Page d'accueil » école » Utilisation de l'éditeur de stratégie de groupe pour modifier votre PC

    Utilisation de l'éditeur de stratégie de groupe pour modifier votre PC

    Dans la leçon de la Geek School d'aujourd'hui, nous allons expliquer comment utiliser l'éditeur de stratégie de groupe locale pour apporter à votre PC des modifications qui ne sont pas disponibles de toute autre manière..

    NAVIGATION SCOLAIRE
    1. Utilisation du planificateur de tâches pour exécuter des processus ultérieurement
    2. Utilisation de l'observateur d'événements pour résoudre les problèmes
    3. Comprendre le partitionnement de disque dur avec la gestion de disque
    4. Apprendre à utiliser l'éditeur de registre comme un pro
    5. Surveiller votre PC avec Resource Monitor et Task Manager
    6. Comprendre le panneau de propriétés système avancées
    7. Comprendre et gérer les services Windows
    8. Utilisation de l'éditeur de stratégie de groupe pour modifier votre PC
    9. Comprendre les outils d'administration Windows

    Nous devons noter d'emblée que l'éditeur de stratégie de groupe est uniquement disponible dans les versions Pro de Windows - Les utilisateurs Premium ou Home Premium n'y auront pas accès. Ça vaut quand même la peine d'apprendre.

    Les stratégies de groupe sont un moyen très puissant de configurer un réseau d'entreprise avec chacun des ordinateurs verrouillés afin que les utilisateurs ne puissent pas les déranger avec des modifications non désirées et les empêcher d'exécuter des logiciels non approuvés, entre autres utilisations..

    Dans l'environnement domestique, cependant, vous ne voudrez probablement pas définir de restriction de longueur de mot de passe ou vous forcer à changer de mot de passe. Et vous n'aurez probablement pas besoin de verrouiller vos machines pour exécuter uniquement des exécutables approuvés.

    Vous pouvez toutefois configurer de nombreuses autres choses, telles que la désactivation de fonctionnalités Windows que vous n'aimez pas, le blocage de certaines applications ou la création de scripts exécutés lors de la connexion ou de la fermeture de session..

    Comprendre l'interface

    L'interface est très similaire à tous les autres outils d'administration: l'arborescence située à gauche vous permet de rechercher des paramètres dans une structure de dossiers hiérarchique, une liste de paramètres et un panneau d'aperçu fournissant des informations supplémentaires sur les paramètres..

    Vous devez connaître deux dossiers de niveau supérieur:

    • La configuration d'un ordinateur - contient les paramètres appliqués aux ordinateurs quel que soit l'utilisateur qui se connecte.
    • Configuration de l'utilisateur - contient les paramètres qui sont appliqués aux comptes d'utilisateurs.

    Sous chacun de ces dossiers, il y a deux dossiers qui vous permettent d'explorer plus en profondeur les paramètres disponibles:

    • Paramètres du logiciel - ce dossier est destiné aux configurations logicielles et est vide par défaut sur le client Windows.
    • Paramètres Windows - ce dossier contient les paramètres de sécurité et les scripts pour la connexion / déconnexion et le démarrage / arrêt.
    • Modèles d'administration - Ce dossier contient les configurations basées sur le registre, qui sont essentiellement un moyen rapide de modifier les paramètres de votre ordinateur ou de votre compte utilisateur. Il y a beaucoup de paramètres disponibles.

    Modification des règles de sécurité

    Si vous double-cliquez sur l'élément «Empêcher l'accès à l'invite de commande» de la capture d'écran ci-dessus, une fenêtre semblable à celle-ci s'affichera. En fait, la plupart des paramètres sous Modèles d'administration vont ressembler. similaire.

    Ce paramètre particulier vous permettrait de bloquer l'accès à l'invite de commande pour les utilisateurs sur le PC. Vous pouvez également configurer le paramètre dans la boîte de dialogue pour bloquer également les fichiers de commandes..

    Une autre option dans le même dossier vous permet de créer un paramètre pour «Exécuter uniquement les applications Windows spécifiées». Vous pouvez configurer le paramètre sur Activé, puis fournir une liste des applications autorisées. Tout le reste serait bloqué.

    Dans ce cas, si vous exécutiez une application qui ne figure pas dans la liste, vous obtiendrez un message d'erreur semblable à celui-ci..

    Il est intéressant de noter que jouer avec de telles règles peut vous empêcher de sortir de votre PC si vous faites quelque chose de mal, alors faites attention..

    Modification des paramètres de l'UAC pour la sécurité

    Dans le dossier Configuration de l'ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité, vous trouverez une foule de paramètres intéressants pour rendre votre ordinateur un peu plus sécurisé..

    La première option se trouve dans ce dossier comme élément "Contrôle de compte d'utilisateur: comportement de l'invite d'élévation pour administrateurs", et si vous choisissez "Demander des informations d'identification sur le bureau sécurisé", il vous obligera (ou un autre utilisateur) à entrez votre mot de passe chaque fois que vous essayez d'exécuter quelque chose en mode administrateur.

    Cette option permet à Windows de fonctionner davantage comme Linux ou Mac, où il vous est demandé de fournir votre mot de passe chaque fois que vous devez effectuer une modification, et comme Secure Desktop ne permet à aucune autre application de gâcher le dialogue, c'est beaucoup plus garantir.

    Autres options utiles:

    • Contrôle de compte d'utilisateur: élever uniquement les exécutables signés et validés - cette option empêche les applications non signées numériquement de s'exécuter en tant qu'administrateur.
    • Console de récupération, autoriser la connexion administrative automatique - lorsque vous devez utiliser la console de récupération pour effectuer des tâches système, vous devez généralement fournir le mot de passe de l'administrateur. S'il vous arrivait d'oublier ce mot de passe, cela vous permettrait d'entrer pour le réinitialiser plus facilement. (Et comme vous pouvez facilement effacer un mot de passe Windows, ce n'est pas vraiment moins sécurisé).

    Il convient de noter qu’un grand nombre des règles de la liste ne s’appliquent pas à toutes les versions de Windows. Par exemple, dans la capture d'écran ci-dessous, le paramètre «Supprimer l'icône Mes documents» est uniquement disponible pour Windows XP et 2000. Certaines autres stratégies indiquent «Au moins Windows XP» ou quelque chose du genre, ce qui signifie qu'elles continueront à fonctionner. toutes les versions.

    L'éditeur de stratégie de groupe contient un nombre considérable de paramètres. Il est donc intéressant de passer un peu de temps à les parcourir si vous êtes curieux. La plupart des paramètres vous permettent de désactiver les fonctionnalités Windows que vous n'aimez pas particulièrement - très peu vous offrent des fonctionnalités que vous n'aviez pas par défaut.

    Configuration des scripts pour s'exécuter à l'ouverture de session, à la fermeture de session, au démarrage ou à l'arrêt

    Encore un autre exemple de ce que vous ne pouvez utiliser qu’avec l’Éditeur de stratégie de groupe est la configuration d’un script de fermeture de session ou de fermeture à exécuter chaque fois que vous redémarrez votre PC..

    Cela peut s'avérer très utile pour nettoyer votre système ou effectuer une sauvegarde rapide de certains fichiers à chaque fermeture, et vous pouvez utiliser des fichiers de traitement par lots ou même des scripts PowerShell. Le seul inconvénient est que ces scripts doivent s'exécuter en silence sinon ils verrouillent le processus de fermeture de session..

    Vous pouvez exécuter deux types de scripts différents..

    • Scripts de démarrage / d'arrêt - Ces scripts se trouvent sous Configuration de l'ordinateur -> Paramètres Windows -> Scripts et seront exécutés sous le compte Système local, afin qu'ils puissent manipuler les fichiers système, mais ne fonctionneront pas sous votre compte d'utilisateur..
    • Scripts de connexion / déconnexion - ces scripts se trouvent sous Configuration de l'utilisateur -> Paramètres Windows -> Scripts et seront exécutés sous votre compte utilisateur.

    Il est à noter que les scripts d'ouverture et de fermeture de session ne vous permettent pas d'exécuter des utilitaires nécessitant un accès administrateur, sauf si vous avez complètement désactivé le contrôle de compte d'utilisateur..

    Pour l'exemple d'aujourd'hui, nous allons créer un script de fermeture de session en allant dans Configuration de l'utilisateur -> Paramètres Windows -> Scripts et en double-cliquant sur Fermer la session..

    La fenêtre des propriétés de déconnexion vous permet d’ajouter plusieurs scripts de déconnexion à exécuter..

    Vous pouvez également configurer des scripts PowerShell à la place..

    La chose vraiment importante à noter ici est que vos scripts doivent être dans un dossier particulier pour fonctionner correctement..

    Les scripts d'ouverture et de fermeture de session doivent figurer dans les dossiers suivants:

    • C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ Logoff
    • C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ Logon

    Pendant que les scripts de démarrage et d’arrêt devront se trouver dans ces dossiers:

    • C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Shutdown
    • C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Startup

    Une fois que vous avez configuré votre script de fermeture de session, vous pouvez le tester. Nous configurons un script simple qui crée un fichier texte sur le bureau, puis se déconnecte puis se rallume. Mais tu pouvais lui faire faire tout ce que tu voulais.

    Et bien sûr, si vous utilisiez un script de connexion à la place, il pourrait en fait lancer des applications..

    Il est important de noter que si votre script invite l'utilisateur à entrer, Windows se bloque lors de l'arrêt ou de la fermeture de session pendant 10 minutes avant que le script ne soit tué et que Windows puisse redémarrer. C’est quelque chose que vous devez absolument garder à l’esprit lors de la conception de votre script..

    La stratégie de groupe ne se termine pas ici

    Nous venons tout juste de vous montrer ce que la stratégie de groupe peut vraiment faire. Dans un environnement de domaine d'entreprise, il s'agit de l'un des outils les plus puissants et les plus importants à votre disposition. Puisque cette série ne concerne pas les utilisateurs informatiques, nous n'entrerons pas dans le reste, mais cela vaut la peine de faire des recherches par vous-même..