Académique Documents
Professionnel Documents
Culture Documents
Les informations contenues dans ce document reprsentent le point de vue de Microsoft Corporation au sujet des thmes traits la date de publication. Comme Microsoft doit s'adapter aux conditions changeantes du march, ces informations ne doivent pas tre considres comme un engagement de la part de Microsoft. En outre, Microsoft ne peut garantir l'exactitude des informations prsentes aprs la date de publication. Ce document est fourni uniquement titre indicatif. MICROSOFT EXCLUT TOUTE GARANTIE, EXPRESSE, IMPLICITE OU LGALE QUANT AUX INFORMATIONS CONTENUES DANS LE PRSENT DOCUMENT. Les informations contenues dans ce document, y compris les URL et autres rfrences des sites Web Internet, peuvent changer sans pravis. Sauf mention contraire, les entreprises, organisations, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et vnements mentionns ici en exemple sont fictifs. Toute ressemblance avec des entreprises, organisations, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux ou vnements existant ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la rglementation relative aux droits d'auteur applicable dans son pays. Aucune partie de ce document ne peut tre reproduite, stocke ou introduite dans un systme de restitution, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique, mcanique, photocopie, enregistrement ou autre) sans la permission expresse et crite de Microsoft Corporation. Microsoft peut dtenir des brevets, avoir dpos des demandes denregistrement de brevets ou tre titulaire de marques, droits dauteur ou autres droits de proprit intellectuelle portant sur tout ou partie des lments qui font lobjet du prsent document. Sauf stipulation expresse contraire dun contrat de licence crit de Microsoft, la fourniture de ce document na pas pour effet de vous concder une licence sur ces brevets, marques, droits dauteur ou autres droits de proprit intellectuelle. 2007 Microsoft Corporation. Tous droits rservs. Microsoft, Active Directory, ActiveX, Internet Explorer, MSDN, SteadyState, Systems Management Server, Visual Basic, Windows, Windows Live, Windows Server et Windows Vista sont des marques commerciales ou des marques dposes de Microsoft Corporation aux tats-Unis et/ou dans d'autres pays. "Les noms de produits et de socits rels mentionns dans la prsente documentation sont des marques de leurs propritaires respectifs.
Sommaire
Sommaire ............................................................................................. 4 Prsentation de Windows SteadyState ................................................ 7 Contenu de ce manuel............................................................................................... 7 Installation de Windows SteadyState ................................................ 10 Confirmation de la configuration requise ........................................................ 10 Configuration du systme pour une utilisation partage .......................... 12 Excution des tches de prinstallation ............................................................ 13
Rinstallation de Windows XP ....................................................................................................... 14
Installation de Windows SteadyState ................................................................ 16 Utilisation de Windows SteadyState .................................................................. 18 Cration de comptes d'utilisateurs et configuration des paramtres utilisateur ........................................................................................... 21 Terminologie relative aux utilisateurs d'un ordinateur partag .............. 21 Cration d'un compte d'utilisateur partag .................................................... 22 Configuration du profil utilisateur partag...................................................... 24 Paramtres de profil utilisateur partag et restrictions .............................. 25 Gnral ........................................................................................................................... 25 Restrictions dans Windows .................................................................................... 28 Restrictions des fonctionnalits ........................................................................... 30 Programmes bloqus ............................................................................................... 31 Test des profils utilisateurs partags.................................................................. 32 Configuration des restrictions de l'ordinateur .................................. 33 Paramtres de confidentialit ............................................................................... 33 Paramtres de scurit ............................................................................................ 34 Autres paramtres ..................................................................................................... 35 Planification des mises jour des logiciels ........................................ 37 Planification des mises jour ................................................................................ 37
Tlchargement et installation automatique des mises jour ........................................... 37 Tlchargement et installation manuelle des mises jour .................................................. 39
Protection du disque dur ................................................................... 44 Protection des disques Windows dsactive.................................................. 44 Protection des disques Windows active ......................................................... 45
Installation et activation de la Protection des disques Windows ....................................... 45 Effacement du cache ......................................................................................................................... 47 Modification de la taille du fichier cache ................................................................................... 48
Supprimer toutes les modifications au redmarrage ............................................................. 49 Conserver temporairement les modifications........................................................................... 50 Conserver toutes les modifications en permanence .............................................................. 50
Exportation et importation de profils utilisateurs ............................ 51 Exportation de profils utilisateurs........................................................................ 51 Importation de profils utilisateurs ....................................................................... 52 Scnarios pour administrateurs expriments ................................. 53
Redirection du dossier Mes Documents..................................................................................... 53 Cration de profils utilisateurs permanents sur une partition distincte ........................... 56 Cration de profils utilisateurs permanents pour tous les comptes.................................. 58
Utilisation de l'API de Protection des disques Windows .................. 80 Paramtres de ligne de commande.................................................................... 80
DisableWDPAndReboot ................................................................................................................... 80 EnableWDPAndReboot .................................................................................................................... 81
Proprits ...................................................................................................................... 81
CurrentMode ....................................................................................................................................... 81 CurrentStatus....................................................................................................................................... 81 PersistDateTime .................................................................................................................................. 82 chantillon de code ........................................................................................................................... 82
Confidentialit et scurit renforces pour les utilisateurs .............. 84 Configuration des restrictions de l'ordinateur ............................................... 84
Paramtres de confidentialit ........................................................................................................ 84 Paramtres de scurit ..................................................................................................................... 84
Ces fonctionnalits font de Windows SteadyState un outil idal dans les situations o un ordinateur est utilis par plusieurs personnes, comme dans les coles, bibliothques publiques, centres communautaires et cybercafs. Protection des ordinateurs partags Les environnements d'ordinateurs partags prsentent des problmes bien spcifiques. Les logiciels Microsoft sont conus pour offrir aux utilisateurs une grande souplesse d'utilisation, avec la possibilit de personnaliser leur exprience et de modifier les paramtres de leur ordinateur. Toutefois, dans un environnement d'ordinateur partag, les administrateurs ne souhaitent gnralement pas permettre l'accs toutes les fonctionnalits de personnalisation et de modification, pour viter que les modifications apportes n'affectent le fonctionnement de l'ordinateur et l'exprience des autres utilisateurs. Sur un ordinateur partag, la confidentialit et l'uniformit sont des lments importants de maintenance et d'utilisation du systme. Windows SteadyState aide l'administrateur protger les ordinateurs partags contre les modifications non souhaites.
Contenu de ce manuel
Le manuel Windows SteadyState est conu pour vous aider installer Windows SteadyState, configurer et personnaliser les profils utilisateurs et les paramtres de l'ordinateur et utiliser d'autres fonctions Windows SteadyState rapidement et efficacement. Cette section dcrit brivement les tches d'installation et de configuration, ainsi que les tapes de procdure fournies dans ce manuel.
Remarque : Les commentaires sur ce manuel ou Windows SteadyState peuvent tre entrs sur le site Web de la communaut Windows SteadyState l'adresse suivante : http://go.microsoft.com/fwlink/?LinkId=77957.
Installation de Windows SteadyState Prparez votre ordinateur pour un environnement d'utilisateur partag en suivant cette procdure d'installation de Windows SteadyState tape par tape. Sont galement incluses les tches de prinstallation qui permettent d'installer Windows SteadyState plus efficacement. Cration de comptes d'utilisateurs et configuration des paramtres utilisateur Avec Windows SteadyState, vous pouvez appliquer chaque compte d'utilisateur diffrentes restrictions sur les fonctionnalits et le systme afin que les utilisateurs disposent d'un accs limit aux outils systme de Windows, ainsi qu'aux autres services, applications, fichiers et donnes. Configuration des restrictions de l'ordinateur L'option Configurer les restrictions de l'ordinateur vous aide configurer les restrictions relatives la confidentialit et la scurit qui s'appliquent tout l'ordinateur et dfinir une stratgie utilisateur uniforme. Planification des mises jour des logiciels L'option Planifier les mises jour des logiciels de Windows SteadyState permet de tlcharger et d'installer des mises jour. Lorsque cette option est associe l'outil Protection des disques Windows, vous tes certain que les mises jour importantes sont appliques l'ordinateur et qu'elles ne sont pas supprimes. Protection du disque dur La Protection des disques Windows a pour but d'empcher le systme d'exploitation Windows et les fichiers programme d'tre modifis dfinitivement. Dans le cadre de leurs activits habituelles, il se peut que les utilisateurs effectuent des oprations qui affectent le disque dur. La Protection des disques Windows ignore les modifications apportes par l'utilisateur au cours d'une session et restaure l'tat initial de la partition Windows lors du redmarrage de l'ordinateur.
Exportation et importation de profils utilisateurs Les fonctionnalits Exporter et Importer vous permettent d'exporter des profils utilisateurs partags sur un ordinateur et de les importer sur tout ordinateur quip de Windows SteadyState. Scnarios pour administrateurs expriments Les scnarios avancs proposs dans cette section sont destins aux administrateurs Windows SteadyState disposant dune exprience et d'une expertise techniques avances dans la configuration et l'administration des systmes d'exploitation Microsoft Windows XP et Windows Vista.
Mmoire
Disque dur
Systme d'exploitation
10
Composant Autre
Configuration requise Systme de fichiers NTFS Les scripts Windows et le service WMI (Windows Management Instrumentation) doivent fonctionner correctement. Accs au niveau administrateur
Autre
La configuration requise et les fonctionnalits des produits peuvent varier en fonction de la configuration de votre systme et de votre systme d'exploitation.
Windows Vista Edition Familiale Basique : 1 Go de RAM ou plus recommand ; 512 Mo minimum.
Windows Vista Starter : 512 Mo de RAM ou plus recommand ; 384 Mo minimum. Disque dur 1,5 Go d'espace disque disponible sans l'outil Protection des disques Windows ou 4 Go d'espace disque disponible avec l'outil Protection des disques Windows. Windows Vista Professionnel, Windows Vista dition Intgrale, Windows Vista dition Familiale Basique, Windows Vista dition Familiale Premium et Windows Vista Starter ou Windows Vista avec SP1 bta
Systme d'exploitation
11
Composant Autre
Configuration requise Systme de fichiers NTFS Les scripts Windows et le service WMI (Windows Management Instrumentation) doivent fonctionner correctement. Accs au niveau administrateur
Autre
La configuration requise et les fonctionnalits des produits peuvent varier en fonction de la configuration de votre systme et de votre systme d'exploitation.
Accessibilit Windows SteadyState ne dispose d'aucune configuration d'accessibilit spcifique. Toutes les configurations d'accessibilit offertes par la version
2007 Microsoft Corporation.
12
de Windows excute sur un ordinateur sont disponibles lors de l'utilisation de Windows SteadyState.
Remarque : nous vous conseillons de restreindre l'accs des utilisateurs partags au Panneau de configuration dans Windows pour viter qu'ils ne modifient les paramtres systme de l'ordinateur. Notez qu'une fois cette restriction recommande configure, les utilisateurs peuvent toujours modifier les paramtres d'accessibilit de Windows.
Important : vous devez imprativement suivre cette tape avant de configurer la Protection des disques Windows.
Tlchargez et installez les dernires mises jour critiques partir du site Web Windows Update l'adresse suivante : http://go.microsoft.com/fwlink/?LinkId=83424. Tlchargez et installez un antivirus jour. Recherchez la prsence ventuelle de virus et de logiciels indsirables ou malveillants. Dfinissez le mot de passe Administrateur. Installez l'ensemble des fonctions, services et programmes que vous souhaitez mettre la disposition de vos utilisateurs
13
(recommand). Pour plus d'informations sur la configuration de votre ordinateur en accs partag avant d'installer Windows SteadyState, voir la section Configuration du systme pour une utilisation partage dans ce manuel.
Rinstallation de Windows XP
Si votre ordinateur a t utilis et reconfigur par un grand nombre d'utilisateurs, comme cela est souvent le cas des ordinateurs partags, il est recommand de rinstaller Windows XP avant d'installer Windows SteadyState. Motifs de rinstallation de Windows XP : Le reformatage et la rinstallation constituent les meilleures procdures de cration d'un environnement scuris, de renforcement de la confidentialit de l'utilisateur et d'amlioration des performances et de la stabilit. La rinstallation de Windows XP supprime automatiquement la partition distincte que vous avez pu crer lors de l'installation initiale de Shared Computer Toolkit. Cette procdure vous permet de crer une nouvelle partition du disque. L'existence d'une partition de disque distincte est utile avec l'outil Protection des disques Windows, car vous pouvez y stocker des fichiers et des profils utilisateurs permanents que vous souhaitez conserver lorsque le cache de la Protection des disques Windows est effac. Pour plus d'informations sur l'enregistrement des donnes et des fichiers, voir la section Cration de profils utilisateurs permanents sur une partition distincte dans ce manuel.
Pour plus d'informations sur la rinstallation de Windows XP, voir l'article 896528 de la Base de connaissances Microsoft l'adresse suivante : http://go.microsoft.com/fwlink/?LinkId=87558.
1.
14
a.
Dans le menu Dmarrer, pointez sur Programmes, puis cliquez sur Microsoft Shared Computer Toolkit pour ouvrir Shared Computer Toolkit.
b. Cliquez sur Protection des disques Windows. c. Cliquez sur Maintenir dsactiv.
d. Redmarrez l'ordinateur lorsque vous y tes invit. 2. 3. Supprimez les restrictions places sur les profils utilisateurs partags si ncessaire. Dsinstallez Shared Computer Toolkit : a. Dans le menu Dmarrer, pointez sur Programmes, cliquez sur Microsoft Shared Computer Toolkit puis cliquez sur Dsinstaller Shared Computer Toolkit. Le message suivant s'affiche : La suppression de Shared Computer Toolkit entranera le redmarrage automatique de l'ordinateur . b. Cliquez sur Supprimer pour commencer le processus de dsinstallation. c. Cliquez sur Terminer pour redmarrer votre ordinateur. 4. Supprimez le service UPHClean (User Profile Hive Cleanup) : a. Dans le menu Dmarrer, pointez sur Paramtres, cliquez sur Panneau de configuration, cliquez sur Ajout/Suppression de programmes, puis cliquez sur Supprimer le programme.
b. Slectionnez Service UPHClean (User Profile Hive Cleanup), puis cliquez sur Supprimer. Le message suivant s'affiche : Voulez-vous vraiment supprimer le service UPHClean (User Profile Hive Cleanup) de l'ordinateur ? c. Cliquez sur Oui pour dmarrer le programme de dsinstallation de Shared Computer Toolkit. Ce dernier s'excute en cinq secondes environ.
5.
Shared Computer Toolkit vous a oblig crer une partition distincte pour la Protection des disques Windows. Vous pouvez dsormais rcuprer cet espace disque et supprimer la partition, car ces derniers ne sont pas ncessaires pour Windows SteadyState.
15
Maintenant que Shared Computer Toolkit est dsinstall, vous pouvez procder l'installation de Windows SteadyState.
5.
16
2.
3.
17
Des informations supplmentaires sur les paramtres et options disponibles dans la bote de dialogue Windows SteadyState principale sont fournies dans le tableau 3.
Conseil :pour plus d'informations et de support, le volet de navigation de gauche de Windows SteadyState comporte des liens vers plusieurs ressources, comme le site Web de la communaut Windows SteadyState.
18
Figure 1 : Paramtres et options de la bote de dialogue Windows SteadyState principale. Tableau 3 : Description des paramtres et options de Windows SteadyState
Paramtre ou option 1. Configurer les restrictions de l'ordinateur Description Dfinir des restrictions globales de l'ordinateur au niveau du systme. Slectionnez les options de confidentialit, les restrictions de scurit et d'autres paramtres pour l'ordinateur partag. Planifier les mises jour logicielles et antivirus automatiquement ou manuellement. Ajouter des scripts personnaliss qui s'excutent intervalles planifis. Activer ou dsactiver la Protection des disques Windows. Dfinir les niveaux de protection pour le lecteur systme.
19
Description Slectionner les profils utilisateurs, configurer Windows et les restrictions de fonctionnalits, et bloquer les programmes pour un profil slectionn. Verrouiller ou dverrouiller un profil utilisateur. Dfinir le minuteur de session, modifier les mots de passe, changer l'image du profil utilisateur et supprimer un profil utilisateur. Ajouter un utilisateur, crer un nom d'utilisateur, dfinir les mots de passe et slectionner o le profil utilisateur est stock. Slectionner une image pour identifier le profil utilisateur. Exporter un profil utilisateur existant. Enregistrer un profil utilisateur afin qu'il puisse tre dplac sur un autre ordinateur partag. Importer un profil utilisateur existant. Importer un profil utilisateur export sur un ordinateur partag sur lequel est install Windows SteadyState. Rechercher des liens vers d'autres ressources pour Windows SteadyState.
5. Ajouter un utilisateur
6. Exporter l'utilisateur
7. Importer l'utilisateur
8. Support supplmentaire
20
Utilisateur
La figure 2 indique les diffrences entre un profil utilisateur dans Windows et un profil utilisateur partag dans Windows SteadyState. Lors
2007 Microsoft Corporation.
21
de la cration de profils utilisateurs dans Windows SteadyState, les paramtres et restrictions sont appliqus tous les utilisateurs ayant accs au compte d'utilisateur partag sur l'ordinateur.
Figure 2 : Profils utilisateurs dans Windows XP et profils utilisateurs partags dans Windows SteadyState
22
de configuration, telles que les paramtres du Panneau de configuration, sans avoir accs aux outils et applications d'administration plus avancs ; des adultes qui peuvent accder la plupart des applications installes sur l'ordinateur sans avoir le droit de modifier les paramtres de configuration ; des enfants qui ne peuvent disposer que d'un accs restreint Internet.
3. Tapez un mot de passe dans les zones Mot de passe et Confirmez le mot de passe.
Remarque : les conditions requises en matire de stratgie de mot de passe (y compris les mots de passe correctement forms) sous Windows s'appliquent galement Windows SteadyState. Pour plus d'informations sur la cration de mots de passe, voir : http://go.microsoft.com/fwlink/?LinkId=83432.
4. Dans la liste droulante Emplacement de l'utilisateur, slectionnez le lecteur sur lequel enregistrer le profil utilisateur partag associ ce compte d'utilisateur partag. Les fichiers et rpertoires associs aux profils utilisateurs sont gnralement enregistrs sur le lecteur systme sur lequel Windows est install. 5. Dans la zone Image, slectionnez une image associer au profil utilisateur partag, puis cliquez sur OK. En rgle gnrale, vous enregistrez le profil utilisateur partag sur le lecteur d'installation de Windows. Toutefois, si vous avez activ l'outil Protection des disques Windows et que vous souhaitez qu'un utilisateur puisse enregistrer des informations sur l'ordinateur afin d'y accder ultrieurement, vous pouvez enregistrer le profil utilisateur en tant que profil dverrouill sur un lecteur diffrent. L'outil Protection des disques Windows protge uniquement la partition contenant les fichiers du systme d'exploitation. L'enregistrement d'un profil utilisateur dverrouill sur un lecteur diffrent empchera l'outil Protection des disques Windows de supprimer les donnes de l'utilisateur.
23
Pour plus d'informations sur les profils utilisateurs permanents et les donnes, voir la section Cration de profils utilisateurs permanents sur une partition distincte dans ce manuel. Pour plus d'informations sur les profils utilisateurs verrouills, voir la section Verrouiller un profil dans ce manuel.
Si vous crez un compte d'utilisateur Adulte, vous pouvez dfinir l'option Restrictions basses, les adultes faisant gnralement preuve de connaissances techniques plus avances. En outre, ils doivent bnficier d'un accs aux ressources systme. Avec le compte d'utilisateur Adolescent, utilisez l'option Restrictions moyennes afin de limiter l'accs des adolescents aux paramtres systme tout en leur permettant d'accder aux ressources de l'ordinateur. Enfin, utilisez l'option Restrictions leves avec le compte d'utilisateur Enfant pour protger les fichiers systme de l'ordinateur partag et limiter l'accs aux ressources externes.
24
Gnral
Dans l'onglet Gnral, vous pouvez verrouiller le profil utilisateur et dfinir les limites des minuteurs de session. La figure 3 prsente l'onglet Gnral de la bote de dialogue Paramtres utilisateur.
25
Vous trouverez dans le tableau 5 ci-dessous des informations supplmentaires sur les paramtres utilisateur et les options disponibles dans la bote de dialogue Paramtres utilisateur . Tableau 5 : Description des paramtres utilisateur et des options de la bote de dialogue Paramtres utilisateur
Paramtres et options 1. Utilisateur Description Afficher le nom et l'image de l'utilisateur slectionn. Verrouiller ou dverrouiller un profil utilisateur. Dfinir les minuteurs de session, modifier les mots de passe ou l'image d'un profil utilisateur et supprimer un profil utilisateur slectionn. 3. Restrictions dans Windows Dfinir le niveau de restrictions dans Windows : Restrictions leves, moyennes, basses, personnalises ou pas de restrictions Dfinir les restrictions du menu Dmarrer et du systme gnral. Afficher ou masquer les lecteurs. 4. Restrictions des fonctionnalits Dfinir le niveau de restrictions des fonctionnalits : Restrictions leves, moyennes, basses, personnalises ou pas de restrictions Dfinir les restrictions Internet Explorer et Microsoft Office, spcifiques l'utilisateur. Entrer les adresses de la page d'accueil et des sites Web spcifiques que l'utilisateur est autoris voir. 5. Programmes bloqus Slectionner des programmes pour empcher l'utilisateur d'accder aux programmes actuellement bloqus et de les afficher. Rechercher un programme non rpertori pour l'ajouter l'ordinateur. 6. Support supplmentaire Rechercher des liens vers d'autres ressources pour Windows SteadyState.
2. Gnral
Verrouiller un profil Dans l'onglet Gnral, sous Paramtres gnraux, slectionnez la case cocher Verrouiller le profil pour interdire l'utilisateur d'effectuer
26
2007 Microsoft Corporation.
des modifications irrversibles pour supprimer les fichiers cache ou l'historique du systme cr par l'utilisateur lorsque celui-ci ferme la session active. Nous vous conseillons de limiter les modifications irrversibles effectues par les utilisateurs sur un ordinateur partag en verrouillant le profil utilisateur. Il convient de faire la distinction entre le verrouillage du profil utilisateur et l'outil Protection des disques Windows. Le tableau 6 prsente quelques similarits et diffrences entre le verrouillage du profil et l'outil Protection des disques Windows. Tableau 6 : Comparaison d'un profil verrouill et de l'option Protection des disques Windows
Fonctionnalit Profil verrouill Similarits Supprime les modifications apportes par l'utilisateur au profil utilisateur. Les fichiers cache, l'historique global et les paramtres d'environnement sont effacs ou leur tat par dfaut est restaur. Supprime les modifications apportes par l'utilisateur au profil, la partition systme et aux fichiers ou donnes que l'utilisateur a enregistrs sur l'ordinateur partag ou sur une autre partition ou un autre lecteur. Diffrences L'tat par dfaut du profil utilisateur, configur par l'administrateur, est restaur. Application la fermeture de session du compte d'utilisateur
Si vous slectionnez l'option Supprimer toutes les modifications au redmarrage, l'tat initial de la partition systme configur par l'administrateur est restaur.
Remarque :si un profil utilisateur est verrouill, l'outil Protection des disques Windows en restaure la configuration par dfaut, que le profil verrouill soit enregistr sur la partition systme protge ou sur un autre lecteur.
27
Pour plus d'informations sur les profils utilisateurs permanents et les donnes, voir la section Cration de profils utilisateurs permanents sur une partition distincte dans ce manuel. Minuteurs de session Dans l'onglet Gnral, sous Minuteurs de session, vous pouvez configurer les minuteurs de session pour dfinir la dure d'une session ouverte ou la dure d'inactivit prcdant la fin d'une session. Slectionnez la case cocher correspondant au minuteur de session configurer, puis entrez le nombre de minutes souhait dans la zone de texte. Compte rebours de session Dans l'onglet Gnral, sous Minuteurs de session, vous pouvez slectionner la case cocher Toujours afficher le compte rebours de session pour configurer une notification qui doit avertir les utilisateurs que leur session est sur le point de se terminer. La notification reste affiche l'cran tout au long de la session. Elle peut tre dplace, mais ne peut tre ni rduite, ni dsactive par l'utilisateur. La figure 4 prsente la notification du minuteur de session.
Figure 4 : Notification du minuteur de session. Redmarrer l'ordinateur aprs fermeture de la session Dans l'onglet Gnral, sous Minuteurs de session, vous pouvez slectionner la case cocher Redmarrer l'ordinateur aprs fermeture de la session pour configurer l'ordinateur de sorte qu'il redmarre automatiquement la fin de chaque session utilisateur.
28
L'onglet Restrictions dans Windows comprend les lments suivants : Niveaux de restrictions Types de restrictions
Figure 5 : Onglet Restrictions dans Windows. Lorsque vous slectionnez l'option Restrictions leves, Restrictions moyennes ou Restrictions basses dans l'onglet Restrictions dans Windows, les types de restrictions correspondants sont automatiquement slectionns. Lorsque vous slectionnez Restrictions personnalises, vous pouvez slectionner vous-mme les types de restrictions appliquer. Les restrictions dans Windows comprennent : Restrictions du menu Dmarrer : ces restrictions vous aident empcher l'apparition des diverses fonctionnalits et icnes de programmes dans le menu Dmarrer. Certaines options, telles que Invite de commandes ou Explorateur Windows apparatront dans le menu Accessoires, mais l'utilisateur recevra un message d'erreur s'il slectionne ces lments et que vous les avez restreints. Restrictions gnrales : outre celles rpertories dans le menu Dmarrer, Windows propose des programmes et fonctionnalits supplmentaires que vous ne souhaitez peut-tre pas proposer aux utilisateurs.
29
Masquer des lecteurs Dans l'onglet Restrictions dans Windows, sous Masquer les lecteurs, vous pouvez slectionner les lecteurs que l'utilisateur pourra voir dans Poste de travail. Vous pouvez slectionner l'option permettant de masquer tous les lecteurs, de tous les afficher ou de slectionner les lecteurs que vous ne souhaitez pas proposer l'utilisateur, y compris les priphriques comme les imprimantes ou les priphriques de stockage amovibles.
L'organisation de l'onglet Restrictions des fonctionnalits est identique celle de l'onglet Restrictions dans Windows, les options de niveaux de restrictions figurant sur la gauche et les catgories et options de restrictions dans la zone de liste figurant sur la droite. En choisissant un niveau de restrictions, vous slectionnez des options de la liste de restrictions figurant droite. Restrictions dans Internet Explorer L'option Restrictions dans Internet Explorer vous permet de dfinir des restrictions dans Internet Explorer pour supprimer des attributs et des options de menus auxquels vous ne souhaitez pas que les utilisateurs accdent. Par exemple, dans Internet Explorer, vous pouvez limiter l'accs par les utilisateurs d'un ordinateur partag au menu Favoris en slectionnant l'option de menu Supprimer les Favoris.
30
Restrictions dans Microsoft Office L'option Restrictions dans Microsoft Office vous permet de restreindre les fonctionnalits de Microsoft Office. Par exemple, vous pouvez restreindre l'utilisation des macros par les utilisateurs d'un ordinateur partag en slectionnant les options Dsactiver les touches de raccourci vers les macros et Dsactiver les macros. Ces restrictions sont disponibles sous Restrictions dans Microsoft Office dans l'onglet Restrictions des fonctionnalits. Page d'accueil Dans la zone Page d'accueil, vous pouvez taper l'adresse Web de la page d'accueil que vous souhaitez configurer pour le profil utilisateur partag. Il s'agit de la page d'accueil que l'utilisateur de l'ordinateur partag voit chaque fois qu'il ouvre Internet Explorer.
Remarque : dans la zone Page d'accueil, entrez le prfixe de protocole http: ou https: lorsque vous entrez l'adresse Web que vous souhaitez spcifier pour la page d'accueil du profil utilisateur partag.
Adresses Web autorises Si vous slectionnez l'option Interdire l'accs Internet (sauf aux sites Web ci-dessous) sous Restrictions dans Internet Explorer, vous pouvez taper l'adresse des sites Web disponibles pour le profil utilisateur dans la zone Adresses Web autorises. Pour entrer plusieurs adresses Web, sparez-les par un point-virgule, par exemple microsoft.com; msn.com.
Remarque : ne tapez pas le prfixe de protocole http: ou https: dans la zone Adresses Web autorises lorsque vous entrez les adresses Web que vous souhaitez rendre accessibles au profil utilisateur.
Vous trouverez davantage d'informations sur les paramtres de contrle parental et le filtrage avanc en consultant la page sur la protection des utilisateurs avec Windows Live OneCare l'adresse suivante : http://go.microsoft.com/fwlink/?LinkId=83433.
Programmes bloqus
Vous pouvez, dans l'onglet Bloquer les programmes, slectionner le logiciel dont vous souhaitez bloquer l'accs l'utilisateur. Pour bloquer un programme, slectionnez dans la liste de gauche les programmes que vous souhaitez bloquer puis cliquez sur Bloquer (entre les deux listes). Les lments slectionns apparaissent dans la liste
2007 Microsoft Corporation.
31
Bloquer les programmes sur la droite. Vous pouvez rechercher un programme en tapant son nom dans la zone Rechercher. Vous pouvez galement rechercher des programmes absents de la liste en cliquant sur Parcourir. Pour dbloquer un programme, slectionnez-le dans la liste Programmes bloqus, puis cliquez sur Supprimer. Pour dbloquer tous les programmes, cliquez sur Tout supprimer. Une fois que vous avez ajout les programmes bloquer, cliquez sur OK.
32
Cette section traite des restrictions de l'ordinateur disponibles dans la bote de dialogue Configurer les restrictions de l'ordinateur, notamment : Paramtres de confidentialit Paramtres de scurit Autres paramtres
Paramtres de confidentialit
Les paramtres de confidentialit vous aideront protger la confidentialit de tous les utilisateurs d'un ordinateur partag. Dans Windows SteadyState, les options Paramtres de confidentialit de la bote de dialogue Configurer les restrictions de l'ordinateur sont les suivantes : Ne pas afficher les noms d'utilisateur dans la bote de dialogue Ouvrir une session Windows : cette option garantit que la zone Nom d'utilisateur de la bote de dialogue Ouvrir une session Windows est vide lorsqu'un utilisateur ferme une session. Si elle n'est pas slectionne, le nom du dernier utilisateur ouvrir une session apparat dans la zone Nom d'utilisateur.
33
La slection de l'option Interdire aux profils utilisateur verrouills ou itinrants introuvables sur l'ordinateur d'ouvrir une session de la bote de dialogue Configurer les restrictions de l'ordinateur dans Windows SteadyState empche les utilisateurs qui ne disposent pas d'un profil existant sur l'ordinateur d'ouvrir une session. Ne pas mettre en mmoire cache des copies de profils utilisateur verrouills ou itinrants d'utilisateurs ayant dj ouvert une session sur cet ordinateur : cette option permet d'amliorer la confidentialit et d'conomiser de l'espace disque. Un profil utilisateur itinrant rside sur un systme en rseau. Windows SteadyState empche Windows d'enregistrer des profils utilisateurs itinrants sur l'ordinateur local, ce qui conomise de l'espace disque et empche les utilisateurs de l'ordinateur partag d'accder aux fichiers de profils qui contiennent des informations prives.
Paramtres de scurit
Les paramtres de scurit protgent l'ordinateur contre certaines oprations effectues par l'utilisateur. Parmi les options Paramtres de scurit de Windows SteadyState, on compte les suivantes : Supprimer le nom d'utilisateur de l'administrateur de l'cran d'accueil (appuyer deux fois sur Ctrl+Alt+Suppr pour se connecter aux comptes non rpertoris) : l'cran d'accueil Windows rpertorie tous les noms de comptes d'utilisateurs sur cet ordinateur. Cette option supprime le nom d'utilisateur Administrateur de la liste affiche sur cet cran. Pour ouvrir une session en tant qu'administrateur, vous devez appuyer deux fois sur Ctrl+Alt+Suppr afin d'afficher l'cran d'ouverture de session habituel.
Remarque : Lorsqu'un ordinateur Windows SteadyState est connect un rseau de domaines, ce paramtre n'est pas accessible.
Supprimer les options Arrter et Arrter l'ordinateur de la bote de dialogue Ouvrir une session Windows et de l'cran d'accueil : cette option empche l'utilisateur d'arrter l'ordinateur ou de le mettre hors tension partir de la bote de dialogue Ouvrir une session Windows et de l'cran d'accueil. Interdire Windows de crer et de stocker des mots de passe avec des valeurs de hachage de niveau LAN Manager : cette option permet de stocker les mots de passe en toute scurit en
2007 Microsoft Corporation.
34
dsactivant le mcanisme de chiffrement LanMan hash (LMHash) de chaque mot de passe. LMHash permet d'assurer la comptabilit descendante avec des systmes d'exploitation Windows antrieurs. Ne pas stocker les noms d'utilisateur et les mots de passe utiliss pour ouvrir une session sur Windows Live ID ou le domaine (ncessite le redmarrage de l'ordinateur) : cette option empche Windows d'enregistrer le compte Windows Live ID, ainsi que les informations d'identification de domaine des utilisateurs, et les force entrer ces informations chaque ouverture de session. Cette option amliore la confidentialit et empche les utilisateurs de se connecter l'aide des informations d'identification de ceux qui ont dj utilis l'ordinateur.
Remarque :si vous slectionnez cette option, vous devez redmarrer Windows pour l'activer.
Interdire aux utilisateurs de crer des dossiers et des fichiers sur le lecteur C:\ : cette option modifie la liste de contrle d'accs (ACL) la racine du lecteur systme pour empcher les utilisateurs de crer des fichiers et des dossiers. Interdire aux utilisateurs d'ouvrir des documents Microsoft Office depuis Internet Explorer : cette option permet aux applications Microsoft Office de reconnatre leurs propres documents afin que la restriction facultative sur les logiciels Microsoft Office fonctionne correctement. Interdire l'accs en criture sur des priphriques de stockage USB (ncessite le redmarrage de l'ordinateur) : cette option empche les utilisateurs d'enregistrer des fichiers ou des donnes sur des priphriques de stockage USB.
Autres paramtres
Windows SteadyState utilise l'cran d'accueil de Windows pour simplifier la procdure d'ouverture de session. Activer l'cran d'accueil : l'cran d'accueil de Windows simplifie la procdure d'ouverture de session pour les utilisateurs en affichant une liste de tous les noms d'utilisateurs sur cet ordinateur ds le dmarrage de Windows.
35
Remarque : lorsqu'un ordinateur Windows SteadyState est connect un rseau de domaines, ce paramtre n'est pas accessible.
36
37
Les mises jour Windows importantes. Logiciels anti-virus tiers. Pour consulter la liste des logiciels antivirus tiers, voir la section Mises jour des programmes de scurit de ce manuel. Mises jour fournies dans les scripts personnaliss. Pour plus d'informations sur l'utilisation des scripts personnaliss, voir la section Mises jour personnalises de ce manuel.
Toutes les mises jour ne peuvent pas tre installes automatiquement l'aide de Windows SteadyState. Nous vous recommandons de consulter priodiquement les mises jour disponibles sur Microsoft Update et de tlcharger et d'installer manuellement celles qui vous intressent. Pour plus d'informations, voir la section Installation manuelle des mises jour Windows de ce manuel. Les mises jour ne pouvant pas tre installes automatiquement par Windows SteadyState comprennent : Les mises jour des signatures de Windows Live OneCare Les mises jour conseilles Les mises jour facultatives Les mises jour de pilotes Les mises jour spciales ayant leur propre contrat de licence
Avant de configurer les mises jour automatiques, vous devez excuter les mises jour Windows manuellement afin d'effectuer l'enregistrement initial des composants Windows Update sur votre ordinateur. Si vous effectuez cette opration aprs avoir install Windows SteadyState, vous devez installer Windows Update manuellement. Pour plus d'informations, voir la section Installation manuelle des mises jour Windows de ce manuel.
Pour tlcharger et installer automatiquement des mises jour l'aide de Windows SteadyState
1. 2. Ouvrez une session en tant qu'administrateur Windows SteadyState. Dans la bote de dialogue principale de Windows SteadyState, sous Paramtres gnraux de l'ordinateur, cliquez sur Planifier les mises jour des logiciels. Sous Planifier les mises jour, slectionnez Utiliser Windows SteadyState pour tlcharger et installer automatiquement les mises jour. Slectionnez le jour et l'heure auxquels effectuer les mises jour.
3.
4.
Ls sessions utilisateur ouvertes sur l'ordinateur devant faire l'objet de mises jour planifies seront immdiatement fermes. Pendant
38
2007 Microsoft Corporation.
l'excution des mises jour planifies, seul l'administrateur ou les utilisateurs bnficiant de privilges d'administrateur peuvent ouvrir une session. Nous vous recommandons de ne pas ouvrir de session pendant l'excution des mises jour. Si vous ouvrez une session, vous ne pourrez pas modifier les configurations effectues avec Windows SteadyState avant la fin du processus de mise jour. Si l'intervention d'un administrateur est ncessaire au cours d'une mise jour automatique, la mise jour ne pourra pas tre mene terme. Certaines mises niveau d'anti-virus ncessitent par exemple une intervention pour accepter les termes d'un contrat de services ou d'un contrat de licence logicielle. Si l'installation de vos mises jour ne s'effectue pas normalement lors d'un changement de version de votre logiciel antivirus, vous devez effectuer la mise jour du logiciel manuellement afin de vous assurer de l'installation correcte de la nouvelle version. Aprs avoir slectionn les mises jour planifies de Windows SteadyState que vous souhaitez effectuer automatiquement, vous pouvez toujours effectuer une mise jour manuelle en : activant l'option Ne pas utiliser Windows SteadyState pour tlcharger et installer automatiquement les mises jour. tlchargeant et en installant les mises jour. Pour plus d'informations sur l'installation de mises jour manuelles, voir la section Tlchargement et installation manuelle des mises jour dans ce manuel. activant l'option Tlcharger et installer les mises jour automatiquement pour rtablir la planification.
Pour plus d'informations sur les logiciels tiers disponibles sur abonnement, consultez la documentation ou le site Web du produit relatif cette application.
39
manuellement des mises jour, sinon elles seront supprimes au prochain redmarrage de l'ordinateur. Voici quelques cas de figure pour lesquels vous pouvez souhaiter installer les mises jour manuellement : Installation spontane de mises jour. Installation d'une mise jour ncessitant une action de votre part, telle qu'une mise jour contenant un contrat de licence pour lequel vous devez en accepter les termes. Recherche de mises jour recommandes sur le site Web de Microsoft l'adresse suivante : http://go.microsoft.com/fwlink/?LinkId=83424. Microsoft propose frquemment des amliorations et des mises jour recommandes ne faisant pas partie des packages de mises jour critiques.
Attention : si la Protection des disques Windows est active et que l'option Supprimer toutes les modifications au redmarrage est slectionne, toutes les mises jour manuelles effectues pendant la session seront perdues.
5. Redmarrez l'ordinateur partag aprs avoir install une mise jour manuellement. 6. Pour renforcer la scurit de l'ordinateur partag, aprs avoir install manuellement une mise jour logicielle, activez l'option Supprimer toutes les modifications au redmarrage dans la bote de dialogue Protger le disque dur afin que les modifications supplmentaires apportes l'ordinateur partag ne soient pas enregistres. Effectuez les tapes suivantes chaque fois que vous devez mettre jour vos logiciels et programmes antivirus manuellement.
40
Mises jour des programmes de scurit Vous pourrez mettre jour votre programme de scurit automatiquement l'aide de Windows SteadyState, en utilisant l'une des deux mthodes suivantes : Planifiez la mise jour automatique du programme de scurit dtect par Windows SteadyState, tel qu'affich dans la zone Mises jour du programme de scurit. crivez un script personnalis pour appliquer les mises jour souhaites aux date et heure planifies pour les mises jour automatiques.
Vous pouvez procder automatiquement des mises jour de programmes de scurit dans le cadre de mises jour critiques si Windows SteadyState dtecte un antivirus ou un produit de scurit qu'il peut mettre jour. Au moment de la publication de ce manuel, Windows SteadyState dtecte et inclut les scripts de mise jour de plusieurs produits de scurit, dont :
41
Computer Associates eTrust 7.0 McAfee VirusScan Windows Defender TrendMicro 7.0
Cette fonctionnalit est compatible avec d'autres logiciels antivirus et produits de scurit. Si vous souhaitez utiliser un logiciel antivirus ou un produit de scurit autre que ceux rpertoris dans la liste, vous pouvez prparer un script de mise jour des signatures en suivant la procdure dcrite dans le manuel de votre antivirus. Les scripts de mise jour des signatures peuvent galement tre excuts manuellement. Pour plus d'informations sur l'installation manuelle des mises jour de signatures, voir la section Tlchargement et installation manuelle des mises jour dans ce manuel. Mises jour personnalises Pour installer des mises jour personnalises, correspondant par exemple aux logiciels spcialiss crs et grs par votre entreprise, vous devez ajouter un ou plusieurs scripts personnaliss aux mises jour planifies de Windows SteadyState. Windows SteadyState prend en charge les scripts aux formats de fichiers .exe, .vbs, .cmd et .bat. Windows SteadyState excutera les scripts personnaliss aprs avoir effectu les mises jour de Microsoft et de l'anti-virus.
3.
4. 5.
Avertissement : si l'ordinateur est quip du logiciel anti-virus McAfee, dsactivez le paramtre de blocage des scripts du logiciel McAfee avant l'excution de la mise
42
jour planifie. Pour plus d'informations, reportez-vous un guide de l'utilisateur de MacAfee. La dsactivation des paramtres de blocage des scripts au niveau de l'antivirus peut rendre Windows SteadyState vulnrable aux scripts de virus et aux logiciels indsirables ou malveillants. Pour mieux protger l'ordinateur partag contre l'installation de logiciels indsirables, vrifiez que l'option Protger le disque dur est active, slectionnez l'option Supprimer toutes les modifications au redmarrage et redmarrez l'ordinateur chaque jour.
43
44
installe et active, sa dsactivation entrane la suppression du fichier cache cr pendant l'installation. La dsactivation de la Protection des disques Windows dsinstalle normalement cette fonctionnalit de protection.
Pendant l'installation, la Protection des disques Windows calcule la taille de votre disque dur et cre un fichier cache dont la taille est gale 50 % (jusqu' 40 gigaoctets [Go]) de l'espace disque libre. Par exemple, si vous
2007 Microsoft Corporation.
45
avez un disque dur de 40 Go et que votre systme d'exploitation et vos programmes en utilisent 10 Go, vous disposez alors de 30 Go d'espace libre.
46
Figure 6 : Illustration du fichier cache lorsque la protection des disques Windows est active.
Effacement du cache
Lorsque la Protection des disques Windows est active, les modifications apportes au disque dur et aux fichiers programme sont effaces et le fichier cache est vid selon l'intervalle que vous dfinissez. Au fur et mesure que les utilisateurs travaillent sur l'ordinateur, le fichier cache accumule les modifications apportes au systme d'exploitation et aux fichiers programme. Si le fichier cache accumule des donnes occupant jusqu' 70 % de sa capacit, l'utilisateur reoit un avertissement. Lorsque l'utilisation de l'espace disque atteint environ 70 % de la capacit du fichier cache, l'utilisateur de l'ordinateur reoit un avertissement. Si cette personne continue de travailler sur l'ordinateur et que l'utilisation de l'espace disque atteint approximativement 80 % de la capacit du fichier cache, l'ordinateur redmarre et efface le cache.
2. 3. 4. 5. 6.
2007 Microsoft Corporation.
48
Remarque : La taille du fichier cache de la protection des disques Windows doit tre comprise entre 2 Go et 40 Go de l'espace total du disque dur.
6. 7.
Redmarrez l'ordinateur pour enregistrer les modifications du fichier cache sur le disque dur. Pour empcher qu'un autre utilisateur partag ne modifie le disque dur, assurez-vous que l'option Supprimer toutes les modifications au redmarrage est active dans la bote de dialogue Protger le disque dur.
49
50
3.
4.
51
2. 3. 4.
5.
6.
7.
Un message indiquant que le profil utilisateur partag a t correctement import s'affiche. Le nom d'utilisateur du profil utilisateur partag sera dsormais inclus dans les Paramtres utilisateur dans la bote de dialogue Windows SteadyState principale.
52
53
Si vous utilisez l'outil Protection des disques Windows et souhaitez que les utilisateurs puissent enregistrer des documents dans le mme dossier chaque fois qu'ils ouvrent une session avec leur profil utilisateur, vous pouvez rediriger le dossier Mes documents vers une partition distincte, un lecteur amovible, tel qu'un lecteur USB, ou un lecteur rseau. Si vous choisissez d'enregistrer les donnes sur une partition distincte, n'utilisez pas celle qui est protge par l'outil Protection des disques Windows. Avant de rediriger le dossier Mes documents vers un emplacement diffrent, assurez-vous que l'environnement Windows SteadyState est correctement configur pour la redirection des donnes utilisateur.
4. 5. 6.
2.
Si vous enregistrez les donnes utilisateur sur un lecteur USB, insrez-le dans le port USB de l'ordinateur partag.
54
3. 4. 5.
Cliquez sur Dmarrer, cliquez avec le bouton droit sur Mes documents, puis cliquez sur Proprits. Dans la bote de dialogue Proprits de Mes documents, cliquez sur Dplacer. Dans la bote de dialogue Slectionner une destination, slectionnez le lecteur sur lequel vous souhaitez enregistrer les donnes utilisateur, puis cliquez sur OK. Dans la bote de dialogue Proprits de Mes documents, cliquez sur OK. Dans la bote de dialogue Dplacer les documents, cliquez sur Oui pour dplacer les documents ou sur Non pour laisser les documents existants l'ancien emplacement. Dconnectez-vous du profil utilisateur, puis ouvrez une session en tant qu'administrateur de Windows SteadyState. Si vous avez dsactiv les restrictions utilisateur lorsque vous avez configur Windows SteadyState pour la redirection des donnes utilisateur, rinitialisez-les maintenant. Redmarrez l'ordinateur pour que l'outil Protection des disques Windows puisse enregistrer les modifications.
6. 7.
8.
9.
10. Ouvrez une session en tant qu'administrateur. 11. Cliquez sur Protection du disque dur, vrifiez que la Protection des disques Windows est active et que l'option Supprimer toutes les modifications au redmarrage est slectionne, puis cliquez sur OK.
2. 3. 4.
Cliquez sur Dmarrer, cliquez avec le bouton droit sur Documents, puis cliquez sur Proprits. Dans la bote de dialogue Proprits des documents, slectionnez l'onglet Emplacement, puis cliquez sur Dplacer. Dans la bote de dialogue Slectionner une destination, slectionnez le lecteur o enregistrer les donnes utilisateur, puis cliquez sur Slectionner un dossier.
55
5. 6.
Dans la bote de dialogue Proprits des documents, cliquez sur OK. Dans la bote de dialogue Dplacer le dossier, cliquez sur Oui pour dplacer les documents ou sur Non pour laisser les documents existants leur emplacement initial. Dconnectez-vous du profil utilisateur, puis ouvrez une session en tant qu'administrateur de Windows SteadyState. Si vous avez dsactiv les restrictions utilisateur lorsque vous avez configur Windows SteadyState pour la redirection des donnes utilisateur, rinitialisez-les maintenant. Redmarrez l'ordinateur pour que l'outil Protection des disques Windows puisse enregistrer les modifications. Ouvrez une session en tant qu'administrateur.
7.
8. 9.
10. Cliquez sur Protection du disque dur, vrifiez que la Protection des disques Windows est active et que l'option Supprimer toutes les modifications au redmarrage est slectionne, puis cliquez sur OK.
Nous vous recommandons de dfragmenter votre lecteur de disque et de configurer toute partition distincte ncessaire avant d'installer Windows SteadyState.
6.
Une fois le profil utilisateur cr sur une partition distincte de la partition protge par la Protection des disques Windows, le profil reste sur cette partition non protge jusqu' ce que l'administrateur de Windows SteadyState supprime le profil utilisateur. Si vous dcidez par la suite que le profil utilisateur ne doit plus tre permanent, le profil utilisateur protg ne peut pas tre copi ni dplac vers une autre partition Windows. Si vous voulez que le mme profil utilisateur rside sur la partition protge par la Protection des disques Windows, afin que les modifications apportes par l'utilisateur soient effaces lorsque ce dernier ferme la session ou redmarre l'ordinateur, vous devez crer un nouveau profil avec les restrictions souhaites sur la partition protge.
Une fois que le compte utilisateur est supprim, vous pouvez recrer le profil utilisateur sur la partition souhaite ou sur la partition protge Windows. Sachez qu'une fois que le profil utilisateur est cr sur la
57
partition Windows, il n'est plus permanent et aucune des modifications apportes l'environnement de l'utilisateur ne sera enregistre.
Pour les ordinateurs fonctionnant sous Windows Vista, utilisez Windows SIM, le gestionnaire d'images systme de Windows. Windows SIM fait partie du nouveau kit d'installation automatise de Windows (Windows AIK), un ensemble d'outils de dploiement pour Windows Vista. Pour plus d'informations sur le dploiement de Windows Vista, voir Windows Vista Deployment Step-By-Step l'adresse : http://go.microsoft.com/fwlink/?LinkID=100558.
Aprs avoir cr un fichier de rponses, vous pouvez modifier l'emplacement de stockage par dfaut des profils utilisateurs en tapant la commande suivante : Pour Windows XP : [GuiUNattended] ProfilesDir = lecteur:\nom_dossier Pour Windows Vista : [GuiUNattended] ProfilesDirectory = drive:\foldername
59
Pour obtenir la liste des programmes non-Microsoft qui ne fonctionnent pas avec les comptes d'utilisateurs partags Windows SteadyState standard, voir l'article 307091 de la Base de connaissances Microsoft l'adresse suivante : http://go.microsoft.com/fwlink/?LinkId=83434.
Remarque : la cration d'un compte administratif partag restreint pour les scnarios ci-dessus n'est pas ncessaire sur les ordinateurs qui fonctionnent sous Windows Vista.
Un compte administratif partag restreint est un profil utilisateur dverrouill dont la plupart des restrictions ont t supprimes. Ce type de compte d'utilisateur non restreint permet de bnficier d'autorisations suprieures ncessaires l'excution d'applications non standard. Avant de crer un compte administratif partag pour des utilisateurs gnraux, posez-vous les questions suivantes : Le logiciel non-standard peut-il tre mis niveau vers (ou remplac par) une version qui fonctionne correctement avec des privilges d'utilisateurs limits sur Windows XP ? Le logiciel peut-il tre supprim de votre environnement sans que les besoins de votre entreprise soient trop affects ?
Si vous rpondez non l'une de ces questions, vous pouvez crer un compte administratif partag restreint.
Remarque :si l'ordinateur partag est connect un rseau, une stratgie de rseau peut vous empcher de mener cette procdure bien si vous n'tes pas administrateur du domaine de rseau.
5. Dans l'onglet Appartenance aux groupes, slectionnez l'option Autre, choisissez Administrateurs dans la liste droulante, puis cliquez sur OK. Aprs avoir ajout le compte d'utilisateur partag au groupe Administrateurs, utilisez Windows SteadyState pour restreindre l'accs du compte administratif partag tous les programmes et paramtres, l'exception des autorisations suprieures ncessaires l'excution d'applications non standard.
Important :la suppression des restrictions appliques un compte d'utilisateur pour autoriser l'accs administratif des logiciels non-Microsoft peut augmenter les risques de scurit associs aux comptes non restreints autoriss dans Windows SteadyState. L'environnement de l'ordinateur partag risque donc d'tre instable.
le Bloc-notes et WordPad. Le compte de l'administrateur avec accs restreint ne pourra pas modifier des scripts critiques et des fichiers de commandes pour contourner la scurit. Dans l'onglet Restrictions dans Windows, sous Restrictions du menu Dmarrer, slectionnez les cases cocher Interdire l'affichage des programmes du dossier All Users dans le menu Dmarrer et Supprimer l'icne Aide et Support. Les programmes ne s'afficheront pas dans le menu Dmarrer lorsque l'administrateur avec accs restreint sera connect. Sous l'onglet Restrictions des fonctionnalits, slectionnez la case cocher Restrictions dans Microsoft Office. L'administrateur avec accs restreint ne pourra pas excuter les programmes Microsoft Office qui ne sont pas associs des applications non-standard en cours d'excution.
Windows XP Professionnel, mais pas sous Windows XP dition familiale. Le Pack d'interface utilisateur multilingue est vendu uniquement par le biais de programmes de licences en volume Microsoft tels que Microsoft Open License Program (MOLP/Open), Select et Enterprise agreement. Si votre entreprise utilise Windows Vista, il existe deux types de fichiers de langues : Le pack d'interface utilisateur multilingue de Windows Vista Le pack d'interface linguistique de Windows Vista
Le premier propose une version traduite de la quasi-totalit des ressources pour une langue et une version localise. Le pack d'interface utilisateur multilingue ncessite une licence et n'est disponible qu'avec Windows Vista dition Intgrale et Windows Vista Entreprise. Le pack d'interface linguistique propose une version traduite des zones les plus couramment utilises de l'interface utilisateur. Il peut tre tlcharg gratuitement sur le site Web Microsoft l'adresse : http://go.microsoft.com/fwlink/?LinkId=100559. La plupart des packs d'interface linguistique peuvent tre installs sur n'importe quelle version de Windows Vista. La totalit de l'interface n'tant pas traduite, le pack d'interface linguistique ncessite au moins une langue parente dans laquelle s'afficheront les parties non traduites. Lorsque vous tlchargez un pack d'interface linguistique, les exigences de configuration de la langue parente sont indiques. Cette dernire doit tre installe avant l'installation du pack. Configuration de Windows SteadyState pour l'installation du pack d'interface utilisateur multilingue La langue d'entre peut tre configure pour l'ordinateur lorsque du texte est entr l'aide du clavier. Lorsque plusieurs langues sont configures, un utilisateur peut basculer d'une langue l'autre selon les besoins. Vous pouvez ajouter une langue d'entre un profil utilisateur tant que vous avez install la langue approprie partir du Pack d'interface utilisateur multilingue. Avant d'ajouter une langue d'entre un profil utilisateur, vrifiez que l'environnement Windows SteadyState est correctement configur pour l'ajout de la langue.
63
3. 4. 5.
Fermez la session en tant qu'administrateur Windows SteadyState pour enregistrer les modifications sur l'ordinateur.
Pour plus d'informations sur la configuration requise et l'installation du Pack d'interface utilisateur multilingue Windows XP, voir Forum Aux QuestionsWindows Server 2003, Windows XP Windows 2000 MUI l'adresse. http://go.microsoft.com/fwlink/?LinkId=83435. Pour plus d'informations sur la configuration requise et l'installation des fichiers de langue Windows Vista, voir le Guide to Windows Vista Multilingual User Interface l'adresse : http://go.microsoft.com/fwlink/?LinkId=100555. Modification de la langue d'entre de l'utilisateur Aprs avoir install le Pack d'interface utilisateur multilingue, vous pouvez utiliser la bote de dialogue Options rgionales et linguistiques du Panneau de configuration pour dfinir les normes et formats utiliss par l'ordinateur, l'emplacement gographique d'un utilisateur et les langues d'entre utilises par le profil utilisateur.
64
3. 4.
Dans le Panneau de configuration, double-cliquez sur Options rgionales et linguistiques. Dans la bote de dialogue Options rgionales et linguistiques, cliquez sur Langues, puis sous Services de texte et langues d'entre, cliquez sur Dtails. Dans la bote de dialogue Services de texte et langues d'entre, slectionnez la langue d'entre de l'utilisateur que vous souhaitez ajouter au profil utilisateur partir de la liste sous Langue d'entre par dfaut. Vous pouvez ajouter d'autres services pour la langue d'entre slectionne sous Services installs. Une fois la langue d'entre ajoute, fermez la session du compte utilisateur et ouvrez une session en tant qu'administrateur de Windows SteadyState. Rinitialisez les restrictions souhaites sur le profil utilisateur que vous venez de modifier.
5.
6.
7.
Pour ajouter une langue d'entre un profil utilisateur sous Windows Vista
1. 2. 3. 4. 5. 6. Ouvrez une session avec le compte utilisateur pour lequel vous souhaitez modifier la langue d'entre de l'utilisateur. Cliquez sur Dmarrer, puis sur Panneau de configuration. Dans le Panneau de configuration, sous Horloge, langue et rgion, cliquez sur Modifier la langue. Dans la bote de dialogue Options rgionales et linguistiques, slectionnez l'onglet Claviers et langues. Cliquez sur Installer ou dsinstaller des langues et suivez les instructions de l'Assistant Installer ou dsinstaller des langues. Une fois la langue d'entre ajoute, fermez la session du compte utilisateur et ouvrez une session en tant qu'administrateur de Windows SteadyState. Rinitialisez les restrictions souhaites sur le profil utilisateur que vous venez de modifier.
7.
65
d'installation la plus efficace consiste utiliser des images de disques (processus aussi appel clonage). Cette mthode consiste : Configurer un ordinateur de rfrence : configurez un ordinateur qui servira rpliquer l'image d'installation de Windows SteadyState sur d'autres ordinateurs de votre environnement. Suivez les instructions d'installation de la section Installation de Windows SteadyState dans ce manuel pour prparer votre ordinateur de rfrence avant de crer une image du disque et l'installer sur plusieurs ordinateurs. Prparer l'ordinateur de rfrence avec l'outil de prparation du systme : une fois Windows SteadyState install, les profils utilisateurs crs et les mises jour de scurit et critiques installes, utilisez l'outil de prparation du systme (Sysprep) pour prparer l'ordinateur la cration d'images (facultatif). Sysprep se trouve sur le CD de votre systme d'exploitation Windows.
Remarque : pour plus d'informations sur la politique de Microsoft concernant l'utilisation de Sysprep et de Windows XP, voir l'article #302577 de la Base de connaissances Microsoft l'adresse : http://go.microsoft.com/fwlink/?LinkId=83437.
Crer une image de l'ordinateur de rfrence : crez une image du disque dur de l'ordinateur de rfrence et transfrez-la sur le disque dur d'autres ordinateurs. Transfrer et configurer l'image sur plusieurs ordinateurs : une fois l'image du disque transfre sur plusieurs ordinateurs, l'Assistant de mini-installation dmarre pour valider et activer Windows XP sur le nouvel ordinateur. Activer la Protection des disques Windows sur tous les ordinateurs partags : lorsque vous avez transfr l'image du disque sur d'autres ordinateurs et confirm que tous les profils utilisateurs se trouvent sur chacun des ordinateurs partags, activez la Protection des disques Windows.
66
67
La Protection des disques Windows est dsactive. Le fichier cache ne peut pas tre copi d'un ordinateur l'autre. Une fois l'image de disque place sur les ordinateurs concerns, la protection des disques Windows peut tre ractive.
Gnralement, la premire fois qu'un ordinateur client dmarre Windows XP ou Windows Vista aprs le chargement d'une image prpare avec Sysprep, Windows gnre automatiquement un SID unique, initie la dtection Plug-and-Play, puis dmarre l'Assistant de mini-installation. Celui-ci vous invite entrer des informations spcifiques l'utilisateur et l'ordinateur, telles que les Termes du contrat de licence logiciel Microsoft, les options rgionales, le nom de l'utilisateur et la socit, ainsi que la cl du produit. Vous pouvez automatiser davantage le processus de cration d'images en ajoutant votre image matre un fichier de rponses spcial intitul Sysprep.inf qui automatise l'Assistant Mini-installation. Il utilise la mme syntaxe de fichier INI et les mmes noms de cls (pour les cls prises en charge) que Unattend.txt dans Windows XP ou Unattend.xml dans Windows Vista. Placez le fichier Sysprep.inf sur une disquette ou dans le dossier suivant : %systemdrive%\Sysprep Si vous utilisez une disquette, insrez-la dans le lecteur de disquette ds que l'cran de dmarrage de Windows apparat. Notez que si vous n'incluez pas le fichier Sysprep.inf lorsque vous excutez Sysprep, l'Assistant de mini-installation exige une intervention de l'utilisateur chaque cran de personnalisation. Vous pouvez consulter les ressources suivantes relatives Sysprep : Pour en savoir plus sur le processus de cration d'images sur des clients, y compris l'utilisation de Sysprep pour prparer un systme pour la cration d'images dans Windows XP, voir : http://go.microsoft.com/fwlink/?LinkId=83440. Pour plus d'informations sur la personnalisation des installations Sysprep, voir : http://go.microsoft.com/fwlink/?LinkId=83441. Pour plus d'informations sur l'utilisation de Sysprep avec Windows Vista, voir : http://go.microsoft.com/fwlink/?LinkId=100557.
68
de rfrence. Effectuez alors une des oprations suivantes pour crer une image du disque dur de l'ordinateur : Sous Windows XP, vous pouvez utiliser un outil de cration d'images autre que Microsoft. Sous Windows Vista, vous pouvez utiliser l'outil de cration d'images ImageX.
Pour plus d'informations sur la duplication de disques d'installations de Windows XP, voir l'article de la Base de connaissances Microsoft n 314828 l'adresse suivante : http://go.microsoft.com/fwlink/?LinkId=83438. Pour plus d'informations sur l'utilisation de ImageX avec Windows Vista, voir : http://go.microsoft.com/fwlink/?LinkId=100560.
Activation de la protection des disques Windows sur tous les ordinateurs partags
Une fois l'image de disque installe sur tous les ordinateurs partags, il est recommand d'activer la protection des disques Windows pour protger le disque systme et d'enregistrer les profils utilisateurs dverrouills sur chaque ordinateur. Assurez-vous que l'option Conserver toutes les modifications en permanence est active pour chaque ordinateur lors de la configuration des restrictions sur les lecteurs systme. Dans le cas contraire, la protection des disques Windows supprimera les profils utilisateurs dverrouills lors du redmarrage de chaque ordinateur. Pour plus d'informations sur l'exportation et l'importation de profils utilisateurs, voir la section Exportation et importation de profils utilisateurs de ce manuel.
2007 Microsoft Corporation.
69
70
71
Remarque :Le modle de gestion de logiciels utilis par la Protection des disques Windows peut ne pas convenir pour les environnements incluant des ordinateurs portables ou des Tablet PC qui sont rgulirement dconnects ou hors tension au moment o l'excution des mises jour critiques de la Protection des disques Windows est planifie.
72
5. 6. 7.
Dans Gestion de l'ordinateur, cliquez sur Utilisateurs et groupes locaux, puis double-cliquez sur Utilisateurs. Cliquez avec le bouton droit sur chaque compte d'utilisateur qui utilisera le profil utilisateur obligatoire, puis cliquez sur Proprits. Dans Proprits, cliquez sur Profil, puis, dans Chemin du Profil, entrez le chemin rseau du dossier partag dans lequel le profil utilisateur obligatoire est enregistr (par exemple, C:\server1\profiles\user1). Crez et configurez le profil utilisateur, appliquez-lui les restrictions, puis copiez-le dans le dossier partag du rseau appropri. Dans le dossier partag du rseau, ouvrez le dossier du profil et renommez le fichier Ntuser.dat en Ntuser.man. Le profil utilisateur passe de simple profil itinrant profil utilisateur obligatoire.
8. 9.
Pour plus d'informations sur la cration et l'utilisation de profils utilisateurs obligatoires, consultez les ressources suivantes : Pour obtenir des informations gnrales sur les profils obligatoires et itinrants dans Windows XP, voir la section relative la prsentation des profils utilisateurs dans la documentation de Windows XP Professionnel l'adresse : http://go.microsoft.com/fwlink/?LinkId=83443. Pour connatre les tapes suivre pour attribuer un profil obligatoire un compte d'utilisateur dans Windows XP, voir l'article 307800 de la Base de connaissances Microsoft, l'adresse suivante : http://go.microsoft.com/fwlink/?LinkId=83444. Pour plus d'informations sur les profils utilisateurs obligatoires et itinrants et sur la procdure d'attribution d'un profil utilisateur obligatoire, voir Managing Roaming User Data Deployment Guide l'adresse : http://go.microsoft.com/fwlink/?LinkId=100556.
73
De mme, il se peut que les oprateurs veuillent restreindre des comptes de domaine sur des ordinateurs spcifiques mais qu'ils ne possdent pas les droits d'accs pour apporter les modifications requises dans la Stratgie de groupe. D'autres environnements soucieux de la scurit souhaiteraient s'assurer que les restrictions par dfaut sont appliques aux utilisateurs du domaine mme si des problmes rseau empchent l'application des restrictions de stratgie de groupe lors d'une ouverture de session initiale (problmes souvent dus une manipulation frauduleuse telle que le dbranchement d'un cble rseau un moment opportun).
Remarque :si vous copiez le dossier Utilisateur par dfaut sur le dossier partag NETLOGON sur un contrleur de domaine, tous les utilisateurs du domaine reoivent les paramtres et restrictions de ce profil la premire fois qu'ils ouvrent une session. Le dossier sera rpliqu vers tous les autres contrleurs de domaine fournissant un profil Utilisateur par dfaut pour tous les nouveaux comptes de domaine.
Tous ces scnarios peuvent tre rsolus en paramtrant des restrictions sur le profil Utilisateur par dfaut dans Windows SteadyState. Le profil Utilisateur par dfaut est alors utilis comme modle lors de la cration de tous les nouveaux profils utilisateurs pour les comptes locaux et les comptes de domaine. Cette technique particulire ne fonctionne pas sur les comptes de domaine qui sont configurs avec des profils utilisateurs itinrants.
Remarque :il est conseill de crer une sauvegarde du profil utilisateur par dfaut avant de personnaliser le profil utiliser sur le domaine. Pour cela, effectuez une copie du dossier Utilisateur par dfaut dans le dossier Documents and Settings.
74
4.
Personnalisez les paramtres et l'environnement utilisateur. Par exemple, vous pouvez : personnaliser le menu Dmarrer ; personnaliser le Bureau et la barre des tches ; installer et configurer des imprimantes.
5. 6. 7.
Fermez la session, puis ouvrez une session en tant qu'administrateur de Windows SteadyState. Configurez et appliquez les restrictions au profil utilisateur nouvellement cr. Effectuez l'une des oprations suivantes : Sous Windows XP, cliquez sur Dmarrer, puis sur Poste de travail. Sous Windows Vista, cliquez sur Dmarrer, puis sur Ordinateur. Pour afficher les menus, appuyez sur la touche ALT. La barre de menus s'affiche au-dessus de la barre d'outils.
8. 9.
Cliquez sur le menu Outils, puis sur Options des dossiers. Dans la bote de dialogue Options des dossiers, dans l'onglet Affichage, sous Paramtres avancs, cliquez sur Afficher les fichiers et dossiers cachs, puis sur OK. Une partie des fichiers du nouveau profil sont masqus par dfaut et doivent tre visibles pour pouvoir tre copis vers le nouveau profil Utilisateur par dfaut personnalis.
10. Effectuez l'une des oprations suivantes : Sous Windows XP, cliquez sur Dmarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Proprits. Dans la bote de dialogue Proprits systme, dans l'onglet Avanc, sous Profils des utilisateurs, cliquez sur Paramtres. Sous Windows Vista, cliquez sur Dmarrer, cliquez avec le bouton droit sur Ordinateur, puis cliquez sur Proprits. Dans la bote de dialogue Proprits systme, cliquez sur Proprits systme avances. Dans l'onglet Avanc, sous Profils des utilisateurs, cliquez sur Paramtres.
11. Dans la bote de dialogue Profils des utilisateurs, cliquez sur le profil utilisateur que vous venez de crer et de personnaliser, puis cliquez sur Copier dans. 12. Dans la bote de dialogue Copier dans, sous Copier le profil dans, cliquez sur Parcourir, sur le dossier C:\Documents and Settings\Default User, puis cliquez sur OK.
75
13. Sous Autoris utiliser, cliquez sur Modifier, sur Tout le monde, puis sur OK. Si Tout le monde n'est pas disponible, cliquez sur Avanc, sur Rechercher, sur Tout le monde, puis sur OK. Une fois que le profil utilisateur par dfaut est personnalis, Windows XP ou Windows Vista l'attribue avec ses restrictions tout nouvel utilisateur qui ouvre une session sur l'ordinateur. Cette technique ne peut pas tre utilise pour verrouiller les nouveaux profils d'utilisateurs mesure qu'ils sont crs. Toutefois, vous pouvez utiliser les profils Utilisateur par dfaut personnaliss avec la Protection des disques Windows pour effacer les nouveaux profils utilisateurs qui sont crs sur la partition Windows chaque redmarrage de l'ordinateur.
76
Pour utiliser la fonction Utilisateurs et ordinateurs Active Directory pour grer les restrictions de Windows SteadyState
1. Dmarrez Utilisateurs et ordinateurs Active Directory sur un ordinateur qui excute Microsoft Windows Server 2003 en cliquant sur Dmarrer, puis sur Tous les programmes. Cliquez sur Outils d'administration. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l'unit d'organisation pour laquelle vous souhaitez configurer la stratgie, puis cliquez sur Proprits. Dans l'onglet Stratgie de groupe, slectionnez la stratgie que vous souhaitez modifier, puis cliquez sur Modifier. Dveloppez Configuration de l'utilisateur, cliquez avec le bouton droit sur le dossier Modles d'administration, puis cliquez sur Ajout/Suppression de modles. Dans la bote de dialogue Ajout/Suppression de modles, cliquez sur Ajouter, puis recherchez le modle SCTSettings.adm qui se trouve habituellement dans le dossier suivant : %systemdrive%\Program Files\Windows SteadyState\ADM 6. Consultez les paramtres du dossier Toutes les restrictions de Windows SteadyState et remarquez leur similarit avec les paramtres de restriction des utilisateurs et programmes dans Windows SteadyState. chaque paramtre correspond une description. Modifiez les restrictions comme vous le souhaitez, puis quittez l'diteur de stratgies de groupe.
2.
3. 4.
5.
7.
Remarque :nous vous conseillons de crer une unit d'organisation contenant les comptes d'utilisateurs partags dans votre environnement et d'appliquer le modle SCTSettings.adm la partie Configuration utilisateur d'un objet de stratgie de groupe li cette unit d'organisation ddie.
77
nombre important d'ordinateurs partags sur un site, un domaine ou un ensemble d'units d'organisation donns sont grs plus efficacement que les restrictions appliques l'aide de Windows SteadyState. Les restrictions sur les logiciels qui peuvent tre appliques l'aide des stratgies de restriction logicielle sont identiques aux restrictions appliques dans Windows SteadyState. Pour plus d'informations sur l'utilisation des stratgies de restriction logicielle Stratgie de groupe, voir : http://go.microsoft.com/fwlink/?LinkId=83445.
Reproduction des restrictions logicielles l'aide des stratgies de restrictions logicielles de Windows
Si vous souhaitez utiliser les stratgies de restrictions logicielles dans Windows pour dupliquer directement les paramtres de restrictions Windows et de programmes qu'un administrateur Windows SteadyState peut configurer, crez les rgles de chemin d'accs dfinies dans les sections suivantes. Si vous le souhaitez, vous pouvez galement restreindre le Bloc-notes et WordPad et interdire l'excution de programmes Microsoft Office l'aide de stratgies de restrictions logicielles. Par exemple, pour dupliquer l'effet de la fonctionnalit Autoriser uniquement l'excution des logiciels prsents dans les dossiers Program Files et Windows de l'onglet Restrictions dans Windows dans Windows SteadyState, utilisez une stratgie de restriction logicielle pour dfinir le niveau de scurit de la stratgie de restriction logicielle sur Non autoris, puis crez des rgles supplmentaires pour annuler les restrictions ou autoriser chacun des chemins d'accs suivants, comme illustr dans le tableau 7. Tableau 7 : Rgles de restriction logicielle
Rgle %ProgramFiles% %Windir% *.lnk Description Autorise l'excution des programmes Autorise l'excution des programmes Windows Autorise le fonctionnement des raccourcis du menu Dmarrer et du Bureau
En guise de mesure de scurit supplmentaire, vous pouvez galement crer une rgle de chemin d'accs supplmentaire qui restreint l'excution des fichiers du dossier Temp. Pour restreindre les utilisateurs
78
des autorisations de lecture/criture sur le dossier Temp, ajoutez la rgle suivante l'aide des stratgies de restrictions logicielles. %WinDir%\Temp Pour plus d'informations sur l'utilisation des stratgies de restriction logicielle Stratgie de groupe, voir : http://go.microsoft.com/fwlink/?LinkId=101602.
Configuration d'un redmarrage aprs une fermeture de session l'aide d'un script de fermeture de session
Lorsqu'un ordinateur excutant Windows XP fait partie d'un domaine, il est plus difficile de s'assurer que les modifications sont effaces entre les ouvertures de session des utilisateurs. Si vous utilisez la stratgie de groupe et les stratgies de restrictions logicielles, faites appel un script de fermeture de session pour reproduire l'option Redmarrer l'ordinateur aprs fermeture de la session qui se trouve habituellement sous Paramtres gnraux dans Windows SteadyState.
Pour utiliser la stratgie de groupe pour configurer le redmarrage de l'ordinateur lorsqu'un utilisateur ferme sa session
1. 2. Ouvrez l'objet de stratgie de groupe de l'unit d'organisation ou du domaine auquel appartiennent vos utilisateurs. Sous Configuration de l'utilisateur, dveloppez Paramtres Windows, puis cliquez sur Scripts (ouverture/fermeture de session)). Ouvrez l'objet Fermeture de session et ajoutez un script de fermeture de session. Il peut s'agir d'un script crit dans un langage de script quelconque pris en charge par Windows et qui contient une commande de redmarrage de l'ordinateur.
3.
Remarque :vous pouvez utiliser la commande shutdown dans un fichier de commandes pour redmarrer l'ordinateur. l'invite de commandes, entrez l'instruction suivante : shutdown -r -t 00 La commande shutdown est restreinte lorsque vous restreignez l'accs l'invite de commandes. Vous pouvez galement utiliser l'outil ForceLogoff.exe fourni avec SteadyState pour redmarrer l'ordinateur.
79
Exemple :
80
2007 Microsoft Corporation.
sctui /DisableWDPAndReboot
EnableWDPAndReboot
Installe et active la Protection des disques Windows. Une fentre de console s'ouvre pour afficher les messages d'tat au cours de l'installation. Une fois l'installation termine, le systme redmarre automatiquement pour activer la Protection des disques Windows. Exemple : sctui /EnableWDPAndReboot
Proprits
CurrentMode
Dfinit ou rcupre le mode actuel pour la protection des disques Windows. Notez que la proprit CurrentMode ne s'applique que si la proprit CurrentStatus est WDP_ACTIVE. Les proprits CurrentMode figurant dans le tableau 8 correspondent directement aux trois niveaux de protection des disques disponibles lorsque la Protection des disques Windows est active. Tableau 8 : Modes de protection des disques Windows et niveaux de protection correspondants
Mode de Protection des disques Windows WDP_MODE_DISCARD (0) WDP_MODE_PERSIST (1) WDP_MODE_COMMIT (2) Niveau de protection des disques Supprimer toutes les modifications au redmarrage Conserver temporairement les modifications Conserver toutes les modifications en permanence
CurrentStatus
Lorsqu'elle est interroge, cette proprit en lecture seule renvoie une valeur indiquant si la protection des disques Windows est active ou passive. Tableau 9 : Valeurs CurrentStatus et tat de protection des disques Windows correspondant
81
tat de protection des disques Windows La protection des disques Windows s'emploie activement mettre les modifications en mmoire cache. Cette valeur est la plus courante. La protection des disques Windows est active, mais les modifications sont directement enregistres sur le disque dur sans utiliser le fichier cache comme zone de stockage temporaire.
WDP_PASSIVE (1)
Remarque : l'tat passif (WDP_PASSIVE) ne peut pas tre slectionn ou modifi via l'interface utilisateur de Windows SteadyState. Il est utilis en interne par l'application Windows SteadyState.
PersistDateTime
Utilisez cette proprit pour demander ou spcifier la date et l'heure laquelle WDP_MODE_PERSIST expire et revient automatiquement WDP_MODE_DISCARD lorsque la protection des disques Windows est active. Le type de date de cette proprit lorsqu'elle est demande est WBemScripting.SWbemDateTime. La proprit PersistDateTime ne prend pas effet tant que la proprit CurrentMode n'est pas dfinie sur WDP_MODE_PERSIST.
chantillon de code
L'chantillon de code ci-dessous tablit les constantes, dfinit le niveau de protection des disques sur l'option Conserver temporairement les modifications (WDP_MODE_PERSIST), puis spcifie la date et l'heure laquelle ce mode va expirer pour revenir l'option Supprimer toutes les modifications au redmarrage (WDP_MODE_DISCARD). ' Script de l'chantillon de la Protection des disques Windows ' Dfinir des constantes utiles ' ' WDP_Control.CurrentStatus const WDP_ACTIVE = 0 const WDP_PASSIVE = 1 ' WDP_Control.CurrentMode const WDP_MODE_DISCARD = 0 const WDP_MODE_PERSIST = 1
82
2007 Microsoft Corporation.
const WDP_MODE_COMMIT
= 2
' La proprit WDP_Control.PersistDateTime requiert un type FILETIME. ' La manire la plus simple de crer un FILETIME partir d'une chane lisible est d'utiliser ' l'objet WBemScripting.SWbemDateTime. set dateTime = Createobject ("WBemScripting.SWbemDateTime") ' Dfinir la date et l'heure sur 8 mai 2020 8:00 dateTime.SetVarDate #5/8/2020 08:00:00 AM# ' ' Obtenir une instance de la classe WMI WDP_Control ' set objWbemServices = GetObject ("winmgmts:\\" & strComputer & "\root\wmi") set setWdpObjects = objWbemServices.ExecQuery ("SELECT * FROM WDP_Control") pour chaque objWdp dans setWdpObjects objWdp.CurrentMode = WDP_MODE_PERSIST objWdp.PersistDateTime = dateTime.GetFileTime objWdp.Put_ suivant
83
Paramtres de scurit
Dans la zone Paramtres de scurit, slectionnez les restrictions suivantes : Interdire Windows de crer et de stocker des mots de passe avec des valeurs de hachage de niveau LAN Manager Ne pas stocker les noms d'utilisateur et les mots de passe utiliss pour ouvrir une session sur Windows Live ID ou le domaine (ncessite le redmarrage de l'ordinateur) Interdire aux utilisateurs de crer des dossiers et des fichiers sur le lecteur C:\
2007 Microsoft Corporation.
84
Protection du disque
Dans la zone Protger le disque dur, slectionnez les options suivantes : Activer l'outil Protection des disques Windows. Supprimer toutes les modifications au redmarrage.
85
Masquez les lecteurs rseau et les lecteurs de partition non protgs de l'utilisateur dans la zone Masquer les lecteurs. Vous pouvez toutefois autoriser les utilisateurs lire ou enregistrer des donnes sur un lecteur USB.
86
87
cache Fichier gnralement utilis pour stocker temporairement des informations. La Protection des disques Windows utilise un fichier cache pour stocker les modifications apportes au systme et aux fichiers de profils pendant les sessions utilisateurs. Ce fichier cache est vid de son contenu intervalles rguliers, suivant la manire dont la Protection des disques Windows est configure. effacer Pour effacer ou vider le fichier cache sur le disque dur lorsqu'un utilisateur ferme la session ou que l'ordinateur redmarre (uniquement si la Protection des disques Windows est active). restrictions de l'ordinateur Paramtres limitant les fonctionnalits du systme d'exploitation, y compris la confidentialit et la scurit. mise jour critique Parution d'une correction large diffusion pour un problme spcifique corrigeant un problme ou un bogue critique non li la scurit. mise jour personnalise Mise jour, correctif ou mise niveau d'un logiciel autre que ceux disponibles via Microsoft Update. dfragmentation Processus de rcriture de parties d'un fichier dans des secteurs contigus d'un disque dur en vue d'augmenter la vitesse d'accs et de rcupration des donnes. Dans Active Directory, la dfragmentation rorganise la manire dont les donnes sont crites dans le fichier de la base de donnes de l'annuaire afin de la compacter. dsactiver Pour dsactiver ou teindre. domaine Collection d'ordinateurs dans un environnement d'ordinateurs en rseau partageant une base de donnes de domaine et une stratgie de scurit communes. Un domaine est administr comme une unit rgie par des rgles et des procdures communes, et chaque domaine a un nom unique.
88
Restrictions sur les lecteurs Fonctionnalit de l'onglet Restrictions dans Windows dans la bote de dialogue Paramtres utilisateur, permettant l'administrateur de slectionner quels lecteurs de l'ordinateur sont accessibles et visibles pour les utilisateurs du profil utilisateur partag. activer Pour activer ou dmarrer. exporter Pour exporter les donnes et les objets de base de donnes sur une autre base de donnes, un autre classeur ou un autre format de fichier, afin qu'une autre base de donnes, application ou qu'un autre programme puisse utiliser les donnes ou les objets de base de donnes. Vous pouvez exporter les donnes sur une grande varit de bases de donnes, programmes et formats de fichiers prise en charge. Protection des utilisateurs Fonctionnalit dfinie dans Windows permettant aux parents et aux utilisateurs de personnaliser les aspects cls de leur exprience d'environnement en ligne comme tant appropris pour leur enfant ou pour eux-mmes (principalement les personnes avec lesquelles ils interagissent et les informations qu'ils voient). Restrictions des fonctionnalits Paramtres limitant l'utilisateur pour l'utilisation ou l'accs des attributs et commandes de fonctionnalits spcifiques. cration d'images Processus de capture d'une installation de Windows pour le dploiement sur un ou plusieurs ordinateurs de destination. importer Pour apporter des informations d'un systme ou programme un autre. Le systme ou programme recevant les donnes doit d'une faon ou d'une autre prendre en charge le format ou la structure interne des donnes. borne Ordinateur ou terminal amovible fournissant des informations au public, gnralement par le biais d'un affichage multimdia. verrouiller Pour permettre de conserver la mme configuration de profil utilisateur partag dfinie par l'administrateur d'une session utilisateur l'autre.
2007 Microsoft Corporation.
89
profil utilisateur verrouill Compte d'utilisateur dont les paramtres de profil utilisateur retournent l'tat dfini par Windows SteadyState chaque fois qu'un utilisateur se connecte au compte, quel que soit l'emplacement physique des paramtres du profil utilisateur. profil utilisateur obligatoire Profil utilisateur qui n'est pas mis jour au moment o l'utilisateur ferme une session. Il est tlcharg vers le Bureau de l'utilisateur chaque fois que celui-ci ouvre une session et est cr par un administrateur et assign un ou plusieurs utilisateurs en vue de crer des profils utilisateurs cohrents ou propres une tche dtermine. Seuls les membres du groupe Administrateurs peuvent modifier les profils. Microsoft Update Site Web Microsoft fournissant des mises jour (correctifs et corrections) pour de nombreux produits Microsoft un seul endroit, notamment les systmes d'exploitation et les priphriques Windows, le systme Microsoft Office, Microsoft SQL Server et Microsoft Exchange Server. notification Message ou communiqu envoy l'utilisateur ou l'administrateur d'un systme. Le destinataire peut tre une personne ou un gestionnaire de notification automatis. zone de notification Zone de la barre des tches adjacente la zone de contrle systme contenant des icnes qui apparaissent quand certains vnements se produisent, comme la rception d'un courrier lectronique. partition Partie d'un disque physique qui se comporte comme s'il s'agissait d'un disque physiquement distinct. Lorsque vous crez une partition, vous devez la formater et lui assigner une lettre de lecteur avant de pouvoir y stocker des donnes. Sur les disques de base, les partitions sont appeles des volumes de base, qui peuvent tre des partitions principales et des lecteurs logiques. Sur les disques dynamiques, les partitions sont appeles des volumes dynamiques qui peuvent tre simples, fractionns, agrgs par bande, en miroir ou en technologie RAID-5. paramtres de confidentialit Paramtres permettant l'administrateur de contrler la collecte, l'utilisation et la distribution de donnes personnelles.
90
partition protge Partition d'un ordinateur partag dont l'tat est rendu statique par la Protection des disques Windows. ordinateur public Ordinateur dans un environnement public accd tous les jours par plusieurs utilisateurs diffrents. Ce type d'ordinateur est souvent utilis comme ordinateur d'accs public, borne Internet, ordinateur d'atelier ou de formation. administration distance Pour un administrateur, c'est le processus de gestion de la Protection des disques Windows dans Windows SteadyState partir d'un ordinateur distant via la stratgie de groupe Active Directory. restreindre Bloquer l'accs un programme ou une fonctionnalit du systme d'exploitation. utilisateur avec accs restreint Compte d'utilisateur dont les paramtres ou restrictions sont appliqus par Windows SteadyState. restriction Paramtre bloquant l'accs un programme ou une fonctionnalit du systme d'exploitation. niveau de restriction Ensemble de restrictions de programmes prdfini appliques automatiquement. conserver Pour conserver (et pas effacer) le fichier cache sur le disque dur lorsqu'un utilisateur ferme la session ou que l'ordinateur redmarre quand la Protection des disques Windows est active. profil utilisateur itinrant Profil utilisateur bas sur un serveur, qui est tlcharg sur l'ordinateur local lors d'une ouverture de session par un utilisateur et qui est mis jour sur l'ordinateur local et sur le serveur lorsque l'utilisateur ferme la session. Les profils utilisateurs itinrants sont disponibles partir du serveur lorsque vous ouvrez une session sur une station de travail ou un ordinateur serveur. chaque ouverture de session, l'utilisateur a la possibilit d'utiliser le profil utilisateur local s'il est plus rcent que la copie sur le serveur.
91
Planifier les mises jour des logiciels Fonctionnalit de Windows SteadyState utilise pour dfinir la planification des mises jour logicielles et du systme d'exploitation. Outil fonctionnant de pair avec la Protection des disques Windows pour s'assurer que les mises jour sont enregistres en permanence. Centre de scurit Point de lancement Windows pour la gestion des paramtres de scurit pour les mises jour automatiques, les options Internet ou le pare-feu Windows. paramtres de scurit Paramtres utiliss pour indiquer les configurations de confidentialit, de scurit et d'ouverture de session pour Windows. Compte rebours de session Fonctionnalit de l'onglet Gnral des Paramtres utilisateur permettant l'administrateur d'afficher l'interface du compte rebours de session, afin d'informer les utilisateurs du temps restant avant la fin de leurs sessions. Minuteur de session Fonctionnalit de l'onglet Gnral des Paramtres utilisateur permettant l'administrateur de dfinir les attributs de limite de session et d'affichage. ordinateur en accs partag Ordinateur dans un environnement public accd tous les jours par plusieurs utilisateurs diffrents. Ce type d'ordinateur est souvent utilis comme ordinateur d'accs public, borne Internet, ordinateur d'atelier ou de formation. compte d'utilisateur partag Compte d'utilisateur unique auquel sont connects plusieurs utilisateurs. profil utilisateur partag Fichier qui contient des informations de configuration pour un utilisateur spcifique comportant les paramtres et restrictions appliqus par Windows SteadyState. Les prfrences de chaque utilisateur, comme les paramtres du Bureau, les connexions rseau permanentes et les paramtres des applications sont enregistres dans un profil utilisateur que Windows utilise pour configurer le Bureau chaque fois qu'un utilisateur ouvre une session.
92
Restrictions du menu Dmarrer Paramtres autorisant l'administrateur restreindre les attributs du menu Dmarrer. Outil de prparation du systme (Sysprep) Outil prparant un systme d'exploitation pour la cration d'images. Sysprep supprime les paramtres et autres donnes spcifiques au systme qui ne doivent pas tre copies sur un ordinateur de destination. Sysprep rinitialise galement l'installation de Windows afin de dmarrer sur l'cran d'accueil de Windows ou en mode d'audit. espace disque non allou Espace non partitionn et non format d'un disque dur. dverrouiller Pour permettre de modifier la configuration de profil utilisateur partag dfinie par l'administrateur d'une session utilisateur l'autre. profil utilisateur dverrouill Compte d'utilisateur dont les paramtres modifis dans une session utilisateur sont conservs chaque fois que l'utilisateur se connecte au compte. utilisateur Personne travaillant avec un logiciel sur un ordinateur, un oprateur d'ordinateur. icne d'utilisateur, image Image associe au profil utilisateur partag dans Windows SteadyState. profil utilisateur Fichier qui contient des informations de configuration (comme les paramtres du Bureau, les connexions rseau permanentes et les paramtres des applications) pour un utilisateur spcifique. Les prfrences de chaque utilisateur sont enregistres dans un profil utilisateur servant configurer l'ordinateur chaque fois qu'un utilisateur ouvre une session. service UPHClean (User Profile Hive Cleanup) Service qui permet de s'assurer que les sessions utilisateurs sont totalement arrtes lorsqu'un utilisateur se dconnecte. Les processus et applications du systme maintiennent parfois des connexions aux cls du Registre dans le profil utilisateur une fois que l'utilisateur s'est dconnect. Dans ce cas, la session utilisateur ne peut pas se terminer compltement.
2007 Microsoft Corporation.
93
Paramtres utilisateur Fonctionnalit de Windows SteadyState utilise pour configurer les profils utilisateurs partags. Protection des disques Windows Fonctionnalit permettant de protger la partition Windows contenant le systme d'exploitation Windows et d'autres programmes contre les modifications permanentes d'une session utilisateur l'autre. Une fois que la Protection des disques Windows est installe, l'administrateur peut choisir de conserver toutes les modifications, de les conserver pour une dure donne ou de les supprimer de la partition Windows chaque redmarrage de l'ordinateur. Windows Genuine Advantage (WGA) Programme destin aux logiciels Windows sous licence offrant un accs aux mises jour, aux tlchargements valeur ajoute, aux logiciels d'valuation gratuits et aux promotions spciales. Windows Live ID Ensemble unique d'informations d'identification (adresse de messagerie et mot de passe) fournissant l'utilisateur un accs aux sites et services Windows Live ID. Restrictions dans Windows Empche les utilisateurs d'accder aux programmes, paramtres et lments du menu Dmarrer, et verrouille les profils utilisateurs locaux partags pour interdire les modifications dfinitives. Windows SteadyState Application logicielle utilise par les administrateurs d'un ou plusieurs ordinateurs publics partags pour aider maintenir la fiabilit et la stabilit d'un ordinateur d'une session utilisateur l'autre. Windows Update Site Web Microsoft partir duquel les utilisateurs de Windows peuvent installer ou mettre jour des pilotes de priphriques. Grce un contrle ActiveX, Windows Update compare les pilotes disponibles avec ceux du systme de l'utilisateur et propose d'installer des versions mises jour ou de nouvelles versions.
94
groupe de travail Groupement d'ordinateurs organiss pour permettre aux utilisateurs d'accder et de partager des ressources, telles que des imprimantes et dossiers partags, au sein du groupe spcifi. Les groupes de travail dans Windows n'offrent pas les comptes d'utilisateurs centraliss et l'authentification proposs par les domaines.
95
96
Index
accessibilit, 12 activation de Windows, 70 Active Directory, 71, 72, 77 administrateur, 7, 9, 24, 54, 56, 58, 61, 63, 78, 79, 88, 90, 91, 92, 93, 94, 95 antivirus, 13, 19, 38, 42, 43, 88, Voir mises jour de scurit Blocage des programmes, 25, 27, 32, 33 Centre de tlchargement Microsoft, 16 Compte rebours de session, 29 compte administratif, 61, 62 configuration systme requise, 10 conservation des modifications, 50, 51 dfragmenter, 46, 58 disque USB, 54, 55, 56 Documents, 56 domaine, 36, 61, 71, 72, 74, 75, 77, 79, 80, 89 cran d'accueil, 35, 36 exporter, 52 fichier cache, 45, 46, 48, 49, 50, 51, 58, 89, 92 fichier de rponses, 59, 69 fichiers de programmes, 8, 45, 48, 49 Glossaire, 88 groupe Administrateurs, 62 groupe de travail, 71 icne image, 23 image de disque, 67, 68, 70 importer, 52 imprimantes, 31 installation, 7, 10, 16, 46, 54, 59, 67, 68 Interface utilisateur multilingue, 63 Internet Explorer, 31, 32, 36 invite de commandes, 80 jeux, 61 langue d'entre de l'utilisateur, 66 Les mises jour Windows importantes., 39 LMHash, 36 logiciel non standard, 61 Menu Dmarrer, 33 Mes documents, 13, 54, 55, 56 Microsoft Office, 32, 36, 63, 79 minuteurs de session, 26, 28, 33 minuteurs, 77 mises jour automatiques, 38 mises jour critiques, 13, 42, 67, 72, 86 mises jour de scurit, 42 mises jour personnalises, 42 mot de passe, 35, 53, 58, 72 notification, 29
97
NTFS, 11, 12 ordinateur de rfrence, 67, 68, 70 Outil de prparation du systme, 67, 68 page d'accueil, 27, 32 Panneau de configuration, 13, 15, 17, 23, 62, 66 Paramtres utilisateur, 25, 26, 49, 50, 53, 88, 90 partition, 15, 23, 45, 46, 51, 54, 55, 57, 58, 59 partition protge, 54, 57, 58, 59 partition systme, 45, 58 partition Windows, 8, 58, 59, 77, 95 planification de mises jour logicielles, 18, 72 Poste de travail, 31 prinstallation, 13, 46 profil utilisateur, 9, 12 profil, 32 profil utilisateur partag, 15, 17 profils utilisateurs permanents, 24, 54 Programme d'installation, 17 Protection des disques Windows, 8, 12, 13, 23, 33 Protection des utilisateurs, 32, 90 rechercher, 12, 33 rseau, 61, 71, 73, 88
Restrictions dans Windows, 25, 27, 29, 30, 31, 63, 79, 90 restrictions de l'ordinateur, 19, 33, 34 Restrictions des fonctionnalits, 25, 27, 31, 32 Restrictions personnalises, 24, 30 Restrictions sur les lecteurs, 70 restrictions utilisateur, 33, 51, 78 scripts, 38, 39, 43, 59, 63, 80 SCTSettings.adm, 77 service UPHClean (User Profile Hive Cleanup), 15 Services Internet (IIS), 12 Shared Computer Toolkit, 13, 15, 17 Site Web de la communaut Windows SteadyState, 8, 18 Stratgie de groupe, 71, 74, 77, 78, 80 SCTSettings.adm. Voir Stratgie de mot de passe requise, 23 Stratgies de restriction logicielle, 79 Verrouiller un profil, 27 Windows Genuine Advantage, 16 Windows Live ID, 36 Windows Scripting, 11, 12 Windows Update, 88
98