empecher modification menu demarrer

Le
Hugolino
Salut,

Puisque le techno-crétinisme est en marche aussi dans l'éducation
nationale, je dois me pastiller la configuration de poste sous windows
xp

Je veux empêcher qu'un élève facétieux supprime du menu Démarrer les
raccourcis qui permettent de lancer les programmes.

Avec gpedit.msc, sous le compte "administrateur", je suis allé dans
Config utilisateur / Modèle d'administration / Menu Démarrer et Barre
des tâches et j'ai activé l'option "Supprimer le glisser-déplacer des
menus contextuels dans le menu Démarrer".

J'ai quitté la session administateur et j'ai demandé à une élève de se
logguer avec son compte sur le réseau du lycée, puis d'essayer de
supprimer du menu démarrer le raccourci vers un programme et elle a
réussi à le faire.

Est-ce que la feature est due au fait qu'elle charge son profil depuis
le réseau alors que j'ai exécuté gpedit.msc en administrateur local ?

N'est-il donc pas possible de configurer un poste pour qu'il ne soit pas
possible à un élève de modifier sa config ?
Parce que le programme en question, c'est bien sur la poste local qu'il
est installé
Pour des raisons trop longues à expliquer ici, je souhaite éviter
d'avoir affaire aux administrateurs du réseau.
Par ailleurs (et pour mon plus grand malheur), la réponse « t'as qu'à
installer linux » n'est pas valable :((


--
> Voici mon problème, j'ai deux PCs relies par des cartes ethernet,
> configures avec le protocole PPP.
-+- Romain in Guide du linuxien pervers - "Ils sont fous ces romains !" -+-
Hugo (né il y a 1 416 900 342 secondes)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
pxg
Le #18937121
Hugolino wrote:
Salut,



Salut

Puisque le techno-crétinisme est en marche aussi dans l'éducation
nationale, je dois me pastiller la configuration de poste sous windows
xp...
Je veux empêcher qu'un élève facétieux supprime du menu Démarrer les
raccourcis qui permettent de lancer les programmes.



Place les raccourcis spécifiques dans la structure "all users". Un
utilisateur standard n'a pas le droit de les supprimer, en espérant qu'il
n'ait pas le droit de tartouiller dans les répertoires des applications

Pour des raisons trop longues à expliquer ici, je souhaite éviter
d'avoir affaire aux administrateurs du réseau.



OOOoooooh !

Par ailleurs (et pour mon plus grand malheur), la réponse « t'as qu'à
installer linux » n'est pas valable :((



Encore OOOoooooh !

Bon courage.

pxg
Hugolino
Le #18938241
Le 19-03-2009, pxg
Hugolino wrote:
> Puisque le techno-crétinisme est en marche aussi dans l'éducation
> nationale, je dois me pastiller la configuration de poste sous
> windows xp...
> Je veux empêcher qu'un élève facétieux supprime du menu Démarrer les
> raccourcis qui permettent de lancer les programmes.

Place les raccourcis spécifiques dans la structure "all users". Un
utilisateur standard n'a pas le droit de les supprimer, en espérant
qu'il n'ait pas le droit de tartouiller dans les répertoires des
applications



C'est bien là que je les crée. Désolé d'avoir omis de le préciser.

> Pour des raisons trop longues à expliquer ici, je souhaite éviter
> d'avoir affaire aux administrateurs du réseau.
OOOoooooh !



C'est qu'il s'agit de profs qui font ce qu'ils peuvent avec les moyens
qu'on leur donne. Et je n'arrive même pas à savoir les droits dont ils
disposent.
Quand la connexion internet part en vrille, c'est moi, en faisant des
tests vers mon serveur qui détermine qu'il s'agit d'un problème de
résolution DNS. Et quand je leur dis que les logs des serveurs doivent
se remplir à vue d'oeil, je n'ai pas l'impression qu'ils savent ce
qu'est un fichier de logs.
A l'E.N, l'info, c'est un véritable bordel... payé avec vos impôts (et
les miens)

> Par ailleurs (et pour mon plus grand malheur), la réponse « t'as qu'à
> installer linux » n'est pas valable :((
Encore OOOoooooh !



Bin si l'E.N voulait bien dépenser le fric qu'elle consacre à l'info
dans le développement de solutions libres plutôt que de financer la
stratégie commerciale de Crimosoft (avec l'opération "Office gratuit
pour les enseignants" financée en fait par un accord cadre et donc avec
nos impôts), ça serait pas plus mal... Mais pour ça, il faudrait que les
"responsables" le soit réellement.

Bon courage.



C'est pas de courage dont j'ai besoin, c'est d'un fusil à lunettes! :))


--
Quand à Kerio, je n'ai jamais dis qu'il était infaillible car je n'en
sais rien. Il est suffisant pour moi et ça me convient.
Hugo (né il y a 1 416 937 345 secondes)
Youri Ligotmi
Le #18943341
Hugolino a écrit :
Salut,

Puisque le techno-crétinisme est en marche aussi dans l'éducation
nationale, je dois me pastiller la configuration de poste sous windows
xp...

Je veux empêcher qu'un élève facétieux supprime du menu Démarrer les
raccourcis qui permettent de lancer les programmes.

Avec gpedit.msc, sous le compte "administrateur", je suis allé dans
Config utilisateur / Modèle d'administration / Menu Démarrer et Barre
des tâches et j'ai activé l'option "Supprimer le glisser-déplacer des
menus contextuels dans le menu Démarrer".

J'ai quitté la session administateur et j'ai demandé à une élève de se
logguer avec son compte sur le réseau du lycée, puis d'essayer de
supprimer du menu démarrer le raccourci vers un programme et elle a
réussi à le faire.

Est-ce que la feature est due au fait qu'elle charge son profil depuis
le réseau alors que j'ai exécuté gpedit.msc en administrateur local ?

N'est-il donc pas possible de configurer un poste pour qu'il ne soit pas
possible à un élève de modifier sa config ?
Parce que le programme en question, c'est bien sur la poste local qu'il
est installé...
Pour des raisons trop longues à expliquer ici, je souhaite éviter
d'avoir affaire aux administrateurs du réseau.



Soit tu en es un car tu as le mdp pour te loguer en administrateur soit
les administrateurs réseau ne sont pas bien sérieux de donner le mot de
passe à un non administrateur.
Sinon je confirme: un utilisateur sans droits particuliers n'a pas accès
en écriture dans le profil all users, donc c'est là qu'il faut mettre
les raccourcis.

Par ailleurs (et pour mon plus grand malheur), la réponse « t'as qu'à
installer linux » n'est pas valable :((



Il faut devenir calife à la place du calife et tu passeras à linux
Hugolino
Le #18944681
Le 20-03-2009, Youri Ligotmi
Hugolino a écrit :
> Pour des raisons trop longues à expliquer ici, je souhaite éviter
> d'avoir affaire aux administrateurs du réseau.

Soit tu en es un car tu as le mdp pour te loguer en administrateur soit
les administrateurs réseau ne sont pas bien sérieux de donner le mot de
passe à un non administrateur.



Puisque j'ai un accès physique aux machines, pas besoin qu'ils me
donnent le pass root.

Sinon je confirme: un utilisateur sans droits particuliers n'a pas accès
en écriture dans le profil all users, donc c'est là qu'il faut mettre
les raccourcis.



En fait, j'ai revérifié aujourd'hui. Un utilisateur *local* à la machine
n'a effectivement pas le droit de modifier le menu "Démarrer", mais les
utilisateurs qui utilisent la machine pour se logguer sur le réseau,
chargent leur config (je crois qu'on dit "profil") depuis le serveur
Samba du réseau.
Et il semble que quelquechose dans ce "profil" leur donne le droit
d'outrepasser ce que l'administrateur local à autorisé sur la machine.

De toutes façons, je crois que je vais laisser tomber. J'ai perdu un peu
trop de temps à essayer de configurer le client windows, et je n'ai
aucune envie de tripoter un serveur déjà mis à mal par des collègues qui
font ce qu'ils peuvent avec les moyens qu'on leur donne (ou pas).

> Par ailleurs (et pour mon plus grand malheur), la réponse « t'as qu'à
> installer linux » n'est pas valable :((

Il faut devenir calife à la place du calife et tu passeras à linux



Vu le bordel que c'est à l'E.N, je crois qu'ils peuvent se brosser pour
que je perde mon temps à bidouiller leurs merdes... où alors c'est mon
tarif qui va pas leur plaire :))

Un p'tit exemple: l'année dernière, je me suis occupé d'un petit projet
de blog. Je me suis dit qu'il me suffirait de demander quelques
méga-octets sur un serveur pour installer un dotclear.
Au pire, je me suis dit qu'il faudrait peut-être installer un apache...
Bin, en fait j'ai commencé par perdre pas mal de temps pour savoir à
qui il fallait s'adresser, et finalement une personne-ressource m'a dit
que j'aurais plus vite fait de monter ça sur mon serveur perso, chez
moi...
Et c'est heureux parce qu'une fois que le blog était monté, le
pro-adjoint m'a dit qu'il fallait que le blog ne soit accessible que du
lycée, j'imagine déjà la merde s'il avait fallu que je bidouille
l'apache d'un serveur obsur, à supposer qu'on m'en ai donné un.


--
J'ai appris qu'il était question de mettre la gestion du système
solaire sous Linux, c'est Dieu qui va etre content.
Hugo (né il y a 1 417 024 343 secondes)
pxg
Le #18945541
Hugolino wrote:
Place les raccourcis spécifiques dans la structure "all users". Un
utilisateur standard n'a pas le droit de les supprimer, en espérant
qu'il n'ait pas le droit de tartouiller dans les répertoires des
applications



C'est bien là que je les crée. Désolé d'avoir omis de le préciser.



Regarde les membres du groupe Administrateurs (local) les utilisateurs du
domaines y ont peut-être été ajoutés. Il se retrouveraient alors avec des
droits étendus.
Cela arrive pour permettre à certaines applications de fonctionner
normalement avec des utilisateurs du domaine (J'ai vu des machines avec
Autocad où les utilisateurs du domaine étaient utilisateurs avec pouvoirs
pour la version 2005 et même administrateurs des versions très récentes). Je
ne dis pas que c'est normal mais je ne connais pas assez Autocad pour
pouvoir m'exprimer sur la nécessité imposant de telles extensions de droits.
Pour des applications comme Ciel, par exemple, il suffit de donner les bons
droits sur le répertoire Ciel (on peut même affiner) et ça marche sans
donner des pouvoirs supplémentaires aux utilisateurs du domaine.

Cordialement

pxg
Youri Ligotmi
Le #18946621
Hugolino a écrit :
Le 20-03-2009, Youri Ligotmi
Hugolino a écrit :
Pour des raisons trop longues à expliquer ici, je souhaite éviter
d'avoir affaire aux administrateurs du réseau.


Soit tu en es un car tu as le mdp pour te loguer en administrateur soit
les administrateurs réseau ne sont pas bien sérieux de donner le mot de
passe à un non administrateur.



Puisque j'ai un accès physique aux machines, pas besoin qu'ils me
donnent le pass root.



pass root c'est sous linux, sous windows on dit mot de passe d'un compte
administrateur.
Chez moi les utilisateurs ont un accès physique aux machines (ce qui est
assez commun), ça ne leur donne pas des droits d'administrateurs, ils
pourraient effectivement les avoir en pétant le cadenas qui verrouille
le boitier, déplacer un cavalier pour réinitialiser le setup (donc
supprimer le mot de passe d'accès) puis faire booter sur un cd et enfin
écraser le mdp de l'administrateur local, c'est long et c'est surtout
parfaitement illégal, j'espère que ce n'est pas ce que tu fais, si tu
peux y arriver autrement c'est qu'effectivement les administrateurs ne
sont pas très sérieux.

Sinon je confirme: un utilisateur sans droits particuliers n'a pas accès
en écriture dans le profil all users, donc c'est là qu'il faut mettre
les raccourcis.



En fait, j'ai revérifié aujourd'hui. Un utilisateur *local* à la machine
n'a effectivement pas le droit de modifier le menu "Démarrer", mais les
utilisateurs qui utilisent la machine pour se logguer sur le réseau,
chargent leur config (je crois qu'on dit "profil") depuis le serveur
Samba du réseau.
Et il semble que quelquechose dans ce "profil" leur donne le droit
d'outrepasser ce que l'administrateur local à autorisé sur la machine.



Un profil ne donne pas de droits, c'est le ntfs qui est en charge de ça,
le profil contient des paramètres propres à l'utilisateur (image de fond
d'écran, raccourcis sur le bureau etc)
probablement que sur tes postes un groupe de domaine (si ça s'appelle
comme ça sur un samba) a le droit de modifier le contenu du menu
démarrer de all users (à vérifier en regardant dans les propriétés de
sécurité de ce dossier) et que tes utilisateurs sont dans ce groupe.

De toutes façons, je crois que je vais laisser tomber. J'ai perdu un peu
trop de temps à essayer de configurer le client windows, et je n'ai
aucune envie de tripoter un serveur déjà mis à mal par des collègues qui
font ce qu'ils peuvent avec les moyens qu'on leur donne (ou pas).

Par ailleurs (et pour mon plus grand malheur), la réponse « t'as qu'à
installer linux » n'est pas valable :((


Il faut devenir calife à la place du calife et tu passeras à linux



Vu le bordel que c'est à l'E.N, je crois qu'ils peuvent se brosser pour
que je perde mon temps à bidouiller leurs merdes... où alors c'est mon
tarif qui va pas leur plaire :))



A l'EN j'y suis aussi, personne ne te suppliera : tu veux bien faire, tu
fais, tu ne veux pas faire, tu ne fais pas mais alors tu ne te plains pas.

Un p'tit exemple: l'année dernière, je me suis occupé d'un petit projet
de blog. Je me suis dit qu'il me suffirait de demander quelques
méga-octets sur un serveur pour installer un dotclear.
Au pire, je me suis dit qu'il faudrait peut-être installer un apache...
Bin, en fait j'ai commencé par perdre pas mal de temps pour savoir à
qui il fallait s'adresser, et finalement une personne-ressource m'a dit
que j'aurais plus vite fait de monter ça sur mon serveur perso, chez
moi...
Et c'est heureux parce qu'une fois que le blog était monté, le
pro-adjoint m'a dit qu'il fallait que le blog ne soit accessible que du
lycée, j'imagine déjà la merde s'il avait fallu que je bidouille
l'apache d'un serveur obsur, à supposer qu'on m'en ai donné un.



Ben oui il y a des textes de loi qui protègent les mineurs dans les
établissements scolaires, notamment leur image.

Bon courage quand même
Hugolino
Le #18951581
Le 20-03-2009, pxg
Hugolino wrote:
>> Place les raccourcis spécifiques dans la structure "all users". Un
>> utilisateur standard n'a pas le droit de les supprimer, en espérant
>> qu'il n'ait pas le droit de tartouiller dans les répertoires des
>> applications
>
> C'est bien là que je les crée. Désolé d'avoir omis de le préciser.

Regarde les membres du groupe Administrateurs (local) les utilisateurs du
domaines y ont peut-être été ajoutés. Il se retrouveraient alors avec des
droits étendus.



OK, je regarderais ça. Merci de l'info.



--
luc2 > bravo, comme je l'avais prevu : on pinaille sur une definition, de
luc2 > peur d'aborder le raisonnement.
C'est vrai, mieux vaut raisonner sur des trucs qu'on a pas definit, c'est
beaucoup plus drole. -+- le luc2 résonne -+-
Hugolino
Le #18951731
Le 20-03-2009, Youri Ligotmi
Hugolino a écrit :
> Le 20-03-2009, Youri Ligotmi >> Hugolino a écrit :
>>> Pour des raisons trop longues à expliquer ici, je souhaite éviter
>>> d'avoir affaire aux administrateurs du réseau.
>> Soit tu en es un car tu as le mdp pour te loguer en administrateur
>> soit les administrateurs réseau ne sont pas bien sérieux de donner
>> le mot de passe à un non administrateur.
> Puisque j'ai un accès physique aux machines, pas besoin qu'ils me
> donnent le pass root.
pass root c'est sous linux, sous windows on dit mot de passe d'un
compte administrateur.



Oui, je sais. Mais l'administrateur sous windows, c'est la même chose
que "root" sous Linux, non ?

Chez moi les utilisateurs ont un accès physique aux machines (ce qui
est assez commun), ça ne leur donne pas des droits d'administrateurs,
ils pourraient effectivement les avoir en pétant le cadenas qui
verrouille le boitier, déplacer un cavalier pour réinitialiser le
setup (donc supprimer le mot de passe d'accès) puis faire booter sur
un cd et enfin écraser le mdp de l'administrateur local, c'est long
et c'est surtout parfaitement illégal, j'espère que ce n'est pas ce
que tu fais,



Pas de cadenas, ni de cavalier à déplacer. Donc un bête live-cd suffit.

si tu peux y arriver autrement c'est qu'effectivement les
administrateurs ne sont pas très sérieux.



Ah mais je te laisse l'entière responsabilité de tes propos !! :))

> En fait, j'ai revérifié aujourd'hui. Un utilisateur *local* à la
> machine n'a effectivement pas le droit de modifier le menu
> "Démarrer", mais les utilisateurs qui utilisent la machine pour se
> logguer sur le réseau, chargent leur config (je crois qu'on dit
> "profil") depuis le serveur Samba du réseau.
> Et il semble que quelquechose dans ce "profil" leur donne le droit
> d'outrepasser ce que l'administrateur local à autorisé sur la
> machine.
Un profil ne donne pas de droits, c'est le ntfs qui est en charge de ça,
le profil contient des paramètres propres à l'utilisateur (image de fond
d'écran, raccourcis sur le bureau etc)
probablement que sur tes postes un groupe de domaine (si ça s'appelle
comme ça sur un samba) a le droit de modifier le contenu du menu
démarrer de all users (à vérifier en regardant dans les propriétés de
sécurité de ce dossier) et que tes utilisateurs sont dans ce groupe.



OK, je regarderais ça.

>>> Par ailleurs (et pour mon plus grand malheur), la réponse « t'as qu'à
>>> installer linux » n'est pas valable :((
>> Il faut devenir calife à la place du calife et tu passeras à linux
> Vu le bordel que c'est à l'E.N, je crois qu'ils peuvent se brosser
> pour que je perde mon temps à bidouiller leurs merdes... où alors
> c'est mon tarif qui va pas leur plaire :))
A l'EN j'y suis aussi,



Mes condoléances :))

personne ne te suppliera :



J'espère bien que non :)) Ou alors ça se fera à mes conditions, parce
que la gabegie et le techno-crétinisme, je sais pas faire :))

tu veux bien faire, tu fais, tu ne veux pas faire, tu ne fais pas
mais alors tu ne te plains pas.



Oui. Je voulais juste éviter d'être contraint de remettre dans
"Démarrer", les raccourcis supprimés par les pénibles...
Finalement, on va faire plus simple: je rajouterai dans mes énoncés de
TP, d'aller chercher le programme à exécuter dans "Program Files" :))

> Un p'tit exemple: l'année dernière, je me suis occupé d'un petit
> projet de blog. Je me suis dit qu'il me suffirait de demander
> quelques méga-octets sur un serveur pour installer un dotclear. Au
> pire, je me suis dit qu'il faudrait peut-être installer un apache...
> Bin, en fait j'ai commencé par perdre pas mal de temps pour savoir à
> qui il fallait s'adresser, et finalement une personne-ressource m'a
> dit que j'aurais plus vite fait de monter ça sur mon serveur perso,
> chez moi...
> Et c'est heureux parce qu'une fois que le blog était monté, le
> pro-adjoint m'a dit qu'il fallait que le blog ne soit accessible que
> du lycée, j'imagine déjà la merde s'il avait fallu que je bidouille
> l'apache d'un serveur obsur, à supposer qu'on m'en ai donné un.

Ben oui il y a des textes de loi qui protègent les mineurs dans les
établissements scolaires, notamment leur image.



Oui. Mais j'aurais souhaité qu'on me le dise lors des réunions
préparatoires.

Une petite dernière pour l'édification des foules :
Lors des réunions préparatoires, il a été évoqué la nécessité d'acheter
des ordinateurs portables.
Naïvement je m'étais dit que ça serait plus cool pour les gamins qui
pourraient emporter les PC sur le terrain.

Pas du tout !! Les gamins travaillaient sur les portables dans une salle
et les portables n'ont jamais quitté la salle.

Sauf après trois semaines...
Bin oui, des portables, c'est quand même plus tentant que des tours et
ça a l'avantage d'être plus facilement transportable justement :((

Le pire, c'est que la serrure de la salle avait été attaquée la veille,
mais les voleurs avaient sans doute été dérangés. Tu crois que les
"responsables" auraient pensé à enlever les portables de la salle ?

Mais peut-être qu'il ne s'agissait après tout pas d'une opération
destinée aux élèves en décrochage scolaire, mais d'une opération de
relance du bizness de l'informatique "tombée du camion" dans la cité
voisine...

Bon courage quand même



Fusil à lunettes, je te dis ! Reste à trouver la cible :)))

--
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles ou non.
Lire la doc, c'est le Premier et Unique Commandement de l'informaticien.
Hugo (né il y a 1 417 114 335 secondes)
Pierre-Gilles
Le #19104631
Bonjour,

Le plus simple, avec un serveur (samba en l'occurrence), c'est de créer des
profils itinérants (cela nécessite que tous les postes soient configurés à
peu près de la même manière), après, on rend ces profils obligatoires (en
renommant dans le profil sur le serveur les fichiers ntuser.dat en
ntuser.man). Après, toute modification que vos élèves font sur le bureau ou
dans le menu démarrer n'est pas enregistrée lorsqu'ils quittent leur
session. Cela nécessite un peu de bidouillage au début, mais après, quelle
paix royale. Je peux te le dire, je bosse dans une école primaire et depuis
que j'ai mis ça en route il y a 4 ans, mes interventions se sont divisées
par dix... Il n'y a plus que le matériel et quelques softs qui buggent
parfois.

En espérant avoir un peu aidé.

PG.

"Hugolino" news:

Salut,

Puisque le techno-crétinisme est en marche aussi dans l'éducation
nationale, je dois me pastiller la configuration de poste sous windows
xp...

Je veux empêcher qu'un élève facétieux supprime du menu Démarrer les
raccourcis qui permettent de lancer les programmes.

Avec gpedit.msc, sous le compte "administrateur", je suis allé dans
Config utilisateur / Modèle d'administration / Menu Démarrer et Barre
des tâches et j'ai activé l'option "Supprimer le glisser-déplacer des
menus contextuels dans le menu Démarrer".

J'ai quitté la session administateur et j'ai demandé à une élève de se
logguer avec son compte sur le réseau du lycée, puis d'essayer de
supprimer du menu démarrer le raccourci vers un programme et elle a
réussi à le faire.

Est-ce que la feature est due au fait qu'elle charge son profil depuis
le réseau alors que j'ai exécuté gpedit.msc en administrateur local ?

N'est-il donc pas possible de configurer un poste pour qu'il ne soit pas
possible à un élève de modifier sa config ?
Parce que le programme en question, c'est bien sur la poste local qu'il
est installé...
Pour des raisons trop longues à expliquer ici, je souhaite éviter
d'avoir affaire aux administrateurs du réseau.
Par ailleurs (et pour mon plus grand malheur), la réponse « t'as qu'à
installer linux » n'est pas valable :((


--
Voici mon problème, j'ai deux PCs relies par des cartes ethernet,
configures avec le protocole PPP.


-+- Romain in Guide du linuxien pervers - "Ils sont fous ces romains
!" -+-
Hugo (né il y a 1 416 900 342 secondes)


Publicité
Poster une réponse
Anonyme