Forcer la connection à une domaine en Terminal Server

Hello Mike,

réponse [un peu bidouillée...] en 2 parties :

1- dans le registre, force le nom de domaine par défaut :

chemin : H K E Y _ L O C A L _ M A C H I N E S O F T W A R E M i c r o s
o f t W i n d o w s N T C u r r e n t V e r s i o n W i n l o g o n
Clés : A l t D e f a u l t D o m a i n N a m e , C a c h e P r i m a r y D
o m a i n, D e f a u l t D o m a i n N a m e

2- Le but maintenant est de les empêcher de choisir un autre domaine dans la
liste, pour ceci masquons la liste :

[mode bidouille]
note qu'il faut faire la manip pour
toutes les versions due TS que tu utilise, c'est à dire 1 pour 2003, 1 pour
2003 SP1
Si tu n'as que SP0 ou que SP1, tu t'en sors bien :)

ex : XP
-copie MSGINA DLL depuis %systemroot%system32 vers un dossier temporaire
- télécharge ressource hacker et déplace le label "se connecter à" et le
champs qui le suit vers le haut (afin qu'ils soient masqués par les autres
contrôles) Tu les trouvera dans :
dialog > 1500 > 1036
dialog > 17500 > 1036
dialog > 1950 > 1036

sauvegarde le gina modifié sous un nom du type msgina2.dll dans
%systemroot%system32 du serveur TS

rend toi dans ensuite dans HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon et
crée une valeur Reg_SZ appelée Ginadll. donne lui "msgina2.dll" comme donnée

terminé!

Concernant le déploiement, tu peux le faire en créant un créer un ADM qui va
bien, ou
utiliser un script de logon ordinateur un peu customisé.= pour ton OU des TS

Voici un exemple de script AutoIT permettant de balancer la gina modifiée au
démarrage d'un 2003 SP1, tu peux ajouter des contraintes au if $ver afin de
faire un script unique suivant ta version de Windows :

;### Début Script###
Opt("ExpandEnvStrings", 1)

$sys = @SystemDir
$ver = @OSVersion
$SP = @OSServicePack

if $ver = "Win_2003" and $SP = "Service Pack 1" Then
$Gina203SM1 = FileInstall ("msgina2003SP1.dll", ""& $sys &"msgina2.dll",
1)
endif

$GinaCheck = RegRead ("HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon", "Ginadll")
if @error = -1 Then
Msgbox (0, "valeur", "valeur non trouvée")
$RW = RegWrite ("HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon","Ginadll","REG_SZ","msgina2.dll")
Elseif $GinaCheck <> "msgina2.dll" Then
$RW = RegWrite ("HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon","Ginadll","REG_SZ","msgina2.dll")
EndIf

;### Fin Script###

[/mode bidouille]

Bonne chance avec tout ça :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Mike" <shalomqcNOSPAM@yahoo.ca> a écrit dans le message de news:
e%23vSFN0fGHA.2456@TK2MSFTNGP04.phx.gbl...

Bonjour

Nous avons 30 usagers qui se connecte en terminal serveur (windows 2003
server enterprise)
le terminal server est en workgroup mais les usagers doivent se connecter
au domaine "Assurances"

nous avons 3 domaines différents sur notre réseau

J'aimerais que les usagers soit limité au domaine "Assurances" lorsqu'ils
se connecte en terminal server
donc je voudrais que le champs "domaine" lors du login en terminal serveur
soit verouillé et que le domaine "Assurances" soit le domaine par défaut
Je ne veut pas que les usagers puissent sélectionner un autre domaine dans
la liste ni le Terminal Server (connection en local)

Comment puis-je faire ca?
j'ai regarder dans le group policy mais je n'ai rien trouvé...

Merci Beaucoup
Cordialement vôtre

"Mike" <shalomqcNOSPAM@yahoo.ca> a écrit dans le message de
news:e%23vSFN0fGHA.2456@TK2MSFTNGP04.phx.gbl
| Bonjour
|
| Nous avons 30 usagers qui se connecte en terminal serveur (windows
| 2003 server enterprise)
| le terminal server est en workgroup mais les usagers doivent se
| connecter au domaine "Assurances"
|
| nous avons 3 domaines différents sur notre réseau
|
| J'aimerais que les usagers soit limité au domaine "Assurances"
| lorsqu'ils se connecte en terminal server
| donc je voudrais que le champs "domaine" lors du login en terminal
| serveur soit verouillé et que le domaine "Assurances" soit le domaine
| par défaut
| Je ne veut pas que les usagers puissent sélectionner un autre domaine
| dans la liste ni le Terminal Server (connection en local)
|
| Comment puis-je faire ca?
| j'ai regarder dans le group policy mais je n'ai rien trouvé...
|
| Merci Beaucoup
| Cordialement vôtre

Bonjour,

Une solution élégante consiste à s'appuyer sur la technique du "Gina
hook". Cette technique permet de modifier l'apparence des fenêtres
d'authentification "à la volée". Dans votre scénario, cet hook
désactivera la liste de choix des domaines et forcera l'authentification
sur le domaine "Assurances" pour les clients TSE.
Cette technique est relativement bien documentée dans le Kit de
Developpement (SDK):
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthn/security/customizing_winlogon.asp
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthn/security/wlxnegotiate.asp

Bien entendu, des connaissances en C sont indispensables.

--
Gilles LAURENT
Me contacter : http://cerbermail.com/?zoTY7ZkLcD

"Mike" <shalomqcNOSPAM@yahoo.ca> a écrit dans le message de
news:e%23vSFN0fGHA.2456@TK2MSFTNGP04.phx.gbl
| Bonjour
|
| Nous avons 30 usagers qui se connecte en terminal serveur (windows
| 2003 server enterprise)
| le terminal server est en workgroup mais les usagers doivent se
| connecter au domaine "Assurances"
|
| nous avons 3 domaines différents sur notre réseau
|
| J'aimerais que les usagers soit limité au domaine "Assurances"
| lorsqu'ils se connecte en terminal server
| donc je voudrais que le champs "domaine" lors du login en terminal
| serveur soit verouillé et que le domaine "Assurances" soit le domaine
| par défaut
| Je ne veut pas que les usagers puissent sélectionner un autre domaine
| dans la liste ni le Terminal Server (connection en local)
|
| Comment puis-je faire ca?
| j'ai regarder dans le group policy mais je n'ai rien trouvé...
|
| Merci Beaucoup
| Cordialement vôtre

Bonjour,

Je viens de terminer le codage du "Gina hook" TSGina.dll.
- compatibilité TSE / Bureau à distance W2K/XP/2003
- support des fenêtres de login / veille / changement de mot de passe
- le domaine choisi pour l'authentification est pré-configuré en base de
registre
- la liste des domaines est désactivée uniquement pour les clients TSE /
Bureau à distance
- le choix du domaine / machine locale reste possible lors d'une
connexion par la console

Si vous êtes toujours intéressé alors n'hésitez pas à me contacter.
Bien sûr, si quelqu'un d'autre est intéressé, qu'il n'hésite pas non
plus ;-)

--
Gilles LAURENT
Me contacter : http://cerbermail.com/?zoTY7ZkLcD

Merci Beaucoup :)

"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news: OAPNd0JgGHA.2040@TK2MSFTNGP03.phx.gbl...

Hello Mike,

réponse [un peu bidouillée...] en 2 parties :

1- dans le registre, force le nom de domaine par défaut :

chemin : H K E Y _ L O C A L _ M A C H I N E S O F T W A R E M i c r o
s o f t W i n d o w s N T C u r r e n t V e r s i o n W i n l o g o
n
Clés : A l t D e f a u l t D o m a i n N a m e , C a c h e P r i m a r y
D o m a i n, D e f a u l t D o m a i n N a m e

2- Le but maintenant est de les empêcher de choisir un autre domaine dans
la liste, pour ceci masquons la liste :

[mode bidouille]
note qu'il faut faire la manip pour
toutes les versions due TS que tu utilise, c'est à dire 1 pour 2003, 1
pour 2003 SP1
Si tu n'as que SP0 ou que SP1, tu t'en sors bien :)

ex : XP
-copie MSGINA DLL depuis %systemroot%system32 vers un dossier temporaire
- télécharge ressource hacker et déplace le label "se connecter à" et le
champs qui le suit vers le haut (afin qu'ils soient masqués par les autres
contrôles) Tu les trouvera dans :
dialog > 1500 > 1036
dialog > 17500 > 1036
dialog > 1950 > 1036

sauvegarde le gina modifié sous un nom du type msgina2.dll dans
%systemroot%system32 du serveur TS

rend toi dans ensuite dans HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon et
crée une valeur Reg_SZ appelée Ginadll. donne lui "msgina2.dll" comme
donnée

terminé!

Concernant le déploiement, tu peux le faire en créant un créer un ADM qui
va bien, ou
utiliser un script de logon ordinateur un peu customisé.= pour ton OU des
TS

Voici un exemple de script AutoIT permettant de balancer la gina modifiée
au
démarrage d'un 2003 SP1, tu peux ajouter des contraintes au if $ver afin
de
faire un script unique suivant ta version de Windows :

;### Début Script###
Opt("ExpandEnvStrings", 1)

$sys = @SystemDir
$ver = @OSVersion
$SP = @OSServicePack

if $ver = "Win_2003" and $SP = "Service Pack 1" Then
$Gina203SM1 = FileInstall ("msgina2003SP1.dll", ""& $sys &"msgina2.dll",
1)
endif

$GinaCheck = RegRead ("HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon", "Ginadll")
if @error = -1 Then
Msgbox (0, "valeur", "valeur non trouvée")
$RW = RegWrite ("HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon","Ginadll","REG_SZ","msgina2.dll")
Elseif $GinaCheck <> "msgina2.dll" Then
$RW = RegWrite ("HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon","Ginadll","REG_SZ","msgina2.dll")
EndIf

;### Fin Script###

[/mode bidouille]

Bonne chance avec tout ça :)
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Mike" <shalomqcNOSPAM@yahoo.ca> a écrit dans le message de news:
e%23vSFN0fGHA.2456@TK2MSFTNGP04.phx.gbl...

Bonjour

Nous avons 30 usagers qui se connecte en terminal serveur (windows 2003
server enterprise)
le terminal server est en workgroup mais les usagers doivent se connecter
au domaine "Assurances"

nous avons 3 domaines différents sur notre réseau

J'aimerais que les usagers soit limité au domaine "Assurances" lorsqu'ils
se connecte en terminal server
donc je voudrais que le champs "domaine" lors du login en terminal
serveur soit verouillé et que le domaine "Assurances" soit le domaine par
défaut
Je ne veut pas que les usagers puissent sélectionner un autre domaine
dans la liste ni le Terminal Server (connection en local)

Comment puis-je faire ca?
j'ai regarder dans le group policy mais je n'ai rien trouvé...

Merci Beaucoup
Cordialement vôtre

Merci Beaucoup :)

J'ai utilisé la méthode a Monsieur Bismuth et c'est ok

Merci encore

"Gilles LAURENT" <glsft@free.fr> a écrit dans le message de news:
ObirHbAhGHA.4044@TK2MSFTNGP03.phx.gbl...

"Mike" <shalomqcNOSPAM@yahoo.ca> a écrit dans le message de
news:e%23vSFN0fGHA.2456@TK2MSFTNGP04.phx.gbl
| Bonjour
|
| Nous avons 30 usagers qui se connecte en terminal serveur (windows
| 2003 server enterprise)
| le terminal server est en workgroup mais les usagers doivent se
| connecter au domaine "Assurances"
|
| nous avons 3 domaines différents sur notre réseau
|
| J'aimerais que les usagers soit limité au domaine "Assurances"
| lorsqu'ils se connecte en terminal server
| donc je voudrais que le champs "domaine" lors du login en terminal
| serveur soit verouillé et que le domaine "Assurances" soit le domaine
| par défaut
| Je ne veut pas que les usagers puissent sélectionner un autre domaine
| dans la liste ni le Terminal Server (connection en local)
|
| Comment puis-je faire ca?
| j'ai regarder dans le group policy mais je n'ai rien trouvé...
|
| Merci Beaucoup
| Cordialement vôtre

Bonjour,

Je viens de terminer le codage du "Gina hook" TSGina.dll.
- compatibilité TSE / Bureau à distance W2K/XP/2003
- support des fenêtres de login / veille / changement de mot de passe
- le domaine choisi pour l'authentification est pré-configuré en base de
registre
- la liste des domaines est désactivée uniquement pour les clients TSE /
Bureau à distance
- le choix du domaine / machine locale reste possible lors d'une
connexion par la console

Si vous êtes toujours intéressé alors n'hésitez pas à me contacter.
Bien sûr, si quelqu'un d'autre est intéressé, qu'il n'hésite pas non
plus ;-)

--
Gilles LAURENT
Me contacter : http://cerbermail.com/?zoTY7ZkLcD

Mike a écrit le 24/05/2006 à 17h03 :

Bonjour

Nous avons 30 usagers qui se connecte en terminal serveur (windows 2003
server enterprise)
le terminal server est en workgroup mais les usagers doivent se connecter au
domaine "Assurances"

nous avons 3 domaines différents sur notre réseau

J'aimerais que les usagers soit limité au domaine "Assurances"
lorsqu'ils se
connecte en terminal server
donc je voudrais que le champs "domaine" lors du login en terminal
serveur
soit verouillé et que le domaine "Assurances" soit le domaine
par défaut
Je ne veut pas que les usagers puissent sélectionner un autre domaine
dans
la liste ni le Terminal Server (connection en local)

Comment puis-je faire ca?
j'ai regarder dans le group policy mais je n'ai rien trouvé...

Merci Beaucoup
Cordialement vôtre

En étant prévoyant, je dirais HD.

Mike a écrit le 24/05/2006 à 17h03 :

Bonjour

Nous avons 30 usagers qui se connecte en terminal serveur (windows 2003
server enterprise)
le terminal server est en workgroup mais les usagers doivent se connecter au
domaine "Assurances"

nous avons 3 domaines différents sur notre réseau

J'aimerais que les usagers soit limité au domaine "Assurances"
lorsqu'ils se
connecte en terminal server
donc je voudrais que le champs "domaine" lors du login en terminal
serveur
soit verouillé et que le domaine "Assurances" soit le domaine
par défaut
Je ne veut pas que les usagers puissent sélectionner un autre domaine
dans
la liste ni le Terminal Server (connection en local)

Comment puis-je faire ca?
j'ai regarder dans le group policy mais je n'ai rien trouvé...

Merci Beaucoup
Cordialement vôtre

En étant prévoyant, je dirais HD.

Mike a écrit le 24/05/2006 à 17h03 :

Bonjour

Nous avons 30 usagers qui se connecte en terminal serveur (windows 2003
server enterprise)
le terminal server est en workgroup mais les usagers doivent se connecter au
domaine "Assurances"

nous avons 3 domaines différents sur notre réseau

J'aimerais que les usagers soit limité au domaine "Assurances"
lorsqu'ils se
connecte en terminal server
donc je voudrais que le champs "domaine" lors du login en terminal
serveur
soit verouillé et que le domaine "Assurances" soit le domaine
par défaut
Je ne veut pas que les usagers puissent sélectionner un autre domaine
dans
la liste ni le Terminal Server (connection en local)

Comment puis-je faire ca?
j'ai regarder dans le group policy mais je n'ai rien trouvé...

Merci Beaucoup
Cordialement vôtre

Merci pour la réponse.