Bonjour,
 
nous avons à mettre en place une workstation IBM sous Windows xp pro
La machine n'a qu'un but : faire tourner une appli 24/24 (enregistrement vidéo).
 
c'est pourquoi nous aimerions appliquer des stratégies de sécurité non pas sur la machine, mais sur le compte utilisateur qui fera tourner le logiciel.
 
- En outre, il faudrait que l'utilisateur ne puisse accéder à rien de windows si ce n'est à la limite de se déloguer sachant que l'appli se lancera automatiquement lors de l'ouverture de sa session.
- Nous aimerions aussi faire marcher le lecteur cd et les ports usb uniquement par mot de passe.
- Bien sûr, l'utilisateur doit être en mesure d'utiliser sans problème le logiciel.
 
Il faut savoir aussi que c'est une machine isolée, ne dépendant d'aucun domaine ou groupe de travail.
 
Est-ce que c'est possible d'appliquer cela seulement à un compte utilisiteur ?
 
Merci d'avance.

démarrer > exéctuer > gpedit.msc (stratégie local de la machine)

oouais, mais encore ?
Je connais cela, mais les modifications apportées sur certains paramètres s'appliquent à l'ens des utilisateurs de la machine...
...a moins que j'ai raté quelque chose?

non, mais ta machine n'est pas sur un domaine et ne peut pas hériter de GPO ou de stratégie de groupe plus évolué, seul manière (et encore) d'arriver à ce que tu veux !
 

ouais, j'en suis arrivé à la même conclusion en fait.
 
Du coup, j'avais pensé à autre chose.
est-il possible dans ce cas, de "loader" une configuration de stratégies de sécurité à l'ouverture de session d'un utilisateur ?
L'idée étant de créer un GPEDIT pour l'utilisateur en question, qui se lancerait au démarrage de sa session. et d'un autre côté, un autre GPEDIT pour la session administrateur par exemple ?
ou quelque chose qui ressemblerait à ca en tout cas.
Je trouve ça bizarre quand même qu'on ne puisse pas sécuriser une machine autonome par rapport aux utilisateurs que l'on crée en local...

Au fait, merci pour tes réponses

 
oui, tu peux le faire mais  c'est du ressort des GPO, donc un domaine X !

ouais ok, chuis cuit quoi... Merci en tout cas

beh...de rien

Oui c'est possible d'appliquer des stratégie à un seul utilisateur sur un poste sans qu'il ne soit enrengistrer dans un domaine !
 
Il faut que tu créé un modéle de sécurité (fichier INF) puis que tu l'applique via la commande secedit !
 
http://www.laboratoire-microsoft.o [...] model_sec/

 
 
Le lien que tu mets ce sont des modéles de sécurité, mais je suis pas sûre que ça ne s'applique pas qu'à l'ordinateur ...fin bref !

gpedit.msc executé en local permet de modifier la stratégie de groupe locale, donc domaine ou pas, avec gestion des stratégies pour utilisateur (courant) ou ordinateur.
 
Si y'a un domaine, y'a éventuellement des stratégie de groupe sur OU, domaine, ... qui se rajoute à la stratégie locale.
 
rsop.msc (Resultant set of Strategy, W2K3 et WXP) affiche le jeu de stratégie résultant de l'accumulation des stratégies dans AD (si domaine il y a) et locale de l'utilisateur courant sur l'ordinateur.
 
Et bien sur, on peut ajouter des modèles de stratégie à la stratégie locale de l'ordinateur.
 
pour mettre à jour le jeu de stratégie résultant sur le compte courant de l'ordinateur :
- w2k : secedit /refreshpolicy user_policy|machine_policy /enforce
- wxp : gpupdate /force
 

Je comprends bien ce que tu me dis, mais est-ce que l'on peut appliquer une stratégie X et une autre stratégie Y sur un pst en local notament sur XP ? c'est ça dont je suis pas vraiment sûre
 
@+

2 stratégies locales différentes appliquée sur le même poste et le même utilisateur ?

 
 
Deux user avec deux stratégies différentes, sur le même poste en local  ? c'est possible ?

Je pensais que oui, mais suite à des tests sur un PC de la maison, la réponse est non.    
 
Si je change la stratégie configuration utilisateur sur le compte de ma fille après l'avoir mis dans le groupe admin pour pouvoir lancer gpedit, quand je supprime par ex le menu démarrer / executer..., je récupère cette stratégie utilisateur dans mon compte...  

c'est bien ça le soucis en local je crois

Ils auraient dû appelés ça Stratégie des utilisateurs  

Réponse ici :
 
 
C'est un poil de la bidouille mais c'est du Bellamy donc c'est OK :
 
http://www.bellamyjc.org/fr/strategie.html#exceptadmin
 
Mais cela s'appliquera à TOUS les users sauf les admins !

Voilà une bonne source d'information  
 
Je vais attendre la sortie de l'outil STRATEDIT servant à l'édition de stratégies pour un compte donné    
 
 

tester lundi soir... ca aurait été sympa mais ça n'a pas marché.
Je m'explique :
 
J'ai suivi la procédure pas à pas de microsoft :
http://support.microsoft.com/defau [...] ;fr;293655
 
Le problème est au point 11. Il apllique bien la registry. L'administrateur lors de l'ouverture de sa session récupère bien tous ses droits, mais lors de l'ouverture de la session utilisateur, il récupère lui aussi les droits (alors que Gpedit montre bien les stratégies restreintes, mais elle ne s'applique pas).
C'est donc une solution trop hasardeuse pour être réellement exploitable.
Enfin, si quelqu'un pouvait tester chez lui et me dire.
 
Il faut savoir que la machine installé chez le client a tous les composants windows désinstallé; bref, il a vraiment le minimum syndical pour survivre quoi.

Pourquoi ne pas lancer une interface plein écran au démarrage qui ne permet que d'éxécuter le programme dédié et l'arrêt / Redémarrage du PC ? C'est la solution utilisée par de nombreux professionnels pour brider et simplifier une interface...

tout à fait d'accord avec toi sur l'idée. Le problème étant que le logiciel en question (SecurOS d'ISS en fait) se compose d'une interface ressemblant fortement à celle de windows. En outre, elle a une barre des tâches et plusiseurs fénêtres déplaçable à volonté. En gros, le logiciel est tellement ouvert, qu'il s'implante parfaitement bien dans l'environnement Windows. Et c'est là que ça nous pose problème

Faut donc trouver un autre soft...  

J'avais trouvé sur softpedia un soft freeware (ou GPL, je n'sais plus) qui avait l'air pas mal, je vais essayer de te retrouver cela et te donnerai le lien

En gros, y'avait possibilité de faire du bureau virtuel, de brider l'interface et de passer de l'une à l'autre par mot de passe.

C'est Virtual Desktop Toolbox et c'est ici  Les possibilités de ce soft ont l'air IMPRESSIONNANTES !!!

Spas possible ça, on l'a déjà refourgué !!!  

 
je vais voir ça, merci bcq