Ces réglages relèvent des Stratégies XP. Ils s'inscrivent dans la base de registre de l'ordinateur et il faut être administrateur de la machine pour les mettre en place.
Sur une machine intégrée au réseau, le script de connexion prévoit de
synchroniser l'heure de la station sur celle du serveur. Cependant sur un poste
XP le changement de l'heure système n'est accordé qu'à l'administrateur ou à
un utilisateurs avec pouvoir. Il faut donc autoriser toute personne qui se
connecte à modifier l'heure système. Il faut pour cela utiliser la stratégie
de sécurité locale dans les outils d'administration ou pour y accéder plus
rapidement, par le menu Démarrer Exécuter, on tape gpedit.msc.
Dans l'arborescence Stratégie Ordinateur local, Configuration Ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, Attribution des droits utilisateurs,
on fait un double clic dans la partie droite sur Modifier
l'heure système, Ajouter Utilisateurs ou groupe, on tape Tout le monde et
on clique sur vérifier les noms, le nom passe en souligné.OK.
Généralement les postes de travail qui veulent accéder à Internet passe
par un serveur Proxy. C'est bien souvent le slis, ou le serveur amon out tout
autre machine assurant ce service. Il faut connaître l'adresse IP de cette
machine pour la déclarer sur le poste de travail. Avec XP l'utilisation des
profils implique que cette déclaration faite dans le profil d'un utilisateur ne
se retrouve plus dans le profil de l'utilisateur suivant. Afin d'éviter que toute personne se connectant ne soit obligée de configurer
elle même le proxy, on fera le choix d'une déclaration de proxy machine à la
place du proxy utilisateur qui est le choix par défaut.
Par le menu Démarrer Exécuter, on tape gpedit.msc, puis
dans l'arborescence Stratégie Ordinateur local, Configuration Ordinateur, Modèles d'administration, Composants Windows, Internet Explorer,
on fait un double clic dans la partie droite sur Paramètres machine du serveur proxy (plutôt que les paramètres individualisés),
on clique sur Activé, OK, mais il faudra aussi déclarer le paramètre au niveau de l'utilisateur
......
Effet sur la base de registre
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet
Settings]
"ProxySettingsPerUser"=dword:00000000
Pour déclarer le paramètre au niveau de l'utilisateur, dans Stratégie Ordinateur local, Configuration Utilisateur, Paramètres Windows, Maintenance de Internet Explorer, Connexion, on fait un double clic dans la partie droite sur Paramètres du proxy, on clique sur activé, puis on renseigne l'adresse 172.16.0.1, le port 3128 (cas du slis ou d'amon) et on retire du proxy les machines nécessitant une administration par interface web, là encore en indiquant leur ip ou leur nom compte tenu que le mode d'accès peut se faire par leur ip ou leur nom.
Éviter l'expiration des mots de passe.
Normalement sur le poste de travail on ne devrait trouver que un ou deux
comptes, mais comme tout compte sur NT, 2000, ou XP par défaut la duré de vie
du mot de passe est limitée à 42 jours. On peut par les stratégies l'étendre
à 999 jours.
Dans Stratégie Ordinateur local, Configuration Ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies de comptes, Stratégie de mot de passe,
on fait un double clic dans la partie droite sur durée de vie maximale du mot
de passe pour fixer 999.
On peut encore régler cela plus rapidement dans une fenêtre de commande (Menu Démarer, Exécuter, taper cmd) en utilisant la commande net accounts avec un paramètre net accounts /maxpwage:unlimited
Les profils itinérants ne font pas bon ménage avec la mise en cache des dossiers hors connexion.
Dans l'Explorateur menu Outils Option des dossiers, onglet Fichiers hors connexion,
il ne faut pas cocher Autoriser l'utilisation des fichiers hors connexion.
Effet sur la base de registre
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\NetCache]
"Enabled"=dword:00000000
Toujours par gpedit dans Stratégie Ordinateur local, Configuration Ordinateur, Modèles d'administration, Système, Profils utilisateurs,
on peut régler trois autres valeurs.
Supprimer les copies mises en cache des profils. Cette valeur détermine si le système enregistre une copie du profil itinérant utilisateur sur le disque dur de cet ordinateur lorsque l'utilisateur ferme sa session. Les profils itinérants résident sur un serveur réseau.
En activant ce paramètre, toutes les copies du profil itinérant utilisateur sur
l'ordinateur seront supprimées à la fermeture de session de l'utilisateur. Le profil itinérant est conservé sur le serveur réseau qui le stocke.
Effet sur la base de registre
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
"DeleteRoamingCache"=dword:00000001
Ne pas détecter les liaisons lentes. La détection des liaisons lentes mesure la vitesse de la connexion entre l'ordinateur d'un utilisateur et le serveur distant qui stocke le profil utilisateur. Quand le système détecte une liaison lente, les paramètres concernés de ce dossier indiquent au système la façon de réagir. Par défaut, quand la connexion est lente, le système charge la copie locale du profil utilisateur.
Il faut activer ce paramètre afin que le système ne détecte pas les liaisons lentes, et ne considère aucune connexion comme lente.
Effet sur la base de registre
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
"SlowLinkDetectEnabled"=dword:00000000
Ajouter le groupe de sécurité Administrateur aux profils itinérants utilisateur. Pour les systèmes d'exploitation Windows 2000 et Windows XP, les autorisations de fichiers par défaut pour le nouveau profil sont le contrôle total, ou l'accès en lecture et en écriture pour l'utilisateur et aucun droit d'accès aux fichiers pour le groupe Administrateurs. En
activant ce paramètre, le groupe Administrateurs se voit également attribuer le contrôle total du dossier des profils de l'utilisateur.
Effet sur la base de registre
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
"AddAdminGroupToRUP"=dword:00000001
Remarque : Cela ne fonctionne pas sur SLC, et admin ne peut pas détruire un profil
stocké sur le serveur sans en modifier auparavant les droits. La solution consiste par
l'interface de gestion Web de SLC, menu Utilitaires Gestion des permissions, à s'attribuer tous les droits sur le profil du compte à détruire en mettant 7 pour le groupe et oui pour héritage des permissions. On peut ensuite détruire le profil dans la ressource Y (partages/profiles).
Hubert GREGOIRE
Dernière modification le 14/06/2004