> Tech > Restriction des utilisateurs

Restriction des utilisateurs

Tech - Par iTPro - Publié le 24 juin 2010
email

Les images créées par riprep.exe peuvent être utilisées sur des systèmes tournant sur différents matériels, mais la couche d'abstraction matérielle HAL (Hardware abstraction layer) doit être la même. Par exemple, on ne peut pas utiliser ACPI (Advanced Configuration and Power Interface) pour installer une image d'un ordinateur de bureau sur

un ordinateur portable. Il est donc logique de restreindre l’accès
aux images des utilisateurs d’ordinateurs de bureau. Pour cela on peut définir
des ACL pour le fichier d’installation automatique du setup (c’est-à -dire sif)
créé par riprep.exe. Une image riprep.exe ne possède généralement qu’un fichier
.sif, alors qu’une image d’OS sur CD-ROM peut en avoir plusieurs. Par défaut,
les fichiers .sif attribuent des permissions à  tout le monde. En supprimant le
groupe Tout le monde et en donnant explicitement des permissions à  un utilisateur
individuel ou à  un groupe, on peut contrôler le choix d’image présenté par l’Assistant
d’installation de client. Cette restriction est l’une des raisons pour lesquelles
les clients doivent ouvrir une session pour continuer avec l’assistant.Une autre
raison pour justifier l’authentification est de déterminer quelles sont les options
d’installation offertes à  l’utilisateurUne autre raison pour justifier l’authentification
est de déterminer quelles sont les options d’installation offertes à  l’utilisateur.

L’assistant en offre quatre :

· Installation automatique – Cette option utilise les conventions de noms des
ordinateurs et l’emplacement du compte d’ordinateur spécifié dans la configuration
du serveur RIS, et passe directement à  la liste des choix d’images d’OS. Si l’utilisateur
a été autorisé à  ne voir qu’un choix d’OS, l’assistant n’affichera pas le menu
des choix d’images d’OS. Au contraire, l’utilisateur se connectera et l’assistant
lui demandera seulement de confirmer que l’image de l’OS installée par RIS est
la bonne.

· Installation customisée – Cette option permet à  l’utilisateur de définir le
nom d’ordinateur et l’emplacement du compte avant présentation par l’assistant
des options d’images d’OS. Puis l’assistant affiche les choix d’images d’OS tout
comme dans l’option Installation automatique.

· Redémarrer une précédente tentative d’installation – Cette option permet aux
utilisateurs de relancer une installation ayant échoué. L’assistant n’invitera
pas l’utilisateur à  donner les noms ou les emplacements des ordinateurs.

· Maintenance et dépannage – Cette option affiche une liste des outils installés
que les utilisateurs peuvent utiliser dans l’environnement de pré-initialisation.

Pour contrôler l’affichage de ces choix, il est possible de définir une stratégie
de groupe pour les Options de choix RIS. Pour modifier les paramètres de RIS dans
la stratégie de domaines par défaut, ouvrez AD, cliquez avec le bouton droit sur
le domaine, sélectionnez Propriétés, puis l’onglet Stratégie de groupe. La stratégie
de groupe qui s’affiche s’appelle Stratégie de domaine par défaut. Mettez-la en
surbrillance et cliquez sur Edition. Le cadre de gauche de la fenêtre qui apparaît
affiche un dossier Paramètres Windows. Dans celui-ci, sélectionnez Services d’installation
à  distance et double-cliquez sur Choix d’options pour ouvrir l’écran Options de
choix RIS.

Pour chaque option, on peut choisir de permettre ou de refuser une stratégie ou
spécifier que peu vous importe. Si vous définissez une option Permettre, l’Assistant
d’installation de client l’affichera. Si vous définissez une option Refuser, l’assistant
n’affichera pas cette option. Et si vous choisissez la troisième option, l’assistant
utilise la stratégie de groupe du conteneur parent pour déterminer les options
à  afficher.

Dans mon environnement, j’ai laissé la stratégie de groupe de domaine par défaut
sur cette option. Pour mes clients RIS, j’ai créé un second GPO (Group Policy
Object), défini les permissions Appliquer la stratégie de groupe, pour le groupe
de sécurité contenant les clients et mis un drapeau Refuser sur chaque option
sauf l’Installation automatique. Lorsque les clients de mon environnement se connectent
à  l’Assistant d’installation de client, ils ne voient qu el’option Installation
automatique et l’assistant continue directement vers le menu des images d’OS.L’association
de RIS avec les composants CCM comme IntelliMirror et le WIS donne une solution
puissante pour simplifier la gestion des PC

Téléchargez gratuitement cette ressource

Comment sécuriser la Digital Workplace ?

Comment sécuriser la Digital Workplace ?

Avec le recours généralisé au télétravail, les entreprises ont ouvert davantage leur SI. En dépit des précautions prises, elles ont mécaniquement élargi leur surface d’exposition aux risques. Découvrez 5 axes à ne pas négliger dans ce Top 5 Sécurité du Télétravail.

Tech - Par iTPro - Publié le 24 juin 2010