GPO: importer des modeles

Dans le message :43dfc66f$0$31853$626a54ce@news.free.fr,
Dom <laurentNOSPAMDom@free.fr> a pris la peine d'écrire ce qui suit :

Bonjour à tous,

Dans le cadre du "tuning" de mon AD et pour répondre à un besoin de
bridage de certaines stations de travail 2k et XP, je souhaiterai
savoir s'il existe une possibilité d'importer des modeles de
stratégies autres que ceux présents nativement sur un serveur (chez
M$ ? autres ?).

Çà se modifie ou se crée, un fichier ADM !!!!
http://www.bellamyjc.org/fr/strategie.html#ADMfiles

Buts: limiter les modifications d'affichage du bureau, personnaliser les
raccourcis présents dans le menu démarrer,
cacher l'explorateur, cacher les lecteurs C et D, ...

Pour cacher certains lecteurs, il faut et il suffit de modifier le fichier
%systemroot%infsystem.adm
(avec un éditeur texte quelconque : NOTEPAD, EDITPLUS, ULTRAEDIT, VI, ...)

Rechercher ces lignes :
....
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST

La valeur numérique associée correspond à la combinaison des lecteurs :
A : bit 0 (1)
B : bit 1 (2)
C : bit 2 (4)
D : bit 3 (8)
E : bit 4 (16)
F : bit 5 (32)
G : bit 6 (64)
H : bit 7 (128)
I : bit 8 (256)
J : bit 9 (512)
K : bit 10 (1024)
L : bit 11 (2048)
M : bit 12 (4096)
N : bit 13 (8192)
O : bit 14 (16384)
P : bit 15 (32768)
Q : bit 16 (65536)
R : bit 17 (131072)
S : bit 18 (262144)
T : bit 19 (524288)
U : bit 20 (1048576)
V : bit 21 (2097152)
W : bit 22 (4194304)
X : bit 23 (8388608)
Y : bit 24 (16777216)
Z : bit 25 (33554432)

Donc si on veut AUTORISER UNIQUEMENT "C","D" et "X", on codera :
4 + 8 + 8388608 = 8388620

Si on veut autoriser TOUS les disques possibles (de A à Z) :
1 + 2 + 4 +...+ 33554432 = 2^26 -1 = 67108863

Si un PC comporte
Disquette A:
Partition C:
Partition D:
CDROM E:
et si on veut autoriser A:(=1) , E:() mais interdire le reste (C: et D:)
-> 1 + 16 = 17
...
Donc C et D interdits et A et E autorisés correspond à 17 (en décimal)

Il suffit donc d'ajouter la ligne suivante :
(quelque part entre "ITEMLIST" et "END ITEMLIST") :

NAME !!AEOnly VALUE NUMERIC 17

et plus bas, dans la section "[strings]", ajouter la ligne :
AEOnly="Restreindre les lecteurs A et E seulement"
et ainsi de suite ....

NB: le libellé "AEOnly" est totalement ARBITRAIRE !
Je l'ai choisi uniquement par un souci "d'homégénéïté cosmétique" avec les
autres libellés
Mais on peut parfaitement écrire :
NAME !!PourEmmerderLesUtilisateurs VALUE NUMERIC 17
et plus loin (section [Strings])
PourEmmerderLesUtilisateurs="Vous l'aurez dans le baba si vous voulez
accéder à C ou D!"

Et faire de même dans
....
VALUENAME "NoDrives"
...

******************
TRÈS IMPORTANT !!!!!!!
******************

Cette restriction est CON-TOUR-NA-BLE !

L'aide en ligne dit d'ailleurs :
"Remarque : cette stratégie supprime les icônes de lecteur.
Les utilisateurs peuvent toujours accéder au contenu
du lecteur en utilisant d'autres méthodes, telles qu'en
entrant le chemin d'accès à un répertoire sur le lecteur
dans la boîte de dialogue Connecter un lecteur réseau,
dans la boîte de dialogue Exécuter, ou dans une fenêtre
d'invite de commandes."

Si on veut INTERDIRE TOTALEMENT l'accès à un disque, il faut définir les
permissions sur ce disque en conséquence.
(NTFS obligatoire, évidemment !)




Voici un autre exemple d'ADM, qui sert à désactiver cette cochonnerie qu'est
le partage simple sous XP PRO :

fichier "partagesimple.adm"
---------- couper ici ----------
CLASS MACHINE
CATEGORY !!System
POLICY !!partageSimple
EXPLAIN !!partageSimpleHelp
KEYNAME "SYSTEMCurrentControlSetControlLsa"
#if version >= 4
SUPPORTED !!SUPPORTED_WINXP
#endif
VALUENAME "forceguest"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
END CATEGORY

[Strings]
System="Système"
partageSimpleHelp="Cette stratégie spécifie si Windows doit appliquer le
partage simplenSi cette stratégie est activée, le partage simple sera
mis en oeuvre, avec tous les problèmes que cela entraine.nSi elle est
désactivée, le partage simple le sera également.
partageSimple="Utiliser le partage de fichiers simple"
SUPPORTED_WINXP="Au moins Microsoft Windows XP"
---------- couper ici ----------

Attention aux lignes longues !
En particulier, recoller les morceaux des 2 lignes
partageSimpleHelp="Cette ...
partageSimple="Utiliser...


En voici encore un autre, qui sert à (dés)activer l'observation automatique
de l'heure d'été.
Fichier "DST.ADM"

-------- couper ici --------
CLASS Machine
CATEGORY !!Systeme
POLICY !!DisableAutoDaylightTimeSet
EXPLAIN !!DisableAutoDaylightTimeSetHelp
KEYNAME !!KeyTime
VALUENAME "DisableAutoDaylightTimeSet"
END POLICY
END CATEGORY

[Strings]
Systeme="Système"
KeyTime="SystemCurrentControlSetControlTimeZoneInformation"
DisableAutoDaylightTimeSetHelp="Cette stratégie spécifie si l'on doit ne pas
gérer automatiquement l'heure d'été.nnSi cette stratégie est activée,
l'horloge n'est pas ajustée pour observer automatiquement l'heure d'été."
DisableAutoDaylightTimeSet="Ne pas ajuster l'horloge pour l'observation
automatique de l'heure d'été"
-------- couper ici --------

NB: dans la section "[Strings]", compte tenu de la longueur des lignes
"DisableAutoDaylightTimeSetHelp=..." et "DisableAutoDaylightTimeSet=..." ,
ne pas oublier de recoller les morceaux en une seule ligne pour chaque item.


Et pour finir, un exemple complètement inutile et folklo ! ;-)
fichier "folklo.adm"
----------- couper ici -----------
CLASS USER
CATEGORY !!Folklo
POLICY !!Dom
KEYNAME "SoftwareDomBidouilles"
EXPLAIN !!DomHelp
PART !!Avis DROPDOWNLIST
VALUENAME Avis
ITEMLIST
NAME !!Géniale VALUE "10" DEFAULT
NAME !!Bof VALUE "5"
NAME !!Nulle VALUE "0"
NAME !!Averell VALUE "100"
END ITEMLIST
END PART
END POLICY
END CATEGORY

[Strings]
Folklo="Paramètrage folklorique"
Dom="Pour faire plaisir à Dom"
DomHelp="Cette stratégie ne sert strictement à rien, sinon à faire plaisir à
Dom"
Avis="A votre avis, cette clef est :"
Géniale="Absolument géniale"
Bof="Mouais ..."
Nulle="Complètement débile"
Averell="Quand est-ce qu'on mange?"
-----------

Quelle différence entre un fichier .adm et un fichier .inf (stratégie) ?
????????????

AUCUN rapport !
Le seul point commun est qu'ils se trouvent, en principe, dans le même
dossier (%systemroot%inf)

Un fichier INF sert à installer de façon "agricole" (sans interface
graphique) un driver ou un logiciel.
Il n'a donc rien à voir avec un fichier modèle de STRATÉGIES !

Pas contre, pourquoi est-ce que MS a placé les modèles ADM dans ce dossier,
c'est une énigme que je n'ai pas encore résolue (et dont je me tamponne le
coquillard intégralement ! ;-) )


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
ou http://www.bellamyjc.org ou http://jc.bellamy.free.fr