Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Windows Windows Serveur Active Directory je ne retrouve pas un element de strategie de securité

je ne retrouve pas un element de strategie de securité

3 réponses
Avatar
Bouclier
bonjour,

je teste les stratégie de sécurité d'UO en ce moment. (sous 2003, non R2)

J'ai créé un UO pour ce test.
J'ai deplacé une machine dans l'UO.
j'ai deplacé le user dans l'UO.
j'ai créé une strategie de sécurité propre à cet UO.
J'ai ajouté la machine et le user concernés dans les elements ayant le droit
d'executer la gpo.

A partir de là tout devrait donc s'appliquer totalement ?
hors si les paramètres que je choisis de préciser pour la mise à jour du
windows update sont bien pris en compte, il n'en ai rien pour mes choix
concernant les changements de mots de passe. (exemple, j'ai demandé à ce
qu'un mot de passe soit valide 2jours maximum et que le systeme se rappelle
des 12derniers)

Là ou c'est cohérent, c'est que quand je lance une simulation, j'obtiens
bien les infos relatives à la stratégie de windows update, mais les champs
relatifs au changement de mot de passe n'apparaissent pas :

ci joint la copie de la bete :
______________
Gestion des stratégies de groupe
Données recueillies le : 17/03/2006 14:04:39

Résumé
Résumé de la configuration ordinateur
Général
Nom de l'ordinateur XXXXXXXXXXX
Conteneur ordinateur XX.XXXX.XXX/Saint_Cloud/Users/Test_SUS
Domaine XX.XXXXX.XX
Site (Aucun)
Traitement de liaison réseau lente Non

Objets de stratégie de groupe
Objets GPO appliqués
Nom Emplacement de la liaison Révision
Default Domain Policy XX.XXXXX.XX AD (3124), volume système (3124)
Stratégie_de_groupe_SUS XX.XXXXX.XX/Saint_Cloud/Users/Test_SUS AD (5, volume
système (5

Refusé (GPO)
Nom Emplacement de la liaison Raison du refus
Aucun(e)

État du composant
Nom de composant État
Infrastructure de stratégie de groupe Opération réussie
EFS recovery Succès (aucune donnée)
Registre Opération réussie
Security Opération réussie

Résumé de la configuration utilisateur
Général
Nom d'utilisateur XXXXX\Install
Conteneur utilisateur XX.XXXXX.XX/Saint_Cloud/Users/Test_SUS
Domaine XX.XXXXX.XX
Traitement de liaison réseau lente Non
Traitement en boucle Non

Objets de stratégie de groupe
Objets GPO appliqués
Nom Emplacement de la liaison Révision
Default Domain Policy XX.XXXXX.XX AD (2), volume système (2)
Stratégie_de_groupe_SUS X.XXXXX.fr/Saint_Cloud/Users/Test_SUS AD (, volume
système (

Refusé (GPO)
Nom Emplacement de la liaison Raison du refus
Aucun(e)

Adhésion simulée au groupe de sécurité

État du composant
Nom de composant État
Infrastructure de stratégie de groupe Opération réussie
Scripts Opération réussie

Configuration ordinateur
Paramètres Windows
Paramètres de sécurité
Stratégie locale/Stratégie d'audit
Stratégie Paramètre OSG gagnant
Auditer la gestion des comptes Opération réussie Default Domain Policy
Auditer l'accès au service d'annuaire Opération réussie Default Domain Policy
Auditer les événements de connexion Opération réussie Default Domain Policy
Auditer les événements système Opération réussie Default Domain Policy
Auditer les modifications de stratégie Opération réussie Default Domain
Policy

Stratégies locales/Attribution des droits utilisateur
Stratégie Paramètre OSG gagnant
Accéder à cet ordinateur à partir du réseau Utilisateurs, Tout le monde,
Opérateurs de sauvegarde, XXXXX\Contrôleurs de domaine, Administrateurs
Default Domain Policy
Agir en tant que partie du système d'exploitation Default Domain Policy
Ajouter des stations de travail au domaine Administrateurs Default Domain
Policy
Arrêter le système Administrateurs, XXXXX\Utilisa. du domaine, Opérateurs de
sauvegarde, SERVICE LOCAL, SERVICE RÉSEAU Default Domain Policy
Augmenter la priorité de planification Administrateurs Default Domain Policy
Autoriser que l'on fasse confiance aux comptes ordinateur et utilisateur
pour la délégation Administrateurs Default Domain Policy
Changer les quotas de mémoire d'un processus Administrateurs, XXXXX\IIS_WPG,
XXXXX\IWAM_PDFSRV02, SERVICE LOCAL, SERVICE RÉSEAU Default Domain Policy
Charger et décharger des pilotes de périphériques XXXXX\Utilisa. du domaine,
Administrateurs Default Domain Policy
Créer des objets partagés permanents Default Domain Policy
Créer un fichier d'échange Administrateurs Default Domain Policy
Créer un objet-jeton Default Domain Policy
Déboguer des programmes Administrateurs Default Domain Policy
Forcer l'arrêt à partir d'un système distant XXXXX\Admins du domaine
Stratégie_de_groupe_SUS
Générer des audits de sécurité SERVICE RÉSEAU, SERVICE LOCAL,
Administrateurs Default Domain Policy
Gérer le journal d'audit et de sécurité Administrateurs Default Domain Policy
Modifier les valeurs d'env. de microprogrammation Administrateurs Default
Domain Policy
Modifier l'heure système SERVICE LOCAL, Opérateurs de serveur,
Administrateurs Default Domain Policy
Optimiser les performances système Administrateurs Default Domain Policy
Optimiser un processus unique Administrateurs Default Domain Policy
Outrepasser le contrôle de défilement Administrateurs, Opérateurs de
sauvegarde, Tout le monde, Utilisateurs Default Domain Policy
Ouvrir une session en tant que service Administrateurs, IIS_WPG, SERVICE
LOCAL, SERVICE RÉSEAU Default Domain Policy
Ouvrir une session en tant que tâche SERVICE LOCAL, Administrateurs Default
Domain Policy
Permettre l'ouverture d'une session locale Utilisateurs, Opérateurs
d'impression, Opérateurs de serveur, Opérateurs de sauvegarde, Opérateurs de
compte, XXXXX\TsInternetUser, Administrateurs Default Domain Policy
Prendre possession des fichiers ou d'autres objets Administrateurs Default
Domain Policy
Remplacer un jeton niveau de processus SERVICE RÉSEAU, SERVICE LOCAL,
IIS_WPG Default Domain Policy
Restaurer des fichiers et des répertoires Opérateurs de serveur, Opérateurs
de sauvegarde, Administrateurs Default Domain Policy
Retirer l'ordinateur de la station d'accueil Utilisateurs, Tout le monde,
Administrateurs Default Domain Policy
Sauvegarder des fichiers et des répertoires Opérateurs de serveur,
Opérateurs de sauvegarde, Administrateurs Default Domain Policy
Synchroniser les données de l'annuaire Active Directory SYSTEM, SERVICE
RÉSEAU, SERVICE LOCAL, Administrateurs Default Domain Policy
Verrouiller des pages en mémoire Default Domain Policy

Stratégies locales/Options de sécurité
Accès réseau
Stratégie Paramètre OSG gagnant
Accès réseau : ne pas autoriser l'énumération anonyme des comptes et
partages SAM Désactivé Default Domain Policy

Client Réseau Microsoft
Stratégie Paramètre OSG gagnant
Client réseau Microsoft : communications signées numériquement (lorsque le
serveur l'accepte) Activé Default Domain Policy
Client réseau Microsoft : communications signées numériquement (toujours)
Désactivé Default Domain Policy
Client réseau Microsoft : envoyer un mot de passe non crypté aux serveurs
SMB tierce partie Désactivé Default Domain Policy

Membre du domaine
Stratégie Paramètre OSG gagnant
Membre de domaine : crypter numériquement les données des canaux sécurisés
(lorsque cela est possible) Activé Default Domain Policy
Membre de domaine : nécessite une clé de session forte (Windows 2000 ou
ultérieur) Désactivé Default Domain Policy
Membre de domaine : signer numériquement les données des canaux sécurisés
(lorsque cela est possible) Activé Default Domain Policy

Ouverture de session interactive
Stratégie Paramètre OSG gagnant
Ouverture de session interactive : prévenir l'utilisateur qu'il doit changer
son mot de passe avant qu'il n'expire 14 derniers jours Default Domain Policy
Ouvertures de sessions interactives : nombre d'ouvertures de sessions
précédentes réalisées en utilisant le cache (lorsqu'aucun contrôleur de
domaine n'est disponible) 10 Ouvertures de session Default Domain Policy

Périphériques
Stratégie Paramètre OSG gagnant
Périphériques : autoriser l'accès au CD-ROM uniquement aux utilisateurs
ayant ouvert une session localement Désactivé Default Domain Policy
Périphériques : empêcher les utilisateurs d'installer des pilotes
d'imprimante Désactivé Default Domain Policy

Serveur Réseau Microsoft
Stratégie Paramètre OSG gagnant
Serveur réseau Microsoft : communications signées numériquement (lorsque le
serveur l'accepte) Désactivé Default Domain Policy

Autre
Stratégie Paramètre OSG gagnant
Membre de domaine : crypter ou signer numériquement les données des canaux
sécurisés (toujours) Désactivé Default Domain Policy
Ouverture de session interactive : ne pas afficher le dernier nom
d'utilisateur Désactivé Default Domain Policy
Ouverture de session interactive : ne pas demander la combinaison de touches
Ctrl+Alt+Suppr. Désactivé Default Domain Policy
Périphériques : ne permettre l'accès aux disquettes qu'aux utilisateurs
connectés localement Désactivé Default Domain Policy
Sécurité réseau : niveau d'authentification Lan Manager Envoyer les réponses
LM et NTLM Default Domain Policy
Serveur réseau Microsoft : communications signées numériquement (toujours)
Désactivé Default Domain Policy

Groupes restreints
Grouper Membres OSG gagnant
Utilisateurs Utilisateurs authentifiés, INTERACTIF Default Domain Policy

Services système
Avertissement (Mode de démarrage : Automatique)
OSG gagnant Default Domain Policy
AutorisationsType Nom Autorisation
Autoriser BUILTIN\Administrateurs Contrôle total
Autoriser AUTORITE NT\SYSTEM Contrôle total
Autoriser AUTORITE NT\INTERACTIF Lecture
AuditType Nom Accès
Échec Tout le monde Contrôle total

Journal des événements (Mode de démarrage : Automatique)
OSG gagnant Default Domain Policy
AutorisationsType Nom Autorisation
Autoriser BUILTIN\Administrateurs Contrôle total
Autoriser AUTORITE NT\SYSTEM Contrôle total
Autoriser AUTORITE NT\INTERACTIF Lecture
AuditType Nom Accès
Échec Tout le monde Contrôle total

Affichage des messages (Mode de démarrage : Automatique)
OSG gagnant Default Domain Policy
Autorisations
Aucune autorisation spécifiéeAudit
Pas d'audit spécifié
Système de fichiers
%SystemDrive%\Program Files\Antivirus TREND\PCCSRV
OSG gagnant Default Domain Policy
Configurer ce fichier ou ce dossier, puis : propager les autorisations
pouvant être héritées à tous les sous-dossiers et les fichiersPropriétaire
AutorisationsType Nom Autorisation Appliquer à
Autoriser XXXXX\IUSR_SERVEUR01 Lecture et exécution, Écriture Ce dossier,
les sous-dossiers et les fichiers
Permettre aux autorisations héritées du parent de se propager à cet objet et
aux objets enfants Activé
Audit
Pas d'audit spécifié
%SystemDrive%\Program Files\Antivirus TREND\PCCSRV\TEMP
OSG gagnant Default Domain Policy
Configurer ce fichier ou ce dossier, puis : propager les autorisations
pouvant être héritées à tous les sous-dossiers et les fichiersPropriétaire
AutorisationsType Nom Autorisation Appliquer à
Autoriser XXXXX\IUSR_SERVEUR01 Contrôle total Ce dossier, les sous-dossiers
et les fichiers
Permettre aux autorisations héritées du parent de se propager à cet objet et
aux objets enfants Activé
Audit
Pas d'audit spécifié
Stratégies de clé publique/Paramètres d'inscription automatique
Stratégie Paramètre OSG gagnant
Inscrire les certificats automatiquement Activé [Paramètres par défaut]
Renouveler les certificats expirés, mettre à jour les certificats en
attente, et supprimer les certificats révoqués Désactivé
Mettre à jour les certificats qui utilisent les modèles de certificats
Désactivé


Stratégies de clé publique/Système de fichiers de cryptage
Propriétés
OSG gagnant [Paramètres par défaut]
Stratégie Paramètre
Autorise les utilisateurs à crypter les données avec EFS (Encrypting File
System) Activé

Certificats
Émise à Délivré par Date d'expiration Rôles prévus OSG gagnant
Administrateur Administrateur 19/04/2004 09:51:34 Récupération de fichier
Default Domain Policy

Pour obtenir plus d'informations sur les paramètres, exécutez l'Éditeur
d'objet de stratégies de groupe.
Stratégies de clé publique/Autorités de certification de racine de confiance
Propriétés
OSG gagnant [Paramètres par défaut]
Stratégie Paramètre
Autoriser les utilisateurs à sélectionner de nouvelles autorités de
certification racine à approuver Activé
Les ordinateurs clients peuvent faire confiance aux magasins de certificats
suivants Autorités de certification racine tierce partie et autorités de
certification racine de l'entreprise
Pour effectuer une authentification basée sur les certificats d'utilisateurs
et d'ordinateurs, les autorités de certification doivent correspondre aux
critères suivants Inscription dans Active Directory uniquement

Modèles d'administration
Composants Windows/Windows Update
Stratégie Paramètre OSG gagnant
Autoriser les non-administrateurs à recevoir les notifications de mise à
jour Activé Stratégie_de_groupe_SUS
Autoriser l'installation immédiate des mises à jour automatiques Activé
Stratégie_de_groupe_SUS
Configuration des mises à jour automatiques Activé Stratégie_de_groupe_SUS
Configuration de la mise à jour automatique : 3 - Télécharger, et notifier
pour installer
Les paramètres suivants ne sont nécessaires et ne
s'appliquent que si l'option 4 est sélectionnée.
Jour de l'installation planifiée : 0 - Tous les jours
Heure de l'installation planifiée : 10:00

Stratégie Paramètre OSG gagnant
Fréquence de détection des mises à jour automatiques Activé
Stratégie_de_groupe_SUS
Vérifier la présence de mise à jour à
l'intervalle suivant (heures) : 1

Stratégie Paramètre OSG gagnant
Pas de redémarrage planifié des installations planifiées des mises à jour
automatiques Désactivé Stratégie_de_groupe_SUS
Replanifier les installations planifiées des mises à jour automatiques
Activé Stratégie_de_groupe_SUS
Attendre après le démarrage
Du système (minutes) : 7

Stratégie Paramètre OSG gagnant
Spécifier l'emplacement intranet du service de Mise à jour Microsoft Activé
Stratégie_de_groupe_SUS
Configurer le service intranet de Mise à jour pour la détection des mises à
jour : http://pdfsrv03
Configurer le serveur intranet de statistiques : http://pdfsrv03
(par exemple : http://IntranetUpd01)


Configuration utilisateur
Paramètres Windows
Scripts
Ouvrir la session
Nom Paramètres Dernière exécution OSG gagnant
toto.bat Stratégie_de_groupe_SUS
Signaler un problème avec ce contenu

3 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Michaël THIBAUT [MVP]
Bonjour,

Ceci est parfaitement normal !

Les stratégies de mot de passe s'appliquent au niveau du domaine, pas d'une
OU

--
Cordialement,
Michaël

MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com

Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc


"Bouclier" a écrit dans le message de
news:
bonjour,

je teste les stratégie de sécurité d'UO en ce moment. (sous 2003, non R2)

J'ai créé un UO pour ce test.
J'ai deplacé une machine dans l'UO.
j'ai deplacé le user dans l'UO.
j'ai créé une strategie de sécurité propre à cet UO.
J'ai ajouté la machine et le user concernés dans les elements ayant le
droit
d'executer la gpo.

A partir de là tout devrait donc s'appliquer totalement ?
hors si les paramètres que je choisis de préciser pour la mise à jour du
windows update sont bien pris en compte, il n'en ai rien pour mes choix
concernant les changements de mots de passe. (exemple, j'ai demandé à ce
qu'un mot de passe soit valide 2jours maximum et que le systeme se
rappelle
des 12derniers)

Là ou c'est cohérent, c'est que quand je lance une simulation, j'obtiens
bien les infos relatives à la stratégie de windows update, mais les champs
relatifs au changement de mot de passe n'apparaissent pas :

ci joint la copie de la bete :
______________
Gestion des stratégies de groupe
Données recueillies le : 17/03/2006 14:04:39

Résumé
Résumé de la configuration ordinateur
Général
Nom de l'ordinateur XXXXXXXXXXX
Conteneur ordinateur XX.XXXX.XXX/Saint_Cloud/Users/Test_SUS
Domaine XX.XXXXX.XX
Site (Aucun)
Traitement de liaison réseau lente Non

Objets de stratégie de groupe
Objets GPO appliqués
Nom Emplacement de la liaison Révision
Default Domain Policy XX.XXXXX.XX AD (3124), volume système (3124)
Stratégie_de_groupe_SUS XX.XXXXX.XX/Saint_Cloud/Users/Test_SUS AD (5,
volume
système (5

Refusé (GPO)
Nom Emplacement de la liaison Raison du refus
Aucun(e)

État du composant
Nom de composant État
Infrastructure de stratégie de groupe Opération réussie
EFS recovery Succès (aucune donnée)
Registre Opération réussie
Security Opération réussie

Résumé de la configuration utilisateur
Général
Nom d'utilisateur XXXXXInstall
Conteneur utilisateur XX.XXXXX.XX/Saint_Cloud/Users/Test_SUS
Domaine XX.XXXXX.XX
Traitement de liaison réseau lente Non
Traitement en boucle Non

Objets de stratégie de groupe
Objets GPO appliqués
Nom Emplacement de la liaison Révision
Default Domain Policy XX.XXXXX.XX AD (2), volume système (2)
Stratégie_de_groupe_SUS X.XXXXX.fr/Saint_Cloud/Users/Test_SUS AD (, volume
système (

Refusé (GPO)
Nom Emplacement de la liaison Raison du refus
Aucun(e)

Adhésion simulée au groupe de sécurité

État du composant
Nom de composant État
Infrastructure de stratégie de groupe Opération réussie
Scripts Opération réussie

Configuration ordinateur
Paramètres Windows
Paramètres de sécurité
Stratégie locale/Stratégie d'audit
Stratégie Paramètre OSG gagnant
Auditer la gestion des comptes Opération réussie Default Domain Policy
Auditer l'accès au service d'annuaire Opération réussie Default Domain
Policy
Auditer les événements de connexion Opération réussie Default Domain
Policy
Auditer les événements système Opération réussie Default Domain Policy
Auditer les modifications de stratégie Opération réussie Default Domain
Policy

Stratégies locales/Attribution des droits utilisateur
Stratégie Paramètre OSG gagnant
Accéder à cet ordinateur à partir du réseau Utilisateurs, Tout le monde,
Opérateurs de sauvegarde, XXXXXContrôleurs de domaine, Administrateurs
Default Domain Policy
Agir en tant que partie du système d'exploitation Default Domain Policy
Ajouter des stations de travail au domaine Administrateurs Default Domain
Policy
Arrêter le système Administrateurs, XXXXXUtilisa. du domaine, Opérateurs
de
sauvegarde, SERVICE LOCAL, SERVICE RÉSEAU Default Domain Policy
Augmenter la priorité de planification Administrateurs Default Domain
Policy
Autoriser que l'on fasse confiance aux comptes ordinateur et utilisateur
pour la délégation Administrateurs Default Domain Policy
Changer les quotas de mémoire d'un processus Administrateurs,
XXXXXIIS_WPG,
XXXXXIWAM_PDFSRV02, SERVICE LOCAL, SERVICE RÉSEAU Default Domain Policy
Charger et décharger des pilotes de périphériques XXXXXUtilisa. du
domaine,
Administrateurs Default Domain Policy
Créer des objets partagés permanents Default Domain Policy
Créer un fichier d'échange Administrateurs Default Domain Policy
Créer un objet-jeton Default Domain Policy
Déboguer des programmes Administrateurs Default Domain Policy
Forcer l'arrêt à partir d'un système distant XXXXXAdmins du domaine
Stratégie_de_groupe_SUS
Générer des audits de sécurité SERVICE RÉSEAU, SERVICE LOCAL,
Administrateurs Default Domain Policy
Gérer le journal d'audit et de sécurité Administrateurs Default Domain
Policy
Modifier les valeurs d'env. de microprogrammation Administrateurs Default
Domain Policy
Modifier l'heure système SERVICE LOCAL, Opérateurs de serveur,
Administrateurs Default Domain Policy
Optimiser les performances système Administrateurs Default Domain Policy
Optimiser un processus unique Administrateurs Default Domain Policy
Outrepasser le contrôle de défilement Administrateurs, Opérateurs de
sauvegarde, Tout le monde, Utilisateurs Default Domain Policy
Ouvrir une session en tant que service Administrateurs, IIS_WPG, SERVICE
LOCAL, SERVICE RÉSEAU Default Domain Policy
Ouvrir une session en tant que tâche SERVICE LOCAL, Administrateurs
Default
Domain Policy
Permettre l'ouverture d'une session locale Utilisateurs, Opérateurs
d'impression, Opérateurs de serveur, Opérateurs de sauvegarde, Opérateurs
de
compte, XXXXXTsInternetUser, Administrateurs Default Domain Policy
Prendre possession des fichiers ou d'autres objets Administrateurs Default
Domain Policy
Remplacer un jeton niveau de processus SERVICE RÉSEAU, SERVICE LOCAL,
IIS_WPG Default Domain Policy
Restaurer des fichiers et des répertoires Opérateurs de serveur,
Opérateurs
de sauvegarde, Administrateurs Default Domain Policy
Retirer l'ordinateur de la station d'accueil Utilisateurs, Tout le monde,
Administrateurs Default Domain Policy
Sauvegarder des fichiers et des répertoires Opérateurs de serveur,
Opérateurs de sauvegarde, Administrateurs Default Domain Policy
Synchroniser les données de l'annuaire Active Directory SYSTEM, SERVICE
RÉSEAU, SERVICE LOCAL, Administrateurs Default Domain Policy
Verrouiller des pages en mémoire Default Domain Policy

Stratégies locales/Options de sécurité
Accès réseau
Stratégie Paramètre OSG gagnant
Accès réseau : ne pas autoriser l'énumération anonyme des comptes et
partages SAM Désactivé Default Domain Policy

Client Réseau Microsoft
Stratégie Paramètre OSG gagnant
Client réseau Microsoft : communications signées numériquement (lorsque le
serveur l'accepte) Activé Default Domain Policy
Client réseau Microsoft : communications signées numériquement (toujours)
Désactivé Default Domain Policy
Client réseau Microsoft : envoyer un mot de passe non crypté aux serveurs
SMB tierce partie Désactivé Default Domain Policy

Membre du domaine
Stratégie Paramètre OSG gagnant
Membre de domaine : crypter numériquement les données des canaux sécurisés
(lorsque cela est possible) Activé Default Domain Policy
Membre de domaine : nécessite une clé de session forte (Windows 2000 ou
ultérieur) Désactivé Default Domain Policy
Membre de domaine : signer numériquement les données des canaux sécurisés
(lorsque cela est possible) Activé Default Domain Policy

Ouverture de session interactive
Stratégie Paramètre OSG gagnant
Ouverture de session interactive : prévenir l'utilisateur qu'il doit
changer
son mot de passe avant qu'il n'expire 14 derniers jours Default Domain
Policy
Ouvertures de sessions interactives : nombre d'ouvertures de sessions
précédentes réalisées en utilisant le cache (lorsqu'aucun contrôleur de
domaine n'est disponible) 10 Ouvertures de session Default Domain Policy

Périphériques
Stratégie Paramètre OSG gagnant
Périphériques : autoriser l'accès au CD-ROM uniquement aux utilisateurs
ayant ouvert une session localement Désactivé Default Domain Policy
Périphériques : empêcher les utilisateurs d'installer des pilotes
d'imprimante Désactivé Default Domain Policy

Serveur Réseau Microsoft
Stratégie Paramètre OSG gagnant
Serveur réseau Microsoft : communications signées numériquement (lorsque
le
serveur l'accepte) Désactivé Default Domain Policy

Autre
Stratégie Paramètre OSG gagnant
Membre de domaine : crypter ou signer numériquement les données des canaux
sécurisés (toujours) Désactivé Default Domain Policy
Ouverture de session interactive : ne pas afficher le dernier nom
d'utilisateur Désactivé Default Domain Policy
Ouverture de session interactive : ne pas demander la combinaison de
touches
Ctrl+Alt+Suppr. Désactivé Default Domain Policy
Périphériques : ne permettre l'accès aux disquettes qu'aux utilisateurs
connectés localement Désactivé Default Domain Policy
Sécurité réseau : niveau d'authentification Lan Manager Envoyer les
réponses
LM et NTLM Default Domain Policy
Serveur réseau Microsoft : communications signées numériquement (toujours)
Désactivé Default Domain Policy

Groupes restreints
Grouper Membres OSG gagnant
Utilisateurs Utilisateurs authentifiés, INTERACTIF Default Domain Policy

Services système
Avertissement (Mode de démarrage : Automatique)
OSG gagnant Default Domain Policy
AutorisationsType Nom Autorisation
Autoriser BUILTINAdministrateurs Contrôle total
Autoriser AUTORITE NTSYSTEM Contrôle total
Autoriser AUTORITE NTINTERACTIF Lecture
AuditType Nom Accès
Échec Tout le monde Contrôle total

Journal des événements (Mode de démarrage : Automatique)
OSG gagnant Default Domain Policy
AutorisationsType Nom Autorisation
Autoriser BUILTINAdministrateurs Contrôle total
Autoriser AUTORITE NTSYSTEM Contrôle total
Autoriser AUTORITE NTINTERACTIF Lecture
AuditType Nom Accès
Échec Tout le monde Contrôle total

Affichage des messages (Mode de démarrage : Automatique)
OSG gagnant Default Domain Policy
Autorisations
Aucune autorisation spécifiéeAudit
Pas d'audit spécifié
Système de fichiers
%SystemDrive%Program FilesAntivirus TRENDPCCSRV
OSG gagnant Default Domain Policy
Configurer ce fichier ou ce dossier, puis : propager les autorisations
pouvant être héritées à tous les sous-dossiers et les fichiersPropriétaire
AutorisationsType Nom Autorisation Appliquer à
Autoriser XXXXXIUSR_SERVEUR01 Lecture et exécution, Écriture Ce dossier,
les sous-dossiers et les fichiers
Permettre aux autorisations héritées du parent de se propager à cet objet
et
aux objets enfants Activé
Audit
Pas d'audit spécifié
%SystemDrive%Program FilesAntivirus TRENDPCCSRVTEMP
OSG gagnant Default Domain Policy
Configurer ce fichier ou ce dossier, puis : propager les autorisations
pouvant être héritées à tous les sous-dossiers et les fichiersPropriétaire
AutorisationsType Nom Autorisation Appliquer à
Autoriser XXXXXIUSR_SERVEUR01 Contrôle total Ce dossier, les
sous-dossiers
et les fichiers
Permettre aux autorisations héritées du parent de se propager à cet objet
et
aux objets enfants Activé
Audit
Pas d'audit spécifié
Stratégies de clé publique/Paramètres d'inscription automatique
Stratégie Paramètre OSG gagnant
Inscrire les certificats automatiquement Activé [Paramètres par défaut]
Renouveler les certificats expirés, mettre à jour les certificats en
attente, et supprimer les certificats révoqués Désactivé
Mettre à jour les certificats qui utilisent les modèles de certificats
Désactivé


Stratégies de clé publique/Système de fichiers de cryptage
Propriétés
OSG gagnant [Paramètres par défaut]
Stratégie Paramètre
Autorise les utilisateurs à crypter les données avec EFS (Encrypting File
System) Activé

Certificats
Émise à Délivré par Date d'expiration Rôles prévus OSG gagnant
Administrateur Administrateur 19/04/2004 09:51:34 Récupération de fichier
Default Domain Policy

Pour obtenir plus d'informations sur les paramètres, exécutez l'Éditeur
d'objet de stratégies de groupe.
Stratégies de clé publique/Autorités de certification de racine de
confiance
Propriétés
OSG gagnant [Paramètres par défaut]
Stratégie Paramètre
Autoriser les utilisateurs à sélectionner de nouvelles autorités de
certification racine à approuver Activé
Les ordinateurs clients peuvent faire confiance aux magasins de
certificats
suivants Autorités de certification racine tierce partie et autorités de
certification racine de l'entreprise
Pour effectuer une authentification basée sur les certificats
d'utilisateurs
et d'ordinateurs, les autorités de certification doivent correspondre aux
critères suivants Inscription dans Active Directory uniquement

Modèles d'administration
Composants Windows/Windows Update
Stratégie Paramètre OSG gagnant
Autoriser les non-administrateurs à recevoir les notifications de mise à
jour Activé Stratégie_de_groupe_SUS
Autoriser l'installation immédiate des mises à jour automatiques Activé
Stratégie_de_groupe_SUS
Configuration des mises à jour automatiques Activé Stratégie_de_groupe_SUS
Configuration de la mise à jour automatique : 3 - Télécharger, et notifier
pour installer
Les paramètres suivants ne sont nécessaires et ne
s'appliquent que si l'option 4 est sélectionnée.
Jour de l'installation planifiée : 0 - Tous les jours
Heure de l'installation planifiée : 10:00

Stratégie Paramètre OSG gagnant
Fréquence de détection des mises à jour automatiques Activé
Stratégie_de_groupe_SUS
Vérifier la présence de mise à jour à
l'intervalle suivant (heures) : 1

Stratégie Paramètre OSG gagnant
Pas de redémarrage planifié des installations planifiées des mises à jour
automatiques Désactivé Stratégie_de_groupe_SUS
Replanifier les installations planifiées des mises à jour automatiques
Activé Stratégie_de_groupe_SUS
Attendre après le démarrage
Du système (minutes) : 7

Stratégie Paramètre OSG gagnant
Spécifier l'emplacement intranet du service de Mise à jour Microsoft
Activé
Stratégie_de_groupe_SUS
Configurer le service intranet de Mise à jour pour la détection des mises
à
jour : http://pdfsrv03
Configurer le serveur intranet de statistiques : http://pdfsrv03
(par exemple : http://IntranetUpd01)


Configuration utilisateur
Paramètres Windows
Scripts
Ouvrir la session
Nom Paramètres Dernière exécution OSG gagnant
toto.bat Stratégie_de_groupe_SUS



Avatar
Bouclier
merci


Bonjour,

Ceci est parfaitement normal !

Les stratégies de mot de passe s'appliquent au niveau du domaine, pas d'une
OU

--
Cordialement,
Michaël

MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com

Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc


"Bouclier" a écrit dans le message de
news:
bonjour,

je teste les stratégie de sécurité d'UO en ce moment. (sous 2003, non R2)

J'ai créé un UO pour ce test.
J'ai deplacé une machine dans l'UO.
j'ai deplacé le user dans l'UO.
j'ai créé une strategie de sécurité propre à cet UO.
J'ai ajouté la machine et le user concernés dans les elements ayant le
droit
d'executer la gpo.

A partir de là tout devrait donc s'appliquer totalement ?
hors si les paramètres que je choisis de préciser pour la mise à jour du
windows update sont bien pris en compte, il n'en ai rien pour mes choix
concernant les changements de mots de passe. (exemple, j'ai demandé à ce
qu'un mot de passe soit valide 2jours maximum et que le systeme se
rappelle
des 12derniers)

Là ou c'est cohérent, c'est que quand je lance une simulation, j'obtiens
bien les infos relatives à la stratégie de windows update, mais les champs
relatifs au changement de mot de passe n'apparaissent pas :

ci joint la copie de la bete :
______________
Gestion des stratégies de groupe
Données recueillies le : 17/03/2006 14:04:39

Résumé
Résumé de la configuration ordinateur
Général
Nom de l'ordinateur XXXXXXXXXXX
Conteneur ordinateur XX.XXXX.XXX/Saint_Cloud/Users/Test_SUS
Domaine XX.XXXXX.XX
Site (Aucun)
Traitement de liaison réseau lente Non

Objets de stratégie de groupe
Objets GPO appliqués
Nom Emplacement de la liaison Révision
Default Domain Policy XX.XXXXX.XX AD (3124), volume système (3124)
Stratégie_de_groupe_SUS XX.XXXXX.XX/Saint_Cloud/Users/Test_SUS AD (5,
volume
système (5

Refusé (GPO)
Nom Emplacement de la liaison Raison du refus
Aucun(e)

État du composant
Nom de composant État
Infrastructure de stratégie de groupe Opération réussie
EFS recovery Succès (aucune donnée)
Registre Opération réussie
Security Opération réussie

Résumé de la configuration utilisateur
Général
Nom d'utilisateur XXXXXInstall
Conteneur utilisateur XX.XXXXX.XX/Saint_Cloud/Users/Test_SUS
Domaine XX.XXXXX.XX
Traitement de liaison réseau lente Non
Traitement en boucle Non

Objets de stratégie de groupe
Objets GPO appliqués
Nom Emplacement de la liaison Révision
Default Domain Policy XX.XXXXX.XX AD (2), volume système (2)
Stratégie_de_groupe_SUS X.XXXXX.fr/Saint_Cloud/Users/Test_SUS AD (, volume
système (

Refusé (GPO)
Nom Emplacement de la liaison Raison du refus
Aucun(e)

Adhésion simulée au groupe de sécurité

État du composant
Nom de composant État
Infrastructure de stratégie de groupe Opération réussie
Scripts Opération réussie

Configuration ordinateur
Paramètres Windows
Paramètres de sécurité
Stratégie locale/Stratégie d'audit
Stratégie Paramètre OSG gagnant
Auditer la gestion des comptes Opération réussie Default Domain Policy
Auditer l'accès au service d'annuaire Opération réussie Default Domain
Policy
Auditer les événements de connexion Opération réussie Default Domain
Policy
Auditer les événements système Opération réussie Default Domain Policy
Auditer les modifications de stratégie Opération réussie Default Domain
Policy

Stratégies locales/Attribution des droits utilisateur
Stratégie Paramètre OSG gagnant
Accéder à cet ordinateur à partir du réseau Utilisateurs, Tout le monde,
Opérateurs de sauvegarde, XXXXXContrôleurs de domaine, Administrateurs
Default Domain Policy
Agir en tant que partie du système d'exploitation Default Domain Policy
Ajouter des stations de travail au domaine Administrateurs Default Domain
Policy
Arrêter le système Administrateurs, XXXXXUtilisa. du domaine, Opérateurs
de
sauvegarde, SERVICE LOCAL, SERVICE RÉSEAU Default Domain Policy
Augmenter la priorité de planification Administrateurs Default Domain
Policy
Autoriser que l'on fasse confiance aux comptes ordinateur et utilisateur
pour la délégation Administrateurs Default Domain Policy
Changer les quotas de mémoire d'un processus Administrateurs,
XXXXXIIS_WPG,
XXXXXIWAM_PDFSRV02, SERVICE LOCAL, SERVICE RÉSEAU Default Domain Policy
Charger et décharger des pilotes de périphériques XXXXXUtilisa. du
domaine,
Administrateurs Default Domain Policy
Créer des objets partagés permanents Default Domain Policy
Créer un fichier d'échange Administrateurs Default Domain Policy
Créer un objet-jeton Default Domain Policy
Déboguer des programmes Administrateurs Default Domain Policy
Forcer l'arrêt à partir d'un système distant XXXXXAdmins du domaine
Stratégie_de_groupe_SUS
Générer des audits de sécurité SERVICE RÉSEAU, SERVICE LOCAL,
Administrateurs Default Domain Policy
Gérer le journal d'audit et de sécurité Administrateurs Default Domain
Policy
Modifier les valeurs d'env. de microprogrammation Administrateurs Default
Domain Policy
Modifier l'heure système SERVICE LOCAL, Opérateurs de serveur,
Administrateurs Default Domain Policy
Optimiser les performances système Administrateurs Default Domain Policy
Optimiser un processus unique Administrateurs Default Domain Policy
Outrepasser le contrôle de défilement Administrateurs, Opérateurs de
sauvegarde, Tout le monde, Utilisateurs Default Domain Policy
Ouvrir une session en tant que service Administrateurs, IIS_WPG, SERVICE
LOCAL, SERVICE RÉSEAU Default Domain Policy
Ouvrir une session en tant que tâche SERVICE LOCAL, Administrateurs
Default
Domain Policy
Permettre l'ouverture d'une session locale Utilisateurs, Opérateurs
d'impression, Opérateurs de serveur, Opérateurs de sauvegarde, Opérateurs
de
compte, XXXXXTsInternetUser, Administrateurs Default Domain Policy
Prendre possession des fichiers ou d'autres objets Administrateurs Default
Domain Policy
Remplacer un jeton niveau de processus SERVICE RÉSEAU, SERVICE LOCAL,
IIS_WPG Default Domain Policy
Restaurer des fichiers et des répertoires Opérateurs de serveur,
Opérateurs
de sauvegarde, Administrateurs Default Domain Policy
Retirer l'ordinateur de la station d'accueil Utilisateurs, Tout le monde,
Administrateurs Default Domain Policy
Sauvegarder des fichiers et des répertoires Opérateurs de serveur,
Opérateurs de sauvegarde, Administrateurs Default Domain Policy
Synchroniser les données de l'annuaire Active Directory SYSTEM, SERVICE
RÉSEAU, SERVICE LOCAL, Administrateurs Default Domain Policy
Verrouiller des pages en mémoire Default Domain Policy

Stratégies locales/Options de sécurité
Accès réseau
Stratégie Paramètre OSG gagnant
Accès réseau : ne pas autoriser l'énumération anonyme des comptes et
partages SAM Désactivé Default Domain Policy

Client Réseau Microsoft
Stratégie Paramètre OSG gagnant
Client réseau Microsoft : communications signées numériquement (lorsque le
serveur l'accepte) Activé Default Domain Policy
Client réseau Microsoft : communications signées numériquement (toujours)
Désactivé Default Domain Policy
Client réseau Microsoft : envoyer un mot de passe non crypté aux serveurs
SMB tierce partie Désactivé Default Domain Policy

Membre du domaine
Stratégie Paramètre OSG gagnant
Membre de domaine : crypter numériquement les données des canaux sécurisés
(lorsque cela est possible) Activé Default Domain Policy
Membre de domaine : nécessite une clé de session forte (Windows 2000 ou
ultérieur) Désactivé Default Domain Policy
Membre de domaine : signer numériquement les données des canaux sécurisés
(lorsque cela est possible) Activé Default Domain Policy

Ouverture de session interactive
Stratégie Paramètre OSG gagnant
Ouverture de session interactive : prévenir l'utilisateur qu'il doit
changer
son mot de passe avant qu'il n'expire 14 derniers jours Default Domain
Policy
Ouvertures de sessions interactives : nombre d'ouvertures de sessions
précédentes réalisées en utilisant le cache (lorsqu'aucun contrôleur de
domaine n'est disponible) 10 Ouvertures de session Default Domain Policy

Périphériques
Stratégie Paramètre OSG gagnant
Périphériques : autoriser l'accès au CD-ROM uniquement aux utilisateurs
ayant ouvert une session localement Désactivé Default Domain Policy
Périphériques : empêcher les utilisateurs d'installer des pilotes
d'imprimante Désactivé Default Domain Policy

Serveur Réseau Microsoft
Stratégie Paramètre OSG gagnant
Serveur réseau Microsoft : communications signées numériquement (lorsque
le
serveur l'accepte) Désactivé Default Domain Policy

Autre
Stratégie Paramètre OSG gagnant
Membre de domaine : crypter ou signer numériquement les données des canaux
sécurisés (toujours) Désactivé Default Domain Policy
Ouverture de session interactive : ne pas afficher le dernier nom
d'utilisateur Désactivé Default Domain Policy
Ouverture de session interactive : ne pas demander la combinaison de
touches
Ctrl+Alt+Suppr. Désactivé Default Domain Policy
Périphériques : ne permettre l'accès aux disquettes qu'aux utilisateurs
connectés localement Désactivé Default Domain Policy
Sécurité réseau : niveau d'authentification Lan Manager Envoyer les
réponses
LM et NTLM Default Domain Policy
Serveur réseau Microsoft : communications signées numériquement (toujours)
Désactivé Default Domain Policy

Groupes restreints
Grouper Membres OSG gagnant
Utilisateurs Utilisateurs authentifiés, INTERACTIF Default Domain Policy

Services système
Avertissement (Mode de démarrage : Automatique)
OSG gagnant Default Domain Policy
AutorisationsType Nom Autorisation
Autoriser BUILTINAdministrateurs Contrôle total
Autoriser AUTORITE NTSYSTEM Contrôle total
Autoriser AUTORITE NTINTERACTIF Lecture
AuditType Nom Accès
Échec Tout le monde Contrôle total

Journal des événements (Mode de démarrage : Automatique)
OSG gagnant Default Domain Policy
AutorisationsType Nom Autorisation
Autoriser BUILTINAdministrateurs Contrôle total
Autoriser AUTORITE NTSYSTEM Contrôle total
Autoriser AUTORITE NTINTERACTIF Lecture
AuditType Nom Accès
Échec Tout le monde Contrôle total

Affichage des messages (Mode de démarrage : Automatique)
OSG gagnant Default Domain Policy
Autorisations
Aucune autorisation spécifiéeAudit
Pas d'audit spécifié
Système de fichiers
%SystemDrive%Program FilesAntivirus TRENDPCCSRV
OSG gagnant Default Domain Policy
Configurer ce fichier ou ce dossier, puis : propager les autorisations
pouvant être héritées à tous les sous-dossiers et les fichiersPropriétaire
AutorisationsType Nom Autorisation Appliquer à
Autoriser XXXXXIUSR_SERVEUR01 Lecture et exécution, Écriture Ce dossier,
les sous-dossiers et les fichiers
Permettre aux autorisations héritées du parent de se propager à cet objet
et
aux objets enfants Activé
Audit
Pas d'audit spécifié
%SystemDrive%Program FilesAntivirus TRENDPCCSRVTEMP
OSG gagnant Default Domain Policy
Configurer ce fichier ou ce dossier, puis : propager les autorisations
pouvant être héritées à tous les sous-dossiers et les fichiersPropriétaire
AutorisationsType Nom Autorisation Appliquer à
Autoriser XXXXXIUSR_SERVEUR01 Contrôle total Ce dossier, les
sous-dossiers
et les fichiers
Permettre aux autorisations héritées du parent de se propager à cet objet
et
aux objets enfants Activé
Audit
Pas d'audit spécifié




Avatar
sylvain le vilain \(gpomasters.com\)
je rajouterai qu'il existe un soft qui permet d'etendre la gestion de la
politique de mot de passe au niveau d'une UO. Ce soft s'appel Specops
Password Policy - plus de details sur www.gpomasters.com

sylvain


"Michaël THIBAUT [MVP]" a écrit dans
le message de news: enJ%
Bonjour,

Ceci est parfaitement normal !

Les stratégies de mot de passe s'appliquent au niveau du domaine, pas
d'une OU

--
Cordialement,
Michaël

MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com

Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc


"Bouclier" a écrit dans le message de
news:
bonjour,

je teste les stratégie de sécurité d'UO en ce moment. (sous 2003, non R2)

J'ai créé un UO pour ce test.
J'ai deplacé une machine dans l'UO.
j'ai deplacé le user dans l'UO.
j'ai créé une strategie de sécurité propre à cet UO.
J'ai ajouté la machine et le user concernés dans les elements ayant le
droit
d'executer la gpo.

A partir de là tout devrait donc s'appliquer totalement ?
hors si les paramètres que je choisis de préciser pour la mise à jour du
windows update sont bien pris en compte, il n'en ai rien pour mes choix
concernant les changements de mots de passe. (exemple, j'ai demandé à ce
qu'un mot de passe soit valide 2jours maximum et que le systeme se
rappelle
des 12derniers)

Là ou c'est cohérent, c'est que quand je lance une simulation, j'obtiens
bien les infos relatives à la stratégie de windows update, mais les
champs
relatifs au changement de mot de passe n'apparaissent pas :

ci joint la copie de la bete :
______________
Gestion des stratégies de groupe
Données recueillies le : 17/03/2006 14:04:39

Résumé
Résumé de la configuration ordinateur
Général
Nom de l'ordinateur XXXXXXXXXXX
Conteneur ordinateur XX.XXXX.XXX/Saint_Cloud/Users/Test_SUS
Domaine XX.XXXXX.XX
Site (Aucun)
Traitement de liaison réseau lente Non

Objets de stratégie de groupe
Objets GPO appliqués
Nom Emplacement de la liaison Révision
Default Domain Policy XX.XXXXX.XX AD (3124), volume système (3124)
Stratégie_de_groupe_SUS XX.XXXXX.XX/Saint_Cloud/Users/Test_SUS AD (5,
volume
système (5

Refusé (GPO)
Nom Emplacement de la liaison Raison du refus
Aucun(e)

État du composant
Nom de composant État
Infrastructure de stratégie de groupe Opération réussie
EFS recovery Succès (aucune donnée)
Registre Opération réussie
Security Opération réussie

Résumé de la configuration utilisateur
Général
Nom d'utilisateur XXXXXInstall
Conteneur utilisateur XX.XXXXX.XX/Saint_Cloud/Users/Test_SUS
Domaine XX.XXXXX.XX
Traitement de liaison réseau lente Non
Traitement en boucle Non

Objets de stratégie de groupe
Objets GPO appliqués
Nom Emplacement de la liaison Révision
Default Domain Policy XX.XXXXX.XX AD (2), volume système (2)
Stratégie_de_groupe_SUS X.XXXXX.fr/Saint_Cloud/Users/Test_SUS AD (,
volume
système (

Refusé (GPO)
Nom Emplacement de la liaison Raison du refus
Aucun(e)

Adhésion simulée au groupe de sécurité

État du composant
Nom de composant État
Infrastructure de stratégie de groupe Opération réussie
Scripts Opération réussie

Configuration ordinateur
Paramètres Windows
Paramètres de sécurité
Stratégie locale/Stratégie d'audit
Stratégie Paramètre OSG gagnant
Auditer la gestion des comptes Opération réussie Default Domain Policy
Auditer l'accès au service d'annuaire Opération réussie Default Domain
Policy
Auditer les événements de connexion Opération réussie Default Domain
Policy
Auditer les événements système Opération réussie Default Domain Policy
Auditer les modifications de stratégie Opération réussie Default Domain
Policy

Stratégies locales/Attribution des droits utilisateur
Stratégie Paramètre OSG gagnant
Accéder à cet ordinateur à partir du réseau Utilisateurs, Tout le monde,
Opérateurs de sauvegarde, XXXXXContrôleurs de domaine, Administrateurs
Default Domain Policy
Agir en tant que partie du système d'exploitation Default Domain Policy
Ajouter des stations de travail au domaine Administrateurs Default Domain
Policy
Arrêter le système Administrateurs, XXXXXUtilisa. du domaine, Opérateurs
de
sauvegarde, SERVICE LOCAL, SERVICE RÉSEAU Default Domain Policy
Augmenter la priorité de planification Administrateurs Default Domain
Policy
Autoriser que l'on fasse confiance aux comptes ordinateur et utilisateur
pour la délégation Administrateurs Default Domain Policy
Changer les quotas de mémoire d'un processus Administrateurs,
XXXXXIIS_WPG,
XXXXXIWAM_PDFSRV02, SERVICE LOCAL, SERVICE RÉSEAU Default Domain Policy
Charger et décharger des pilotes de périphériques XXXXXUtilisa. du
domaine,
Administrateurs Default Domain Policy
Créer des objets partagés permanents Default Domain Policy
Créer un fichier d'échange Administrateurs Default Domain Policy
Créer un objet-jeton Default Domain Policy
Déboguer des programmes Administrateurs Default Domain Policy
Forcer l'arrêt à partir d'un système distant XXXXXAdmins du domaine
Stratégie_de_groupe_SUS
Générer des audits de sécurité SERVICE RÉSEAU, SERVICE LOCAL,
Administrateurs Default Domain Policy
Gérer le journal d'audit et de sécurité Administrateurs Default Domain
Policy
Modifier les valeurs d'env. de microprogrammation Administrateurs Default
Domain Policy
Modifier l'heure système SERVICE LOCAL, Opérateurs de serveur,
Administrateurs Default Domain Policy
Optimiser les performances système Administrateurs Default Domain Policy
Optimiser un processus unique Administrateurs Default Domain Policy
Outrepasser le contrôle de défilement Administrateurs, Opérateurs de
sauvegarde, Tout le monde, Utilisateurs Default Domain Policy
Ouvrir une session en tant que service Administrateurs, IIS_WPG, SERVICE
LOCAL, SERVICE RÉSEAU Default Domain Policy
Ouvrir une session en tant que tâche SERVICE LOCAL, Administrateurs
Default
Domain Policy
Permettre l'ouverture d'une session locale Utilisateurs, Opérateurs
d'impression, Opérateurs de serveur, Opérateurs de sauvegarde, Opérateurs
de
compte, XXXXXTsInternetUser, Administrateurs Default Domain Policy
Prendre possession des fichiers ou d'autres objets Administrateurs
Default
Domain Policy
Remplacer un jeton niveau de processus SERVICE RÉSEAU, SERVICE LOCAL,
IIS_WPG Default Domain Policy
Restaurer des fichiers et des répertoires Opérateurs de serveur,
Opérateurs
de sauvegarde, Administrateurs Default Domain Policy
Retirer l'ordinateur de la station d'accueil Utilisateurs, Tout le monde,
Administrateurs Default Domain Policy
Sauvegarder des fichiers et des répertoires Opérateurs de serveur,
Opérateurs de sauvegarde, Administrateurs Default Domain Policy
Synchroniser les données de l'annuaire Active Directory SYSTEM, SERVICE
RÉSEAU, SERVICE LOCAL, Administrateurs Default Domain Policy
Verrouiller des pages en mémoire Default Domain Policy

Stratégies locales/Options de sécurité
Accès réseau
Stratégie Paramètre OSG gagnant
Accès réseau : ne pas autoriser l'énumération anonyme des comptes et
partages SAM Désactivé Default Domain Policy

Client Réseau Microsoft
Stratégie Paramètre OSG gagnant
Client réseau Microsoft : communications signées numériquement (lorsque
le
serveur l'accepte) Activé Default Domain Policy
Client réseau Microsoft : communications signées numériquement (toujours)
Désactivé Default Domain Policy
Client réseau Microsoft : envoyer un mot de passe non crypté aux serveurs
SMB tierce partie Désactivé Default Domain Policy

Membre du domaine
Stratégie Paramètre OSG gagnant
Membre de domaine : crypter numériquement les données des canaux
sécurisés
(lorsque cela est possible) Activé Default Domain Policy
Membre de domaine : nécessite une clé de session forte (Windows 2000 ou
ultérieur) Désactivé Default Domain Policy
Membre de domaine : signer numériquement les données des canaux sécurisés
(lorsque cela est possible) Activé Default Domain Policy

Ouverture de session interactive
Stratégie Paramètre OSG gagnant
Ouverture de session interactive : prévenir l'utilisateur qu'il doit
changer
son mot de passe avant qu'il n'expire 14 derniers jours Default Domain
Policy
Ouvertures de sessions interactives : nombre d'ouvertures de sessions
précédentes réalisées en utilisant le cache (lorsqu'aucun contrôleur de
domaine n'est disponible) 10 Ouvertures de session Default Domain Policy

Périphériques
Stratégie Paramètre OSG gagnant
Périphériques : autoriser l'accès au CD-ROM uniquement aux utilisateurs
ayant ouvert une session localement Désactivé Default Domain Policy
Périphériques : empêcher les utilisateurs d'installer des pilotes
d'imprimante Désactivé Default Domain Policy

Serveur Réseau Microsoft
Stratégie Paramètre OSG gagnant
Serveur réseau Microsoft : communications signées numériquement (lorsque
le
serveur l'accepte) Désactivé Default Domain Policy

Autre
Stratégie Paramètre OSG gagnant
Membre de domaine : crypter ou signer numériquement les données des
canaux
sécurisés (toujours) Désactivé Default Domain Policy
Ouverture de session interactive : ne pas afficher le dernier nom
d'utilisateur Désactivé Default Domain Policy
Ouverture de session interactive : ne pas demander la combinaison de
touches
Ctrl+Alt+Suppr. Désactivé Default Domain Policy
Périphériques : ne permettre l'accès aux disquettes qu'aux utilisateurs
connectés localement Désactivé Default Domain Policy
Sécurité réseau : niveau d'authentification Lan Manager Envoyer les
réponses
LM et NTLM Default Domain Policy
Serveur réseau Microsoft : communications signées numériquement
(toujours)
Désactivé Default Domain Policy

Groupes restreints
Grouper Membres OSG gagnant
Utilisateurs Utilisateurs authentifiés, INTERACTIF Default Domain Policy

Services système
Avertissement (Mode de démarrage : Automatique)
OSG gagnant Default Domain Policy
AutorisationsType Nom Autorisation
Autoriser BUILTINAdministrateurs Contrôle total
Autoriser AUTORITE NTSYSTEM Contrôle total
Autoriser AUTORITE NTINTERACTIF Lecture
AuditType Nom Accès
Échec Tout le monde Contrôle total

Journal des événements (Mode de démarrage : Automatique)
OSG gagnant Default Domain Policy
AutorisationsType Nom Autorisation
Autoriser BUILTINAdministrateurs Contrôle total
Autoriser AUTORITE NTSYSTEM Contrôle total
Autoriser AUTORITE NTINTERACTIF Lecture
AuditType Nom Accès
Échec Tout le monde Contrôle total

Affichage des messages (Mode de démarrage : Automatique)
OSG gagnant Default Domain Policy
Autorisations
Aucune autorisation spécifiéeAudit
Pas d'audit spécifié
Système de fichiers
%SystemDrive%Program FilesAntivirus TRENDPCCSRV
OSG gagnant Default Domain Policy
Configurer ce fichier ou ce dossier, puis : propager les autorisations
pouvant être héritées à tous les sous-dossiers et les
fichiersPropriétaire
AutorisationsType Nom Autorisation Appliquer à
Autoriser XXXXXIUSR_SERVEUR01 Lecture et exécution, Écriture Ce dossier,
les sous-dossiers et les fichiers
Permettre aux autorisations héritées du parent de se propager à cet objet
et
aux objets enfants Activé
Audit
Pas d'audit spécifié
%SystemDrive%Program FilesAntivirus TRENDPCCSRVTEMP
OSG gagnant Default Domain Policy
Configurer ce fichier ou ce dossier, puis : propager les autorisations
pouvant être héritées à tous les sous-dossiers et les
fichiersPropriétaire
AutorisationsType Nom Autorisation Appliquer à
Autoriser XXXXXIUSR_SERVEUR01 Contrôle total Ce dossier, les
sous-dossiers
et les fichiers
Permettre aux autorisations héritées du parent de se propager à cet objet
et
aux objets enfants Activé
Audit
Pas d'audit spécifié
Stratégies de clé publique/Paramètres d'inscription automatique
Stratégie Paramètre OSG gagnant
Inscrire les certificats automatiquement Activé [Paramètres par défaut]
Renouveler les certificats expirés, mettre à jour les certificats en
attente, et supprimer les certificats révoqués Désactivé
Mettre à jour les certificats qui utilisent les modèles de certificats
Désactivé


Stratégies de clé publique/Système de fichiers de cryptage
Propriétés
OSG gagnant [Paramètres par défaut]
Stratégie Paramètre
Autorise les utilisateurs à crypter les données avec EFS (Encrypting File
System) Activé

Certificats
Émise à Délivré par Date d'expiration Rôles prévus OSG gagnant
Administrateur Administrateur 19/04/2004 09:51:34 Récupération de fichier
Default Domain Policy

Pour obtenir plus d'informations sur les paramètres, exécutez l'Éditeur
d'objet de stratégies de groupe.
Stratégies de clé publique/Autorités de certification de racine de
confiance
Propriétés
OSG gagnant [Paramètres par défaut]
Stratégie Paramètre
Autoriser les utilisateurs à sélectionner de nouvelles autorités de
certification racine à approuver Activé
Les ordinateurs clients peuvent faire confiance aux magasins de
certificats
suivants Autorités de certification racine tierce partie et autorités de
certification racine de l'entreprise
Pour effectuer une authentification basée sur les certificats
d'utilisateurs
et d'ordinateurs, les autorités de certification doivent correspondre aux
critères suivants Inscription dans Active Directory uniquement

Modèles d'administration
Composants Windows/Windows Update
Stratégie Paramètre OSG gagnant
Autoriser les non-administrateurs à recevoir les notifications de mise à
jour Activé Stratégie_de_groupe_SUS
Autoriser l'installation immédiate des mises à jour automatiques Activé
Stratégie_de_groupe_SUS
Configuration des mises à jour automatiques Activé
Stratégie_de_groupe_SUS
Configuration de la mise à jour automatique : 3 - Télécharger, et
notifier
pour installer
Les paramètres suivants ne sont nécessaires et ne
s'appliquent que si l'option 4 est sélectionnée.
Jour de l'installation planifiée : 0 - Tous les jours
Heure de l'installation planifiée : 10:00

Stratégie Paramètre OSG gagnant
Fréquence de détection des mises à jour automatiques Activé
Stratégie_de_groupe_SUS
Vérifier la présence de mise à jour à
l'intervalle suivant (heures) : 1

Stratégie Paramètre OSG gagnant
Pas de redémarrage planifié des installations planifiées des mises à jour
automatiques Désactivé Stratégie_de_groupe_SUS
Replanifier les installations planifiées des mises à jour automatiques
Activé Stratégie_de_groupe_SUS
Attendre après le démarrage
Du système (minutes) : 7

Stratégie Paramètre OSG gagnant
Spécifier l'emplacement intranet du service de Mise à jour Microsoft
Activé
Stratégie_de_groupe_SUS
Configurer le service intranet de Mise à jour pour la détection des mises
à
jour : http://pdfsrv03
Configurer le serveur intranet de statistiques : http://pdfsrv03
(par exemple : http://IntranetUpd01)


Configuration utilisateur
Paramètres Windows
Scripts
Ouvrir la session
Nom Paramètres Dernière exécution OSG gagnant
toto.bat Stratégie_de_groupe_SUS