Bonjour,  
 
Je ne sais pas si je poste au bon endroit, mais bon, j'essaie quand même
 
Alors voilà :  
J'essaie de paramétrer un Windows Server 2003 en serveur membre sur un domaine avec un DC en 2000.  
J'ai donc mis mon 2003 dans une OU, avec une GPO qui lui est liée.  
Je voudrais savoir en fait :  
Comment fait-on pour modifier des clés de la base de registre ? Je parle de clés que l'on veut modifier en particulier, pas celles qui sont modifiées par les paramètres explicités dans la GPO bien sûr.  
 
En gros, je me base sur le guide de sécurisation Microsoft de Windows Server 2003 et il s'agit à un moment de modifier les valeurs de certaines clés dans la base de registre.  
Pour empêcher certaines attaques réseaux, il faut plus précisément aller dans :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
 
Et modifier les attributs : EnableICMPRedirect, SynAttackProtect, EnableDeadGWDetect ...
 
Seulement voilà, je n'y arrive pas ;(((
Il y a bien dans la GPO que je tente de modifier un dossier "Registry" dans "Computer Configuration\Windows Settings\Security Settings\" dans lequel on peut ajouter des clés de la base de registre choisies comme on veut, mais il semble que ça soit uniquement pour paramétrer les droits d'accès ....
 
J'avoue que je sèche un peu, le guide de microsoft ne m'éclaire pas beaucoup sur ce point ...
 
J'ai d'ailleurs une autre question :  
Est-il possible de paramétrer l'ouverture/fermeture des ports des postes sur lesquels on déploie une GPO (et donc via cette GPO) ? Si oui, comment ?
 
Enfin, toujours dans la GPO que je suis en train de créer, je modifie les "User Rights Assignment" dans "Computer Configuration\...\Local Policies". Selon les recommendations de Microsoft - une fois de plus - il vaut mieux les paramétrer avec des groupes locaux, puis ajouter les groupes Active Directory que l'on veut dans ces groupes locaux.  
Question : Comment faire ?
 
Je subodore que ça doit se faire dans le dossier "Restricted Groups". Une confirmation ?
 
Merci pour toute aide, même minime !

ya ca :
http://www.fr.ixus.net/resume_messages.php?topic=25601
 
mais sinon, on doit pouvoir modifier les ADM pour ajouter de nouveaux paramtres...

ici un tuto pour creer ses adm :
 
http://www.bellamyjc.net/fr/strategie.html#ADMfiles

 
Merci bcp, ce lien m'a bien aidé !
 
Effectivement, il faut apparemment créer un ficheir .adm lorsqu'on veut modifier un paramètre particulier de la bdr.  
Ce qui est dommage, c'est que ça soit considéré comme une modif permanente du système, et non pas remis en l'état initial si la GPO échoue par exemple, mais bon ... c'est pas très grave.  
 
J'ai encore du mal à voir si je touche la bonne clé dans mon fichier .adm lorsque je m'importe dans ma GPO (il n'y a pas de check automatique ?).  
On peut donc si ça se trouve créer une nouvelle clé !?
Je regarde plus en profondeur et je te dis ça. Merci en tout cas pr le deuxième lien, il est vachement intéressant !
 
Et sinon, pour bloquer les ports à partir d'une GPo, c'est possible ?? (je pense que non, mais on sait jamais, vu tout ce qu'on peut faire avec !!)
 
A+

Bon, je rame trop là ...
Je suis dans l'intégration des .adm dans ma GPo, mais y a rien qui passe ... ;(
Je comprends vraiment pas ce qui se passe ... Meme quand je me borne à juste modifier des paramètres de templates de "base" genre :  
Administrative Templates->Système->Ouverture de session->"N'autoriser que les profils d'utilisateurs locaux"
 
En activant cette propriété, je devrais voir un petit changement dans les utilisateurs et machines de mon OU, mais rien ... pas même une petite clé de la bdr qui change ... ;(
(normalement dans l'exemple que j'ai pris ci-dessus pour voir, je devrais voir dans regedit la clé :  
HKLM/SOFTWARE/Policies/Microsoft/Windows/System/LocalProfile !
Or il n'y a même pas de clé au-delà de HKML/SOFTWARE/Policies/Microsoft/Windows ...  
Alors est-ce que lorsque la clé n'existe pas, il faut le forcer à la créer ? Si oui, comment ??
 
Je suis un peu perdu là ...

Bon, apparemment il ne faut pas forcément passer par un fichier .adm slon le guide de Microsoft (y avait un paragraphe que je comprenais pas bien).  
Ils conseillent de modifier directement le fichier sceregvl.inf en ajoutant les clés que l'on  veut voir apparaître dans "Local\Policies", et de les modifier ensuite via le très classique GP Object Editor
La syntaxe du fichier .inf ressemble beaucoup à celle d'un .adm en moins souple.  
 
Je modifie ça et je reviens !
 

Bon, je me suis un peu perdu en route mais tout est bien qui finit bien !!
L'idée était bien de passer par des fichiers .inf, le sceregvl.inf en l'occurrence, qui correspond à une grande partie de la configuration de sécurité de la GPO.  
J'ai trouvé un lien de microsoft france qui décrit exactement la démarche à suivre ! (que du bonheur quand on arrive à trouver les bons articles sur la knowledge base de microsoft !
Le lien donc, si ça peut servir à d'autres :  
http://www.microsoft.com/france/te [...] mod57.mspx  
 
Voilà. Le problème est résolu ! Ouf !
 
P.S. On peut aussi passer par des fichiers .adm en l'occurrence, mais c'est un peu plus chiant à mettre en oeuvre, surtout au niveau de la modification par des tierces personnes, vu que la console d'édition masque par défaut les paramètres adm importés non "classiques".  
 
 

flag