La stratégie système
Sous Windows, l'éditeur de stratégie système
permet de définir des profils d'utilisateurs se connectant sur une station,
que celle-ci soit en réseau ou non. L'avantage du réseau est la
protection complète les fichiers de configuration créés.
Le texte présent ci-dessous indique comment créer
un fichier de stratégie système, le placer sur un serveur, et
indiquer au stations client comment prendre en compte cette option.
Le projet MINAL comporte un fichier de stratégie placé sous /home/netlogon.
Il est nommé strat.pol et est configurable à
souhait par l'administrateur.
0. Précautions initiales
Adopter une stratégie système
sur une machine apporte une grande sécurité pour la maintenance
"journalière" mais comporte des risques de ne plus pouvoir
se connecter à la machine si pour une raison quelconque, l'ordinateur
ne parvient plus à se connecter au serveur (carte réseau, liaison,
serveur etc...) : il sera impossible de lancer l'ordinateur... sauf si
vous avez sauvegardé deux fichiers (c:\windows\user.dat et c:\windows\system.dat)
avant d'installer les stratégies. Il sera alors nécessaire (en
cas de blocage) de redémarrer en mode DOS et de remplacer les fichiers
en cours par ceux que vous aurez eu la prévoyance de sauvegarder... Ils
sont cachés et en lecture seule, effectuez donc les commandes suivantes
:
- redémarrez en mode MS-DOS
- placez-vous sous "c:\windows" si vous n'y
êtes pas
- attrib -r -h *.dat
- copy system.dat system.da0
- copy user.dat user.da0
Les fichiers sont sauvegardés sous l'extension ".da0". Pour
bien faire, il faudrait effectuer cette commande à chaque nouvelle installation
d'application. Si un problème apparaît, il faudra recopier les
sauvegardes afin d'écraser les originaux :
- démarrez en mode MS-DOS grâce à
une disquette de démarrage
- placez-vous sous "c:\windows"
- attrib -r -h *.dat
- copy system.da0 system.dat (confirmez la demande d'écrasement)
- copy user.da0 user.dat (confirmez la demande d'écrasement)
Attention, il s'agit là d'une procédure exceptionnelle, car si
vous avez installé des applications sans effectuer ces sauvegardes régulières,
la base de registres (donc les fichiers .dat) n'en auront pas trace.
Concrétement, avec plusieurs années
de recul en établissement scolaire, je n'ai jamais eu à effectuer
cette manoeuvre au sein d'un réseau en utilisation normale (cela arrive
lorsque l'on "bidouille" et que l'on fait des erreurs d'apprentissage..),
donc pas de paranoïa....
1. Pourquoi une stratégie système ?
Une stratégie système permet à l'administrateur
de restreindre des droits à un utilisateur, un groupe ou un ordinateur.
Il sera possible, entre autres, de restreindre l'affichage du panneau de configuration,
d'empêcher de modifier les propriétés de l'affichage, de
n'autoriser que l'exécution de certaines applications etc Pour des raisons
de sécurité et surtout de maintenance, on réservera ces
opérations aux administrateurs.
Cette stratégie système est en fait un condensé
de la base de registre adapté à un utilisateur, un groupe d'utilisateur
ou un ordinateur. Lors de l'ouverture d'une session sur le réseau, la
station va ouvrir le fichier de stratégies et lui demander : "As-tu une
stratégie concernant cet utilisateur ?" Si tel est le cas, le serveur
renvoi en guise de réponse la configuration de l'utilisateur. Sinon,
c'est une configuration par défaut qui sera mise en place.
2. L'éditeur de stratégie système
L'utilitaire qui édite le fichier de stratégie
système n'est pas copié sur la station lors de l'installation
de Windows. Il se nomme POLEDIT.EXE et est situé sur le CD d'installation
:
- sous \Admin\Apptools\Poledit dans W95
- sous \Tools\Reskit\Netadmin\Poledit dans W98
Il requiert tout les fichiers se trouvant sous son répertoire
pour fonctionner.
3. Installation sur des postes en réseau
On considère ici un réseau comportant
un serveur disposant d'un espace disque pouvant être protégé
d'éventuelles intrusions par application de droits, quel que soit la nature
du système d'exploitation ce serveur (LINUX, NT, Netware).
-
Installation de POLEDIT
L'installation de POLEDIT et de ses fichiers se fait par
simple copie de tous les fichiers du répertoire POLEDIT dans un espace
protégé du serveur de préférence (tous les droits
pour l'administrateur, rien pour les autres).
Il faut pour cela se connecter depuis une station client
en tant qu'administrateur du domaine et créer cet emplacement protégé
sur le serveur. Cet emplacement doit être de plus visible par l'administrateur
depuis toutes les stations client par utilisation d'un lecteur réseau
ou map.
-
Création d'un fichier de stratégie
Cette opération peut être nécessaire si
vous souhaitez recréer un fichier de stratégie. Elle va se dérouler
en plusieurs étapes :
- créer un répertoire (si ce n'est déjà fait,
et c'est fait sur MINAL2, c'est /home/netlogon) sur le serveur où l'administrateur
possède tous les droits et les autres uniquement le droit de voir et
lire
- lancer POLEDIT.EXE depuis une station client
- si un modèle vous est demandé, choisir "admin.adm" qui doit se trouver sous le même répertoire que POLEDIT
- Créer un nouveau fichier (Fichier/Nouveau)
- Deux objets apparaissent à l’écran : un utilisateur par défaut et un ordinateur par défaut
- L’utilisateur et l’ordinateur par défaut représentent les
modèles de création de tout nouvel utilisateur ou ordinateur
- Le profil de l’utilisateur ou de l’ordinateur par défaut seront pris en compte à chaque connexion d’un utilisateur ou ordinateur "reconnu" par le réseau mais non représenté dans la stratégie.
Utilisateur par défaut
- Ouvrir l'utilisateur par défaut : les dossiers présents dans la fenêtre qui font apparaître des propriétés ayant des valeurs (case à cocher, chemin d'accès etc). Ces dernières permettent de configurer le profil à souhait. Il est possible d'appliquer de nombreuses restrictions, il serait fastidieux de les décrire entièrement ici, le mieux, c'est de les parcourir et de les tester.
- Chaque case à cocher peut prendre 3 états : validée (þ
), non-validée (¨
) ou grisée (n
).
- Lorsque que la case est validée, le profil retiendra cette option
- Lorsque la case est non-validée, le profil ne retiendra pas cette option
- Lorsque la case est grisée, le profil ne tiendra pas compte de cette option, mais si elle prend une valeur validée ou non dans un autre objet de la stratégie, c'est cette dernière qui sera finalement prise en compte. Pour expliciter ce dernier point quelque peu délicat, on va imaginer un utilisateur "toto" et l'utilisateur par défaut dans diverses configurations, lorsque "toto" se connecte :
|
toto |
n
|
n
|
¨
|
þ
|
¨
|
þ
|
|
utilisateur par défaut |
¨
|
þ
|
n
|
n
|
þ
|
¨
|
|
Résultat |
¨
|
þ
|
¨
|
þ
|
¨
|
þ
|
- Si l'utilisateur qui se connecte a la possibilité de cliquer sur
le bouton "Annuler" ou d'appuyer sur la touche "Echappement", aucun des profils
n'est pris en compte et cet utilisateur se retrouve avec tous les droits d'une
station sans stratégie Il va falloir donc imposer à l'utilisateur
l'obligation de s'identifier afin d'être sûr de mettre en œuvre
cette stratégie.
Ordinateur par défaut
- Dans un cas général, on ne différenciera pas les ordinateurs
se connectant au réseau. Ils prendront donc tous le profil de l'ordinateur
par défaut.
- S'il s'avère nécessaire d'appliquer une stratégie personnalisée
pour chaque ordinateur, il faudra créer des éléments
nouveaux et leur donner leur nom (pc1, pc2 etc..)
- Afin de s'assurer que les utilisateurs ne puissent pas "s'échapper"
de la bannière d'ouverture de session, il est nécessaire de
valider l'option ci-dessous. Attention, cette procédure est nécessaire
pour une bonne sécurité mais comporte des risques : si
pour une raison quelconque l'ordinateur ne parvient plus à se connecter
au serveur (carte réseau, liaison, serveur etc...) il sera impossible
de lancer l'ordinateur... sauf si vous avez sauvegardé avant d'avoir
pris cette option deux fichiers (c:\windows\user.dat et c:\windows\system.dat).
Il sera nécessaire de redémarrer en mode DOS et de remplacer
les fichiers en cours par ceux que vous aurez eu la prévoyance de sauvegarder...
(ils sont cachés et en lecture seule, passez par la commande "attrib").
- Pour pouvoir rendre opérationnelle la stratégie système,
il est nécessaire d'indiquer à la station ou aller chercher
son fichier de stratégie. C'est ce qui est fait dans cette option où
le mode de mise à jour est "manuel" et le chemin indiqué :
- L'activation des profils utilisateurs est un confort pour ces derniers :
elle permet de retrouver un environnement tel qu'on l'a laissé lors
de la dernière session.
Administrateur
Un utilisateur (au moins) doit avoir tout les droits afin d'administrer
le système. Il va être nécessaire de rajouter un élément
dans le fichier de stratégie :
- Rajouter un utilisateur (Edition/Ajouter un utilisateur) dont le nom sera
celui de votre administrateur réseau (admin)
- Il sera la copie conforme de l'utilisateur par défaut précédemment
créé. Afin de lui attribuer les droits aux endroits où
l'on a appliqué des restrictions, il va falloir non-valider (¨
) toutes les options que l'utilisateur par défaut a de validées
(þ ).
Enregistrez ce fichier sous le chemin indiqué dans la
mise à jour manuelle de l'ordinateur par défaut (\\serveur\netlogon\strat.pol
dans notre exemple).
Cette manipulation n'est à effectuer qu'une seule fois
pour tout le parc de machines qui bénéficient de cette stratégie
système.
Base de registre
Il va maintenant falloir indiquer aux stations clients qu'il
existe une stratégie et qu'elles doivent en tenir compte
Attention : il est nécessaire de répéter
cette opération sur "chaque ordinateur" souhaitant bénéficier
de la stratégie système
- Ouvrez la base de registre de l'ordinateur (Fichier/Ouvrir la base de registre)
- Deux éléments apparaissent : l'utilisateur local et l'ordinateur
local
- Il sera uniquement nécessaire d'indiquer le chemin du fichier précédemment
créé :
- Redémarrez ensuite l'ordinateur modifié et la stratégie
est opérationnelle : indiquez différents noms de login pour
constater de l'efficacité du système.