Ce qui suit concerne la gestion des stratégies de groupe sur une
machine locale sous Windows 2000 (Professionnel et serveur isolé),
Windows XP (Professionnel et Édition familiale) et Windows 2003
(serveur isolé). Ce chapitre ne traite donc pas- pour l'instant -
des GPO (Group Policy objects) utilisés dans un domaine (Active
Directory Services), mais seulement des LGPO (Local Group Policy objects).
Définitions
On désigne par "Stratégie" la configuration logicielle du
système par rapport aux utilisateurs.
Par défaut, après installation de Windows, aucune stratégie n'est
configurée, et tout est permis (aux restrictions près liées aux groupes
prédéfinis d'utilisateurs : Administrateurs, Utilisateurs, Utilisateurs avec
pouvoir,...)
Une stratégie sert à mettre en place une ou plusieurs
restrictions d'utilisation de Windows et des ses composants
principaux.
Par exemple :
Ces paramétrages sont stockés dans la Base de Registres,
essentiellement dans les branches :
-
HKEY_CURRENT_USER\Software\Policies\Microsoft
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
-
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Cette dualité ...\Policies\Microsoft et ...\Microsoft\...\Policies
ne contribue pas à la clarté, et peut être la cause d'erreurs!
On peut y trouver des sous-clefs, pour aboutir à des entrées
généralement de type REG_DWORD, ayant la valeur :
Par exemple, dans la clef HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
si l'entrée NoControlPanel, de type REG_DWORD, a pour valeur
0x00000001 (1), on ne pourra pas lancer le panneau de configuration.
|
|
Mais cela n'est pas une règle absolue! |
| |
Quelques stratégies sont activées pour une valeur de 0 et désactivées
pour une valeur de 1. |
La
Microsoft Management Console "GPEDIT.MSC"
Afin d'éviter à l'utilisateur (administrateur) de manipuler
directement la Base de Registres, Microsoft a conçu une Console (MMC) dont le
nom du fichier est %systemroot%\system32\gpedit.msc.
Pour l'exécuter, depuis le menu démarrer/exécuter ou dans une
fenêtre de commandes, il suffit de taper
la commande :
GPEDIT.MSC
|
|
On peut également exécuter
GPEDIT à distance, sur un autre
ordinateur du réseau, par la commande :
GPEDIT.MSC
/gpcomputer:"nom-de-l'ordinateur-distant" |
| |
Le nom de l'ordinateur peut être, au
choix, :
- le nom NetBIOS
Exemple : GPEDIT.MSC
/gpcomputer:"seattle"
- le nom DNS
Exemple : GPEDIT.MSC
/gpcomputer:"seattle.jcb.org"
Dans les 2 cas :
- il ne doit y avoir aucun espace après
/gpcomputer:
- le nom d'ordinateur doit être encadré par des
guillemets
|
|
|
Cas de Windows XP Édition Familiale (XP HOME)
|
Pour
une raison assez étrange, la console GPEDIT.MSC n'est pas fournie dans Windows
XP
HOME.
Néanmoins elle fonctionne très bien sous XP HOME si on la
recopie (avec d'autres fichiers) depuis un PC où XP PRO est installé.
|
Il faut d'abord copier les fichiers suivants :
|
| |
%systemroot%\system32\gpedit.msc
%systemroot%\system32\gpedit.dll
%systemroot%\system32\gptext.dll
%systemroot%\system32\fde.dll
%systemroot%\system32\fdeploy.dll
%systemroot%\system32\appmgr.dll
%systemroot%\system32\appmgmts.dll
%systemroot%\inf\conf.adm
%systemroot%\inf\system.adm
%systemroot%\inf\inetres.adm
%systemroot%\inf\\wuau.adm (éventuellement. ce fichier
sert à définir les stratégies Windows Update)
les
fichiers .adm sont aussi présents dans le dossier
%systemroot%\system32\GroupPolicy\Adm
|
Ensuite, il faut enregistrer les composants
par les commandes:
|
| |
regsvr32 %systemroot%\system32\gpedit.dll
regsvr32 %systemroot%\system32\gptext.dll
regsvr32 %systemroot%\system32\fde.dll
regsvr32 %systemroot%\system32\fdeploy.dll
regsvr32 %systemroot%\system32\appmgr.dll
|
|
Il
en est de même pour la console SECPOL.MSC qui sert à définir les
paramètres de sécurités locaux. Elle aussi est absente de Windows XP
HOME, et cependant fonctionne très bien sous XP HOME si on la recopie
(avec un autre fichier) depuis un PC où XP PRO est installé.
(astuce qui m'a été aimablement communiquée par Christian MICHAUD)
|
Il faut d'abord copier les fichiers suivants :
|
| |
%systemroot%\system32\secpol.msc
%systemroot%\system32\wsecedit.dll
|
| Ensuite, il faut enregistrer
un composant
par la commande: |
| |
regsvr32 %systemroot%\system32\wsecedit.dll
|
|
La console GPEDIT.MSC se présente ainsi :
| Windows 2000 |
 |
|
Windows XP |
 |
Dans le panneau de gauche on trouve deux arborescences
à la suite :
- la première concerne l'ordinateur (branche HKLM\Software\...)
- la seconde concerne l'utilisateur (branche HKCU\Software\...)
Dans le panneau de droite on trouve les stratégies
relatives à la branche sélectionnée à gauche.
Un double-clic sur l'une des stratégies provoque l'ouverture d'une boite
dialogue à 2 onglets :
| le 1er permet d'activer ou désactiver
la stratégie |
le 2ème affiche de l'aide sur
la stratégie |
 |
 |
|
Sous
Windows XP, l'aide peut être affichée en permanence si l'on
choisit l'onglet étendu au lieu de standard : |
 |
GPEDIT puise ses informations :
-
dans un ensemble de fichiers ayant l'extension .ADM
(pour "Administration) qui servent de modèles, situés dans le dossier
%systemroot%\inf.
On les retrouve également dans le dossier %systemroot%\system32\GroupPolicy\Adm
après qu'une stratégie ait été définie (ce sous-dossier est créé
automatiquement).
Ce sont des fichiers texte de type ANSI (1 caractère = 1 octet) ou UNICODE
(1 caractère = 2 octets) .
Par défaut de 2 à 4 fichiers sont utilisés :
-
system.adm (système Windows)
-
inetres.adm (Internet Explorer)
-
conf.adm (NetMeeting) (éventuellement)
-
wuau.adm (Windows Update) (éventuellement)
On peut en supprimer ou en ajouter d'autres, créer ses propres fichiers ADM
(voir le paragraphe suivant).
Ces fichiers servent à préparer la configuration des stratégies
-
dans la Base de Registres (dans les
branches définies précédemment)
-
dans deux fichiers nommés REGISTRY.POL, situés dans les
dossiers :
Ces fichiers correspondent aux fichiers NTCONFIG.POL sous Windows NT4 et
CONFIG.POL sous Windows 9x.
Ce sont des fichiers binaires, dont on peut afficher le contenu à l'aide de
l'outil GPRESULT
Depuis une fenêtre de commandes, taper
GPRESULT /S
(le commutateur /S signifie "Super-verbose", c'est à dire résultats très
détaillés)
Exemple obtenu :
|
Microsoft (R)
Windows (R) 2000 Operating System Group Policy Result tool
Copyright (C) Microsoft Corp. 1981-1999
Created on mardi 24 juin 2003 at 14:17:34
Operating System Information:
Operating System Type: Server
Operating System Version: 5.0.2195.Service Pack 3
Terminal Server Mode: None
...
The following settings were applied from: Stratégie de groupe locale
KeyName: Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
ValueName: ForceActiveDesktopOn
ValueType: REG_DWORD
Value: 0x00000001
KeyName: Software\Microsoft\Windows\CurrentVersion\Policies\System
ValueName: Wallpaper
ValueType: REG_SZ
Value: D:\WINNT\Web\Wallpaper\Tipaza0313.JPG
... |
La structure de ces fichiers est détaillée dans le
paragraphe suivant.
Ils reflètent l'ensemble des stratégies appliquées sur une machine, et sont
lus :
- lors du démarrage de l'ordinateur (fichier %systemroot%\system32\GroupPolicy\machine\REGISTRY.POL)
- lors de l'ouverture d'une session (fichier
%systemroot%\system32\GroupPolicy\user\REGISTRY.POL)
Windows applique alors les stratégies correspondantes, en modifiant le cas
échéant le contenu de la Base de Registres.
|
|
Cela signifie que la modification manuelle d'une clef
par l'utilisateur sera annulée lors du démarrage et/ou ouverture de
session suivants si la modification et la stratégie sont contradictoires! |
| |
 De plus, vu qu'il n'existe qu'un seul sous-dossier \user
dans %systemroot%\system32\GroupPolicy, cela signifie qu'une
stratégie utilisateur sera appliquée à TOUS les comptes
utilisateurs de l'ordinateur, administrateurs compris.
Donc la définition hasardeuse d'une stratégie trop restrictive peut
s'avérer catastrophique, aboutissant au verrouillage total
de l'ordinateur, y compris vis à vis d'un administrateur.
Cela est confirmé par Microsoft, dans l'article
Q274478 :
"[...]This can lead to a situation where administrators
can find themselves locked out of a system."Par exemple, il
existe une stratégie qui interdit l'exécution de certains programmes.
Elle est définie dans la clef :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
sous la forme d'une liste d'entrées contenant les noms des exécutables.
Si parmi eux figurent mmc.exe et regedit.exe, il sera
définitivement impossible d'ouvrir toute console de gestion (dont
GPEDIT) et de modifier la BDR. Microsoft a donné une méthode dans
l'article
Q293655 pour appliquer des stratégies locales sauf pour les
administrateurs. Un résumé en est donné plus loin
dans cette page. D'autre part, GPEDIT ne donne
aucune information à l'utilisateur concernant les clefs de la
BDR utilisées |
| |
C'est pour éviter ces désagréments que j'ai développé deux outils :
- SHOWADM qui affiche la liste
complète des stratégies avec les noms de clefs respectives
- STRATEDIT qui permet de définir des stratégies
ponctuelles, concernant UN compte utilisateur donné.
|
|
|
Organigramme de fonctionnement de GPEDIT
: |
 |
Les
fichiers de résultats REGISTRY.POL
Ces fichiers définis précédemment ont la
structure suivante :
|
Enregistrements |
Taille
(octets) |
Commentaires |
| Signature |
4 |
Chaîne "PReg" (0x67655250) |
| Version |
4 |
Actuellement définie à 1 (0x00000001),
incrémentée à chaque nouveau format de fichier. |
Suite de sous-structures : [clef;entrée;type;taille;données]
les caractères "[", ";" et
"]" figurent explicitement
Si les champs entrée, type, taille, données
sont manquants ou nuls, la clef est créée |
| Clef |
Variable |
Chaîne UNICODE contenant le nom de la clef sans le nom de branche
P.ex.: "Software\Policies\Microsoft\SystemCertificates\EFS"
|
|
Entrée |
Variable |
Chaîne UNICODE contenant le nom de l'entrée
P.ex.: "EFSBlob" |
|
Certaines
chaînes ont une signification spéciale : |
| **DeleteValues |
Suivie d'une
liste d'entrées à supprimer, séparées par un point-virgule
P.ex.: "**DeleteValues;DisabletaskMgr;WarnUser" |
| **Del.nom
d'entrée |
Supprime une
seule entrée
P.ex.: "**Del.NoLogoff" |
| **DelVals |
Supprime
toutes les entrées de la clef |
| **DeleteKeys |
Supprime
toutes les sous-clefs de la clef |
| **SecureKey=x |
Définit les
autorisations d'accès à la clef
**SecureKey=1 donne un accès total au système et aux administrateurs
**SecureKey=0 réinitialise toutes les autorisations |
| Type |
4 |
Définit le type d'entrée :
0x00000001 : REG_SZ
0x00000002 : REG_EXPAND_SZ
0x00000003 : REG_BINARY
0x00000004 : REG_DWORD
0x00000007 : REG_MULTI_SZ |
| Taille |
4 |
Taille des données en octets |
| Données |
Variable |
Valeur de l'entrée |
Comment
appliquer des stratégies locales sauf aux administrateurs
Les stratégies définies à l'aide de GPEDIT s'appliquent à tous
les utilisateurs, administrateurs inclus., ce qui peut s'avérer
très gênant!
Voici une méthode pour remédier à ce problème :
- Ouvrir une session en tant qu'administrateur.
- Lancer GPEDIT.MSC, et définir les stratégies voulues
(en étant prudent cependant, afin qu'ultérieurement on ne se trouve pas en
situation de blocage total. Par exemple l'accès à MMC.EXE ne devra en aucun
cas être interdit!) .
- Quitter GPEDIT.
- Fermer la session.
- Répéter pour TOUS les comptes (administrateur compris) la
séquence suivante :
- Ouvrir une session.
En effet, le fait d'ouvrir une session provoque l'application des stratégies
(et inversement, tant qu'un compte n'a pas ouvert de session, les stratégies
ne sont pas encore appliquées).
- Fermez la session
- Ouvrir une session en tant qu'administrateur.
- Copier le fichier %Systemroot%\System32\GroupPolicy\User\Registry.pol
dans un dossier quelconque (autre partition, disquette, ...).
- Relancer GPEDIT.MSC, et annuler les stratégies définies au
point 2 que l'on ne veut pas voir appliquées aux comptes
administrateurs.
- Quitter GPEDIT
- Copier le fichier Registry.pol sauvegardé au point 7
dans le dossier %Systemroot%\System32\GroupPolicy\User. Cette opération
va écraser le fichier créé lors de la désactivation des stratégies au point 8.
Si le système demande de confirmer le remplacement du fichier existant,
répondre Oui.
- Fermer la session.
- Ouvrir une session en tant qu'administrateur. Les stratégies
définies au point 2 ne sont pas appliquées.
- Fermer la session.
- Ouvrir une session en tant qu'utilisateur ordinaire. Les
stratégies définies au point 2 sont appliquées.
Restauration
des stratégies locales d'origine
Pour supprimer les stratégies (pour tous les utilisateurs) :
- Ouvrir une session en tant qu'administrateur.
- Déplacer, renommer ou supprimer le fichier %Systemroot%\System32\GroupPolicy\User\Registry.pol.
Un autre fichier Registry.pol par défaut sera créé par le système de
protection des fichiers Windows lors de la fermeture de session.
- Lancer GPEDIT.MSC, et définir à "non configuré"
toutes les stratégies.
- Fermer la session
- Répéter pour TOUS les comptes (administrateur compris) la
séquence suivante :
- Ouvrir une session.
- Fermez la session.
Les
fichiers modèles .ADM
Comme cela a été exposé précédemment, ces
fichiers servent de modèles à la création de stratégies.
Ces fichiers texte (ANSI ou UNICODE) comportent plusieurs sections,
à structure arborescente, chaque section et sous-section étant identifiée par un
mot-clef. On peut trouver également des directives conditionnelles liées à la
version du système d'exploitation en cours.
On peut trouver un document explicatif (en anglais) sur les fichiers .ADM sur
le site de Microsoft
Quelques règles syntaxiques :
-
Les lignes d'un fichier .adm sont indifférentes à la casse
-
Les espaces surnuméraires sont ignorés
-
Le caractère ";" (point-virgule) annonce un commentaire.
Tout ce qui est situé à droite est ignoré
-
Les lignes vides sont ignorées.
-
Les chaînes de caractères doivent être encadrées par des guillemets
(")
-
Les chaînes de caractères peuvent être stockées dans des variables,
dont le nom commence obligatoirement par la séquence "!!" (double point
d'exclamation).
Par exemple !!EnableSlowLinkDetect.
Le nom attribué à une variable est totalement arbitraire, mais il ne doit
pas comporter d'espace.
Le lien entre la variable et son contenu est défini, dans la section
[Strings] située à la fin du fichier, par une ligne de la forme :
nom_de_variable="chaine
de caractères"
Par exemple :
EnableSlowLinkDetect="Ne pas détecter les connexions réseau lentes".
Si une chaîne doit comporter des retours à la ligne (cas de texte d'aide),
on les remplace par la chaîne \n
Exemple commenté (extrait du fichier system.adm de Windows XP)
|
Ligne et Rôle |
Commentaires |
| #if
version >= 3 |
Directive
conditionnelle
(facultative) |
Tout ce qui
suit ne s'applique que pour les Système de version supérieure ou égale à
3. Les versions sont ainsi numérotées :
2 : Windows NT4
3 : Windows 2000
4 : Windows XP et 2003
La portée de cette directive cesse dès qu'apparaît la directive #endif
Si la directive conditionnelle n'est pas vérifiée, toutes les lignes
comprises entre #if version... et #endif sont
ignorées. |
| CLASS
MACHINE |
Début de
stratégies
(obligatoire) |
La directive
CLASS est suivie de l'un des 2 mots-clefs :
- USER : stratégies
relatives à l'utilisateur
clef HKCU
- MACHINE : stratégies
relatives à l'ordinateur
clef HKLM
Elle sert à définir le contexte dans lequel sont
définies les stratégies qui vont suivre. Ce contexte est conservé tant que
n'apparaît pas une autre directive CLASS |
|
CATEGORY !!AdministrativeServices |
Début de
catégorie
(obligatoire) |
La directive
CATEGORY est suivie d'un nom arbitraire (ici on a utilisé une
variable de chaîne, dont le contenu est égal à "Système")
Elle sert à afficher un noeud ayant le même nom ("Système") dans
l'arborescence du panneau de gauche de GPEDIT |
|
POLICY !!NoSecurityMenu |
| Début de
stratégie |
La directive
POLICY est suivie d'un nom arbitraire (ici on a utilisé une
variable de chaîne, dont le contenu est égal à "Supprimer l'option
Sécurité du menu Démarrer (Terminal Server uniquement)")
Elle sert à afficher une description rapide de la stratégie dans le
panneau de droite de GPEDIT |
|
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" |
| Nom de clef |
La directive
KEYNAME est suivie du nom de la clef concernée par la stratégie
(sans le nom de branche HKCU ou HKLM). |
|
EXPLAIN !!NoSecurityMenu_Help |
| Aide
contextuelle |
La directive
EXPLAIN est suivie d'une chaîne arbitraire (ici on a utilisé
une variable de chaîne) contenant un texte d'aide affiché dans la
boite de dialogue associée à la stratégie. Ce texte
peut comporter un grand nombre de lignes |
|
VALUENAME "NoNTSecurity" |
| Nom d'entrée |
La directive
VALUENAME est suivie du nom de l'entrée concernée par la stratégie.
|
| END
POLICY |
| Fin de
stratégie |
|
| END
CATEGORY |
| Fin de
catégorie |
|
| ... |
|
| [strings] |
|
Début de
section
de variables chaînes |
Cette
section est placée à la fin du fichier. |
|
AdministrativeServices="Système" |
| Définition
de variable chaîne |
|
|
NoSecurityMenu="Supprimer l'option Sécurité du menu Démarrer (Terminal
Server uniquement)" |
| Définition
de variable chaîne |
|
|
NoSecurityMenu_Help="Supprime l'élément Sécurité Windows du menu
Paramètres sur les clients Terminal Server.\n\nSi vous activez cette
stratégie, l'élément Sécurité Windows n'apparaît pas dans le menu
Paramètres du menu Démarrer. En conséquence, les utilisateurs doivent
taper une séquence d'attention de sécurité, telle que Ctrl+Alt+Fin, pour
ouvrir la boîte de dialogue Sécurité Windows sur un client Terminal
Server.\n\nCette stratégie est conçue pour empêcher les utilisateurs peu
expérimentés de se connecter aux services Terminal Server par
inadvertance." |
| Définition
de variable chaîne |
|
L'arborescence dans le panneau de gauche de GPEDIT est
obtenue par
imbrication des catégories les unes dans les autres.
CATEGORY !!AdministrativeServices
CATEGORY !!Login_Policies
...
END CATEGORY
CATEGORY !!DiskQuota
...
END CATEGORY
...
END CATEGORY |
 |
CATEGORY !!WindowsComponents
CATEGORY !!WindowsExplorer
CATEGORY !!Comdlg
...
END CATEGORY
...
END CATEGORY
...
END CATEGORY |
 |
Par défaut, et dans la plupart des cas, à une stratégie correspond
dans la BDR une seule entrée de type REG_WORD, et de valeur
0x00000000 : stratégie désactivée
0x00000001 : stratégie activéeMais il peut exister des stratégies traduites
par :
- une entrée de type REG_SZ (chaîne)
- une entrée de type REG_EXPAND_SZ (chaîne définie par une variable
d'environnement)
- une entrée de type REG_DWORD, mais inversée (0x00000000 : stratégie
activée)
- une entrée de type REG_DWORD, de valeur à prendre dans une plage
spécifique.
Une liste déroulante apparaît alors dans la boite dialogue,
invitant l'utilisateur à faire un choix.
- plusieurs entrées, avec toutes les combinaisons précédentes possibles
(REG_SZ et/ou REG_DWORD)
Les commutateurs VALUEOFF et VALUEON permettent
d'expliciter les valeurs de l'entrée BDR selon l'état de l'option :
| |
Mode
implicite |
Mode
Explicite |
| |
Aucune
instruction VALUEON / VALUEOFF n'est utilisée.
Ceci signifie que les Modèles d'administration utiliseront le comportement par défaut lorsque l'utilisateur modifiera l'état de cette stratégie.
|
Dans cet exemple, les valeurs de l'état sont définies explicitement.
les Modèles d'administration les utiliseront lorsque l'utilisateur modifiera la stratégie.
|
| |
POLICY !!ActiverDétectionLiaisonLente
EXPLAIN !!ActiverDétectionLiaisonLente_Aide
KEYNAME "Software\Policies\Microsoft\Windows\System"
VALUENAME "DétectionLiaisonLenteActivée"
END POLICY
|
POLICY !!ActiverDétectionLiaisonLente
EXPLAIN !!ActiverDétectionLiaisonLente_Aide
KEYNAME "Software\Policies\Microsoft\Windows\System"
VALUENAME "DétectionLiaisonLenteActivée"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
|
| État
stratégie |
Comportements |
| activé |
Un DWORD de valeur 1 est écrit dans le Registre. |
Un DWORD de valeur 1 est écrit dans le Registre. |
| désactivé |
La valeur du Registre est supprimée. |
Un DWORD de valeur 0 est écrit dans le Registre. |
| non configuré |
Aucune modification n'est apportée au Registre. |
Aucune modification n'est apportée au Registre. |
| |
L'important à remarquer est l'état désactivé de la stratégie.
Si la valeur est égale à 0, elle n'est pas écrite dans le Registre ; elle est supprimée explicitement.
|
|
Il existe d'autres mots-clefs supplémentaires dans les fichiers .adm, que
l'on va commenter à l'aide d'exemples extraits du fichier system.adm :
|
Ligne |
Rôle |
Commentaires |
CATEGORY !!RegionalOptions
POLICY !!RestrictUILangSelect
KEYNAME "Software\Policies\Microsoft\Control
Panel\Desktop"
EXPLAIN !!RestrictUILangSelect_Help |
|
On se trouve
dans la catégorie "Options régionales" (de la catégorie "Panneau
de configuration")
La stratégie est "Restreindre la sélection des menus Windows 2000 et
des langues de dialogue" |
|
PART !!UILangSelect DROPDOWNLIST NOSORT REQUIRED |
Début de
composant supplémentaire de stratégie |
La directive
PART est suivie d'un nom arbitraire, servant à définir le composant
de stratégie. Elle est suivie d'un mot clef définissant le type de
saisie.
Ici DROPDOWNLIST indique une liste déroulante, non triée (NOSORT).
REQUIRED spécifie que la Stratégie de groupe n'autorisera l'activation de
la stratégie contenant cette partie que si cette dernière a reçu une valeur. |
VALUENAME "MultiUILanguageID"
|
Nom d'entrée |
Nom de
l'entrée concernée par la stratégie.
|
ITEMLIST
|
Type de
composant (Liste) |
Indicateur
de début de liste |
NAME !!UILang1 VALUE 00000409 DEFAULT
NAME !!UILang2 VALUE
00000411
...
NAME !!UILang7 VALUE
0000040c
NAME !!UILang8 VALUE
00000c0a
NAME !!UILang9 VALUE
00000410
... |
Éléments de
Liste |
La directive
NAME est suivie :
- d'une valeur affichée dans la liste déroulante (P.ex.
!!UILang7 contient "Français")
- du mot clef VALUE suivi de la valeur qui sera
stockée dans la BDR
- Si VALUE est suivi de DELETE (par exemple, VALUE DELETE),
le nom de la valeur dans le Registre et les deux valeurs seront supprimés.
- du mot-clef éventuel DEFAULT indiquant
la sélection par défaut
|
END ITEMLIST
|
Fin de liste |
Indicateur
de fin de liste |
END PART
|
Fin de
composant |
Indicateur
de fin de composant |
END
POLICY
END CATEGORY ;;RegionalOptions |
|
|
| Aspect de la
boite de dialogue |
Résultats
dans la BDR |
 |
 |
En plus de DROPDOWNLIST, on dispose des types de composants
suivants :
| Types
|
Rôle
et exemple |
Commentaires |
| CHECKBOX |
Case à
cocher
La valeur définie dans le registre est de type REG_DWORD.
Le comportement par défaut consiste à écrire dans le Registre la valeur 1 si
la stratégie est activée et 0 si elle est désactivée.
|
CHECKBOX accepte les options suivantes :
- ACTIONLISTOFF. Demande l'utilisation d'une liste d'actions facultatives si la case à cocher est désactivée.
- ACTIONLISTON. Demande l'utilisation d'une liste d'actions facultatives si la case à cocher est activée.
- DEFCHECKED. La case à cocher sera sélectionnée par défaut.
- VALUEOFF. Remplace le comportement « off » par défaut de la case à cocher, s'il est spécifié.
- VALUEON. Remplace le comportement « on » par défaut de la case à cocher, s'il est spécifié.
|
| EDITTEXT |
Saisie de
texte |
EDITTEXT accepte les options suivantes :
- DEFAULT Valeur par défaut
Spécifie la chaîne initiale à placer dans le champ de saisie. Si cette option n'est pas spécifiée, le champ est, initialement, vide.
- MAXLEN Valeur
Spécifie la longueur maximale d'une chaîne. La chaîne tapée dans le champ de saisie ne doit pas dépasser cette longueur.
- REQUIRED
Spécifie que la Stratégie de groupe ne permettra pas d'activer une stratégie contenant cette partie, sauf si une valeur a été entrée pour cette partie.
- EXPANDABLETEXT
Écrit dans le Registre une valeur de type REG_EXPAND_SZ
(utilisée dans le cas où la valeur contient des noms de variables
d'environnement)
- OEMCONVERT
Définit le style ES_OEMCONVERT du champ de saisie de telle sorte que le texte tapé est mappé du code ANSI vers le code OEM et inversement.
|
| TEXT |
Texte
statique (aucune entrée associée)
 |
|
| COMBOBOX |
Fusion de
DROPDOWNLIST (liste déroulante) et de EDITTEXT (texte éditable)
COMBOBOX accepte les mêmes options que EDITTEXT,
 |
Ce type admet en plus l'option suivante :
- SUGGESTIONS.
Commence une liste de suggestions à placer dans la liste déroulante.
Les SUGGESTIONS sont séparées par des espaces et elles doivent être placées entre guillemets doubles lorsqu'une valeur inclut des espaces.
La liste se termine par END SUGGESTIONS.
|
| LISTBOX |
Liste
d'items, modifiable par le biais d'une boite de dialogue servant à ajouter ou retirer un item
Action sur Afficher :
 |
LISTBOX accepte les options suivantes :
- ADDITIVE. Par défaut, le contenu des zones de liste remplace les valeurs définies dans le Registre cible. Ceci signifie qu'une valeur de contrôle est insérée dans le fichier de stratégie, qui entraîne la suppression des valeurs existantes avant la fusion des valeurs définies dans le fichier de stratégie. Si cette option est spécifiée, les valeurs existantes ne sont pas supprimées et les valeurs définies dans la zone de liste s'ajoutent aux valeurs déjà présentes dans le Registre cible.
- EXPLICITVALUE. Cette option permet de spécifier les données et le nom de la valeur. La zone de liste affiche deux colonnes, la première pour le nom et la seconde pour les données. Cette option ne peut pas être utilisée avec l'option VALUEPREFIX.
- VALUEPREFIX Préfixe . Le préfixe spécifié sert à déterminer les noms des valeurs.
Il est associé à un nombre incrémenté et l'ensemble
est utilisé à la place de la structure d'affectation des noms décrite plus haut.
Par exemple, le préfixe "NomFamille" génère les noms de valeur NomFamille1, NomFamille2, etc.
Si le préfixe est vide (""), les valeurs prennent les noms 1, 2, etc.
|
| NUMERIC |
Affiche un champ de saisie comportant un contrôle fléché (contrôle avec flèches vers le bas et vers le haut), qui accepte une valeur numérique.
Dans le Registre, la valeur est définie comme étant de type REG_DWORD.
Exemple :
PART !!MaVariable NUMERIC
MIN 100 MAX 999 DEFAULT 55
VALUENAME ValeurAModifier
END PART |
 |
NUMERIC accepte les options suivantes :
- DEFAULT Valeur par défaut
Spécifie la valeur numérique initiale à placer dans le champ de saisie. Si cette option n'est pas spécifiée, le champ est, initialement, vide.
- MAX Valeur
Spécifie la valeur maximale du nombre. La valeur par défaut est 9999.
- MIN Valeur
Spécifie la valeur minimale du nombre. La valeur par défaut est 0.
- REQUIRED
Spécifie que la Stratégie de groupe ne permettra pas d'activer une stratégie contenant cette partie, sauf si une valeur a été entrée pour cette partie.
- SPIN Valeur
Spécifie l'incrément à utiliser sur le contrôle fléché.
SPIN 0 supprime le contrôle fléché.
SPIN 1 est pris par défaut.
- TXTCONVERT
Écrit les valeurs en tant que chaînes REG_SZ ("1," "2" ou "128") et non en tant que valeurs binaires.
|
| ACTIONLIST |
Liste facultative d'actions à exécuter si la valeur est sélectionnée. |
ACTIONLIST ne peut être utilisé que dans le cadre d'une
ITEMLIST. Il existe deux variantes à ACTIONLIST
:
- ACTIONLISTON
- ACTIONLISTOFF
qui peuvent être utilisées avec les balises POLICY et
CHECKBOX. |
Ajout d'un fichier ADM à GPEDIT.MSC
Il s'effectue à partir du menu contextuel Modèles d'administration
Ajout/Suppression de modèles...
|
mais
si le fichier adm que l'on ajoute concerne des clefs autres que :
-
HKEY_CURRENT_USER\Software\Policies\Microsoft
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
-
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
les stratégies qu'il décrit n'apparaîtront pas (par défaut) dans
GPEDIT!
Il faut paramétrer l'affichage de GPEDIT en conséquence.
|
|
Ce paramétrage diffère un peu suivant les versions de Windows :
| Version |
Emplacement |
Commentaires |
| Windows 2000 |
|
Décocher les items :
- Ne montrer que les stratégies
- Ne montrer que les stratégies configurées
|
| Windows XP (et
+) |
|
Sélectionner Filtrage
|
 |
puis décocher les cases
- Afficher uniquement les paramètres de stratégies
configurés
- N'afficher que les paramètres de stratégie pouvant
être entièrement gérés
|
Suivant qu'une stratégie concerne ou non les clefs "standard", la
couleur de l'icône est différente :
Stratégie "système"
(clefs non standard)
(en rouge) |
Stratégie "standard"
(en bleu) |
 |
 |
Exemple
de fichier ADM personnalisé
L'exemple suivant a pour but de paramétrer l'option de Recherche
automatique des dossiers et imprimantes partagés dans l'explorateur de
Windows (Windows XP et au delà).
Cela se configure habituellement depuis le menu Outils / options
des dossiers de l'explorateur,
en cochant (option par défaut) ou non la case "Rechercher
automatiquement les dossiers et imprimantes partagés"
 |
Lorsque cette option est cochée, dès qu'un
partage de fichiers
ou d'imprimante est détecté sur le réseau, il est affiché
systématiquement dans le dossier système Favoris réseau :
Cette fonctionnalité est certes pratique, par contre dans le cas
d'un réseau assez vaste, comportant un grand nombre de
machines et de partages sur chacune d'elles, cette liste peut
prendre des proportions envahissantes!
On peut la désactiver depuis l'explorateur, mais il faut alors le
faire pour tous les comptes de chaque ordinateur, ce qui peut
s'avérer fastidieux.
L'utilisation d'une stratégie peut généraliser ce
paramétrage. |
Voici le contenu d'un fichier AutoSearch.adm
qui sert à configurer ce paramètre. |
La clef associée est
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\NoNetCrawling
de type REG_DWORD
Une valeur 0 signifie que la recherche des partages est activée
Une valeur 1 signifie que la recherche des partages est désactivée |
|
|
Après chargement du fichier autosearch.adm
(stocké dans %systemroot%\inf) dans GPEDIT.MSC,
on constate la présence d'un nouvel item Explorateur dans la
branche Modèles d'administration de la Configuration utilisateur
:
Télécharger
autosearch.adm (comme c'est un fichier au format texte,
utilisez le menu contextuel "Enregistrer la cible sous..." ou
équivalent de votre navigateur pour l'enregistrer)
Outil SHOWADM d'affichage des fichiers modèles .adm
SHOWADM est un script VBS dont le but est d'expliciter de façon synthétique le contenu de un ou plusieurs fichiers
.adm.
Il utilise deux contrôles ActiveX
additionnels :
-
comctl32.ocx (d'origine
Microsoft, servant à l'affichage des boites de dialogue standard de fichiers)
-
jcb.ocx (conçu par mes soins, multifonctions : dialogues,
opérations sur la BDR, ...).
Il fait appel à EXCEL (obligatoire) pour y créer de façon totalement automatique
un tableau énumérant :
-
Les catégories de stratégies
-
Le nom de chaque stratégie avec
-
le type de clef associée
-
la clef associée
-
une aide contextuelle sous la forme de commentaire
- De plus, le fait de sélectionner une stratégie provoque l'ouverture de
REGEDIT prépositionné sur la clef en question.
Sa mise en oeuvre se limite à copier les fichiers
showadm.vbs,
comctl32.ocx et
jcb.ocx dans un dossier quelconque.
Ensuite il suffit d'exécuter le script showadm.vbs depuis une fenêtre de
commandes, l'explorateur ou le menu Démarrer/Exécuter
Un formulaire (dans Internet Explorer)
s'ouvre alors
Pour modifier la liste de fichiers .adm, appuyer
sur le bouton "Liste fichiers ADM" |
 |
| Cela provoque l'ouverture d'une boite
dialogue affichant la liste des fichiers actuellement retenus.
Deux boutons Ajouter et Supprimer permettent
de modifier cette liste (le bouton Supprimer n'est actif que si on a
sélectionné un fichier dans la liste) |
 |
| L'action sur Ajouter provoque
l'ouverture de la boite de dialogue habituelle de sélection de fichiers.
Appuyer sur OK, puis recommencer éventuellement
l'ajout de fichiers. |
 |
| La liste est alors actualisée dans le
formulaire initial.
Appuyer sur Afficher |
 |
| Le formulaire se ferme alors,
et quelques instants plus tard s'affiche un classeur EXCEL à 2
onglets (Machine et Utilisateur), qui se remplit peu à peu.
A la fin on obtient ceci : |
 |
| En tête du classeur est
affichée la liste des fichiers , ainsi que la branche concernée (HKCU ou
HKLM) |
| Les cellules de la colonne Stratégie sont
dotées de commentaires, affichés dans une fenêtre "popup" |
 |
| On peut faire appel à toutes
les fonctions de EXCEL, par exemple celle de recherche d'une chaîne : |
 |
 |
On voit qu'il existe plusieurs
stratégies répondant à ce critère, dont "Activer l'écran de veille"
On peut voir que la clef correspondante est Software\Policies\Microsoft\Windows\Control
Panel\Desktop\ScreenSaveActive, ce qui est confirmé par l'ouverture
automatique de REGEDIT : |
 |
|
|
Téléchargements |
| |
SHOWADM.VBS
|
script VBS |
| |
JCB.OCX |
contrôle ActiveX (JCB) |
| |
COMCTL32.OCX |
contrôle ActiveX (Microsoft) |
| |
SHOWADM.ZIP |
contient les 3 fichiers précédents |
| |
ADM.ZIP |
Comme GPEDIT n'existe pas sous XP HOME,
les fichiers .adm principaux n'existent pas sous ce système.
Ce fichier compressé contient les 4 fichiers :
- system.adm
- inetres.adm
- conf.adm
- wuau.adm
Il doit être décompressé dans le dossier
%systemroot%\inf |
Usage entièrement gratuit !
Outil
STRATEDIT d'édition de stratégies pour un compte donné
A venir
...