Étant donné que les stratégies de groupe vous permettent de contrôler de manière centralisée de nombreux paramètres du système d’exploitation client et des applications s’exécutant sur le client, il est logique de créer vous-même des fichiers de stratégie de groupe pour toutes les entrées de la base de données du registre, si le fabricant ne fournit pas de fichiers ADM ou de stratégies de groupe appropriées.
Partie 1 – Introduction aux stratégies de groupe
Partie 2 – Utiliser les stratégies de groupe de Windows XP
Partie 4 – Microsoft Office en réseau
| Cette série d’articles est un extrait du « Manuel d’intégration Microsoft-Netzwerk » d’Ulrich Schlüter. Date de parution : octobre 2004 chez Galileo Computing. (ISBN 3-89842-525-8) et a été mis à la disposition de WinTotal en exclusivité. |
Table des matières
Créer des fichiers modèles avec l’outil « Registry System Wizard
Vous pouvez télécharger ici les modèles ADM que vous avez créés vous-même dans cet article.
Seules les branches HKEY_CURRENT_USER et HKEY_LOCAL_MACHINE de la base de registre peuvent être modifiées via les stratégies de groupe, mais pas les entrées dans les branches HKEY_CLASSES_ROOT, HKEY_USERS ou HKEY_CURRENT_CONFIG. Ces branches principales de la base de données du registre sont appelées « ruches » dans le jargon Microsoft.
La création de son propre fichier ADM n’est pas aussi compliquée que l’on pourrait le croire. Un outil comme le Registry System Wizard, que vous trouverez sur le DVD du livre, peut s’avérer particulièrement utile. Après avoir lancé leRegistry System Wizard, sélectionnez via un onglet le système d’exploitation Windows XP ou Windows 2000 pour lequel vous souhaitez effectuer des modifications dans la base de données du registre. Ensuite, toutes les astuces possibles pour modifier la base de registre selon vos souhaits sont listées par catégories.
 |
|
Assistant système de registre |
Si vous souhaitez par exemple savoir quelle modification doit être apportée à la base de données du registre pour activer ultérieurement une souris avec molette, allez dans la catégorie Souris/Clavier et vous y trouverez l’astuce correspondante et, après avoir cliqué sur le bouton KeyInfo, la valeur du registre qui doit être modifiée.
 |
|
Assistant système de registre |
Vous pouvez maintenant installer « Registry System Wizard » sur un ordinateur équipé de Windows XP Professionnel et rechercher ensuite des possibilités de réglage intéressantes pour lesquelles les fichiers de stratégie de groupe Windows XP mis à disposition par Microsoft ne proposent pas de directives.
Si vous ouvrez l’option de menu Astuces dans « Registry System Wizard », vous constaterez que vous pouvez créer un fichier REG ou un fichier ADM, puis ajouter d’autres paramètres au fichier créé à l’aide des commandes Ajouter une astuce à la liste des fichiers REG ou Ajouter une astuce à la liste des fichiers ADM. L’option de menu Créer un fichier ADM à partir de l’astuce actuelle ou l’option de menu Ajouter une astuce à la liste des fichiers ADM n’est toutefois pas disponible pour toutes les astuces. Cela est notamment dû au fait qu’avec un fichier de stratégie (fichier *.adm), seules les branches HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER peuvent être manipulées, mais pas les trois autres branches HKEY_CLASSES_ROOT, HKEY_USERS et HKEY_CURRENT_CONFIG.
Mais une fois que vous avez créé votre propre fichier ADM à l’aide de l’outil, vous pouvez ouvrir ce fichier ASCII avec n’importe quel éditeur, alors que les fichiers ADM originaux ne peuvent être ouverts et modifiés qu’avec des éditeurs spéciaux, comme le Bloc-notes par exemple. De plus, ces fichiers sont dans un format qui est facile à comprendre. Si vous « fouillez » régulièrement dans les magazines informatiques, les lettres d’information et les articles de la base de connaissances de Microsoft, vous recueillerez rapidement d’autres conseils sur le système d’exploitation Windows XP, sur Microsoft Office ou sur d’autres applications qui concernent les valeurs de registre dans les branches HKEY_LOCAL_MACHINE ou HKEY_CURRENT_USER. Si vous avez créé votre propre fichier ADM à l’aide de l’outil « Registry System Wizard » et que vous avez compris sa structure simple, il vous sera facile d’ajouter les clés de registre souhaitées à ce propre fichier ADM. Vous serez ainsi en mesure de contrôler toutes ces modifications de manière centralisée via l’Active Directory. Vous deviendrez ainsi rapidement un expert dans la création de vos propres fichiers de stratégie de groupe.
La structure des fichiers modèles pour les stratégies de groupe
Un fichier de stratégie de groupe très simple, qui ne contient que deux stratégies permettant d’activer ou de désactiver la fonction APIPA sous HKEY_LOCAL_MACHINE et la clé Persistent Connections sous HKEY_CURRENT_USER, se présente par exemple comme suit :
CLASS MACHINE
CATEGORY "Désactiver la fonction APIPA pour le fonctionnement DHCP".
KEYNAME "Système\CurrentControlSet\Services\TCPIP\Parameters".
POLICY "IpAutoConfigurationEnabled"
VALUENAME "IpAutoConfigurationEnabled"
ValueON NUMÉRIQUE "0"
ValueOff NUMERIC "1"
Part "Si aucun serveur DHCP n'est disponible au démarrage d'un ordinateur Windows XP
-est disponible, "Text End Part
Part "le client ... texte descriptif "Text End Part
FIN POLICY
FIN CATEGORY
CLASS USER
CATEGORY "Ne pas transférer les connexions réseau entre les sessions
enregistrer"
KEYNAME "Software\Microsoft\Windows NT\CurrentVersion
Network\Persistent Connections"
POLICY "SaveConnections" (Enregistrer les connexions)
VALUENAME "SaveConnections"
ValueON "YES"
ValueOFF "NO"
Part "Par défaut, cette fonction est activée.
Cela signifie que ... texte descriptif "Text End Part
END POLICY
END CATEGORY
Le schéma d’un fichier SMA est donc le suivant : Un fichier ADM se compose des deux catégories CLASS MACHINE et/ou CLASS USER. Toutes les directives qui se trouvent sous CLASS MACHINE apparaissent plus tard sous Configuration ordinateur – Modèles d’administration et entraînent des modifications dans la branche HKEY_LOCAL_MACHINE de la base de données du registre.
 |
|
Stratégie de groupe |
Toutes les stratégies placées sous CLASS USER apparaîtront plus tard sous Configuration utilisateur – Modèles d’administration et entraîneront des modifications dans la branche HKEY_CURRENT_USER de la base de registre.
Les catégories CLASS MACHINE et CLASS USER peuvent maintenant être à leur tour divisées en sous-catégories via l’expression CATEGORIE nom de la catégorie … END CATEGORY.
Vient ensuite le KEYNAME, qui indique la clé dans le registre dans laquelle se trouvent les VALUENAMES suivants. Viennent ensuite une ou plusieurs directives avec chacune un VALUENAME.
Chaque politique est introduite par le mot-clé POLICY et se termine par END POLICY. Les directives peuvent être accompagnées d’un texte descriptif. Chaque ligne du texte descriptif commence par Part et se termine par Text End Part. Toutefois, le texte descriptif peut également être regroupé dans une section séparée intitulée [Strings], tout à la fin du fichier ADM. Cette possibilité est décrite plus loin. Deux exemples de fichiers adm, WindowsExplorer.adm et ExchangeProvider.adm, se trouvent sur le DVD du livre.
Le schéma se présente donc comme suit :
CLASS MACHINE CATEGORY "première catégorie pour HKEY_LOCAL_MACHINE". KEYNAME "chemin d'accès au registre". POLICY "description de la première politique" VALUENAME "Nom de la valeur" ValueON NUMERIC "0" ValueOff NUMERIC "1" Part "texte descriptif "Text End Part Part "répartie sur plusieurs lignes "texte End Part END POLICY END CATEGORY CATEGORY "deuxième catégorie pour HKEY_LOCAL_MACHINE" KEYNAME "chemin d'accès au registre" POLICY "description de la politique" VALUENAME "Nom de la valeur" ValueON NUMERIC "0" ValueOff NUMERIC "1" Part "texte descriptif "Text End Part Part "répartie sur plusieurs lignes "texte End Part END POLICY FIN CATEGORY CLASS USER CATEGORY "première catégorie pour HKEY_CURRENT_USER" KEYNAME "chemin d'accès au registre" POLICY "description de la politique" VALUENAME "Nom de la valeur" ValueON NUMERIC "0" ValueOff NUMERIC "1" Part "texte descriptif "Text End Part Part "répartie sur plusieurs lignes "texte End Part END POLICY POLICY "Description de la directive suivante" VALUENAME "Nom de la valeur" ValueON NUMERIC "0" ValueOff NUMERIC "1" Part "texte descriptif "Text End Part Part "réparti sur plusieurs lignes "texte End Part END POLICY END CATEGORY
Les types de valeurs possibles pour ValueName peuvent être :
Valeurs REG_DWORD, ce sont des valeurs binaires avec des chiffres comme 0, 1, 2. Un exemple :
CLASS MACHINE
CATEGORY "Message d'avertissement lorsque le disque dur est plein".
KEYNAME "Système\CurrentControlSet\Services\LanmanServer\Parameters"
POLICY "Valeur : DiskSpaceThreshold"
PART "en pourcentage" Numeric Required
Min 0 Max 99
ValueName "Seuil d'espace disque"
Valeur par défaut "10".
END PART
END POLICY
END CATEGORY
CATEGORY "Désactiver la fonction APIPA pour le fonctionnement DHCP".
KEYNAME "Système\CurrentControlSet\Services\TCPIP\Parameters".
POLICY "IpAutoConfigurationEnabled"
VALUENAME "IpAutoConfigurationEnabled"
ValueON NUMÉRIQUE "0"
ValueOff NUMERIC "1".
END POLICY
END CATEGORY
Les valeurs REG_SZ, qui sont des valeurs de chaîne de caractères comme les programmes C:\. En voici un exemple :
CLASS MACHINE CATEGORY "Modifier le chemin d'installation par défaut des applications". KEYNAME "Software\Microsoft\Windows\CurrentVersion" POLICY "ProgramFilesDir" ValueON "" ValueOff "" PART "Chemin d'accès :" EDITTEXT VALUENAME "ProgramFilesDir" DEFAULT "C:\Programmes" END PART END POLICY END CATEGORY
Les valeurs REG_EXPAND_SZ, ce sont des valeurs qui sont résolues au moyen de contenus de variables au moment de l’exécution. En voici un exemple :
CLASS MACHINE CATEGORY "Modifier le chemin d'installation par défaut". KEYNAME "Software\Microsoft\Windows\CurrentVersion" POLICY "ProgramFilesPath" Part "Chemin :" EDITTEXT VALUENAME "ProgramFilesPath" DEFAULT "%ProgramFiles%" REQUIRED #if VERSION >= 2 EXPANDABLETEXT #endif END PART END POLICY END CATEGORY
Les valeurs REG_EXPAND_SZ n’ont été supportées qu’à partir de Windows 2000. C’est pourquoi vous trouvez dans l’exemple ci-dessus la requête #if VERSION >= 2 EXPANDABLETEXT #endif. L’indication d’une valeur DEFAULT, telle que vous la trouvez dans les exemples ci-dessus, n’est pas obligatoire.
Vous pouvez toutefois utiliser un autre format, dans lequel les textes descriptifs sont regroupés dans une section séparée [strings] à la fin du fichier modèle, au lieu d’apparaître directement dans la section Policy correspondante. Le nom de la politique(POLICY ! !) et le texte descriptif(EXPLAIN ! !) sont alors référencés par deux points d’appel introductifs. Le nom de la directive et le texte descriptif se trouvent alors tous deux dans la section [Strings]. Dans le texte descriptif, les retours à la ligne peuvent être indiqués par \n (un retour à la ligne) ou \n\n (deux retours à la ligne).
Un extrait du fichier WindowsExplorer.adm sur le DVD du livre illustre ce format :
CLASS USER
CATEGORY "Explorateur Microsoft".
CATEGORY "Affichage".
POLICY !Options d'affichage pour toutes les mémoires de dossiers
KEYNAME "Logiciel\Microsoft\Windows\".
CurrentVersion\Explorer\Advanced".
EXPLAIN !Options d'affichage pour tous les magasins de dossiers_Explain
VALUENAME "ClassicViewState"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
POLICY !Affichage des extensions de fichiers
KEYNAME "Logiciel\Microsoft\Windows\
CurrentVersion\Explorer\Advanced"
EXPLAIN ! !!Annonces d'extension de fichier_Explain
VALUENAME "HideFileExt"
VALUEON NUMERIC 0
VALUEOFF NUMERIC 1
END POLICY
POLICY !Cacher les fichiers système protégés
KEYNAME "Logiciel\Microsoft\Windows\".
CurrentVersion\Explorer\Advanced"
EXPLAIN !!!masquer_explain les fichiers système protégés
VALUENAME "ShowSuperHidden"
VALUEON NUMERIC 0
VALUEOFF NUMERIC 1
END POLICY
END CATEGORY ; "Vue"
END CATEGORY ; "Microsoft Explorer"
[strings]
Options d'affichagefueralleOrdnerspeicher="options d'affichage réglées
.appliquer les options d'affichage à tous les dossiers"
Options de vuepourtouteslesdossiers_Explain="Lorsque cette option est activée
est activée, les paramètres définis dans un dossier sont conservés
dossier sont appliqués à chaque dossier.
Il est judicieux de l'activer.
\n\nSice paramètre est désactivé, les paramètres ne sont pas enregistrés pour chaque dossier, mais uniquement pour le dossier actuel."
Afficher l'extension de fichier="Afficher l'extension de fichier même pour les
afficher les types de fichiers connus"
Afficher_explication_extension_de_fichier="Lorsque ce paramètre est activé, l'extension de fichier est affichée.
est activé, toutes les extensions des fichiers sont affichées.
Même les extensions telles que doc, xls, exe et com sont à nouveau affichées.
Il est judicieux d'activer cette directive.
\n\nSice paramètre est désactivé, les extensions de fichiers sont masquées pour les types de fichiers connus.
sont masqués".
Notez que la fin d’une catégorie est indiquée par l’expression END CATEGORY. Si un fichier ADM contient de nombreuses catégories et que celles-ci sont en outre imbriquées les unes dans les autres, l’expression END CATEGORY doit être complétée par un texte de commentaire introduit par un point-virgule (par exemple END CATEGORY ; nom de la catégorie). Si le nom d’une catégorie est composé de plusieurs mots, il doit être placé entre guillemets.
Les fichiers ADM fournis par Microsoft ont des formats différents. Les fichiers ADM de Microsoft Office, qui ne sont pas fournis avec la version d’Office mais qui se trouvent dans le répertoire C:\Windows\Inf après l’installation du kit de ressources Office correspondant, peuvent être ouverts avec n’importe quel éditeur. Leur format est le même que celui que vous voyez lorsque vous créez votre propre fichier ADM à l’aide de « Registry System Wizard ». Malheureusement, les fichiers ADM de Microsoft Office ne contiennent pas de textes explicatifs pour les différentes directives, de sorte que l’on ne peut souvent que deviner ce qu’elles font.
Dans les fichiers ADM fournis avec Windows 2000 ou Windows XP, les textes descriptifs des différentes directives se trouvent à la toute fin du fichier ADM, dans une section spéciale intitulée [Strings].
Remarque importante: ne modifiez pas les fichiers ADM originaux de Microsoft. Si un nouveau Service Pack est publié à un moment donné, il est possible qu’il contienne également de nouveaux fichiers ADM. Si vous installez le Service Pack, il se peut que les modifications que vous avez apportées soient perdues ou que vous deviez les intégrer péniblement dans les nouveaux fichiers ADM du Service Pack afin de pouvoir profiter des améliorations des nouveaux fichiers ADM et de ne pas perdre vos adaptations en même temps.
Créez plutôt vos propres fichiers ADM avec des noms parlants. Testez soigneusement vos propres fichiers ADM dans un domaine de test. Copiez ces fichiers sur l’un des contrôleurs de domaine dans le répertoire %SystemRoot%\Ninf et ajoutez les fichiers ADM que vous avez créés.
Si vous souhaitez savoir quelle clé de registre une stratégie d’un des fichiers modèles fournis par Microsoft avec le système d’exploitation modifie, notez le nom de la stratégie ou le texte descriptif, ouvrez le fichier ADM correspondant avec Notepad.exe et recherchez le nom ou le texte descriptif de la stratégie. Vous le trouverez alors quelque part dans la section [Strings]. À l’endroit où vous l’avez trouvé, allez au début de la ligne et notez la valeur avant le signe égal. Parcourez ensuite le fichier ADM en commençant par le début et en recherchant la valeur que vous avez notée. Vous trouverez une ligne commençant par POLICY !valeur notée et, juste en dessous, KEYNAME et VALUENAME. Il ne vous reste plus qu’à vérifier si ce KEYNAME se trouve sous CLASS MACHINE ou CLASS USER pour savoir si la valeur se trouve dans la branche HKEY_LOCAL_MACHINE ou HKEY_CURRENT_USER de la base de registre.
Utiliser le fichier de stratégie de groupe « WindowsXP-HLM » que l’on a créé soi-même
Sur le DVD joint au livre, vous trouverez deux fichiers ADM intitulés WindowsXP-HLM.ADM et WindowsXP-HCU.ADM, qui permettent d’effectuer d’autres réglages intéressants dans le registre de Windows XP.
Le fichier de stratégie de groupe WindowsXP-HLM.ADM n’effectue des modifications que dans la branche HKEY_LOCAL_MACHINE de la base de données du registre. C’est pourquoi les trois lettres HLM ont été utilisées dans le nom du fichier. Vous pouvez appliquer ce fichier modèle à l’unité d’organisation Ordinateur.
Le fichier de stratégie de groupe WindowsXP-HCU.ADM ne modifie que la branche HKEY_CURRENT_USER de la base de registre. C’est pourquoi les trois lettres HCU ont été utilisées dans le nom du fichier. Vous pouvez appliquer ce fichier modèle à l’unité d’organisation Utilisateurs.
Copiez les deux fichiers dans le répertoire C:\Windows\inf du contrôleur de domaine. Ensuite, dans l’unité d’organisation Ordinateurs, ouvrez la stratégie de groupe Ordinateurs XP par défaut, cliquez avec le bouton droit de la souris sur Modèles d’administration dans la catégorie Configuration de l’ordinateur et sélectionnez Ajouter/Supprimer des modèles, puis cliquez à nouveau sur Ajouter dans la fenêtre Ajouter/Supprimer des modèles. Ajoutez le modèle WindowsXP-HLM.
Vous devriez maintenant voir une nouvelle catégorie intitulée Stratégies Windows XP créées par l’utilisateur pour le répertoire de stockage HKEY_LOCAL_MACHINE. Dans le jargon Microsoft, les principales branches de la base de données du Registre sont appelées « Ruches ».
Sous Windows Server 2003, si vous placez la souris sur Modèles administratifs et que l’option Afficher uniquement les paramètres de stratégie entièrement gérables n’est pas désactivée sous Affichage – Filtrage, vous ne verrez pas les stratégies individuelles et ne pourrez pas les configurer ! Sous Windows 2000 Server, vous devez désactiver l’option Afficher uniquement les stratégies directement sous Affichage.
 |
|
Filtrer |
Remarque importante: si le curseur de la souris se trouve au-dessus de Modèles administratifs, vous ne verrez pas l’option Filtrage... sous Affichage, mais Options DC. Placez d’abord la souris sur Modèles administratifs avant de sélectionner l’option de menu Affichage.
Vraies et fausses stratégies de groupe
Il existe deux types de stratégies, appelons-les les vraies et les fausses stratégies : Dans le cas des vraies stratégies, les modifications sont effectuées dans l’une des clés de registre suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows . version courante\Npolicies HKEY_CURRENT_USER\NSOFTWARE\Policies HKEY_CURRENT_USER\NSOFTWARE\NMicrosoft\NWindows CurrentVersion\policies
L’utilisateur n’a pas le droit de modifier les sous-clés et les valeurs de ces véritables stratégies et ne peut donc pas manipuler ces paramètres. Cependant, si vous créez par exemple vous-même un fichier ADM, vous pouvez également contrôler n’importe quelles autres clés et valeurs dans les branches HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER avec ces fichiers ADM, c’est-à-dire des valeurs qui ne se trouvent pas en dessous des clés mentionnées ci-dessus. L’utilisateur a toutefois le droit de modifier les valeurs qui se trouvent quelque part dans la clé HKEY_CURRENT_USER, à l’exception des clés mentionnées ci-dessus. Par conséquent, un utilisateur pourrait à nouveau modifier ces valeurs au moins pendant une session. Cependant, au plus tard lors de la connexion suivante, la fausse politique définie dans le fichier ADM que vous avez créé s’appliquerait à nouveau.
Si vous souhaitez modifier une stratégie de groupe via le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory et que vous avez chargé un fichier ADM avec des stratégies factices, vous ne verrez pas les stratégies factices par défaut.
 |
|
Les propres stratégies de groupe ne sont pas visibles |
Cause : sous Affichage – Filtrage, l’option Afficher uniquement les paramètres de stratégie entièrement gérables est activée par défaut. Placez la souris sur Modèles administratifs avant de sélectionner l’option de menu Affichage. Si la souris se trouve au-dessus, vous ne voyez pas l’option Filtrage... sous Affichage, mais les options DC! Ce n’est que lorsque vous désactivez l’option Afficher uniquement les paramètres de stratégie entièrement gérables que vous voyez également les fausses stratégies. Sous Windows 2000 Server, vous devez désactiver l’option Afficher uniquement les stratégies directement sous Affichage.
 |
|
Mes stratégies sont désormais visibles |
Le fichier de stratégie de groupe WindowsXP-HLM.ADM fourni avec le support de données permet de définir les stratégies suivantes :
Désactiverla fonction APIPA pour le fonctionnement DHCP
Si vous attribuez dynamiquement les adresses IP aux clients via un serveur DHCP, que le serveur DHCP tombe en panne et qu’aucun serveur DHCP de remplacement n’est disponible, le client devrait en fait conserver l’adresse DHCP attribuée pendant la durée de validité du bail. Si, par exemple, une durée de validité de 30 jours a été saisie dans les options du serveur DHCP et que le client s’est vu attribuer une nouvelle adresse IP pour la dernière fois il y a 10 jours, cette adresse IP sera encore valable pendant 20 jours.
Un ordinateur Windows 2000 Professional ne posera pas non plus de problème au démarrage si le seul serveur DHCP est momentanément indisponible pour une raison ou une autre. Cependant, les clients Windows XP oublient une adresse DHCP attribuée si la clé de registre IpAutoConfigurationEnabled sous HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TCPIP\Parameters n’est pas changée à 0.
Ce comportement est dû à la nouvelle fonction Automatic Private IP Adressing (APIPA), qui attribue automatiquement une adresse IP comprise entre 169.254.0.1 et 169.254.255.254 et un masque de sous-réseau de 255.255.0.0 lorsque le protocole TCP/IP est configuré pour l’adressage dynamique et qu’aucun serveur DHCP n’est disponible.
Vous pouvez facilement tester ce comportement en débranchant le câble réseau du client Windows XP et en vous connectant ensuite avec le profil mis en cache. Ouvrez l’invite de commande et entrez la commande ipconfig /all. Vous obtenez un message d’erreur, en tout cas pas comme adresse IP la dernière adresse attribuée par le serveur DHCP. Cependant, dès que vous avez changé la valeur de IpAutoConfigurationEnabled de 1 à 0 et que vous avez rebranché le câble réseau, vous pouvez entrer la commande ipconfig /renew puis ipconfig /all ou redémarrer l’ordinateur et vous connecter. Le client reçoit une nouvelle adresse IP du serveur DHCP. Si vous vous déconnectez maintenant, débranchez à nouveau le câble réseau, puis vous reconnectez et entrez à nouveau la commande ipconfig /all, vous constaterez que l’ordinateur possède toujours l’adresse IP attribuée par le serveur DHCP.
Afficher/masquer les options de connexion sous Windows
Si vous activez cette fonction, les options de connexion avancées s’affichent immédiatement au démarrage de l’ordinateur et il n’est pas nécessaire d’appuyer sur le bouton Options. Ceci est particulièrement utile si l’on doit régulièrement se connecter à différents domaines.
Désactiver la fonction Ctrl+Alt+Delete pour se connecter
Si vous activez cette fonction, les utilisateurs ne doivent plus appuyer sur la combinaison de touches[Ctrl]+[Alt]+[Suppr] pour se connecter. Toutefois, il s’agit également d’une petite faille de sécurité, car cette combinaison de touches permet de s’assurer qu’un éventuel pirate informatique encore connecté au système perde la connexion.
Chemin vers les fichiers d’installation et chemin vers les fichiers d’installation des applications
Si des composants doivent être installés ultérieurement sous Windows XP ou Windows 2000, le système d’exploitation recherche les chemins d’accès indiqués sous les valeurs clés suivantes :
Software\Microsoft\Windows NT\CurrentVersion : Chemin des sources Software\Microsoft\Windows\CurrentVersion\Setup : Chemin de la source Logiciel\Microsoft\Windows\CurrentVersion\Setup : Sources d'installation Logiciel\Microsoft\Windows\CurrentVersion\Setup : ServicePackSourcePath
Selon que vous avez installé le système d’exploitation à partir d’un CD ou d’un serveur RIS, ces clés contiennent alors des contenus tels que E :, E:\I386 ou \\S1\RemInst\Setup\German\IMAGES\WindowsXP. Vous devriez toutefois pouvoir adapter ces entrées de chemin si nécessaire. Dans le chapitre « Le script de connexion » (dans le livre), vous trouverez la section « Installer des logiciels à partir d’une archive logicielle centrale », dans laquelle il est expliqué pourquoi une archive logicielle doit être créée sur au moins un serveur de chaque site ou synchronisée entre ces différents serveurs et partagée, par exemple, sous le nom Install. Si, en outre, le script de connexion garantit que le même lecteur réseau est toujours connecté à l’archive logicielle du serveur de chaque site (p. ex. par la commande net use u : \\ServerA1\install sur le site A et par la commande net use u : \ServerB1\install à l’emplacement B), vous pouvez utiliser les deux directives Chemin vers les fichiers d’installation et Chemin vers les fichiers d’installation des applications pour changer les valeurs du registre à u:\WindowsXP. En supposant que sur chacun de ces serveurs d’archives de logiciels se trouve une installation administrative de Windows XP avec Service Pack intégré dans le répertoire WindowsXP sous le partage Install. Ainsi, les fichiers de pilotes à réinstaller sont toujours trouvés et vous ne devez plus vous rendre sur les ordinateurs avec les CD d’installation. Cela est particulièrement important si les ordinateurs ne disposent pas de lecteurs de CD intégrés.
Si vous avez installé le système d’exploitation Windows 2000 ou Windows XP à partir d’un serveur RIS, ces valeurs de registre contiendront un chemin tel que \\S1\RemInst\Setup\German\IMAGES\WindowsXP. Après l’installation des applications standard, vous tirerez plus tard une image complète et la placerez sur le serveur RIS. Si ce serveur s’appelle S1 et se trouve à l’emplacement A, mais qu’un ordinateur équipé de cette image complète se trouve plus tard à l’emplacement B, vous vous heurtez au problème suivant. Même si vous placez également un serveur RIS à l’emplacement B, si l’ordinateur tente de réinstaller un composant du système d’exploitation ou de Microsoft Office, il cherchera la source d’origine, se connectera probablement à la connexion WAN lente et téléchargera les pilotes nécessaires à partir du serveur à partir duquel Windows XP ou Microsoft Office a été installé à l’origine. Cependant, si vous utilisez toujours un sous-répertoire de l’allocation de lecteur fixe u : pour toutes les installations et que, par conséquent, tous les pilotes sont recherchés sous u:\NWindowsXP, u:\OfficeXP (ou u:\Office2003), etc. lors d’une post-installation, vous êtes assuré de toujours contacter le serveur d’archives logicielles sur place et non le serveur utilisé à l’origine comme source lors de la première installation.
Modifier leschemins d’installation par défaut
Vous trouverez trois autres directives dans le fichier WindowsXP-HLM.adm, dont vous n’aurez probablement pas besoin. Néanmoins, il est intéressant de savoir où est câblé dans la base de données du registre que le répertoire C:\Programmes est toujours proposé pour l’installation d’autres applications et que le répertoire C:\Programmes\Fichiers partagés est proposé pour les composants utilisés en commun.
Sous HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion, vous trouverez les clés ProgramFilesDir avec la valeur par défaut C:\Programme, ProgramFilesPath avec la valeur par défaut %ProgramFiles% et CommonFilesDir avec la valeur par défaut C:\Programme\Fichiers partagés. Vous y trouverez également la clé MediaPath avec la valeur par défaut C:\WINDOWS\NMedia. Si, pour une raison ou une autre, vous souhaitez un jour déplacer ces chemins, vous savez maintenant où chercher.
Désactiver le tour d’information
Si vous activez cette stratégie, pour un utilisateur nouvellement configuré, il ne sera plus demandé si la visite guidée de Windows XP doit être lancée lors de la première connexion sous Windows XP. Pour ce faire, la stratégie sous HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\Tour modifie la valeur de la clé RunCount de 1 à 0.
Message d’avertissement lorsque le disque dur est plein
Si moins de 10 % de la partition système de Windows XP est libre, l’utilisateur reçoit régulièrement un message d’avertissement et aucune autre application ne peut être installée tant que le nettoyage ou la désinstallation d’autres applications n’ont pas été effectués. Dans le cas d’une partition de 10 Go, cela signifie toutefois que malgré 1 Go d’espace libre, un manque d’espace est signalé. L’activation de la stratégie Message d’avertissement lorsque le disque dur est plein vous invite à saisir une valeur comprise entre 0 et 99, ce qui vous permet de réduire la valeur par défaut de 10 (c’est-à-dire 10 % de la partition). Cela permet de redéfinir la clé DiskSpaceThreshold sous HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters . Une valeur de 5 semble appropriée. Même pour une petite partition de 2 Go, 5 % représentent encore 100 mégaoctets d’espace libre. Avant de passer en dessous de cette valeur limite, un message d’avertissement serait exagéré.
Erreur système
Les stratégies de la catégorie vous permettent de contrôler de manière centralisée, pour tous les ordinateurs de l’unité d’organisation Ordinateurs, les paramètres de Windows XP qui déterminent le comportement en cas de panne du système. Si vous lancez le Panneau de configuration dans Windows XP via Démarrer – Paramètres – Panneau de configuration – Système, que vous sélectionnez l’onglet Avancé et que vous cliquez sur le bouton Paramètres dans la section inférieure Démarrage et restauration, vous y trouverez les mêmes possibilités de paramétrage. La catégorie Erreurs système a les directives suivantes :
- Enregistrer l’événement dans le journal système
- Message d’avertissement de l’administrateur émis en cas de plantage du système
- Redémarrer automatiquement en cas de plantage du système
- Enregistrer les informations de débogage
- Indique l’emplacement et le fichier où le journal d’erreurs doit être enregistré
- Détermine si un fichier journal peut être écrasé
Je vous propose d’activer toutes les stratégies et de ne désactiver que la stratégie Enregistrer les informations de débogage. En effet, si la stratégie Enregistrer les informations de débogage est activée, une image mémoire d’au moins 64 Ko est créée dans C:\NWindows en cas de panne du système. Ce processus nécessite du temps et de la mémoire. Toutefois, si vous n’êtes pas en mesure d’interpréter cette image mémoire (et seuls les experts du service technique de Microsoft peuvent souvent le faire), cette image ne vous sera d’aucune utilité. Si un ordinateur Windows XP se bloque régulièrement, vous le remplacerez d’une manière ou d’une autre et vous l’examinerez tranquillement sous toutes les coutures.
Modifier lenom d’utilisateur RegisteredOwner et le nom d’organisation RegisteredOrganization
Supposons que vous ayez installé l’image RIPrep de Windows XP avec toutes les applications standard sur de nombreux ordinateurs du siège social et de quelques filiales, et que soudain votre entreprise fusionne et change de nom. Ou supposons que vous souhaitiez utiliser la même image complète pour différentes filiales, mais que celles-ci portent des noms d’entreprise différents. Autre exemple : imaginez que lors de l’installation de Windows XP sur l’ordinateur modèle, vous avez saisi un nom spécifique tel que « Administrateur système », mais que vous souhaitiez changer ce nom après avoir déployé l’image complète sur tous les ordinateurs.
Avec les deux directives Modifier le nom d’utilisateur RegisteredOwner et Modifier le nom d’organisation RegisteredOrganization, cela se fait très confortablement depuis votre poste de travail. Ces directives modifient sous HKEY_LOCAL_MACHINE\Software\Microsoft\NWindows NT\NCurrentVersion les clés RegisteredOrganization et RegisteredOwner.
Détecter automatiquementla fonction« Wheel-Mouse
Si un ordinateur sur lequel est installée une souris sans roue est installé avec Windows XP et qu’une souris avec roue (Wheels Mouse) est connectée ultérieurement, la roue ne fonctionne pas. Ce n’est que lorsque la clé sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters de la clé DWord EnableWheelDetection est créée et mise à 1, que la roue est reconnue et fonctionne ensuite.
Utiliser le fichier de stratégie de groupe « WindowsXP-HCU » que nous avons créé nous-mêmes
Dans le dernier sous-chapitre, nous avons expliqué comment appliquer la stratégie de groupe basée sur le modèle WindowsXP-HLM.ADM à l’unité d’organisation Ordinateurs. Nous allons maintenant nous pencher sur la stratégie de groupe WindowsXP-HCU, qui ne modifie que la branche HKEY_CURRENT_USER et doit être appliquée à l’unité d’organisation Utilisateurs. Sur le DVD du livre, vous trouverez le fichier modèle WindowsXP-HCU.ADM. Copiez ce fichier dans le répertoire C:\Windows\inf du contrôleur de domaine. Ensuite, dans l’OU Utilisateurs, ouvrez la stratégie de groupe Utilisateurs XP par défaut, cliquez avec le bouton droit de la souris sur Modèles d’administration dans la catégorie Configuration utilisateur, sélectionnez Ajouter/Supprimer des modèles et ajoutez le modèle WindowsXP-HCU.
Vous devriez maintenant voir une nouvelle catégorie intitulée Stratégies Windows XP créées par l’utilisateur pour le répertoire de stockage HKEY_CURRENT_USER. Si vous n’avez pas désactivé l’option Afficher uniquement les paramètres de stratégie entièrement gérables sous Affichage – Filtrage, vous ne verrez pas les stratégies individuelles et ne pourrez pas les configurer !
 |
|
Personnaliser le filtre |
Remarque importante: si le curseur de la souris se trouve au-dessus des Modèles administratifs, vous ne verrez pas l’option Filtrage... sous Affichage, mais les options DC. Placez d’abord la souris sur Modèles administratifs avant de sélectionner l’option de menu Affichage.
 |
|
Propres directives |
Le fichier modèle de stratégie de groupe chargé propose les stratégies suivantes pour la configuration :
Désactiver l’animation des fenêtres lors de la réduction/maximisation
Lorsque vous réduisez ou maximisez la taille d’une fenêtre d’une application, cette opération est, par défaut, inutilement retardée par une petite animation. Vous voyez comment la fenêtre s’agrandit ou se réduit. En désactivant la fonction d’animation, la clé MinAnimate passe de 1 à 0 sous HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics . Cependant, comme pour certaines autres modifications de la clé de registre, il se peut que vous ne remarquiez les effets qu’après la prochaine ouverture de session ou même après le prochain redémarrage. Les fenêtres d’application sont alors réduites ou agrandies sans aucun délai.
Désactiver la vérification de l’espace disque
Windows XP vérifie automatiquement l’espace disponible sur le disque dur. Si la taille de l’espace libre est inférieure à un certain seuil, vous en êtes averti par le message« Très peu d’espace – faut-il nettoyer la partition? Si vous activez cette stratégie, sous HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, la clé NoLowDiskSpaceChecks passe de 0 à 1 et le message ne s’affichera plus à l’avenir. Le seuil d’espace libre défini par défaut est de 10 % de la partition de Windows XP. Elle peut être définie sur une valeur comprise entre 0 et 99 (voir la stratégie « Message d’avertissement lorsque le disque dur est plein » créée par l’utilisateur dans le fichier WindowsXP-HLM.ADM de la section précédente) à l’aide de la clé DiskSpaceThreshold sous HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters.
Je suggère soit d’activer cette clé et de désactiver ainsi complètement le message d’avertissement, soit d’abaisser la valeur par défaut du seuil de 10 à 5. Si vous placez des images complètes avec toutes les applications standard sur les disques durs des ordinateurs, il est probable que seules quelques applications doivent encore être ajoutées. Si vous créez des partitions de 10 gigaoctets comme partitions système et que vous ne modifiez rien aux clés, l’utilisateur recevrait un message d’avertissement dès que 10 % de 10 gigaoctets, c’est-à-dire 1 gigaoctet d’espace libre, ne seraient plus atteints. Cette valeur seuil me semble très élevée.
Souris : placer automatiquement le curseur de la souris sur le bouton par défaut
Si vous activez cette fonction, Windows place toujours automatiquement le curseur de la souris sur le bouton par défaut de l’application concernée. Grâce à cette stratégie, sous HKEY_CURRENT_USER\Control Panel\Mouse , la clé SnapToDefaultButton prend la valeur 1. Sous Windows XP, vous pouvez effectuer ce réglage manuellement via Panneau de configuration – Souris dans l’onglet Mouvement.
 |
|
Personnaliser la souris |
Enregistrer/ne pas enregistrer les connexions réseau entre les sessions
La désactivation de cette stratégie modifie, sous HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\NNetwork\Pesistent Connections, la valeur de la clé Save Connections de Yes à No. Par défaut, sous Windows XP, cette fonction est activée. Cela signifie que la création de connexions réseau est enregistrée et qu’au redémarrage de l’ordinateur, le système tente automatiquement de rétablir cette connexion. Cela peut entraîner des messages d’erreur inutiles, en particulier sur les ordinateurs portables qui ne sont pas toujours connectés au réseau. Comme vous souhaitez par la suite procéder à l’affectation des lecteurs de manière dynamique via le script de connexion, il serait en outre gênant que certaines lettres de lecteur soient déjà occupées lors de la connexion de l’utilisateur et que l’affectation via le script de connexion entraîne alors des erreurs. Par conséquent, définissez cette stratégie sur désactivée.
Définir les chemins d’accès aux dossiers et à l’archivage des documents
Vous n’utiliserez probablement pas cette stratégie, car vous déplacez les dossiers Mes documents, Mes images et Bureau sur le serveur via la stratégie Redirection des dossiers et en configurant des profils d’utilisateurs enregistrés sur le serveur. Néanmoins, il est intéressant et, dans des situations particulières, utile et important de savoir où, dans la base de registre, les chemins d’accès à certains répertoires sont définis et peuvent être manipulés.
Sous HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders se trouvent les clés suivantes :
| Start Menu | My Pictures | Personal | Bureau |
| AppData | NetHood | Programmes | Récents |
| SendTo | Démarrage | Modèles | Paramètres locaux |
| Cache | Cookies | Historique | Favoris |
| LocalAppData |
Les chemins d’accès des dossiers personnels de l’utilisateur peuvent être manipulés ici. Sous HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, vous trouverez également des clés et des chemins d’accès associés qui concernent l’emplacement du menu Démarrer et des sous-menus de All Users.
Menu de démarrage : Accélérer l’ouverture du menu Démarrer
Cette directive devrait permettre de désactiver ou au moins de réduire le délai d’ouverture des sous-menus du menu Démarrer en saisissant 0 ou 100 millisecondes comme valeur. La valeur par défaut de la clé correspondante MenuShowDelay sous HKEY_CURRENT_USER\NControl Panel\NDesktop est de 400 millisecondes.
C’est étrange : Windows XP est en concurrence avec d’autres systèmes d’exploitation comme Linux, et le fabricant intègre par défaut des retards qui peuvent donner à l’utilisateur l’impression que le système d’exploitation est lent et a besoin d’une demi-seconde de temps de calcul juste pour ouvrir un sous-menu. Quel utilisateur, qui veut en fait écrire des textes et travailler avec Internet, voudra lire tous les conseils sur Windows XP et ensuite faire des expériences dans la base de données du registre pour désactiver toutes les animations et les retards intégrés inutiles, afin de ne pas ralentir inutilement le matériel payé à prix fort ?
Menu de démarrage : Activer le dépliage du menu Démarrer pour d’autres fonctions également
Sous HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, vous trouverez quelques clés qui sont réglées par défaut sur No. Si le menu de démarrage est réglé sur la présentation classique – la présentation comme sous Windows 2000 – et que vous sélectionnez le bouton Personnaliser, vous verrez que des options importantes sont désactivées par défaut :
- « Développer l’imprimante ».
- Ouvrir « Mes images ».
- Développer « Mes fichiers ».
- Afficher la fermeture de session
- Défilement pour les programmes
- afficher les favoris
- afficher de petites icônes dans le menu de démarrage
- étendre les connexions réseau
- ouvrir le panneau de configuration
- afficher l’administration
Même pour l’administrateur, ces sous-menus ne sont donc pas visibles avant qu’il ne procède aux réglages nécessaires. Mais il est également plus pratique pour l’utilisateur standard, par exemple, que les icônes du Panneau de configuration qui lui sont accessibles s’ouvrent sous forme de sous-menus dans le menu Démarrer au lieu d’apparaître comme des fenêtres distinctes qu’il faut ensuite refermer. Les clés sous HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced sont à attribuer comme suit :
| StartMenuAdminTools | Afficher l’administration |
| CascadeMyDocuments | Ouvrir « Mes documents ». |
| CascadeMyPictures | « Ouvrir mes images ». |
| CascadeControlPanel | Ouvrir le panneau de configuration |
| CascadeNetworkConnections | Étendre les connexions réseau |
| CascadePrinters | Développer les imprimantes |
Activez toutes les stratégies si vous souhaitez que le sous-menu Administration s’affiche et que les éléments de menu Mes documents, Mes images, Panneau de configuration, Connexions réseau et Imprimantes se développent en tant que sous-menus et non en tant que nouvelles fenêtres.
Menu de démarrage : Désactiver le masquage des éléments de menu rarement utilisés
Cette stratégie contrôle la clé IntelliMenus sous HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced. Lorsque cette fonction est activée, les éléments de menu rarement utilisés sont masqués dans le menu de démarrage. Si vous et vos utilisateurs trouvez que le masquage des éléments de menu rarement utilisés est plutôt gênant, désactivez cette directive. Ensuite, tous les éléments de menu disponibles seront toujours affichés immédiatement. La clé IntelliMenus avec l’option Utiliser les menus personnalisés est identique.
Menu de démarrage : Supprimer les paramètres de la barre des tâches du menu Démarrer
En activant cette stratégie, vous pouvez empêcher l’utilisateur standard d’accéder aux propriétés de la barre des tâches et de les modifier en cliquant sur la barre des tâches avec le bouton droit de la souris. En activant la stratégie, vous définissez la clé NoSetTaskbar sous HKEY_CURRENT_USER\Sofware\Microsoft\Windows\CurrentVersion\Policies\Explorer sur 1.
Menu de démarrage : Afficher/ne pas afficher les favoris dans le menu Démarrer
Si l’utilisateur peut déjà créer et modifier des favoris dans son dossier dans Internet Explorer ou dans Word via la commande Ouvrir un fichier, le contenu du dossier Favoris devrait également être disponible confortablement dans le menu Démarrer. Activez donc cette stratégie et définissez ainsi la clé StartMenuFavorites dans le registre sous HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced à 1.
Effectuer une recherche : Désactiver l’assistant dans la fonction de recherche
À partir de Windows XP, Microsoft a introduit un assistant dans la fonction de recherche. Avant de lancer la recherche, il vous est demandé ce que vous souhaitez rechercher, puis Windows effectue automatiquement les réglages pour la recherche. Mais ceux qui connaissaient bien l’ancienne fonction de recherche trouvent cela plutôt compliqué et préfèrent retrouver l’ancien affichage de recherche. Si vous souhaitez désactiver l’assistant pour la fonction de recherche pour tous les utilisateurs standard, activez cette directive. La clé correspondante Use Search Asst se trouve dans le registre sous HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState.
Désactiver les haut-parleurs du système
Dans un bureau où plusieurs personnes travaillent, il est gênant que le haut-parleur système de l’ordinateur émette un son à chaque erreur de manipulation. Vous pouvez désactiver de manière centralisée les haut-parleurs système de tous les clients pour l’utilisateur standard en désactivant les deux points Beep et Extended Sounds dans cette stratégie. Ainsi, sous HKEY_CURRENT_USER\Control Panel\Sound, les deux clés Beep et ExtendedSounds passent à NO. Une astuce vraiment utile si l’on ne veut pas dévisser chaque ordinateur et débrancher le câble du haut-parleur interne.
Gestionnaire des tâches : désactiver les boutons dans la boîte de sécurité
Sous Gestionnaire des tâches : désactiver les boutons dans la boîte de sécurité, vous pouvez masquer le bouton Verrouiller l’ordinateur avec le point DisableLockWorkstation, masquer le bouton Changer le mot de passe avec le point DisableChangePassword et masquer le bouton Gestionnaire des tâches avec le point DisableTaskMgr. L’utilisateur voit ces boutons lorsqu’il appuie sur les touches[Ctrl]+[Alt]+[Suppr] et ouvre ainsi la fenêtre Sécurité de Windows.
Vous ne devriez pas activer ces stratégies pour l’utilisateur standard, car l’utilisateur doit pouvoir à la fois « modifier son mot de passe » et « verrouiller l’ordinateur », par exemple lorsqu’il quitte brièvement la pièce. Vous pouvez toutefois utiliser le fichier de stratégie WindowsXP-HCU.ADM pour une unité d’organisation spécifique, afin de limiter davantage les possibilités de manipulation, par exemple pour les postes informatiques du kiosque. Pensez aux ordinateurs destinés aux visiteurs, au démarrage desquels un identifiant spécifique est automatiquement déclaré et une application spécifique, comme un système de renseignements, est lancée.
Les clés correspondantes s’appellent DisableLockWorkstation, DisableChangePassword et DisableTaskMgr et se trouvent sous HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System dans le registre.
Mises à jour : configurer l’acquisition automatique de licences pour le lecteur multimédia
Activez cette stratégie si vous ne souhaitez plus que les licences soient acquises automatiquement lors de l’exécution de Windows Media Player. La clé concernée par la stratégie s’appelle SilentAcquisition et se trouve sous HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences dans le registre.
Mises à jour : empêcher le téléchargement automatique de codecs pour le lecteur multimédia
Activez cette stratégie si, dans l’application Windows Media Player, les codecs prétendument nécessaires ne doivent plus être téléchargés automatiquement depuis Internet. La clé concernée par la stratégie s’appelle UpgradeCodecPrompt et se trouve sous HKEY_CURRENT _USER\Software\Microsoft\MediaPlayer\Preferences dans le registre.
Enregistrer les raccourcis avec des chemins relatifs
Activez cette stratégie pour que lors de l’enregistrement d’un nouveau raccourci créé qui renvoie à un objet du disque dur local, les indications de chemin UNC ne soient pas enregistrées, mais uniquement les indications de chemin relatif. Ainsi, par exemple, C:\Windows\system32\notepad.exe au lieu de \\musterpc\windows\system32\notepad.exe. En effet, si ce raccourci est enregistré sur le serveur et que l’on se connecte à un autre ordinateur et que l’on lance le raccourci, le système tentera de lancer une connexion avec l’ordinateur d’origine au lieu de charger le fichier notepad.exe depuis C:\Windows\system32. La clé concernée par la directive s’appelle LinkResolveIgnoreLinkInfo et se trouve sous HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer dans le registre.
Remarque importante: cette modification est particulièrement importante pour le client modèle à partir duquel des images sont créées.
Effets visuels : les désactiver tous, adapter le système pour des performances optimales
Activez cette stratégie pour que dans Windows XP, sous Panneau de configuration – Système, dans l’onglet Avancé, sous Performances du système – Paramètres , l’onglet Effets visuels passe à Ajuster pour des performances optimales.
 |
|
Adapter automatiquement l’affichage aux performances |
Cela permet de désactiver toutes les animations qui pèsent sur les performances du système. Par défaut, cette option est réglée sur Sélectionner automatiquement le réglage optimal. L’activation de la stratégie fait passer de 0 à 2 la clé VisualFXSetting située sous HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects. Sur les postes de travail informatiques d’une entreprise, ce n’est pas la diversité des effets du système d’exploitation qui compte, mais la performance des applications critiques pour l’entreprise, n’est-ce pas ?
Définir les serveurs proxy et les ports
Cette stratégie vous permet de définir l’adresse IP et le numéro de port pour un serveur proxy dans Microsoft Internet Explorer. Vous définissez ainsi la clé ProxyServer dans la base de données du registre sous HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings.
Répertoire de stockage par défaut de pdfMachine
Cette politique et les deux politiques suivantes définissent des valeurs de base de registre pour les produits tiers. Le pdfMachine de www.broadgun.de permet de créer confortablement des documents PDF à partir de n’importe quelle application et de les assembler à volonté. La directive définit où doit se trouver le lieu de stockage par défaut de ces documents PDF.
Ne pas mettre à jour automatiquement Adobe Reader
Cette stratégie vous permet de définir que chaque client du réseau avec Acobe Reader installé n’essaie pas de télécharger une mise à jour depuis Internet tous les 30 jours.
Ne pas afficher l’image d’ouverture d’Adobe Reader
Le démarrage d’Adobe Reader prend beaucoup de temps parce que de nombreux plugins sont chargés et que l’écran d’ouverture l’affiche. Cette stratégie permet de désactiver l’affichage de l’écran d’ouverture et d’accélérer le démarrage d’Adobe Reader.
Utiliser le fichier de stratégie de groupe « Explorateur Windows » que vous avez créé vous-même
Vous trouverez sur le DVD du livre le fichier modèle WindowsExplorer.adm. Ce fichier modèle de stratégie de groupe complète les stratégies pour l’Explorateur Windows que les modèles de stratégie de groupe Windows XP fournis par Microsoft ne proposent pas.
 |
|
WindowsExplorer.adm |
Vous pouvez charger et configurer ce fichier modèle une fois pour l’utilisateur standard, mais pour les power users, vous pouvez charger le fichier une deuxième fois sous un autre nom ADM et configurer différemment les différentes stratégies. Un utilisateur standard ne doit probablement pas pouvoir voir les fichiers protégés tels que les fichiers situés à la racine de la partition système(config.sys, ntdetect.com, etc.), ni le contenu des dossiers système tels que C:\Windows. Les collaborateurs du service d’assistance doivent pouvoir voir ces fichiers et répertoires afin de pouvoir enquêter sur les erreurs. Pour ces deux types d’utilisateurs, les stratégies devraient toutefois reprendre les options d’affichage définies pour tous les dossiers et afficher les extensions de fichiers également pour les types de fichiers connus, afin que les options d’affichage ne doivent pas être définies séparément dans chaque dossier et que les extensions doc ou xls soient ainsi affichées pour les fichiers Word ou Excel, par exemple.
Les directives du fichier modèle WindowsExplorer.adm permettent de manipuler les valeurs de registre suivantes :
Masquer l’extension pour les types de fichiers connus :
HKCU\Software\Microsoft\Windows\CurrentVersion\ .Explorer\Advanced\HideFileExt 0=enable 1=disable
Masquer les fichiers système protégés :
HKCU\Software\Microsoft\Windows\CurrentVersion\ .Explorer\Advanced\ShowSuperHidden 0=enable 1=disable
Afficher le contenu des dossiers système :
HKCU\Software\Microsoft\Windows\CurrentVersion\ .Explorer\Advanced\WebViewBarricade 1=enable 0=disable
Afficher le fichier NTFS crypté et compressé dans une autre couleur :
HKCU\Software\Microsoft\Windows\CurrentVersion\ .Explorer\Advanced\ShowCompColor 1=enable 0=disable
Fichiers et dossiers cachés : afficher tous les fichiers et dossiers :
HKCU\Software\Microsoft\Windows\CurrentVersion\ .Explorer\Advanced\Hidden 1=tous les fichiers 2=cacher les fichiers cachés
Afficher le chemin complet dans la barre de titre
HKCU\Software\Microsoft\Windows\CurrentVersion\ .Explorer\CabinetState\FullPath 1=enable 0=disable
Afficher le chemin complet dans la barre d’adresse :
HKCU\Software\Microsoft\Windows\CurrentVersion\ .Explorer\CabinetState\FullPath_Address 1=enable 0=disable
Utiliser le fichier de stratégie de groupe « ExchangeProvider » que vous avez créé vous-même
Vous trouverez sur le DVD du livre un autre fichier modèle de stratégie de groupe appelé ExchangeProvider.adm. Ce fichier ADM fournit une solution à un problème qui peut survenir lorsque vous avez placé plusieurs contrôleurs de domaine à différents endroits, que vous avez attribué à ces contrôleurs de domaine la fonction de serveur de catalogue global, mais que vous n’utilisez qu’un seul serveur Exchange central pour tous les sites. Le problème et les solutions sont décrits dans les articles suivants de la base de connaissances Microsoft :
KB272290 – OL2000 Outlook Performs Load Balancing with Global Catalog Servers (L’équilibrage de charge avec les serveurs de catalogue globaux)
KB319206 – OL2002 Comment configurer Outlook pour un serveur de catalogue global spécifique ou …
KB317209 – XADM Comment identifier votre serveur de catalogue global en utilisant Outlook 2000 et Outlook 2002
Même si ce problème ne peut pas survenir dans votre réseau, parce que vous n’avez qu’un seul site ou que vous utilisez Exchange Server sur tous les sites, vous devriez continuer à lire maintenant et examiner la structure de ce fichier modèle. Car ce fichier ADM offre une solution de principe à d’autres problèmes. Avec le même principe, vous pouvez par exemple attribuer à tous les ordinateurs d’un site ou à tous les utilisateurs d’un site une certaine clé de registre et une valeur de registre à partir d’un point central et les modifier dynamiquement lorsque l’ordinateur ou l’utilisateur change de site. Vous pouvez ensuite interroger à nouveau cette valeur de registre attribuée à un autre endroit (par exemple dans le script de connexion) et lancer des actions qui dépendent par exemple du site.
L’article 319206 de la KB décrit le problème suivant : lorsqu’un nouvel employé démarre MS Outlook 2002 pour la première fois et se connecte à son serveur Exchange, l’ordinateur recherche un serveur de catalogue global disponible et écrit son nom dans la clé de registre HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows MessagingSubsystem\Profiles\Outlook\dca740c8c042101ab4b908002b2fe182.
Si ce serveur de catalogue global tombe temporairement en panne ou est remplacé par un autre serveur avec un autre nom, le nouveau serveur de catalogue global le plus proche n’est pas forcément utilisé automatiquement. L’administrateur peut cependant réattribuer un serveur de catalogue global à chaque utilisateur en fonction de son emplacement via une nouvelle clé à créer HKEY_CURRENT_USER\Software\Microsoft\Exchange\Exchange Provider\DS Server.
 |
|
Réaffecter un serveur de catalogue global à DS Server |
Si vous aviez par exemple créé une unité d’organisation pour chacun des sites Aix-la-Chapelle, Bielefeld, Dortmund, Essen et Cologne de votre domaine, vous pourriez maintenant charger le fichier de stratégie de groupe ExchangeProvider pour chaque OU de site et sélectionner à chaque fois, en choisissant le serveur de catalogue global le plus proche dans la liste des serveurs, le serveur qui doit prendre en charge la résolution de nom pour tous les utilisateurs du site dans Outlook.
 |
|
Pour chaque site |
Le fichier modèle ExchangeProvider.adm a le contenu suivant :
CLASS USER
CATEGORY "indiquer le serveur de catalogue global".
POLICY !GlobalCatalogServer
KEYNAME "Software\Microsoft\Exchange\Exchange Provider"
EXPLAIN ! !! GlobalCatalogServer_Explain
PART "Nom du serveur" DROPDOWNLIST REQUIRED
VALUENAME "Serveur DS"
ITEMLIST
NOM "Aachen S1AA" VALUE "S1AA"
NOM "Bielefeld S1BI" VALUE "S1BI"
NAME "Dortmund S1DO" VALUE "S1DO"
NAME "Essen S1ES" VALUE "S1ES"
NAME "Köln S1KO" VALUE "S1KO"
END ITEMLIST
END PART
END POLICY
END CATEGORY ; "indiquer le serveur de catalogue global"
[chaînes]
GlobalCatalogServer="spécifier le serveur de catalogue global".
GlobalCatalogServer_Explain="Ce paramètre permet d'indiquer le site global
serveur de catalogue pour le site en question.
\n\nAachen S1AA = serveur S1AA
\nBielefeld S1BI = SServer S1BI
\nDortmund S1DO = serveur S1DO
\nEssen S1ES = serveur S1ES
\nKöln S1KO = serveur A1KO
Ce fichier modèle permet de sélectionner une valeur dans une liste et de l’inscrire ensuite sous une clé de registre. Si vous remplacez dans cet exemple la clé derrière KEYNAME et la valeur derrière VALUENAME par d’autres valeurs, il devient vite évident qu’un fichier modèle similaire permet de résoudre des problèmes très différents. La désactivation de la directive Indiquer le serveur de catalogue global entraîne la suppression du serveur DS dans le registre.
Utiliser le fichier modèle CorelDraw11.ADM
Sur le DVD du livre, vous trouverez le fichier modèle CorelDraw11.ADM qui vous permet de définir de manière centralisée certains répertoires par défaut de CorelDraw 11. Par défaut, CorelDraw crée une copie de sauvegarde des dessins toutes les 20 minutes dans un répertoire temporaire situé dans C:\Documents et réglages\%Username%. Lors de la fermeture de la session, de tels fichiers temporaires, souvent gourmands en mémoire, sont ensuite répliqués sur le serveur lors de l’utilisation de profils d’utilisateurs stockés sur le serveur. Non seulement le processus de connexion et de déconnexion prend plus de temps, mais avec le temps, un volume considérable de données s’accumule dans le répertoire Roaming Profiles sur le serveur. Vous devriez déplacer ce répertoire vers C:\Temp pour les sauvegardes automatiques, par exemple.
En outre, le fichier de modèle vous permet de définir des directives pour un répertoire de modèle pour CorelDraw et de déterminer le support de données pour les fichiers de pagination primaire et secondaire de CorelDraw.
Avec un outil tel que GetFolderSize, vous devriez analyser régulièrement le partage sur le serveur dans lequel se trouvent les profils d’utilisateur enregistrés sur le serveur. Cet outil gratuit trie tous les répertoires en fonction de l’espace qu’ils occupent. Vous découvrez ainsi rapidement quelles autres applications créent des fichiers temporaires intermédiaires et d’autres répertoires gourmands en mémoire dans les profils des utilisateurs. Créez ensuite votre propre fichier de modèle de stratégie de groupe pour ces applications et modifiez ainsi la base de données du registre des clients de manière à ce que ces déchets de données n’atterrissent plus sur le serveur et les bandes de sauvegarde.
Analyse de l’ordinateur modèle après l’installation des fichiers de modèle de stratégie de groupe que vous avez créés vous-même
Une fois que les deux fichiers modèles WindowsXP-HLM.ADM et WindowsXP-HCU.ADM créés par l’utilisateur ont été importés et configurés, vous devez vous connecter à l’ordinateur modèle sous les différents identifiants tels qu’administrateur, utilisateur test et power user et vérifier si les résultats souhaités sont obtenus. L’impact des paramètres de stratégie de groupe suggérés, qui sont fournis avec Windows XP et que vous trouverez sur le DVD du livre, peut être observé de manière impressionnante en plaçant, à côté de l’ordinateur modèle, un autre ordinateur qui n’est pas connecté au serveur et sur lequel un Windows XP vierge est installé.
Le système d’exploitation Windows XP Professional n’est toujours pas dans un état idéal sur l’ordinateur modèle pour la création ultérieure d’une image à distribuer sur de nombreux ordinateurs. Par exemple, les menus de démarrage de All Users et de Default User ne sont pas encore révisés. L’utilisateur standard verrait ainsi des éléments de menu tels que Accès aux programmes et normes et Catalogue Windows au-dessus du bouton Démarrer. Il pourrait accéder aux programmes de gestion, à MSN Explorer, aux jeux ou, sous l’option de menu Accessoires, à l’assistant de compatibilité des programmes et aux programmes système, comme Transfert de fichiers et Paramètres. Cependant, vous souhaitez probablement l’empêcher.
En outre, de tels réglages du système n’ont pas encore été effectués, qui ne peuvent pas être forcés automatiquement via les fichiers de stratégie de groupe et doivent être effectués manuellement avant la création de l’image. On peut citer comme exemple la nouvelle fonction de mise en veille de Windows XP. Comme vous pouvez le constater en ouvrant l’onglet Hibernation via Panneau de configuration – Options d’alimentation, l’hibernation est activée par défaut. Lorsque l’utilisateur appuie sur la combinaison de touches[Ctrl]+[Alt]+[Suppr] et sélectionne le bouton Arrêter, il peut décider d’éteindre l’ordinateur, de se déconnecter ou de mettre l’ordinateur en veille. Avant de s’éteindre, l’ordinateur enregistre alors d’abord toutes les données présentes dans la mémoire vive dans le fichier hyperfil.sys. Ce fichier a une taille de plusieurs centaines de mégaoctets et existe déjà lorsque l’option de mise en veille est activée. Il n’est donc pas créé au moment où l’ordinateur passe en mode veille. Si vous désactivez l’option de mise en veille, le fichier hiberfil.sys , très gourmand en mémoire, est supprimé. Il n’est donc inclus dans aucune image, que celle-ci soit créée par la méthode RIPrep ou par un outil d’image tiers.
L’installation d’applications standard, telles qu’Adobe Reader ou Microsoft Office, génère également des icônes dans le menu de démarrage de All Users et Default User, qui doivent être retravaillées avant la création de l’image complète. C’est pourquoi, dans notre environnement de test, ces applications standard sont maintenant installées automatiquement en premier. Ensuite, les fichiers de stratégie de groupe ajoutés par l’installation de Microsoft Office seront examinés en vue d’une configuration judicieuse pour l’utilisateur standard. Ce n’est qu’ensuite que nous examinerons à nouveau l’ordinateur modèle afin de déterminer quelles modifications doivent encore être effectuées automatiquement ou manuellement à l’aide d’un script spécial pour parvenir à un état final à partir duquel l’image sera créée.
| Cette série d’articles est extraite du « Manuel d’intégration Microsoft-Netzwerk » d’Ulrich Schlüter. Date de parution : octobre 2004 chez Galileo Computing. (ISBN 3-89842-525-8) et a été mis à la disposition de WinTotal en exclusivité. |
Ulrich Schlüter