Les GPO additionnelles EOLE
Le paquet eole-ad-dc-gpos
sur Seth et le paquet eole-scribe-gpos
sur Scribe permet d'activer des GPO pré-paramétrées et de les associer à des unités organisationnelles[1].
GPO Proxy
La GPO "Proxy" permet de paramétrer le proxy sur les postes clients depuis le serveur via gen_config
.
Il existe 4 modes :
Connexion directe (aucun proxy)
Détection automatique des paramètres proxy (fonctionnement avec le protocole WPAD[2])
Utilisation d'un script de configuration (une URL vers un fichier .PAC[3])
Manuel (proxy et exceptions paramétrées manuellement)
La GPO Proxy paramètre :
Windows (Edge et Internet Explorer)
WinHTTP (pour Windows Update entre autre)
Firefox
Google Chrome
Lorsque la GPO Proxy est activée, elle est automatiquement liée à la racine de l'Active Directory afin que l'ensemble des postes clients soient configurés.
Si la configuration est modifiée sur le serveur dans gen_config, la GPO Proxy ne sera pas mise à jour avec un reconfigure. Il faudra d'abord supprimer la GPO Proxy existante dans l'Active Directory avec d'effectuer un reconfigure ; soit depuis un poste client avec les RSAT, soit depuis le serveur avec samba-tool.
Vue dans gen_config de la fonctionnalité :
Vue côté client :
Autres GPO
Les GPO additionnelles se paramètres dans gen_config dans l'onglet GPO.
Il faut sélectionner dans un menu déroulant les GPOs à activer.
On peut ensuite associer automatiquement ces GPOs à des UO.
Les GPO pré-paramétrées disponibles sont :
- eole_affichage_bginfo
Permet d'afficher des informations sur le fond d'écran du Bureau des postes clients Windows
- eole_install_minion
Installe le client Salt.
- eole_nextcloud_install_on_boot
Installe le client NextCloud au démarrage de la machine via WinGet.
- eole_parefeu_active
Active le parefeu Windows tel qu'il est par défaut après une installation Windows standard.
- eole_parefeu_desactive
Désactive le parefeu Windows.
- eole_redirection_bureau_personnel
Redirige le contenu du Bureau des utilisateurs vers \\<serveur>\<utilisateur>\perso\Bureau
(crée le dossier si inexistant)
- eole_redirection_dossiers
Redirige les dossiers Vidéos, Musique, Images, Documents, Favoris, Téléchargements vers des sous-dossiers du même nom dans le dossiers personnel de l'utilisateur \\<serveur>\<utilisateur>\perso\
<nom_dossier>
- eole_remove_onedrive
Désinstalle et enlève toute trace de OneDrive©
- eole_uac_desactivee
Désactive l'UAC (User Access Control)
- eole_uac_normale
(Ré-)active l'UAC (User Access Control)
- eole_install_minion
Installe le client Salt Minion
- eole_configuration_environnement
Configure l'environnement de l'utilisateur (voir ci-dessous l'ensemble des paramètres)
- eole_configuration_machine
Configure les paramètres machine
- eole_restrictions_eleves
Active des restrictions (voir ci-dessous l'ensemble des paramètres)
- eole_levee_restrictions_eleves
Désactive les restrictions de la GPO "eole_restrictions_eleves"
- eole_professeurs_administrateurs_dans_ses_salles
Permet aux membres du groupe "professeurs" d'être administrateurs locaux sur les postes.
eole_configuration_environnement
- Configuration ordinateur (activée)
↳ Stratégie
↳ → Modèles d'administration
↳ → → Système/Stratégie de groupe
Stratégie | Paramètre |
---|---|
Configurer le mode de traitement par bouclage de la stratégie de groupe utilisateur | Activé (Mode : Fusionner) |
- Configuration utilisateur (activée)
↳ Stratégies
↳ → Modèles d'administration
↳ → → Bureau
Stratégie | Paramètre |
---|---|
Cacher l’icône Emplacements réseau sur le Bureau | Activé |
Empêcher l'utilisateur de rediriger manuellement des dossiers de profils | Activé |
Supprimer l'Assistant Nettoyage du Bureau | Activé |
Supprimer l'icône de la Corbeille du Bureau | Désactivé |
Supprimer l'icône Mes documents du Bureau | Désactivé |
Supprimer les propriétés du menu contextuel de la Corbeille | Activé |
Supprimer Poste de travail du Bureau | Désactivé |
Supprimer Propriétés du menu contextuel de l'icône Mes documents | Activé |
↳ → → Composants Windows/Explorateur de fichiers
Stratégie | Paramètre |
---|---|
Ne pas afficher « Ordinateurs proches » dans les emplacements réseau | Activé |
Ne pas afficher « Tout le réseau » dans les emplacements réseau | Activé |
Supprimer l'onglet Sécurité | Activé |
↳ → → Composants Windows/Internet Explorer/Panneau de configuration Internet/Onglet Sécurité/Zone Sites approuvés
Stratégie | Paramètre |
---|---|
Afficher un avertissement de sécurité pour les fichiers potentiellement dangereux | Activé |
↳ → → Composants Windows/Internet Explorer/Panneau de configuration Internet/Onglet Sécurité/Zone Sites de confiance verrouillée
Stratégie | Paramètre |
---|---|
Afficher un avertissement de sécurité pour les fichiers potentiellement dangereux | Activé |
↳ → → Composants Windows/Options d’ouverture de session Windows
Stratégie | Paramètre |
---|---|
Indiquer les indisponibilités du serveur d'accès à l'ouverture de session utilisateur | Activé |
↳ → → Composants Windows/Windows Messenger
Stratégie | Paramètre |
---|---|
Ne pas démarrer initialement Windows Messenger de manière automatique | Activé |
↳ → → Menu Démarrer et barre des tâches
Stratégie | Paramètre |
---|---|
Effacer l'historique des notifications par vignette lors de la connexion | Activé |
Ne pas afficher ni suivre les éléments des listes de raccourcis à partir d'emplacements distants | Activé |
Supprimer l'icône Réseau du menu Démarrer | Activé |
Supprimer l'icône Sécurité et maintenance | Activé |
Supprimer la barre Contacts de la barre des tâches | Activé |
Supprimer le lien Groupe résidentiel du menu Démarrer | Activé |
Supprimer le lien Jeux du menu Démarrer | Activé |
Supprimer le lien TV enregistrée du menu Démarrer Activé | Activé |
↳ Préférences
↳ → Paramètres du Panneau de configuration
↳ → → Options des dossiers
↳ → → → Options des dossiers (au minimum Windows Vista)
↳ → → → → Options des dossiers (au minimum Windows Vista) (ordre : 1)
↳ → → → → → Général
↳ → → → → → → Propriétés
Toujours afficher des icônes, jamais des miniatures | Désactivé |
Toujours afficher les menus | Désactivé |
Afficher l'icône des fichiers sur les miniatures | Activé |
Afficher les informations concernant la taille des fichiers dans les info-bulles du dossier | Activé |
Afficher une vue simple des dossiers dans le volet de navigation | Activé |
Afficher le chemin complet dans la barre de titre (vue Classique uniquement) | Désactivé |
Fichiers et dossiers masqués | Ne pas afficher les fichiers et dossiers cachés |
Masquer les extensions des fichiers dont le type est connu | Désactivé |
Masquer les fichiers protégés du système d'exploitation (recommandé) | Activé |
Ouvrir les fenêtres des dossiers dans un processus différent | Activé |
Mémoriser les paramètres d'affichage de chaque dossier | Activé |
Restaurer les fenêtres de dossiers ouvertes lors de la prochaine ouverture de session | Désactivé |
Afficher les lettres de lecteur | Activé |
Afficher les dossiers et les fichiers NTFS chiffrés ou compressés en couleur | Activé |
Afficher la légende des dossiers et des éléments du Bureau | Activé |
Afficher les gestionnaires d'aperçu dans le volet de visualisation | Activé |
Utiliser des cases à cocher pour sélectionner des éléments | Désactivé |
Utiliser l'Assistant Partage (recommandé) | Désactivé |
Lors de la saisie en mode d'affichage Liste | Sélectionner l'élément affiché correspondant au texte saisi |
↳ → → → → → Commun
↳ → → → → → → Options
Interrompre le traitement des éléments sur cette extension si une erreur se produit sur cet élément | Non |
Exécuter dans le contexte de sécurité de l'utilisateur connecté (option de la stratégie utilisateur) | Oui |
Appliquer une fois et ne pas réappliquer | Non |
↳ → → Menu Démarrer
↳ → → → Menu Démarrer (au minimum Windows Vista)
↳ → → → → Menu Démarrer (au minimum Windows Vista) (ordre : 1)
↳ → → → → → Général
↳ → → → → → → Général
Nombre de programmes dans le menu Démarrer | 9 |
↳ → → → → → → Paramètres avancés
Ordinateur | Afficher en tant que lien |
Connexion | Oui |
Panneau de configuration | Afficher en tant que lien |
Programmes par défaut | Afficher cet élément |
Documents | Afficher en tant que lien |
Activer les menus contextuels et le glisser-déplacer | Oui |
Favoris | Ne pas afficher cet élément |
Jeux | Ne pas afficher cet élément |
Aide | Afficher cet élément |
Afficher les programmes nouvellement installés en surbrillance | Oui |
Musique | Afficher en tant que lien |
Réseau | Ne pas afficher cet élément |
Ouvrir les sous-menus lorsque la souris pointe sur ceux-ci | Oui |
Dossier personnel | Afficher en tant que lien |
Images | Afficher en tant que lien |
Imprimantes | Afficher cet élément |
Commande Exécuter | Afficher cet élément |
Rechercher | Oui |
Rechercher les communications | Non |
Rechercher les Favoris et l'Historique | Non |
Rechercher les fichiers | Rechercher les fichiers de cet utilisateur |
Rechercher les programmes | Oui |
Trier le menu Tous les programmes par nom | Oui |
Outils d'administration système | Ne pas afficher cet élément |
Utiliser de grandes icônes | Oui |
Afficher les documents utilisés récemment | Oui |
Effacer les documents récents | Non |
↳ → → → → → Commun
↳ → → → → → → Options
Interrompre le traitement des éléments sur cette extension si une erreur se produit sur cet élément | Non |
Exécuter dans le contexte de sécurité de l'utilisateur connecté (option de la stratégie utilisateur) | Oui |
Appliquer une fois et ne pas réappliquer | Non |
.
eole_restrictions_eleves
- Configuration ordinateur (activée)
↳ Stratégie
↳ → Modèles d'administration
↳ → → Système/Stratégie de groupe
Stratégie | Paramètre |
---|---|
Configurer le mode de traitement par bouclage de la stratégie de groupe utilisateur | Activé (Mode : Fusionner) |
- Configuration utilisateur (activée)
↳ Stratégies
↳ → Modèles d'administration
↳ → → Bureau
Stratégie | Paramètre |
---|---|
Supprimer Propriétés du menu contextuel de l'icône Poste de travail | Activé |
↳ → → Composants Windows/Explorateur de fichiers
Stratégie | Paramètre |
---|---|
Dans Poste de travail, masquer ces lecteurs spécifiés | Activé (Restreindre au lecteur "C" uniquement) |
Empêcher l'accès aux lecteurs à partir du Poste de travail | Activé (Restreindre au lecteur "C" uniquement) |
Masque l'élément Gérer du menu contextuel de l'Explorateur de fichiers. | Activé |
Supprimer l'onglet DFS | Activé |
Supprimer l'onglet Matériel | Activé |
Supprimer les options « Connecter un lecteur réseau » et « Déconnecter un lecteur réseau » | Activé |
↳ → → Menu Démarrer et barre des tâches
Stratégie | Paramètre |
---|---|
Supprimer le menu Exécuter du menu Démarrer | Activé |
↳ → → Panneau de configuration
Stratégie | Paramètre |
---|---|
Interdire l'accès au Panneau de configuration et à l'application Paramètres du PC | Activé |
↳ → → Système
Stratégie | Paramètre |
---|---|
Désactiver l'accès à l'invite de commandes | Activé |
Désactiver également le traitement des scripts d'invite de commande ? | Non |
Empêche l'accès aux outils de modifications du Registre | Activé |
Désactiver l'exécution silencieuse de regedit.exe ? | Non |
↳ → → Système/Options Ctrl+Alt+Suppr
Stratégie | Paramètre |
---|---|
Supprimer le Gestionnaire des tâches | Activé |
.
Débogage des GPO sous Windows
Lister les GPO appliquées
Pour commencer, il est recommandé d'actualiser les paramètres de stratégies de groupes du client, dans l'invite de commandes
, saisir :
gpupdate
La commande suivante permet d'obtenir la liste des GPO appliqués pour l'utilisateur connecté :
gpresult /SCOPE USER /V
Pour obtenir les GPO "machine", la commande (à exécuter en tant qu'administrateur) est :
gpresult /SCOPE COMPUTER /V
Exécution de code PowerShell
Si le GPO nécessite des traitements complexes, il est probable qu'il exécutera un programme PowerShell[4].
L'application Windows PowerShell ISE
(exécutée en tant qu'administrateur) permet d'ouvrir et d’exécuter simplement des fichiers .ps1[5].