 |
||
| ||
| |||||
| Dernière réponse | ||
|---|---|---|
| Sujet : [GPO/AD/Citrix] Désactiver la commande Exécuter | ||
| magnancc51 |
|
|
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| magnancc51 |
|
| LaTeX_ |
|
| boisorbe | je crois que pour des problèmes de lenteur extreme suite au SP4 microsoft et citrix on sorti des patchs correctifs.
avec les derniers patch plus de lenteurs. mais j'ai aps encore teste, on passe nos citrix en SP4 cette été :D |
| Wolfman |
|
| LaTeX_ |
|
| Alex-95 | C'est le SP4 de 2000 qui fout la brouille ... j'ai X clients qui m'ont appelé durant la semaine de sortie du SP4 ;) |
| LaTeX_ |
|
| LaTeX_ |
|
| noisetta | bonsoir,
Je possède une architecture similaire pour mon client. Tous nos serveurs Citrix sont dans une meme OU. Sur cette OU est appliquée une GPO avec activation de la boucle de Rappel; j'ai pris l'option "REMPLACER"; Dans cette GPO, j'ai implémenté l'option permettant d'interdir l'utilisation de "Explorer.exe" car mes users ont rapidement trouvé la méthode pour prendre en PMAD les serveurs....)) Au niveau des sécurités sur cette GPO, je la refuse aux Administrateurs afin que les administrateurs ne soient pas génés pour l'administration et la maintenance système. Par contre ma GPO sur les serveurs Citrix est assez lourde (Sécurité oblige) et je trouve que le tps d'ouverture de session pour une application publiée est relativement long :fou: Cdt, Noisetta.
|
| Wolfman |
|
| LaTeX_ | actuellement, les serveurs sont dans une OU "Citrix", les utilisateurs dans une OU générale "Résidences".
Certains postes sont sur le domaine, d'autres en workgroup... certains utilisateurs ouvrent donc préalablement une session sur un poste du domaine. A la création de compte, on mets l'utilisateur dans l'OU citrix ou s'appliquent les restrictions utilisateurs, on fait les réglages de la session ICA (outlook pour le compte mail), on ferme la session ICA et on verrouille le profil utilisateur TSE en renommant le ntuser.dat en ntuser.man . Enfin on remet l'utilisateur dans son OU d'origine. Donc vraiment pas pratique du tout du tout... et l'utilisateur ne peut rien changer dans outlook ou certains programmes (disposition des fenetres, signature des mails, etc) et dire que c'est un mcse qui nous a pondu çà :o J'viens de regarder dans gpedit.msc et c'est bien dans 2k :) Par contre tu a utilisé "fusionner" ou "remplacer" ? |
| boisorbe | juste un mot pour confirmer que la strategie existe sous 2000 :D |
| Wolfman |
|
| LaTeX_ |
|
| Wolfman |
Si, tu dois l'avoir. Mes serveurs Metaframe sont sous Win2003, mais le controleur de domaine est un AD Win2000. |
| LaTeX_ | J'ai le même problème (faire un bureau distant complètement bridé), mais sous AD 2000, y'a pas la fonction "mode de traitement par boucle de rappel" non ?
Suis pas au taff, alors j'peux pas vérifier :whistle: |
| Wolfman | Ah oui, c'est du très bon ça :D
Je viens de tester et ça fonctionne impeccable. Pour la mise en oeuvre, voici comment j'ai procédé, ça servira à d'autres personnes. J'ai par exemple deux OU : METAFRAME UTILISATEURS Dans METAFRAME, j'ai tous les mes serveurs, sur lesquels s'appliquent déjà différentes stratégies machines. Dans UTILISATEURS, eh bien...j'ai mes utilisateurs. :D De même, j'ai quelques stratégies utilisateurs qui s'y appliquent, principalement de la connexion de lecteurs réseaux. Sur l'OU METAFRAME, je crée une stratégie machine pour activer le mode de traitement par boucle (cf réponse de chris-of-paris ci-dessus). Dans mon cas, je l'ai mis en mode "Fusionner". Toujours sur la même OU, je crée une stratégie utilisateur permettant de désactiver la commande Exécuter. Pour le coup, j'ai rebooté un serveur pour être sûr que tout ça s'applique rapidement...je vous rassure ce serveur n'est pas encore en production :whistle: Je me connecte dessus et hooooooo...magique...plus de commande Exécuter sur le dit serveur :D Je vais enfin pouvoir bloquer un maximum de choses sur ces serveurs :D |
| boisorbe | je m'etais pas encore penché sur ces boucles de rappel, ca a l'air vraiment sympa.
reste a voir la mise en oeuvre. je flag [:drapal] |
| chris-of-paris | Dans les GPO ->
Config de l'ordinateur -> Modèles d'administration -> Système -> Stratégie de groupe -> Mode de traitement par boucle de rappel[...] Vérifie dans sur l'onglet "expliquer" de la stratégie, c'est bien...euh..expliqué :D |
| Wolfman | C'est bon je crois que je trouve des pages.... :D je reviens... |
| Wolfman |
A tes souhaits :whistle:
|
| chris-of-paris | Tu as pensé à utiliser le "mode de traitement par boucle de rappel" ? Celà permet d'appliquer la stratégie uniquement sur les servers contenus dans une OU... |
| Wolfman | Me voici avec une petite question bien sadique.
Je gère une batterie de serveurs Citrix Metaframe XP FR3, sous Windows 2003 Server. Les habitués des plateformes Citrix connaissent déjà les problèmes habituels du au clic droit/Explorer qui fait apparaître le bureau du serveur depuis une application publiée. Jusque là, pas de problème, j'ai réussi à arranger. Par contre, ces petits malins d'utilisateurs trouvent le moyen d'utiliser la commande Exécuter du gestionnaire des tâches pour lancer le programme explorer.exe afin d'accéder au bureau :fou: J'ai bien sûr repéré la stratégie AD qui permet de désactiver cette commande, mais elle s'applique sur les utilisateurs sans distinction de machines. Ca va donc s'appliquer également en local sur les postes de travail, ce que je ne veux pas. Je souhaite que la stratégie ne s'applique QUE sur mes serveurs Citrix, et bien entendu pour les groupes d'utilisateurs désignés. Inutile de dire que si elle s'applique aussi aux administrateurs, je serai un peu emmerdé :D Autre solution à laquelle je pensais, il y a peut-être une clé qui peut être inscrite dans la base de registre afin d'appliquer une fonction équivalent dans le profil de l'utilisateur. Bien entendu, si une telle clé existe, le problème est que je ne la connais. Alors ? quelqu'un a-t-il une super idée ? thanks... :jap: |
