Bonjour,
 
1) En utilisant les GPO, comment faire pour bloquer l'accés aux users des lecteurs cd, disquette, usb de leur poste ?
 
2) Lors de l'installation d'un domaine controller pour la création d'un domaine enfant, les "records SRV" du serveur DNS qui se trouve dans le domaine root ne se creent pas. ????
 
3) Si je voudrais par exemple, installer une suite office sur tous les posts clients dés qu'il ce log, comment faire ? Aussi via les GPO.
 
Merci d'avance

Salut, les réponses à tes questions m'intéresse au plus haut point...
 
Peut tu les poster si tu as trouvé les réponses.
 
Merci

 
Alors pour ton UO, tu vas dans prorpriété, onglet strategie de groupe, tu cliques sur modifier.
 
puis tu vas dans configuration utilisateur > composant windows > explorateur windows
 
et la t'as un paramètre "dans le poste de travail, masqué les lecteurs spécifique"!  
 
pour la question 3) par une GPO je ne sais pas si c'est possible, ne faudrait il pas un logiciel de deploiement ?

Pour la question 3) ca doit etre possible avec un script de démarrage qui vérifie si office est installé sur la machine et si non il l'installe.  
 
Tu peux aussi assigner une stratégie en fonction de tes machines pour qu'au prochain démarrage, Office s'installe automatiquement. Pour cela il faut que tu aies l'install au format .msi et un dossier partagé avec le fichier d'install où les droits sont en fonction des machines.

Ca veut dire quoi UO ??

Je le trouve pas l'onglet "Stratégie de groupe" ???
 
Oups...

 
UO = Unité Organisationelle (des containers en quelques sortes)
L'équivalent de OU en anglais (plus fréquemment entendu) qui veut dire Organizational Unit.
 
Par exemple les OU par défaut quand tu montes un AD sont "Computers", "Users" etc.. Et tu peux en créer autant que tu veux, suivant tes besoins.

 
avant le log (au demarrage) ou a leur ouverture de session (uniquement clients XP et 2003)?

-message deja poste dans un autre sujet-
 
mise en place pour un deploiement d'application via l'AD:
 
ce n'est pas un tutorial a proprement parlé, mais quelques regles de base.
 
1/ La première démarche à faire, c'est determiner si on veut déployer les applications par rapport à ces machines ou par rapport à ces utilisateurs.
suivant le cas, c'est soit via conf. ordinateur soit via conf. utilisateur
 
2/ par la suite, il y a differentes methodes de déploiement : l'attribution ou la publication. La différence, c'est soit on impose l'installation (installation auto au démarrage par exemple) soit on la propose (via ajout/suppression de programmes).
Il existe 4 modes possibles :
* attribution ordinateur - installation au démarrage
* attribution utilisateur - installation à la première utilisation
* attribution utilisateur - installation à l'ouverture de session (uniquement sous clients XP et 2003)
* publication utilisateur - proposition d'installation de logiciels via ajout/suppression de programmes (onglet ajout de nouveaux programmes)
 
3/ Le parametrage des applications en déploiement s'effectuent avec des fichiers MST (fichiers de transforme). il s'agit de fichiers contenant des informations propres a un parametrage specifique. Pour Office, il y a dans le Office Ressource Kit (ORK) un assistant qui permet de paramétrer Office et de générer le fichier MST correspondant. Pour Acrobat, il faut utiliser InstallShieldTuner pour Acrobat qui fait la même chose pour Acrobat.
 
4/ il existe d'autres possibilités de gérer les installations via les GPO : le filtrage de sécurite ou les filtres WMI (server AD 2003).  
° Le filtrage de sécurite permet d'appliquer la GPO uniquement sur le (ou les) ordinateur(s) ou utilisateur(s) ou groupe(s) de sécurite (ordinateur ou utilisateur) de son domaine. (par défaut, utilisateurs du domaine)
° Les filtres WMI permettent d'appliquer la GPO suivant une caracteristique WMI (exemples :suivant l'OS ou le service pack, suivant la RAM disponible....-c'est vaste!!-)
 
5/ Enfin Les fichiers MSI. Ce sont des 'setup' à la sauce Windows. Une de leurs particularités est le deploiement via l'AD.
Préparation de l'installation pour déploiement:
°Créer un partage sur un serveur (bien vérifier les droits d'accès)
NB: il est préférable -ET MEME FORTEMENT RECOMMANDER- d'utiliser des liens DFS pour accéder aux partages (au cas ou la source -le serveur- ne serait pas disponible: dans ce cas, il suffira d'ajouter une nouvelle source sans toucher les GPO)
°Il faut "installer" les applications sur ce partage (installation administrative). -voir "msiexec.exe /a" ou "setup.exe /a"-
 
6/ Après avoir créer une GPO, si on desire ajouter les fichiers de transforme MST au deploiement de tes applications, ne pas oublier de selectionner le mode 'attribution avancé' ou 'publication avancée' pour accéder à l'onglet 'Transformations' d'ajout de ces fichiers.
 
sachez qu'il y a d'autres fonctionnalités propres aux GPO (gestion de la desinstallation, gestion de la mise à jour -upgrade-).
On peut egalement installer des applications n'utilisant pas la technologie Windows Installer (MSI) via des fichiers ZAP (attention, necessitent les droits admin pour l'utilisateur).

Ouah ! Merci de l'expliquation...
 
Mais imaginons que l'on veut installer office sur tous les nouveaux ordinateurs qui se connecte au réseau, on fais comment ???

Tu peux forcer ton install par gpo pour un user ou pour un pc

 
c'est pas complique. voici la demarche.
sur l'OU racine (sous laquelle se trouvent tous tes ordinateurs) tu lies la strategie d'Office crée avec en filtrage de securite le groupe d'ordinateur sur lesquels tu desires deployer Office (il n'y a QUE EUX qui subiront la strategie), NB: enleve utilisateurs du domaine au filtrage de securite.
 
lorsque tu declares une nouvelle machine dans ton domaine, tu la rajoute a ton OU et tu l'ajoutes dans le groupe de securite de l'application Office.
(dans mon exemple, je considere le deploiement d'Office comme deploiement ordinateur en mode attribué cad qui s'installe au demarrage)
----> lorsque la machine se connectera au domaine lors du demarrage, l'application Office s'installera automatiquement

 
Euh   , je sais, j'fais le boulet mais c'est pas super clair pour un débutant...
 
 

sous 2003, tu as deux outils d'aministration : 'Utilisateurs et Ordinateurs Active Directory' et ' Gestion de stratégie de groupes'.  
 
° Avec le premier, tu definis les utilisateurs, ordinateurs et groupes (ainsi que les OU, pour y lier les stratégies avec l'autre outil 'Gestion des stratégies...')  
 
° Avec les deuxieme, tu y crée tes stratégies (par défaut, tu as deja quelques stratégies en place comme Default Domain Policy)
Ces stratégies s'appliquent sur les OU (clic-droit sur une OU, lier une stratégie)

nicolas, je reprends le message de Raaly pour t'apporter une explication sur pourquoi tu n'as pas trouvé l'onglet 'Stratégie de groupe' :  
 

 
Raaly possede un Active Directory sous Windows2000. Les outils d'administration AD ne sont pas les meme que sous 2003.  
En fait, au depart, Utilisateurs et Ordinateurs ActiveDirectory CONTENAIT l'Outil Gestion de Stratégies de groupes' (Propriétés>Onglet 'Stratégie de groupe').  
---> d'ou ta réponse  
 

 
 
Par la suite, sous 2003, Microsoft a scinde cet outil en deux pour une meilleur lisibilité.
 
 

Nicolas, je te conseille vivement te documenter sur l'Active Directory. Il est preferable d'avoir quelques connaissances de base de telle facon a ce que tu puisse cerne le fonctionnement global (notion d'objet AD, connaissance des autres outils de gestion AD).

http://manu.all-3rd.net/docs/hsc/d [...] index.html

http://www.laboratoire-microsoft.o [...] n/startad/

Tutorial sur le LDAP :
http://www-sop.inria.fr/semir/pers [...] livre.html

whitepaper sur le design d'un ActiveDirectory - WINDOWS2000 !!! -
http://www.labo-microsoft.com/whitepapers/13780/

Merci à toi pour toutes ces expliquations...  
 
Tu habites ou mnpg ???
 
La je me balade sur la gestion de stratégie de groupe et l'AD...
 
Ca a l'air un peu cho, mais j vais faire des ptits tests...
 
Par exemple, comment je pourrais laisser l'utilisateur du domaine gérer lui même son pare feu de windows, je le vois dans la gestion de stratégie de groupe, "Interdire l'utilisation de pare-feu de connexion Internet sur le réseau de votre domaine DNS", je clic dessus est la je vois "Interdire l'utilisation de pare-feu de connexion Internet sur le réseau de votre domaine DNS" qui est activé. Si je clic droit dessus et je clic sur modifier, ca m'ouvre l'éditeur de stratégie de groupe et en haut de son arborescence je vois "stratégie pare feu de connexion internet small business Server" et en dessous je vois "configuration utilisateur" ou "configuration ordinateur".
 
Alors ma question est la suivante, pour désactiver cette stratégie (car on a que 2 pc de brancher, c'est juste pour faire un test) je fais koi ?
 
1- Je clic droit sur "stratégie pare feu de connexion internet small business Server" puis sur propriété, et enfin je mets une croix dans désactiver pour les ordis et les utilisateurs ???
 
2- Ou je fouille dans les arborescences ???
 
 

Installation d'Active Directory sous Windows 2003 - Windows 2003 (video):
http://microsoft.supinfo.com/videos/5336/

lyon

 
la facon la plus simple,c'est de definir un groupe d'utilisateurs qui subira la stratégie du pare-feu puis dans la partie Filtrage de sécurité de la GPO (Group Object Policy = Stratégie de groupe en FR), tu remplaces le groupe 'Utilisateurs du domaine' par ce groupe fraichement crée  
 
et le tour est joué  ----> ne subiront la stratégie que les utilisateurs appartenants à ce groupe.

As tu SBS 2003 ?

non

Je t'ai envoyé un MP !

up
 
nicolas_lep: une réponse pour le FW ?