Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3090 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Ce type de gpo existe t'il?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Ce type de gpo existe t'il?

n°89707
toche77
Posté le 08-01-2012 à 16:23:27  profilanswer
 

Bonjour,
 
Je suis novice dans le domaine des GPO et je me permet de vous poser une question:
 
Est il possible de créer une gpo utilisateur agissant uniquement sur des comptes précis comme des génériques ou administrateur qui bloquerait/désactiverait le lancement d’un programme ou service au démarrage d’une session.
 
Nous avons un programme qui plante systématiquement lorsque l’ouverture de session n’est pas faite avec un compte utilisateur classique.
L’option de désactiver pour tout le monde est totalement exclue
 
Une réponse positive me soulagerai beaucoup.
 
Un grand merci par avance.

mood
Publicité
Posté le 08-01-2012 à 16:23:27  profilanswer
 

n°89709
statoon54
Posté le 08-01-2012 à 16:41:10  profilanswer
 

Appliquer une GPO de ce type ne pose aucun problème du moment que le fonctionnement de ton application reste connue .
J'ai du mal a comprendre comment une appli peut planter en mode admnistrateur alors qu'elle fonctionne en mode utilisateur mais bon .....
Tu peux voir du coté de ces paramètres user configuration -> modele dadministration -> systeme -> ouverture de session -> ne pas traiter la liste de démarrage héritée .

 

Mais honnêtement , je pencherai plus pour comprendre ce qui peut poser problème avec le type de compte que de commencer a faire des bidouilles en vrac dans les gpo.

 


Message édité par statoon54 le 08-01-2012 à 19:13:51
n°89710
toche77
Posté le 08-01-2012 à 16:50:22  profilanswer
 

Super, merci pour ta réponse.
Pour t'expliquer un peu mieux, il s'agit d'un logiciel de communication d'entreprise qui démarre avec les identifiants de l'utilisateur.
Si on se connecte avec un compte admin ou générique, donc qui n'a pas de compte de communication, celui ci reste en attente de connexion.
Ça n'a pas d'incidence sur l'ouverture de session ou le fonctionnement de l'ordinateur sauf lors de la fermeture de la session ou il y a un message indiquant que Windows est en attente de la fermeture du programme en question.
 
En tout cas un grand merci à toi d'avoir répondu a ma question.

n°89711
statoon54
Posté le 08-01-2012 à 19:28:19  profilanswer
 

Sinon tu peux aussi supprimez la clé de registre qui démarre l'application ou qui supprime le raccourci de démarrage du profil utilisateur avec une GPP par exemple ou un script vb .  
Par contre il faut que la clé soit dans HKCU .
 
Tout dépend surtout de comment ton application démarre au final.

n°89727
drazor
Posté le 09-01-2012 à 12:20:08  profilanswer
 

j'aurais plutôt tendance à résoudre le problème que de faire une usine à gaz avec des GPO pour résoudre le soucis. Quel est le soucis, quel est l'appli qui pose le soucis. Je peux peut être t'aider ?

n°89733
toche77
Posté le 09-01-2012 à 12:39:06  profilanswer
 

Il sagit de Microsoft Lync, un compte sip est unifié a outlook.
Du coup, lors du démarrage de la session, le compte admin ou autre n'ayant pas de messagerie (donc pas de compte sip), il reste sur l'adresse par défaut d'installation : someone@example.com
Du coup, a chaque fois lors de la fermeture, c'est bloqué.
Je suis en train de chercher la manière dont l'application démarre et pour le moment je ne trouve pas grand chose.
 
En tout cas merci a vous de vouloir m'aider.
 
EDIT: d'après mes premières recherches, il lancement ne passe pas par HKCU, je continu les recherches de ce coté.


Message édité par toche77 le 09-01-2012 à 13:39:53
n°89744
Je@nb
Modérateur
Kindly give dime
Posté le 09-01-2012 à 13:35:56  profilanswer
 

J'ai Lync sur tous les pc et même si le compte n'est pas activé pour Lync ça ne pose aucun pb aux fermetures de sessions.

n°89745
toche77
Posté le 09-01-2012 à 13:40:32  profilanswer
 

Tu es sur quel environnement?  
Pour ma part, windows 7 32b

n°89746
Je@nb
Modérateur
Kindly give dime
Posté le 09-01-2012 à 13:47:03  profilanswer
 

Win 7 32 et 64bit

n°89762
toche77
Posté le 09-01-2012 à 16:24:33  profilanswer
 

Oui donc déjà il doit y avoir quelque chose qui cloche sur notre master.  
Ca en fait des pistes a approfondir...

mood
Publicité
Posté le 09-01-2012 à 16:24:33  profilanswer
 

n°89764
ichizoguiz​o
Posté le 09-01-2012 à 16:38:55  profilanswer
 

tu peux désactiver le pgm au lancement de windows tout simplement non ? et les comptes user le démarre manuellement via un raccourci par exemple ?


---------------
mon feedback => http://forum.hardware.fr/hfr/Achat [...] 2671_1.htm
n°89765
toche77
Posté le 09-01-2012 à 16:44:49  profilanswer
 

Cette solution a été expressément refusée par la direction.  Il doit démarrer en auto.  
Ca aurait été trop simple.  
Sinon je me demandais en attendant de trouver une solution fiable si j'allais pas reduire le temps d'attente avant de kill un pgm.  
Ca fait un peu rustine a mon goût.

n°89769
statoon54
Posté le 09-01-2012 à 18:06:44  profilanswer
 

Lync ne pose pas de problème en général .  
 
 
Temporairement ce que tu peux faire vu que tu utilises du windows 7 , c de faire un script powershell qui tue le processus lync pendant la session utilisateur.
Active l'execution de powershell via gpo sur les postes .
Crée un petit script powershell du genre  
KillLyncProcess.ps1
Get-Process | ? { $_.Name -like "Lync*" } | Stop-Process -Force
Change le nom du process qui bloque .  
 
Fais un essai avec le script en direct sur ta session .  
 
Si le processus se kill bien ,tu peux créer une GPP Taches planifiées ciblées avec une exécution retarder de 30s après l'ouverture de de session ,commande tu mets powershell -command "& {C:\Script\KillLyncProcess.ps1}"  , penses a transférer le fichier script en local dans C:\Script sur les machines avec une GPP copie de fichiers  . :hello:  
 
 

n°89778
toche77
Posté le 09-01-2012 à 23:05:02  profilanswer
 

Wahou, impressionnant.
Le script fonctionne bien, communicator.exe se kill bien et le fermeture de session se déroule à merveille du coup.
Edit: J'ai planifié une tache suivant ta méthode (30sec après ouverture de session) sur mon poste de test, c'est léger, transparent, bref, impeccable.

 

Ton idée me plait beaucoup, par contre, j'ai peur qu'aux yeux de mes superieurs, la gpo que tu m'a cité plus haut passe mieux (plus simple) que l'activation de script shell sur tous les postes, la copie sur tous les postes et une gpp avec tache planifiée.

 

En tous cas, je garde cette manip de coté car elle me sera certainement très utile prochainement.

 

Une question de débutant en gpo / gpp, en quoi une gpo parait elle plus usine que gpp?

 

Dernière chose en ce qui concerne ta première réponse, je ne vois pas trop comment on intégre lync (ou communicator.exe) dans la liste de démarrage hérité.

 

Et sincèrement, un grand merci encore.

 

EDIT: je ne sais pas ou j'avais les yeux ce matin, le communicator.exe est dans HKLM:Run


Message édité par toche77 le 10-01-2012 à 00:10:37
n°89788
statoon54
Posté le 10-01-2012 à 08:47:11  profilanswer
 

Il y aucun problème à utiliser des GPO ou GPP , surtout depuis windows 7 , juste qu'il faut bien les organiser et éviter d'en accumuler des tonnes pour rien .
Pour le script plus haut , tu peux tout aussi bien utiliser la gpp sans fichier ,  
powershell -command  {Get-Process | ? { $_.Name -like "Communicator*" } | Stop-Process -Force }
 
ça pose aucun problème ;)
Pour l’exécution de Powershell , c'est aujourd'hui , un must have à activer sur ses postes . Les stratégies d'éxecution sont là pour sécuriser . Une Stratégie d'éxecution "RemoteSigned" n'engage rien si tu l'actives .
 
Sinon pour la liste des programmes au démarrage faut utiliser le paramètre Exécuter les applications au démarrage , juste en dessous.

n°89789
nebulios
Posté le 10-01-2012 à 09:38:14  profilanswer
 

Ou plus simplement Get-Process Commmunicator* | Stop-Process ? Je ne vois pas trop l'intérêt d'un ForEach ici ?

n°89791
toche77
Posté le 10-01-2012 à 09:43:07  profilanswer
 

Super le script fonctionne vraiment bien, j'ai préparé une session de démonstration. (je vais essayer de leur faire accepter powershell.
 
Pour la 1ère GPO, si j'ai bien compris, dans le champ valeur de "Exécuter ces programmes à l'ouverture de session utilisateur" je met le chemin d'accès à communicator.exe
Ensuite, j'active "Ne pas traiter la liste d’exécution héritée"
 
Ça aura pour effet de bloquer le lancement de lync?
Par contre je remarque que dans les commentaires de la gpo, il est indiqué que ca concerne les systèmes 2000, xp et vista.
Seven sera pris en compte?
 
En tout cas cela donne envie d'appronfondir le powershell.
 
Je ne le répéterais jamais assez, encore merci.
 
Edit: que ce soit en local ou avec la gpp, la tache ne lance pas le script, j'ai l'impression qu'il ne comprend pas qu'il doit utiliser powershell.
Je tape la commande dans shell, pas de problème, mais une fois dans la partie "action" de la tache, je met powershell dans le champs programme/script et l'argument : powershell -command  {Get-Process communicator | ? { $_.Name -like "Communicator*" } | Stop-Process -Force }  
J'ai aussi essayé avec l'argument de Nebulios.
J'ai plusieurs fois vérifier le reste des paramètres, les autorisations, le compte.
C'est étonnant que ça passe en commande directe mais pas en tache...


Message édité par toche77 le 10-01-2012 à 12:08:30
n°89795
statoon54
Posté le 10-01-2012 à 12:04:17  profilanswer
 

nebulios a écrit :

Ou plus simplement Get-Process Commmunicator* | Stop-Process ? Je ne vois pas trop l'intérêt d'un ForEach ici ?

 

C pas un foreach c un where-object ;) le caractère "? {bloc}" , un filtre en somme . Le foreach-object est représenté par "%{bloc}" . Mais effectivement on peut en revenir à la commande Get-Process communicator* | Stop-Process -Force
D'ailleurs après test la commande suivante fonctionne aussi " Stop-Process -Name communicator* -Force "

 

@toche:Pour les gpo vista ,ca pose aucun prb pour windows 7 .

Message cité 1 fois
Message édité par statoon54 le 10-01-2012 à 12:23:16
n°89831
toche77
Posté le 11-01-2012 à 13:00:33  profilanswer
 

Bon, grâce à ton script, j'ai résolu le problème.
 
J'ai copier le script sur le serveur, fais une gpo temporaire d'autorisation de scripts powershell en RemoteSigned et une autre GPO qui exécute le script en dernier au démarrage. (soit environ 15secondes après que Lync ce soit lancé.)
 
Plus simple que de faire une tache planifiée ou de copier le script sur tous les postes.
 
Du coup, ça fonctionne super bien et tout le monde est content.
 
Encore merci à tous pour votre aide et vos conseils et surtout merci pour le script.

n°89839
nebulios
Posté le 11-01-2012 à 14:24:25  profilanswer
 

statoon54 a écrit :


 
C pas un foreach c un where-object ;)  


Autant pour moi j'ai confondu les deux alias  :pfff:


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Ce type de gpo existe t'il?

 

Sujets relatifs
Fiabilité du pare-feu des Box adsl type Livebox proQue me conseillez-vous comme type d'hébergement ?
VPN nomade via portail captif (type hotspot neuf)Type d'installation pour reception messages pre enregistres
routeurs type freeboxRecherche Hyperviseur de type 1 sur PC classique
[Résolu] Batch pour connaitre le type de système.type blindage câbles de brassage
SAN iSCSI type DELL, demande d'information sur la mise en place 
Plus de sujets relatifs à : Ce type de gpo existe t'il?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR