[GPO/AD/Citrix] Désactiver la commande Exécuter

Désactiver la commande Exécuter [GPO/AD/Citrix] - Windows & Software

Marsh Posté le 30-06-2004 à 12:04:41    

Me voici avec une petite question bien sadique.
 
Je gère une batterie de serveurs Citrix Metaframe XP FR3, sous Windows 2003 Server. Les habitués des plateformes Citrix connaissent déjà les problèmes habituels du au clic droit/Explorer qui fait apparaître le bureau du serveur depuis une application publiée. Jusque là, pas de problème, j'ai réussi à arranger.
 
Par contre, ces petits malins d'utilisateurs trouvent le moyen d'utiliser la commande Exécuter du gestionnaire des tâches pour lancer le programme explorer.exe afin d'accéder au bureau :fou:
 
J'ai bien sûr repéré la stratégie AD qui permet de désactiver cette commande, mais elle s'applique sur les utilisateurs sans distinction de machines. Ca va donc s'appliquer également en local sur les postes de travail, ce que je ne veux pas. Je souhaite que la stratégie ne s'applique QUE sur mes serveurs Citrix, et bien entendu pour les groupes d'utilisateurs désignés. Inutile de dire que si elle s'applique aussi aux administrateurs, je serai un peu emmerdé :D
 
Autre solution à laquelle je pensais, il y a peut-être une clé qui peut être inscrite dans la base de registre afin d'appliquer une fonction équivalent dans le profil de l'utilisateur. Bien entendu, si une telle clé existe, le problème est que je ne la connais.
 
Alors ? quelqu'un a-t-il une super idée ? thanks... :jap:


Message édité par Wolfman le 01-07-2004 à 10:05:05
Reply

Marsh Posté le 30-06-2004 à 12:04:41   

Reply

Marsh Posté le 30-06-2004 à 13:15:35    

Tu as pensé à utiliser le "mode de traitement par boucle de rappel" ? Celà permet d'appliquer la stratégie uniquement sur les servers contenus dans une OU...

Reply

Marsh Posté le 30-06-2004 à 13:16:44    

chris-of-paris a écrit :

Tu as pensé à utiliser le "mode de traitement par boucle de rappel" ? Celà permet d'appliquer la stratégie uniquement sur les servers contenus dans une OU...

A tes souhaits :whistle:
Euh je connais pas, ça...c'est quoi donc ? T'as des infos ou un petit lien là-dessus ?

Reply

Marsh Posté le 30-06-2004 à 13:20:21    

C'est bon je crois que je trouve des pages.... :D je reviens...

Reply

Marsh Posté le 30-06-2004 à 13:21:24    

Dans les GPO ->
 
Config de l'ordinateur ->
        Modèles d'administration ->
                              Système ->
                                  Stratégie de groupe ->
Mode de traitement par boucle de rappel[...]
 
Vérifie dans sur l'onglet "expliquer" de la stratégie, c'est bien...euh..expliqué  :D  
 
 
 
 
 

Reply

Marsh Posté le 30-06-2004 à 13:36:10    

je m'etais pas encore penché sur ces boucles de rappel, ca a l'air vraiment sympa.
reste a voir la mise en oeuvre.
 
je flag [:drapal]


Message édité par boisorbe le 30-06-2004 à 13:37:42

---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 30-06-2004 à 13:43:45    

Ah oui, c'est du très bon ça :D
 
Je viens de tester et ça fonctionne impeccable. Pour la mise en oeuvre, voici comment j'ai procédé, ça servira à d'autres personnes. J'ai par exemple deux OU :
 
METAFRAME
UTILISATEURS
 
Dans METAFRAME, j'ai tous les mes serveurs, sur lesquels s'appliquent déjà différentes stratégies machines.
Dans UTILISATEURS, eh bien...j'ai mes utilisateurs. :D De même, j'ai quelques stratégies utilisateurs qui s'y appliquent, principalement de la connexion de lecteurs réseaux.
 
Sur l'OU METAFRAME, je crée une stratégie machine pour activer le mode de traitement par boucle (cf réponse de chris-of-paris ci-dessus). Dans mon cas, je l'ai mis en mode "Fusionner".
Toujours sur la même OU, je crée une stratégie utilisateur permettant de désactiver la commande Exécuter.
 
Pour le coup, j'ai rebooté un serveur pour être sûr que tout ça s'applique rapidement...je vous rassure ce serveur n'est pas encore en production :whistle:
 
Je me connecte dessus et hooooooo...magique...plus de commande Exécuter sur le dit serveur :D
 
Je vais enfin pouvoir bloquer un maximum de choses sur ces serveurs :D

Reply

Marsh Posté le 30-06-2004 à 13:49:25    

J'ai le même problème (faire un bureau distant complètement bridé), mais sous AD 2000, y'a pas la fonction "mode de traitement par boucle de rappel" non ?
 
Suis pas au taff, alors j'peux pas vérifier  :whistle:


Message édité par LaTeX_ le 30-06-2004 à 13:49:45
Reply

Marsh Posté le 30-06-2004 à 13:50:29    

LaTeX_ a écrit :

J'ai le même problème (faire un bureau distant complètement bridé), mais sous AD 2000, y'a pas la fonction "mode de traitement par boucle de rappel" non ?
 
Suis pas au taff, alors j'peux pas vérifier  :whistle:

Si, tu dois l'avoir. Mes serveurs Metaframe sont sous Win2003, mais le controleur de domaine est un AD Win2000.

Reply

Marsh Posté le 30-06-2004 à 13:54:16    

Wolfman a écrit :

Si, tu dois l'avoir. Mes serveurs Metaframe sont sous Win2003, mais le controleur de domaine est un AD Win2000.


 
j'vérifierais lundi... j'avais essayé de faire "refuser" pour l'application de la stratégie sur un groupe d'ordinateur, mais ca refuse uniquement la configuration ordinateur, la config utilisateur passe... et l'utilisateur retrouve la config bridée sur son poste...  plus de panneau de config, de lecteurs a: à f:, de clic droit...  :pt1cable:
 
edit : en tout cas merci du tuyau  :jap:


Message édité par LaTeX_ le 30-06-2004 à 13:54:44
Reply

Marsh Posté le 30-06-2004 à 13:54:16   

Reply

Marsh Posté le 30-06-2004 à 13:58:46    

LaTeX_ a écrit :

j'vérifierais lundi... j'avais essayé de faire "refuser" pour l'application de la stratégie sur un groupe d'ordinateur, mais ca refuse uniquement la configuration ordinateur, la config utilisateur passe... et l'utilisateur retrouve la config bridée sur son poste...  plus de panneau de config, de lecteurs a: à f:, de clic droit...  :pt1cable:
 
edit : en tout cas merci du tuyau  :jap:


Attention, ça suppose que tes utilisateurs sont dans une autre OU !!! De plus, tes stratégies utilisateurs "spécifiques", il faut que tu les mettes sur l'OU des machines, pas sur l'OU de tes utilisateurs...sinon forcément ... :D

Reply

Marsh Posté le 30-06-2004 à 14:06:32    

juste un mot pour confirmer que la strategie existe sous 2000 :D


---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 30-06-2004 à 14:09:52    

actuellement, les serveurs sont dans une OU "Citrix", les utilisateurs dans une OU générale "Résidences".
 
Certains postes sont sur le domaine, d'autres en workgroup... certains utilisateurs ouvrent donc préalablement une session sur un poste du domaine.
 
A la création de compte, on mets l'utilisateur dans l'OU citrix ou s'appliquent les restrictions utilisateurs, on fait les réglages de la session ICA (outlook pour le compte mail), on ferme la session ICA et on verrouille le profil utilisateur TSE en renommant le ntuser.dat en ntuser.man . Enfin on remet l'utilisateur dans son OU d'origine.
 
Donc vraiment pas pratique du tout du tout... et l'utilisateur ne peut rien changer dans outlook ou certains programmes (disposition des fenetres, signature des mails, etc) et dire que c'est un mcse qui nous a pondu çà  :o
 
J'viens de regarder dans gpedit.msc et c'est bien dans 2k  :)  
 
Par contre tu a utilisé "fusionner" ou "remplacer" ?


Message édité par LaTeX_ le 30-06-2004 à 14:11:44
Reply

Marsh Posté le 30-06-2004 à 19:15:57    

LaTeX_ a écrit :

actuellement, les serveurs sont dans une OU "Citrix", les utilisateurs dans une OU générale "Résidences".
 
Certains postes sont sur le domaine, d'autres en workgroup... certains utilisateurs ouvrent donc préalablement une session sur un poste du domaine.
 
A la création de compte, on mets l'utilisateur dans l'OU citrix ou s'appliquent les restrictions utilisateurs, on fait les réglages de la session ICA (outlook pour le compte mail), on ferme la session ICA et on verrouille le profil utilisateur TSE en renommant le ntuser.dat en ntuser.man . Enfin on remet l'utilisateur dans son OU d'origine.
 
Donc vraiment pas pratique du tout du tout... et l'utilisateur ne peut rien changer dans outlook ou certains programmes (disposition des fenetres, signature des mails, etc) et dire que c'est un mcse qui nous a pondu çà  :o
 
J'viens de regarder dans gpedit.msc et c'est bien dans 2k  :)  
 
Par contre tu a utilisé "fusionner" ou "remplacer" ?


Ca correspond tout à fait à notre architecture. Voici mon conseil :
 
Dans ton OU Citrix, tu ne mets que tes serveurs Citrix.
Dans ton OU Résidences, tu mets tes utilisateurs
 
Ensuite, sur l'OU Résidences, tu mets les stratégies utilisateur qui doivent s'appliquer n'importe où (dans ou hors Citrix).
Sur l'OU Citrix, tu mets tes GPO machines ainsi que la stratégie dont on a parlé précédemment. Sur cette OU, tu mets également tes stratégies utilisateurs qui ne s'appliqueront alors aux utilisateurs que lorsqu'ils seront sur les serveurs Citrix...
 
Pour le choix du type d'application, j'ai mis Fusionner : ainsi toutes les GPO utilisateurs s'appliquent et se mélangent, qu'elles soient sur mon OU Utilisateurs ou sur mon OU Metaframe.


Message édité par Wolfman le 30-06-2004 à 19:17:36
Reply

Marsh Posté le 30-06-2004 à 19:52:14    

bonsoir,
 
Je possède une architecture similaire pour mon client. Tous nos serveurs Citrix sont dans une meme OU. Sur cette OU est appliquée une GPO avec activation de la boucle de Rappel; j'ai pris l'option "REMPLACER"; Dans cette GPO, j'ai implémenté l'option permettant d'interdir l'utilisation de "Explorer.exe" car mes users ont rapidement trouvé la méthode pour prendre en PMAD les serveurs....))
Au niveau des sécurités sur cette GPO, je la refuse aux Administrateurs afin que les administrateurs ne soient pas génés pour l'administration et la maintenance système.
Par contre ma GPO sur les serveurs Citrix est assez lourde (Sécurité oblige) et je trouve que le tps d'ouverture de session pour une application publiée est relativement long  :fou:  
 
Cdt,
 
Noisetta.
 
 
 
 

Wolfman a écrit :

Ca correspond tout à fait à notre architecture. Voici mon conseil :
 
Dans ton OU Citrix, tu ne mets que tes serveurs Citrix.
Dans ton OU Résidences, tu mets tes utilisateurs
 
Ensuite, sur l'OU Résidences, tu mets les stratégies utilisateur qui doivent s'appliquer n'importe où (dans ou hors Citrix).
Sur l'OU Citrix, tu mets tes GPO machines ainsi que la stratégie dont on a parlé précédemment. Sur cette OU, tu mets également tes stratégies utilisateurs qui ne s'appliqueront alors aux utilisateurs que lorsqu'ils seront sur les serveurs Citrix...
 
Pour le choix du type d'application, j'ai mis Fusionner : ainsi toutes les GPO utilisateurs s'appliquent et se mélangent, qu'elles soient sur mon OU Utilisateurs ou sur mon OU Metaframe.

Reply

Marsh Posté le 30-06-2004 à 21:32:11    

Wolfman a écrit :

Ca correspond tout à fait à notre architecture. Voici mon conseil :
 
Dans ton OU Citrix, tu ne mets que tes serveurs Citrix.
Dans ton OU Résidences, tu mets tes utilisateurs
 
Ensuite, sur l'OU Résidences, tu mets les stratégies utilisateur qui doivent s'appliquer n'importe où (dans ou hors Citrix).
Sur l'OU Citrix, tu mets tes GPO machines ainsi que la stratégie dont on a parlé précédemment. Sur cette OU, tu mets également tes stratégies utilisateurs qui ne s'appliqueront alors aux utilisateurs que lorsqu'ils seront sur les serveurs Citrix...
 
Pour le choix du type d'application, j'ai mis Fusionner : ainsi toutes les GPO utilisateurs s'appliquent et se mélangent, qu'elles soient sur mon OU Utilisateurs ou sur mon OU Metaframe.


 
En gros si je pige bien, dès qu'un user s'authentifiera sur un serveur citrix il appliquera la stratégie ordi de l'OU "Citrix", puis :
 
-La stratégie utilisateur de l'OU "Résidence" fusionnée avec la stratégie utilisateur de l'OU "Citrix".
 
--OU--
 
-La stratégie utilisateur de l'OU "Résidence" remplacée par la stratégie utilisateur de l'OU "Citrix". (en gros que cette dernière donc!)
 
Moi ce serait donc (tjrs si j'ai bien saisi) le réglage "remplacer" que j'utiliserai, je veux un truc complètement spécifique sur le serveur, n'ayant aucun lien avec le poste client  :)  
 
J'ai hate de mettre ca en oeuvre lundi  :whistle:

Reply

Marsh Posté le 30-06-2004 à 21:39:48    

noisetta a écrit :

bonsoir,
 
Je possède une architecture similaire pour mon client. Tous nos serveurs Citrix sont dans une meme OU. Sur cette OU est appliquée une GPO avec activation de la boucle de Rappel; j'ai pris l'option "REMPLACER"; Dans cette GPO, j'ai implémenté l'option permettant d'interdir l'utilisation de "Explorer.exe" car mes users ont rapidement trouvé la méthode pour prendre en PMAD les serveurs....))
Au niveau des sécurités sur cette GPO, je la refuse aux Administrateurs afin que les administrateurs ne soient pas génés pour l'administration et la maintenance système.
Par contre ma GPO sur les serveurs Citrix est assez lourde (Sécurité oblige) et je trouve que le tps d'ouverture de session pour une application publiée est relativement long  :fou:  
 
Cdt,
 
Noisetta.


 
Perso avec une ferme anciennement en TSE NT4 et XPa SP1, puis basculée sur du 2000 SP4 et citrix XPa SP3, on avait des ouvertures de sessions interminables (en gros 10-20% des users bloqués sur le fond d'écran,que ce soit en appli publiée ou bureau). Après des analyses de dumps des 4 process par citrix, de mises en oeuvre de tas de patch MS, un patch citrix... on est repassé sur un nouvelle ferme avec des serveurs en 2000 SP3 et citrix XPa SP3... et là plus de blocage  :pt1cable:  
 
Du coup on sait pas si çà vient du SP4 de 2000, on ne pouvait pas le désinstaller, ou d'avoir récupéré une ancienne ferme nt4 locale puis basculé sur un serveur SQL...
 
Enfin bon si les ouvertures de sessions sont longue, mais se font, c'est pas dramatique, enfin tout est relatif  :whistle:

Reply

Marsh Posté le 10-07-2004 à 19:06:16    

C'est le SP4 de 2000 qui fout la brouille ... j'ai X clients qui m'ont appelé durant la semaine de sortie du SP4 ;)

Reply

Marsh Posté le 11-07-2004 à 00:28:07    

Alex-95 a écrit :

C'est le SP4 de 2000 qui fout la brouille ... j'ai X clients qui m'ont appelé durant la semaine de sortie du SP4 ;)


 
citrix sous le sp4 c'est proscrit alors ?

Reply

Marsh Posté le 11-07-2004 à 15:14:36    

LaTeX_ a écrit :

citrix sous le sp4 c'est proscrit alors ?


J'ai effectivement entendu des gens parler de problèmes sous Win2000 SP4. De mon côté, nous avons plusieurs plateformes Citrix Metaframe, que ce soit chez nous ou chez nos clients, le tout sous Win2000 SP4, et on n'a jamais rencontré de problèmes particuliers.

Reply

Marsh Posté le 11-07-2004 à 22:43:38    

je crois que pour des problèmes de lenteur extreme suite au SP4 microsoft et citrix on sorti des patchs correctifs.
avec les derniers patch plus de lenteurs.
 
mais j'ai aps encore teste, on passe nos citrix en SP4 cette été :D


---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 12-07-2004 à 00:06:55    

boisorbe a écrit :

je crois que pour des problèmes de lenteur extreme suite au SP4 microsoft et citrix on sorti des patchs correctifs.
avec les derniers patch plus de lenteurs.
 
mais j'ai aps encore teste, on passe nos citrix en SP4 cette été :D


 
on avait passé un patch citrix + quelques patch microsoft mais rien n'y a fait  :sweat:

Reply

Marsh Posté le 14-06-2005 à 10:38:23    

Wolfman a écrit :

Je gère une batterie de serveurs Citrix Metaframe XP FR3, sous Windows 2003 Server. Les habitués des plateformes Citrix connaissent déjà les problèmes habituels du au clic droit/Explorer qui fait apparaître le bureau du serveur depuis une application publiée. Jusque là, pas de problème, j'ai réussi à arranger.


 
Petit up :D
 
Comment tu as fait ça ?

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed