GPO ( Great Problems Occurs…)

 

Alors ça y est les enfants.. ce coup ci on va remonter sérieusement dans la couche Osi… nous allons voir :

 

Les Group Policy … ou comment sévir tel un apparachik sur les droits d’un USER.

 

Index

Prologue. 1

ÉTAPE 1… Mais Diable qu’est ce qu’une GPO. 2

ÉTAPE 2… Les GP et mon Domaine. 4

ÉTAPE 3... Les SITES les mal aimés de l’admin amateur 8

ÉTAPE 4… Comment que ça s’applique Maryse ?. 10

ÉTAPE 5... on va plus profond….. 13

ÉTAPE 6... Mais C’est le BROLL !!! 16

ÉTAPE 7…et enfin,  On décortique un ADM.. 19

ETAPE 8.. LE Tattoing…Quoi ca se vire pas !!!! 24

ETAPE 9… Bin on a pas fait le tour Là ?. 24

 

Prologue.

Déjà avant de se mettre à lire ma prose. ( Et dieu sait… que c’est défois pas facile, même pour moi..) Il vous faut vous préparer.. Vous mettre dans l’ambiance… donc déjà un peut de Bonne Musiques…. DE LA MUSIQUE pas de la dobe attention… je conseille pour ce HOWTO un bon vieux live de Maiden, nous dirons le Real Dead One..( PS Perso: non les mec rien a voir avec la boite )  et une bière.. attention là  aussi une vrai bière, pas de la flotte qui a vaguement vu du malte une fois par hasard dans sa vie… On va dire une Chimay bleu ma préférée… bien que la blanche se défende ... mais soit. Au passage on se recueille deux secondes en pensant au PAPE … Si c’est important !! … pas de pape, pas de chef des cathos, pas de chefs, plus de cathos, pas de cathos, pas de moines, et si pas de moines , pas de bière Chimay … CQFD !!!

 

Donc Tout le monde est prêt… Toi le Gars. .. ouais toi avec le CD de Rap là ...TU SORS…

 

OK les autres …. on Y va…

 

ÉTAPE 1… Mais Diable qu’est ce qu’une GPO.

 

Ceci est une étape pour mettre les enfants a niveaux les autres peuvent passer.

 

Une Gpo alias un Group Policy Object qu’on va appeler par convention GP est pour démystifier directement la bête, grosso modo un ensemble de clef de registry qui vont s’appliquer sur un Windows afin de Tuner et configurer la Bête… l’intérêt de la chose c’est qu’on peut aller pré paramétrer un poste et toute une configuration utilisateur de fond en combles en restant assis sur son séant depuis son poste de management… ça c’est le panard… et cette configuration va vraiment loin…

 

Il y a sous XP, 2003 et notre vieil amis Windows 2000 des centaines de clefs de Policy, celles-ci permettent de L’explorateur, internet Explorer, Windows lui-même, password, paramétrage des services, de la sécurité, modifications de droits des répertoires etc. etc.… mais aussi de faire lancer a la machine des script au démarrage a l’arrêt, et faire aussi lancer des scripts au loggon et au loggoff de votre quidam (ok c’est pas respectueux nous dirons donc User )… et enfin faire installer à distance des softs. On vas pas se priver de cela non !

 

Mais c’est aussi un système ouvert.  On peut rajouter ses propres policy, d’ailleurs pour preuves Mr Microsoft fournit les siennes pour chipotter toute la gamme Office.

 

 Il faut savoir que toutes machine W2K & + disposent déjà de toutes ces GP localement, en effet toutes machine disposent d’un outils pour chipoter celle-ci... ( XP home j’en sais rien, mais sûrement que ça doit être bridé. Ca ne coûte que 100€ mon fils )

 

 Voici a quoi ressemble la Bête….

 

 Comme on peut déjà le voir c’est touffu…mais c’est phénoménal !!! Pour avoir ce superbe outil à tuner il suffit de lancer le module … RUN TOOOO THE HIIIIIILLLLL RUUUUN FOOORRR YOUURRR LIFFFFEEE ... Désolé un refrain de Maiden, je me suis lâché … donc il suffit, je disait pour avoir accès au GP locales de la station, un petit coup de MMC et on ajoute le plugin nommé group policy ,où alors directement on lance celui-ci ->  gpedit.msc Simple non…. Allez, allez ont va dire trivial…

 

Déjà on remarque deux choses comme je l’avais lâché précédemment, y a une  partie Computer et une Partie User… Je vous laisse vous balader et voir tout ce qu’on peut y chipoter, ne casser pas tout, ça c’est déjà vu …

 

Vu que c’est quand la faune et la flore ce truc Mr Microsoft édite des plans, c’tun peut le guide du rootar du windowzien … ;) Voila celle de Win2k3 par exemple LE LIEN 

 

Ce qui faut Retenir

On chipote tout le windows via policy plus besoin de se lever.

On peut installer des Soft via Policy.

Il y a une Partie User et une Partie Station

Maiden c’est Bien.

 

ÉTAPE 2… Les GP et mon Domaine.

 

Ceci est une étape pour Ados les autres peuvent passer

 

Maintenant qu’on a bien compris tout ce qu’on peut chipoter localement  on va voir Comment sévir a partir du Rezal… Primo (lévi) Il vous faut un contrôleur de Domaine Windows 2000 Minimum, voir 2003 pour les avantages qu’on va tenter d’énumérer plus bas, et bien sur des postes dans ce même domaine… donc quand on a un contrôleur de domaine, on a un MMC Active directory User & Computer … quelle joie, voila à quoi ressemble la bête, c’est généralement dispo dans les administrative tools … Pour ceux qui veulent se faire mousser.. Start/ Run dsa.mmc  et voilou … tenant compte des remarques acerbes ( et non a serbe ) de certain d’entre vous, je me suis fendu d’un floutage sur les info perso…

 

 

 Voila donc par exemple un user manager d’un domaine quelconques, on voir différent containers/répertoires AD/OU (unité organisationnelle) bref tout le monde trouvera un nom pour ces répertoires, donc devant notre nez nous avons les OU suivantes : Builtin,Computers,Domaine Contrôleurs, etc…etc… ceux qu’i vont nous intéresser ajourd’hui c’est User Trollprod pour rendre homage a notre merveilleux et magnifique Hosteurs ( ok j’en suis et je suis repéré ).

 

Et aussi le container Bécannes, il faut bien comprendre que l’intérêt de créer ses containers est double

 

Primo (lévi blague récurrente..)  On ne peut pas coller des policy au container Computers et Users de Base… donc première raison de créer des containers. En plus si vous vous contenter d’utiliser Computers et Users, faudrait m’expliquer quel raison vous avez réussis a vendre a votre chef pour faire passer vos serveurs NT4 vers Windows 2003 je serais curieux de les entendre.

 

Secundo ( j’ai rien qui me vient la, primo c’etait plus facile ) c’est un de but d’AD ( Active directory) de pouvoir rangers ses petit users et ses petits ordinateurs tels des bonhomme de plomb.. ( Un peut comme novell netware le faisait il y a  déjà 10 ans ) L’idée étant de les ranger par groupes logique, exemple les comptables avec les comptables, les vendeurs avec les vendeurs.. ( pardon on m’informe qu’il faut dire commercial ), etc etc de façons a simplifier notre travail de gestion… en effet s’il nous vient comme tache de déployer Powerpoint… il faudrait les déployer au vendeurs ( CQFD Powerpoint = Vendeur ).. Pardon Commerciaux, il sera alors très facile de sélectionner un container ou sont regroupés tout ces petits vendeurs … HOOOO Commerciaux ( j’y arrive pas )  et d’appliquer une policy qui fait installer POWERPOINT automatiquement aux ….ven…merciaux.. (houf ).

 

Dans notre exemple nous avons donc un domaine dans lequel est mis un container User Trollprod suivis d’un sous container branleurs dans lequel nous avons mis notre traducteur de thanatos préféré, le correcteur humain de cette prose que je vous présente  le vénérable (dù a son âge) Chef Chaudard… nous allons partir du principe que le Chef Chaudard est un branleur et qu’il faut lui interdire le lancement de WinMine son petit péché mignon qui flingue inexorablement sa productivité…

 

 Nous allons donc créer une nouvelle policy, pour cela, bouton droit de la taupe sur le container Branleurs puis propriété et hop sur l’objet Stratégie de Group et la on fait nouveau et on donne a nom a notre GP … on va l’appeler NoLandMines … (c’est vrai marre d’envoyer des moitiés de chaussures en Irak… ) si Vous avez réussis votre coup vous devriez en être là :

 

 

Et si on ‘deubeul click’ sur notre policy on retombe sur… Damned…. l’éditeur de stratégie que l’on a vu au chapitre 1… Donc pour interdire l’exécution de winmine.exe le plus rapide c’est  config user / modèles d’admin / système/ puis ne pas exécuter un truc et ajouter winmine.exe

 

 Et voila c’est tout bête…une fois que la policy sera appliquée, l’os ne voudra plus lancer winmine.exe… et ceci pour tout les object utilisateurs contenus dans le container branleurs… alles klar ?…

 

 Maintenant que nous commençons a faire des policy autant que nous le faisions proprement … Notre Objet Computer Policy alias Configuration Ordinateur est vierge … si si il l’est personne ne l’a touché.  Donc il ne fait rien … DONC ON LE DISABLE, ça (et on le verra plus tard aussi ) allégera le travail de notre bon vieux lan. Pour disabler ce bout de policy qui a la flemme il suffire de revenir sur la page d’avant, on prend les propriétés de la policy et on disable la partie se référant a l’ordinateur.

 

 

 Et voila … c’est pas dure non ?...

 

 Et on aurait pu faire aussi des policy de machine qui par exemple aurais mis a 16Mo la taille de l’event log system et on aurait pu appliquer cela au container bécanes qui contiendrait nos workstations… sympas non…

 

 Le truc vachement important à savoir c’est que cela s’applique aux Objet USER et aux objets WORKSTATION. Donc si on a fait un groupes de Workstations nommé MONGROUP dans un container TITI et que les station elles sont dans un autre container nommé TOTO, et qu’on a collé a policy au container TITI et bien cela s’appliquera pas … pis c’est comme ça !!! Un point c’est tout.

 

 Maintenant on remarque sur le printscreen d’au-dessus, que cette policy a un nom unique (imbouffable certes, mais unique ) a quoi cela peut bien servir… il faut savoir que les policy sont stockées et répliquées entre chaque Domain Contrôleur dans le fameux répertoire SYSVOL et dans un sous répertoire du nom du domaine

 

 

 

Chaque policy a son répertoire a elle. Et dedans qu’y a-t-il…

 

 

 

 

 

 

 

 Déjà il y a un fichier GPT.INI qui contient un Nr de version de votre policy ... mais à quoi que ça peut bien servir….et…surtout… qui sont ces mystérieux personnages à la droite de cet l’écran … On va donc voir comment ça s’applique une policy User dans un Domaine…un chouilla plus tard…

 

Ce qu’il faut Bachoter.

Y a des Policy User et Workstations

Ça s’applique sur les containers aux objets USER et WORKSTATION

On peut en mettre plusieurs par container

Elles sont répliquées sur tous les DC (Domain Contrôleurs)

 

ÉTAPE 3... Les SITES les mal aimés de l’admin amateur

Étape qui commence à moins faire chier les admin level 12

 Y’a un truc qui est fort bien dans Active Directory et ceci depuis Windows 2000, hé oui, 5 ans déjà… les sites… en effet si on choppe un serveur et qu’on lance dssite.msc ou alors Active directory Sites & Services dans l’administrator tools.

On tombe sur ce plugin mmc étrange

 

 

 Mais que vois-t-on.. ?. et oui dans AD on peut créer des sites, ces sites sont caractérisés par le range d’adresses IP (D’où l'intérêt de messieurs les spécialistes du ‘Partout 192.168.0.0/24’ de faire ses site proprement routable car si un jour ça s’interconnecte vous me remercierez)..

 

 Donc on peut créer des sites, des ranges, associer Site et Range et automatiquement votre Windows va savoir où il est…mais que peut-on voir encore quand on fait bouton mulot droit / propriété sur un des sites… je vous le donne en mille on peut fourrer des policy attenantes au site.

 

 

 Comme c’est bien fait… donc d’ici je peut créer une nouvelle policy par exemple concernant tout User sur le site de Paname qui interdira l’utilisation de winmine ! ( c’est bien connu, tous des branleurs a Paname … allez allez mailez vos insultes j’men fous )

 

 Et donc techniquement avec ce genre de possibilité si je vois encore un login script qui test les Range ip pour mapper tel ou tel drive… je le fous au pilori devant le siège de Crosoft à Seattle !

 

Remember

Les Sites c’est pas fait pour les Chiens

 

ÉTAPE 4… Comment que ça s’applique Maryse ?

 

 Les gens vous pouvez revenir on attaque les truc pour les hommes…

 

 Que savons-nous... plein de trucs sur la vie des baleines certes … mais sur les policy que savons-nous … Déjà on peut en fourrer par container, les containers peuvent contenir d’autres containers et les containers doivent contenir des postes et des stations pour que cela s’applique … et qu’en plus les stations ont-elles, déjà une policy de Base. Et aussi qu’il y a des policy de sites… Comment diable tout cela cohabite ?

 

 Bin c’est assez simple en fait …

 

 Voila comment une station applique ses policy au boot.

 

Les Policy Stations :

1) à on applique la policy locale

2) dés que la station à une ip et sait ou il y a un DC elle demande ses policy stations, là, le Domain Contrôleur dans sa grande mansuétude file la liste des policy a appliquer... et attention il y a un Ordre…

 

1)    On applique les policy du Site

2)    On applique celles du domaine ( tout en haut )

     3)  Et on applique les policy dans l’ordre de l’arborescence des OU de haut en Bas jusqu’au poste

 

 Et si un container contient plusieurs policy celles-ci sont appliquées dans l’ordre ou elles sont mises en place... d’abord la 1ère les autres ensuite.

 

 Un tcho schéma peut être (spéciale dédicace à abpa pour le schéma )

 Est-ce que c’est clair ? J’espère qu’oui avec une magnifique explication comme celle-ci...

 

 Mais alors si on regarde la taille d’un répertoire de policy, par exemple celui qui fait juste dégager le Winmine.exe a l’exécution, ça fait 1,12Mo ! car il contient une copie des fichier ADM, le fichier ADM étant la version texte de ce qu’on voit dans le Gpeditor ( vus tout en haut ) , la config de celui-ci et la déjà on hurle a la mort… mon rézooooo, faut tout passer en Giga !!! Et la je dis NON, le fichier GPT.ini contient la version de la policy et si c’est la même que celle qu’on a déjà appliquée et que l’admin ne la pas chipoté,  alors on télécharge rien et on passe à la suivante.. Sympas non ? …

Cela dis ça vous empêche pas être propre, les parties User ou Workstation qui sont pas utilisés, faut bien les disabler , et essayer au maximum de combiner les policy, vous n’allez tout de meme pas m’en faire 5 pour configurer Internet Explorer…

 

 Concernant le Quidam User, c’est la même chose, au signon du gus, local policy, puis site puis domaine, puis OU etc etc….

 

 Mais c’est n’est pas tout, les policy se rappliquent (du moins vont au moins voir le Nr de version des GPT.INI ) tout au long de la journée, par défaut c’est paramétré a 90Mn, avec un débattement de +0 à + 30Mn pour éviter une surcharge des lignes rezal.

  Ceci est configurable.. via, je te le donne en mille,… une Policy

 

Anecdote, Si un tapé à l’idée de mettre la variable a 0 cela paramètre la réplication toutes les 7 Secondes… une superbe idée pour mettre à plat un pti réseau.

 

Bref on peut jouer avec tout cela là..

 

Truc a savoir les serveurs qui sont DC se ré applique la policy en 15mn ( si je dis pas de conneries, je suis plus sur, ou alors c’est 5 ?.. bref je sais plus )

 

Et enfin pour faire vraiment le tour de la réplication, il faut aussi savoir qu’on peut au niveau d’un poste forcer une réplications..

Sur windows 2000 c’est secedit et sur XP/2003 c’est gpupdate la doc jaillira pour vous aider… on peut rafrachir User et/ou Station

Bien sympas en cas de test de de config, ca evite de rebooter comme un taré

 

Malheureusement il n’y a pas a ma connaissance de truc qui permettre a partir d’un serveur de lancer le raffraichisement de tout un parc.

 

 

Les trucs a savoir

Bin connaître l’ordre ou ça s’applique tient

Et savoir que ça se ré applique périodiquement

Et qu’On peut forcer une réplication

 

ÉTAPE 5... on va plus profond…

 

 Jusque là c’est simple non… vous dites oui … alors j’en remets une couche … ont peut faire plusieurs choses a nos policy… les enforcer ( rien de sexuel je vous rassure ) et les disabler, bloquer l’héritage et jouer avec les droits…

 

 Les enforcer cela veut dire que les options qu’elles modifient ne pourront pas êtres modifiés par une autre policy qui arriverait après...

 

 Exemple, dans ma policy site, je dis, pas de winmine…ensuite dans la policy attaché à mon domaine je dis Winmine Ok…

 

 Donc un gars qui serait dans la OU User TrollProd (voir en haut le print des OU ) aurait le droit de faire du Winmine car la dernière qui est appliquée dis ok… et c’est normal, mais si j’enforce la policy SITE.. ex : ici sur le site de Varsovie, avec une nouvelle policy nommée wimine ( j’ai raté le N merci j’ai vu)..

 

 

On prend options, on coche la case, (enforce ou Aucun remplacement en françois) et les options choisies dans cette policy seront indéboulonnables par celle qui viendront après… en faisant cela un gus de Varsovie dans le OU User TrollProd pourra faire du winmine malgré qu’il y ait une GP appliqué au domaine après  qui dis NO WINMINE…

 

Allez… compter vous ceux qui sont encore là….

 

 Dans ce même truc là, options,  on peut désactiver la policy.. c’est pour lui faire faire DODO, elle est là... prête à jaillir... mais non elle s’applique pas... ça c’est tout bête

La bonne pratique de la GPO dit d’ailleurs Mr Crosoft, quand il faut quand on chipote violemment une policy, prière de la disabler avant, la chipoter, puis la reenabler, et ceci pour éviter que le phénomène de réplication automatique des GPO ne fasse faire un carnage en plein milieu de votre travail.

 

 Et enfin bloquer l’héritage…( sans frais de notaire aucuns ) cela permet de basarder les policy qui serait avant ce point…

 

 Genre …je coche cela dans l’OU Branleurs

 

 

 Et hop toutes policy qui vendrait avant ne serais pas prise en compte. BEEEE QUIIICK ORRR BEEE DEADDD… rhaaaa Maiden c’est vraiment Bien !... donc reprenons …ouais si on coche la case….Toutes les mesures seront fausses… private joke mais celle la faut que je vous la raconte, quand j’étais petit, j’ai fait un BEP Electronique.. Ça m’a bien plus, mais bon c’est pas pour cela que je vous en parle, donc nous avions un prof d’électronique qui a eu une façon fort étrange de nous faire faire connaîssance avec l’oscilloscope.. il a commencé par nous montrer les boutons en nous expliquant ce que ça faisait, puis sur tout les autres boutons dont nous n’étions pas encore digne ( c'est-à-dire les reste moins 4 ) il nous dis ... « Si vous touchez a ce bouton, toutes vos mesures seront fausses… « C’est qu’il y en a une paire de boutons sur un oscillo.

 

 

 Bref reprenons la vie des GPO la mienne manifestement vous vous en foutez…

Donc Si on coche la CASE…( je me retiens-la de la placer…) toutes les policy précédentes ne seront pas appliquées.. Celles des sites y compris, seulement les local GPO s’en foutent.

 

 Et enfin… les droits... bin oui si c’est un objet de l’Active Directory forcément il y a des droits dessus, et on va voir qu’on va pallier a une carence des GP avec des droits…

 

Admettons qu’on veuille appliquer une GPO a un groupe d’user.. on sais qu’on peut pas … une GPO ça s’applique a un User ou a une Workstation contenu dans un container… et bin BinGo, si on prend les droits d’une policy ( propriété puis onglet sécurité ) , il y a un droit Appliquer la GP

 

 

Et voila dès lors ce qu’on peut faire… fourrer des Users dans un Container, créer un groupe branleurs, mettre le chef Chaudart, créer une policy a ce container,  éditer les droits de cette policy, virer les user authentifiées, rajouter le groupe branleurs et cocher la case appliquer la GPO.. de fait, malgré qu’il y ai d’autres users dans ce container, seuls les membres du group Branleur se la verront appliqué…

 

 C’est beau non….

 

 Donc vous voila paré a se tripoter la policy dans tout les sens, bandes de petits veinards.

 

Ce que je me note dans mon antisèche

On peut Enforcer et Disabler une policy

On peut Jouer avec les autorités de celle-ci

On peut Couper l’héritage

Maiden c’est Génial et l’oscillo c’est plein de boutons!

 

ÉTAPE 6... Mais C’est le BROLL !!!

 Maintenant que on sais tout ce qu’on peut faire avec une policy, il faut quand même se rendre a l’évidence, c’est le broll a gérer… et c’est pas peut dire, s’il faut faire bouton droit sur chaque container et chaque sites, pour savoir ce qui est dispo comme policy, on risque d’user plus de souris que prévus… dieux merci, il y a des Tools.

 

 D’abord pour savoir ce qui est réellement appliqué on peut lancer coté Station Contrôleur XP, le RSOP (encore un mot barbare ) Résultant Set Of Policy alias RSOP.MSC qui permet de voir en un tour de main ( ou plutôt d’oeil ) quels sont les policy appliquées à la station en fonction d’un user. Et pour le quidam qui n’a pas XP mais Windows 2000 on peut lancer l’austère ancêtre nommé GPRESULT mais qui est même pas en standard, faut le trouver dans le Ressource Kit Windows 2000.

 

Et Coté serveur, un magnifique objet que malheureusement les windosien 2000 n’ont vu que trop tard.  La….( roulements de tambours ) GROUP POLICY MANAGEMENT CONSOLE … dispo derrière ce lien  … ça  c’est le Top du Top, la rolls du tool a policy… bon désolé encore pour les accros a 2000 ça ne tourne que sur un Windows XP ou 2003, mais faut voir le bon coté de là ça peut tout de même manager un Domaine Active Directory 2000…

 

 Faisons un chouilla le tour du propriétaire (bon rien a voir avec les exemples d’avant j’ai volé ces screenshots sur internet )

 

 

 Comme on peut le voir, on voit directement les GPO par OU… ce qui est en soit fort sympathique... en bas on a la liste des GPO (Oui ça je l’avais pas dis, mais on peut avoir la même gpo utilisée dans deux containers différents, c’est pas interdit ) et on a les sites sous l’oeil directement, et plus fort encore…

 

 On sais ce qu’elle font !!!

 

 C’est pas le panard tout ça…. Bin si ! faut juste un XP.

 

 Autre chose. Que voit t’on entre les GPO et les Site sur le screenshot de dessus … les WMI Filters… MARYSE dites nous quel est cet autre objet ?...

 

 Et bien Jean-Pierre c’est la possibilité de faire ou non appliquer une GPO si elle répond TRUE (la malpolie ) a une requête WMI…

 

 Bon la je vois déjà des grands yeux… c’est quoi le WMI… donc on reprend pour les attardés (pas les débiles, ceux qui se sont attardés quoi ) WMI ( Windows Management Instrumentation ) c’est …on va dire une base de donnée de tout ce qui tourne comme soft et matos et qui est en live sur votre PC... et on peut lui demander c’est quoi ta marque et le cas échéant elle répond … je suis un IBM un HP ou … un NONAME...

 On peut lui demander si un soft est présent, si il y a de la place sur la partition 2 du HD 3, bref c’est la caverne d’alibaba de tout script d’audit.

 

Un exemple :

          Question a-t-on la hotfix q150500 installée

 

On fera un filtre :

         

Root\cimv2; Select * from Win32_QuickFixEngineering where HotfixID = ‘q1505000’

 

 Et si le select * renvoie qqchose, alors le filtre sera True, et donc si le fitre wmi est true, alors la GPO sera appliquée.

 

Bon pour apprendre a parler WMI allez donc faire un stage chez Mr Crosoft La derrière ce lien. Ici a expliquer ca serait long…( déjà que là c’est long )

 

 Houla j’oubliais.. Ça ne marche absolument pas avec des Windows 2000 ( oui encore !! ) Eviter de vous esquinter à tenter de le faire marche dessus, ça répond true tout le temps.

 

A retenir :

Penser RSOP

GPMC c’est super !

Les Filtre WMI c’est trop la classe.

 

 

ÉTAPE 7…et enfin,  On décortique un ADM

 

Bon voyons a quoi ca ressemble cet animal étrange, déjà faut mettre la main dessus, ca c’est faciles on vas pas fouiller dans les policys mais on va trouver ceux qu’on a en local %systemroot%\system32\GrouPPolicy\adm du moins sur mon XP alors on va en choisir un petit ( j’aime pas le Gras ) on va dire conf.adm qui est l’ensemble des policy de NetMeeting on l’ouvre avec un NotePad… et qu’est ce qu’on découvre… bin que c’est un bete fichier texte

 

Alors je vais pas le mettre ici en ligne, ca fait un peu long, mais voila en substance ce qu’on a dedans

 

; NetMeeting policy settings

#if version <= 2

 

; c’est pour mettre une remarque et #if version basard c’est un test  interne qui verifier les version minimum de l’editeur  oubliez moi tout ca pour l’instant

 

Ensuite on a quelque chose comme cela

 

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

CLASS USER   ;;;;;;;;;;;;;;;;;;

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

 

CATEGORY !!GPOnly

    POLICY !!GPOnlyPolicy

        KEYNAME "Software\Policies"

 

        PART !!GPOnly_Tip1  TEXT

        END PART

 

        PART !!GPOnly_Tip2  TEXT

        END PART

 

        PART !!GPOnly_Tip3  TEXT

        END PART

 

        PART !!GPOnly_Tip4  TEXT

        END PART

 

        PART !!GPOnly_Tip5  TEXT

        END PART

    END POLICY

END CATEGORY

 

Ca ressemble pas a grand-chose, mais si on va tout en bas , on a le texte a remplacer derriere les « !! »

 

Et la on se rend compte qu’il teste la version 2, affiche un message d’insulte et encore plus bas on attaque les choses sérieuse si on a la version 3 du GPO editor

 

#endif

#if version >= 3

 

 

Et après cela c’est là que commence vraiment la policy… NE PRENEZ PAS PEUR !, on va en faire une après. On continue a décortiquer un peut celle ci

 

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

 CLASS USER   ;;;;;;;;;;;;;;;;;

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

CATEGORY !!WindowsComponents

CATEGORY !!NetMeeting

 

            ; App Sharing

            CATEGORY !!AppSharing

                        POLICY !!DisableAppSharing

                                   #if version >= 4

                                               SUPPORTED !!SUPPORTED_NetMeeting3

                                   #endif

 

                                   KEYNAME "Software\Policies\Microsoft\Conferencing"

                                   EXPLAIN !!DisableAppSharing_Help

                                VALUENAME "NoAppSharing"

                    END POLICY

 

Bon ca fait encore peur, allez je vous aide,  je remplace le texte, avec ce que je trouve en bas après la string… string

 

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

 CLASS USER   ;;;;;;;;;;;;;;;;;

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

CATEGORY "Windows Components"

CATEGORY "NetMeeting"

 

            ; App Sharing

            CATEGORY "Application Sharing"

                        POLICY "Disable application Sharing"

                                   #if version >= 4

                                               SUPPORTED "at least Windows NetMeeting v3.0"

                                   #endif

 

                                   KEYNAME "Software\Policies\Microsoft\Conferencing"

                                   EXPLAIN "Disables the application sharing feature of NetMeeting completely.  Users will not be able to host or view shared applications."

                                VALUENAME "NoAppSharing"

                    END POLICY

 

 

C’est plus clair non.. et cette joyeuse policy en fait va mettre une clef Hkey Local User/ Software/policies/microsoft/conferencing ( grace au mot clef « CLASS USER »)  qui aura la valeur NoappSharing. (si on l’active la policy bien évidemment....)

 

 

Allez On s’en fait une… simple, on prend un notepad, on tape cela

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

CLASS USER ;;;;;;;;;;;;;;;;;;;;

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

 

CATEGORY !!thanatoscategory

        POLICY !!POLICYNAME

                        EXPLAIN !!HELP

                        KEYNAME "SOFTWARE\Policies\Thanat0s"

                PART !!THANPOL CHECKBOX

                        VALUENAME UrlEncoding

                            VALUEON NUMERIC 0

                            VALUEOFF NUMERIC 1

                            DEFCHECKED

                END PART

        END POLICY

END CATEGORY;

 

 

[strings]

thanatoscategory="Thanat0s"

Encoding="the Bit"

HELP="Ici ont met l'aide"

THANPOL="Un bit qui sert a rien"

POLICYNAME="tripote le bit"

 

Et on sauve en thanatos.adm.. ( bon ok vous pouvez copier coller )

 

Petite note déjà, je me suis fatigué a mettre les strings en dessous mais on aurais tout aussi bien pu les mettre directement dans la policy

 

Ex : CATEGORY "Thanat0s"

 

Pour l’ajouter dans notre GPO il suffit de prendre l’editeur de GPO faire bouton droit sur Administrative Templace ( dans notre cas celui du User ) puis add rémove template.. ( notez que c’est ici aussi qu’on rajoute les ADM fournis pour Office par exemple )

 

 

 

Et ensuite si on déplie notre GPO dans user configuration/administrative Template, mais que voit t’on !!!

 

 

C’est pas émouvant ca !! votre 1er Policy !, bon elle bien jolie mais un peut limitée.. il faut savoir que vous avec droits a des menu déroulants , etc etc… le mieux pour découvrir tout ce qu’on peut faire c’est d’ouvrir les autres ADM fournis par windows comme des lapins et de les disséquer un peut. L’autre  solution est de faire un RTFM ( Read the Fucking Manual ) un peut de lecture ne nuit jamais… pour changer un peut j’ai mis le lien avant le lien traditionnel.

 

Et alors j’espère que vous avez remarquer qu’on modifie une clef nommé

 

HKCU\ SOFTWARE\Policies\Thanat0s

 

Et non directemment

 

HKCU\SOFTWARE\Thanat0s

 

Etrange me direz vous, moi aussi ca m’a longtemps chipoté ce truc…

Et bien c’est fait expres, vous avez que 4 endroit ou fourrer vos policy , et me demandez pas comment l’os fait pour les trouver la mais si je demande dans un soft  HKCU\SOFTWARE\Thanat0s\monbit et que j’ai la policy prenez ReGMon de chez sysinternal, vous verrez qu’il prend HKCU\SOFTWARE\Policies\Thanat0s\monbit…moi je me suis accharné sur la registry d’un serveur SNTP avant de constater cela avec mon pote Stupeur. Si qqun a de la doc la dessus je suis fortement preneur

 

Et si on ne fait pas cela, l’editeur de GPO XP vous les affiche meme pas. Ce qui nous amène doucement au Tatoo.. et donc…

 

 

ETAPE 8.. LE Tattoing…Quoi ca se vire pas !!!!

 

Bon ce chapitre ne gère pas les tête de morts sur les bras mais seulement la facon dont la policy s’enlève…

 

Si on a eu dans sa vie un windows NT et qu’on a joué avec le POLEDIT ( l’ancètre des policy ) Quelle Joie de Voir, un fois votre domaine migré, Que les valeurs de cette Merde de POLEDIT sont inscrite a vie dans la registry, meme si on enleve le fichier .POL qu’a généré poledut les valeurs reste.. c’est ce qu’on apelle le Tattoing, et c’est pour cela que maintenant on ne peut fourrer des clef de policy sainement que via :

 

HKLM\ SOFTWARE\Policies

HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

HKCU\ SOFTWARE\Policies

HKCU\ SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

 

Ce qui fait, que quand on enleve une policy, le windows reprend l’état où il était a l’origine, puisqu’en fait on ne touche jamais a la clef de registry reèle.

 

A retenir

No Stress Ca s’enleve nickel

 

 

ETAPE 9… Bin on a pas fait le tour Là ?

 

Bin non il y a encore plein de truc a dire, comment ca marche sur un site distant dont il a détecté un lien réseau lent, quelle sont les bonne pratique de redirection de Mes documents,  comment déployer une application etc etc…

 

Mais étant donné que je suis au bord de l’anévrisme et que ma bierre est vide, je vous dis bye bye et Je vous laisse en compagnie de la Bible de la Policy donc vous en ferrez j’en suis sur votre nouveau livre de chevet.

 

Critiques acerbes et commentaires méchant vers Thanspam@trollprod.org

Et un encore une fois Grand merci au Chef Chaudart pour avoir tenté de corriger mon Ortaugrafe !

 

Contactez Moi

Maiiison alias 'comment voir les ot articles'