Les GPO additionnelles EOLE

Le paquet eole-ad-dc-gpos sur Seth et le paquet eole-scribe-gpos sur Scribe permet d'activer des GPO pré-paramétrées et de les associer à des unités organisationnelles[1].

GPO Proxy

La GPO "Proxy" permet de paramétrer le proxy sur les postes clients depuis le serveur via gen_config.

Il existe 4 modes :

  • Connexion directe (aucun proxy)

  • Détection automatique des paramètres proxy (fonctionnement avec le protocole WPAD[2])

  • Utilisation d'un script de configuration (une URL vers un fichier .PAC[3])

  • Manuel (proxy et exceptions paramétrées manuellement)

La GPO Proxy paramètre :

  • Windows (Edge et Internet Explorer)

  • WinHTTP (pour Windows Update entre autre)

  • Firefox

  • Google Chrome

Lorsque la GPO Proxy est activée, elle est automatiquement liée à la racine de l'Active Directory afin que l'ensemble des postes clients soient configurés.

Si la configuration est modifiée sur le serveur dans gen_config, la GPO Proxy ne sera pas mise à jour avec un reconfigure. Il faudra d'abord supprimer la GPO Proxy existante dans l'Active Directory avec d'effectuer un reconfigure ; soit depuis un poste client avec les RSAT, soit depuis le serveur avec samba-tool.

Vue dans gen_config de la fonctionnalité :

Vue côté client :

Autres GPO

Les GPO additionnelles se paramètres dans gen_config dans l'onglet GPO.

Il faut sélectionner dans un menu déroulant les GPOs à activer.

On peut ensuite associer automatiquement ces GPOs à des UO.

Les GPO pré-paramétrées disponibles sont :

  • eole_affichage_bginfo

Permet d'afficher des informations sur le fond d'écran du Bureau des postes clients Windows

  • eole_install_minion

Installe le client Salt.

  • eole_nextcloud_install_on_boot

Installe le client NextCloud au démarrage de la machine via WinGet.

  • eole_parefeu_active

Active le parefeu Windows tel qu'il est par défaut après une installation Windows standard.

  • eole_parefeu_desactive

Désactive le parefeu Windows.

  • eole_redirection_bureau_personnel

Redirige le contenu du Bureau des utilisateurs vers \\<serveur>\<utilisateur>\perso\Bureau (crée le dossier si inexistant)

  • eole_redirection_dossiers

Redirige les dossiers Vidéos, Musique, Images, Documents, Favoris, Téléchargements vers des sous-dossiers du même nom dans le dossiers personnel de l'utilisateur \\<serveur>\<utilisateur>\perso\<nom_dossier>

  • eole_remove_onedrive

Désinstalle et enlève toute trace de OneDrive©

  • eole_uac_desactivee

Désactive l'UAC (User Access Control)

  • eole_uac_normale

(Ré-)active l'UAC (User Access Control)

  • eole_install_minion

Installe le client Salt Minion

  • eole_configuration_environnement

Configure l'environnement de l'utilisateur (voir ci-dessous l'ensemble des paramètres)

  • eole_configuration_machine

Configure les paramètres machine

  • eole_restrictions_eleves

Active des restrictions (voir ci-dessous l'ensemble des paramètres)

  • eole_levee_restrictions_eleves

Désactive les restrictions de la GPO "eole_restrictions_eleves"

  • eole_professeurs_administrateurs_dans_ses_salles

Permet aux membres du groupe "professeurs" d'être administrateurs locaux sur les postes.

eole_configuration_environnement

  • Configuration ordinateur (activée)

↳ Stratégie

↳ → Modèles d'administration

↳ → → Système/Stratégie de groupe

Stratégie

Paramètre

Configurer le mode de traitement par bouclage de la stratégie de groupe utilisateur

Activé (Mode : Fusionner)

  • Configuration utilisateur (activée)

↳ Stratégies

↳ → Modèles d'administration

↳ → → Bureau

Stratégie

Paramètre

Cacher l’icône Emplacements réseau sur le Bureau

Activé

Empêcher l'utilisateur de rediriger manuellement des dossiers de profils

Activé

Supprimer l'Assistant Nettoyage du Bureau

Activé

Supprimer l'icône de la Corbeille du Bureau

Désactivé

Supprimer l'icône Mes documents du Bureau

Désactivé

Supprimer les propriétés du menu contextuel de la Corbeille

Activé

Supprimer Poste de travail du Bureau

Désactivé

Supprimer Propriétés du menu contextuel de l'icône Mes documents

Activé

↳ → → Composants Windows/Explorateur de fichiers

Stratégie

Paramètre

Ne pas afficher « Ordinateurs proches » dans les emplacements réseau

Activé

Ne pas afficher « Tout le réseau » dans les emplacements réseau

Activé

Supprimer l'onglet Sécurité

Activé

↳ → → Composants Windows/Internet Explorer/Panneau de configuration Internet/Onglet Sécurité/Zone Sites approuvés

Stratégie

Paramètre

Afficher un avertissement de sécurité pour les fichiers potentiellement dangereux

Activé

↳ → → Composants Windows/Internet Explorer/Panneau de configuration Internet/Onglet Sécurité/Zone Sites de confiance verrouillée

Stratégie

Paramètre

Afficher un avertissement de sécurité pour les fichiers potentiellement dangereux

Activé

↳ → → Composants Windows/Options d’ouverture de session Windows

Stratégie

Paramètre

Indiquer les indisponibilités du serveur d'accès à l'ouverture de session utilisateur

Activé

↳ → → Composants Windows/Windows Messenger

Stratégie

Paramètre

Ne pas démarrer initialement Windows Messenger de manière automatique

Activé

↳ → → Menu Démarrer et barre des tâches

Stratégie

Paramètre

Effacer l'historique des notifications par vignette lors de la connexion

Activé

Ne pas afficher ni suivre les éléments des listes de raccourcis à partir d'emplacements distants

Activé

Supprimer l'icône Réseau du menu Démarrer

Activé

Supprimer l'icône Sécurité et maintenance

Activé

Supprimer la barre Contacts de la barre des tâches

Activé

Supprimer le lien Groupe résidentiel du menu Démarrer

Activé

Supprimer le lien Jeux du menu Démarrer

Activé

Supprimer le lien TV enregistrée du menu Démarrer Activé

Activé

↳ Préférences

↳ → Paramètres du Panneau de configuration

↳ → → Options des dossiers

↳ → → → Options des dossiers (au minimum Windows Vista)

↳ → → → → Options des dossiers (au minimum Windows Vista) (ordre : 1)

↳ → → → → → Général

↳ → → → → → → Propriétés

Toujours afficher des icônes, jamais des miniatures

Désactivé

Toujours afficher les menus

Désactivé

Afficher l'icône des fichiers sur les miniatures

Activé

Afficher les informations concernant la taille des fichiers dans les info-bulles du dossier

Activé

Afficher une vue simple des dossiers dans le volet de navigation

Activé

Afficher le chemin complet dans la barre de titre (vue Classique uniquement)

Désactivé

Fichiers et dossiers masqués

Ne pas afficher les fichiers et dossiers cachés

Masquer les extensions des fichiers dont le type est connu

Désactivé

Masquer les fichiers protégés du système d'exploitation (recommandé)

Activé

Ouvrir les fenêtres des dossiers dans un processus différent

Activé

Mémoriser les paramètres d'affichage de chaque dossier

Activé

Restaurer les fenêtres de dossiers ouvertes lors de la prochaine ouverture de session

Désactivé

Afficher les lettres de lecteur

Activé

Afficher les dossiers et les fichiers NTFS chiffrés ou compressés en couleur

Activé

Afficher la légende des dossiers et des éléments du Bureau

Activé

Afficher les gestionnaires d'aperçu dans le volet de visualisation

Activé

Utiliser des cases à cocher pour sélectionner des éléments

Désactivé

Utiliser l'Assistant Partage (recommandé)

Désactivé

Lors de la saisie en mode d'affichage Liste

Sélectionner l'élément affiché correspondant au texte saisi

↳ → → → → → Commun

↳ → → → → → → Options

Interrompre le traitement des éléments sur cette extension si une erreur se produit sur cet élément

Non

Exécuter dans le contexte de sécurité de l'utilisateur connecté (option de la stratégie utilisateur)

Oui

Appliquer une fois et ne pas réappliquer

Non

↳ → → Menu Démarrer

↳ → → → Menu Démarrer (au minimum Windows Vista)

↳ → → → → Menu Démarrer (au minimum Windows Vista) (ordre : 1)

↳ → → → → → Général

↳ → → → → → → Général

Nombre de programmes dans le menu Démarrer

9

↳ → → → → → → Paramètres avancés

Ordinateur

Afficher en tant que lien

Connexion

Oui

Panneau de configuration

Afficher en tant que lien

Programmes par défaut

Afficher cet élément

Documents

Afficher en tant que lien

Activer les menus contextuels et le glisser-déplacer

Oui

Favoris

Ne pas afficher cet élément

Jeux

Ne pas afficher cet élément

Aide

Afficher cet élément

Afficher les programmes nouvellement installés en surbrillance

Oui

Musique

Afficher en tant que lien

Réseau

Ne pas afficher cet élément

Ouvrir les sous-menus lorsque la souris pointe sur ceux-ci

Oui

Dossier personnel

Afficher en tant que lien

Images

Afficher en tant que lien

Imprimantes

Afficher cet élément

Commande Exécuter

Afficher cet élément

Rechercher

Oui

Rechercher les communications

Non

Rechercher les Favoris et l'Historique

Non

Rechercher les fichiers

Rechercher les fichiers de cet utilisateur

Rechercher les programmes

Oui

Trier le menu Tous les programmes par nom

Oui

Outils d'administration système

Ne pas afficher cet élément

Utiliser de grandes icônes

Oui

Afficher les documents utilisés récemment

Oui

Effacer les documents récents

Non

↳ → → → → → Commun

↳ → → → → → → Options

Interrompre le traitement des éléments sur cette extension si une erreur se produit sur cet élément

Non

Exécuter dans le contexte de sécurité de l'utilisateur connecté (option de la stratégie utilisateur)

Oui

Appliquer une fois et ne pas réappliquer

Non

.

eole_restrictions_eleves

  • Configuration ordinateur (activée)

↳ Stratégie

↳ → Modèles d'administration

↳ → → Système/Stratégie de groupe

Stratégie

Paramètre

Configurer le mode de traitement par bouclage de la stratégie de groupe utilisateur

Activé (Mode : Fusionner)

  • Configuration utilisateur (activée)

↳ Stratégies

↳ → Modèles d'administration

↳ → → Bureau

Stratégie

Paramètre

Supprimer Propriétés du menu contextuel de l'icône Poste de travail

Activé

↳ → → Composants Windows/Explorateur de fichiers

Stratégie

Paramètre

Dans Poste de travail, masquer ces lecteurs spécifiés

Activé (Restreindre au lecteur "C" uniquement)

Empêcher l'accès aux lecteurs à partir du Poste de travail

Activé (Restreindre au lecteur "C" uniquement)

Masque l'élément Gérer du menu contextuel de l'Explorateur de fichiers.

Activé

Supprimer l'onglet DFS

Activé

Supprimer l'onglet Matériel

Activé

Supprimer les options « Connecter un lecteur réseau » et « Déconnecter un lecteur réseau »

Activé

↳ → → Menu Démarrer et barre des tâches

Stratégie

Paramètre

Supprimer le menu Exécuter du menu Démarrer

Activé

↳ → → Panneau de configuration

Stratégie

Paramètre

Interdire l'accès au Panneau de configuration et à l'application Paramètres du PC

Activé

↳ → → Système

Stratégie

Paramètre

Désactiver l'accès à l'invite de commandes

Activé

Désactiver également le traitement des scripts d'invite de commande ?

Non

Empêche l'accès aux outils de modifications du Registre

Activé

Désactiver l'exécution silencieuse de regedit.exe ?

Non

↳ → → Système/Options Ctrl+Alt+Suppr

Stratégie

Paramètre

Supprimer le Gestionnaire des tâches

Activé

.

Débogage des GPO sous Windows

Lister les GPO appliquées

Pour commencer, il est recommandé d'actualiser les paramètres de stratégies de groupes du client, dans l'invite de commandes, saisir :

gpupdate

La commande suivante permet d'obtenir la liste des GPO appliqués pour l'utilisateur connecté :

gpresult /SCOPE USER /V

Pour obtenir les GPO "machine", la commande (à exécuter en tant qu'administrateur) est :

gpresult /SCOPE COMPUTER /V

Exécution de code PowerShell

Si le GPO nécessite des traitements complexes, il est probable qu'il exécutera un programme PowerShell[4].

L'application Windows PowerShell ISE (exécutée en tant qu'administrateur) permet d'ouvrir et d’exécuter simplement des fichiers .ps1[5].