente l'ensemble de référence pour les restrictions. A force d'ajouter des restrictions et d'en enlever, celui-ci peut
grossir inutilement et contenir inutilement des levées restrictions. Il peut etre utile de réfléchir à un dispositif permettant de
réinitialiser l'ensemble des clés présentes dans base. Il est pour cela nécessaire de passer par une periode transitoire pendant
laquelle basse passe en norestrict. Une fois tous les postes déverouillés, on peut reverouiller base en mettant un nombre plus
retreint de restrictions.
Exemples d'attribution de clés
On se donne sept clés de restrictions (A B C D E F G) et 5 groupes de clés (full, Fort, Light, Cust, Cust1) définis comme suit.
Nous allons étudier le fonctionnement de l'interface au travers de cet exemple:
Appliquer un niveau à un template revient à réinitialiser les clés de restrictions de ce template de manière à ce que le template
soit au niveau de restriction choisi, contrairement à l'insertion d'un gruope de clé à un template où les clés à ajouter sont
fusionnées avec les clés existantes.
Insérer un groupe de clé à un template
Effet du groupe de clés Cust1 sur template Prof