Sommaire
Windows 2000
Sécurité
Quelle
sont les différentes méthodes pour modifier les données sur les fichiers et
registres ?
Si
l’on désire modifier sur tous les postes les droits sur un fichier
particulier, le plus simple est d’appliquer une stratégie de sécurité
(voir plus loin ). L’intérêt de cette dernière c’est qu’elle
s’applique utilisateur connecté ( !).
On peut également le faire avec des scripts à la connexion.
Les modifications sur la clé HKLM peut se faire également à l’aide des
stratégies de sécurité.
Par contre si l’on désire modifier les clé HKCU on peut le faire à
l’aide de la commande regini fichier.key (voir install-log
ou à l’aide de la commande regedit /s fichier.reg mais celles-ci s’exécutent
à la connexion. Il n’est pas possible d’utiliser les stratégies de sécurité
précédentes pour modifier les clé HKCU utilisateur connecté.
Une solution et la meilleure est d’utiliser les fichiers .ADM que l’on
ajoutera à la stratégie de groupe pour en créer une nouvelle et ainsi
modifier les paramètres HKCU utilisateur connecté. (voir plus loin)
Mettre
à jour des droits sur les fichiers sur
tous les postes
On se servira du modèle basicwk.inf du réperoire c:\winnt\security que
l’on renome en criwk.inf.
Comment le modifier ?
On utilise la mmc sur son poste local que l’on utilisera en administrateur
auquel on ajoute le composant ‘modèles de sécurité ‘.
On choisit le fichier criwk.inf. On clique sur système de fichiers, on peut
ajouter un répertoire (s’il n’existe pas sur le Pc le créer) on lui
donne les droits que l’on désire. Par exemple on peut ajouter utilisateurs
du domaine et laisser l’héritage par défaut (lecture pour tous) et donner
les droits modifier à utilisateurs du domaine. On choisira remplacer tous les
droits sur les sous répertoires.
Comment faire en sorte que ce fichier soit la nouvelle stratégie pour tous
les postes d’une UO particulière ?
A l’aide de la MMC on créé une stratégie de groupe dans une UO particulière
(voir strategie). Ensuite dans [configuration ordinateur] [paramètres windows] [Paramètres
de sécurité] on choit importer un modèle de sécurité (on sélectionnera
effacer cette base de données avant d’importer) et ok. La stratégie est
appliquée à tous les postes (même si l’utilisateur est connecté) de l’UO
dans 90min +/- 30min
Mettre
à jour des droits sur les registres sur
tous les postes
Même
principe que précédemment mais en jouant sur la partie clé de registre.
Mettre
à jour une nouvelle clé de registre HK local machine
sur tous les postes
Dans ce cas on ajoute dans le fichier par exemple :
dans la partie [Registry Values]
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=1,C:\winnt\explorer.exe
.
Pour que l’explorer pointe sur ce dossier pour corriger un bug.
Mettre
à jour une nouvelle clé de registre HK current user
sur tous les postes
On désire que mes documents pointent sur h:\ (répertoire des homes sous unix)
pour tous les utilisateurs. Or la statégie de groupe déjà implémentée ne
fonctionne pas car nous utilisons un montage samba avec nfs sous unix.
Comment modifier une clé HKCU utilisateur connecté ?
On construit le fichier mesdocument.adm suivant avec le bloc note :
-----------------------------------------------------------------------------------------
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
CLASS
USER ;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
CATEGORY
!!mesdocuments
POLICY "Mes documents"
EXPLAIN
!!Explicationsmesdocuments
KEYNAME
"Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\"
PART
"My pictures" DROPDOWNLIST NOSORT
REQUIRED
VALUENAME "My Pictures"
ITEMLIST
NAME "h:\images"
VALUE "h:\images"
NAME "Standard"
VALUE "" DEFAULT
END
ITEMLIST
END PART
PART
"Personal" DROPDOWNLIST NOSORT
REQUIRED
VALUENAME "Personal"
ITEMLIST
NAME "h:\"
VALUE "h:\"
NAME "Standard" VALUE "" DEFAULT
END
ITEMLIST
END PART
END POLICY
END CATEGORY;
[strings]
MesDocuments="Probleme Samba"
Explicationsmesdocuments="Il faut positionner le lecteur h:\ pour mes
documents car la statégie de groupe W2000 ne fonctionne pas avec Samba.
Il est possible de revenir en arrière et de configurer en standard mes
documents"
---------------------------------------------------------------------------------------------------------
Comment utiliser ce fichier ?
A l’aide d’une nouvelle stratégie de groupe on choisit [configuration
utilisateur] [modèles d’administration] puis ajout/suppression de modèles.
On prendra soin de copier le fichier .adm dans le répertoire du serveur ( \winnt\security\inf).
Il apparaît ainsi un nouveau composant qui s’appelle problème Samba.
Dans
les propriétés de Mes
documents on retouve :