Ce type de gpo existe t'il?

Ce type de gpo existe t'il? - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 08-01-2012 à 16:23:27    

Bonjour,
 
Je suis novice dans le domaine des GPO et je me permet de vous poser une question:
 
Est il possible de créer une gpo utilisateur agissant uniquement sur des comptes précis comme des génériques ou administrateur qui bloquerait/désactiverait le lancement d’un programme ou service au démarrage d’une session.
 
Nous avons un programme qui plante systématiquement lorsque l’ouverture de session n’est pas faite avec un compte utilisateur classique.
L’option de désactiver pour tout le monde est totalement exclue
 
Une réponse positive me soulagerai beaucoup.
 
Un grand merci par avance.

Reply

Marsh Posté le 08-01-2012 à 16:23:27   

Reply

Marsh Posté le 08-01-2012 à 16:41:10    

Appliquer une GPO de ce type ne pose aucun problème du moment que le fonctionnement de ton application reste connue .
J'ai du mal a comprendre comment une appli peut planter en mode admnistrateur alors qu'elle fonctionne en mode utilisateur mais bon .....
Tu peux voir du coté de ces paramètres user configuration -> modele dadministration -> systeme -> ouverture de session -> ne pas traiter la liste de démarrage héritée .

 

Mais honnêtement , je pencherai plus pour comprendre ce qui peut poser problème avec le type de compte que de commencer a faire des bidouilles en vrac dans les gpo.

 


Message édité par statoon54 le 08-01-2012 à 19:13:51
Reply

Marsh Posté le 08-01-2012 à 16:50:22    

Super, merci pour ta réponse.
Pour t'expliquer un peu mieux, il s'agit d'un logiciel de communication d'entreprise qui démarre avec les identifiants de l'utilisateur.
Si on se connecte avec un compte admin ou générique, donc qui n'a pas de compte de communication, celui ci reste en attente de connexion.
Ça n'a pas d'incidence sur l'ouverture de session ou le fonctionnement de l'ordinateur sauf lors de la fermeture de la session ou il y a un message indiquant que Windows est en attente de la fermeture du programme en question.
 
En tout cas un grand merci à toi d'avoir répondu a ma question.

Reply

Marsh Posté le 08-01-2012 à 19:28:19    

Sinon tu peux aussi supprimez la clé de registre qui démarre l'application ou qui supprime le raccourci de démarrage du profil utilisateur avec une GPP par exemple ou un script vb .  
Par contre il faut que la clé soit dans HKCU .
 
Tout dépend surtout de comment ton application démarre au final.

Reply

Marsh Posté le 09-01-2012 à 12:20:08    

j'aurais plutôt tendance à résoudre le problème que de faire une usine à gaz avec des GPO pour résoudre le soucis. Quel est le soucis, quel est l'appli qui pose le soucis. Je peux peut être t'aider ?

Reply

Marsh Posté le 09-01-2012 à 12:39:06    

Il sagit de Microsoft Lync, un compte sip est unifié a outlook.
Du coup, lors du démarrage de la session, le compte admin ou autre n'ayant pas de messagerie (donc pas de compte sip), il reste sur l'adresse par défaut d'installation : someone@example.com
Du coup, a chaque fois lors de la fermeture, c'est bloqué.
Je suis en train de chercher la manière dont l'application démarre et pour le moment je ne trouve pas grand chose.
 
En tout cas merci a vous de vouloir m'aider.
 
EDIT: d'après mes premières recherches, il lancement ne passe pas par HKCU, je continu les recherches de ce coté.


Message édité par toche77 le 09-01-2012 à 13:39:53
Reply

Marsh Posté le 09-01-2012 à 13:35:56    

J'ai Lync sur tous les pc et même si le compte n'est pas activé pour Lync ça ne pose aucun pb aux fermetures de sessions.

Reply

Marsh Posté le 09-01-2012 à 13:40:32    

Tu es sur quel environnement?  
Pour ma part, windows 7 32b

Reply

Marsh Posté le 09-01-2012 à 13:47:03    

Win 7 32 et 64bit

Reply

Marsh Posté le 09-01-2012 à 16:24:33    

Oui donc déjà il doit y avoir quelque chose qui cloche sur notre master.  
Ca en fait des pistes a approfondir...

Reply

Marsh Posté le 09-01-2012 à 16:24:33   

Reply

Marsh Posté le 09-01-2012 à 16:38:55    

tu peux désactiver le pgm au lancement de windows tout simplement non ? et les comptes user le démarre manuellement via un raccourci par exemple ?


---------------
mon feedback => http://forum.hardware.fr/hfr/Achat [...] 2671_1.htm
Reply

Marsh Posté le 09-01-2012 à 16:44:49    

Cette solution a été expressément refusée par la direction.  Il doit démarrer en auto.  
Ca aurait été trop simple.  
Sinon je me demandais en attendant de trouver une solution fiable si j'allais pas reduire le temps d'attente avant de kill un pgm.  
Ca fait un peu rustine a mon goût.

Reply

Marsh Posté le 09-01-2012 à 18:06:44    

Lync ne pose pas de problème en général .  
 
 
Temporairement ce que tu peux faire vu que tu utilises du windows 7 , c de faire un script powershell qui tue le processus lync pendant la session utilisateur.
Active l'execution de powershell via gpo sur les postes .
Crée un petit script powershell du genre  
KillLyncProcess.ps1
Get-Process | ? { $_.Name -like "Lync*" } | Stop-Process -Force
Change le nom du process qui bloque .  
 
Fais un essai avec le script en direct sur ta session .  
 
Si le processus se kill bien ,tu peux créer une GPP Taches planifiées ciblées avec une exécution retarder de 30s après l'ouverture de de session ,commande tu mets powershell -command "& {C:\Script\KillLyncProcess.ps1}"  , penses a transférer le fichier script en local dans C:\Script sur les machines avec une GPP copie de fichiers  . :hello:  
 
 

Reply

Marsh Posté le 09-01-2012 à 23:05:02    

Wahou, impressionnant.
Le script fonctionne bien, communicator.exe se kill bien et le fermeture de session se déroule à merveille du coup.
Edit: J'ai planifié une tache suivant ta méthode (30sec après ouverture de session) sur mon poste de test, c'est léger, transparent, bref, impeccable.

 

Ton idée me plait beaucoup, par contre, j'ai peur qu'aux yeux de mes superieurs, la gpo que tu m'a cité plus haut passe mieux (plus simple) que l'activation de script shell sur tous les postes, la copie sur tous les postes et une gpp avec tache planifiée.

 

En tous cas, je garde cette manip de coté car elle me sera certainement très utile prochainement.

 

Une question de débutant en gpo / gpp, en quoi une gpo parait elle plus usine que gpp?

 

Dernière chose en ce qui concerne ta première réponse, je ne vois pas trop comment on intégre lync (ou communicator.exe) dans la liste de démarrage hérité.

 

Et sincèrement, un grand merci encore.

 

EDIT: je ne sais pas ou j'avais les yeux ce matin, le communicator.exe est dans HKLM:Run


Message édité par toche77 le 10-01-2012 à 00:10:37
Reply

Marsh Posté le 10-01-2012 à 08:47:11    

Il y aucun problème à utiliser des GPO ou GPP , surtout depuis windows 7 , juste qu'il faut bien les organiser et éviter d'en accumuler des tonnes pour rien .
Pour le script plus haut , tu peux tout aussi bien utiliser la gpp sans fichier ,  
powershell -command  {Get-Process | ? { $_.Name -like "Communicator*" } | Stop-Process -Force }
 
ça pose aucun problème ;)
Pour l’exécution de Powershell , c'est aujourd'hui , un must have à activer sur ses postes . Les stratégies d'éxecution sont là pour sécuriser . Une Stratégie d'éxecution "RemoteSigned" n'engage rien si tu l'actives .
 
Sinon pour la liste des programmes au démarrage faut utiliser le paramètre Exécuter les applications au démarrage , juste en dessous.

Reply

Marsh Posté le 10-01-2012 à 09:38:14    

Ou plus simplement Get-Process Commmunicator* | Stop-Process ? Je ne vois pas trop l'intérêt d'un ForEach ici ?

Reply

Marsh Posté le 10-01-2012 à 09:43:07    

Super le script fonctionne vraiment bien, j'ai préparé une session de démonstration. (je vais essayer de leur faire accepter powershell.
 
Pour la 1ère GPO, si j'ai bien compris, dans le champ valeur de "Exécuter ces programmes à l'ouverture de session utilisateur" je met le chemin d'accès à communicator.exe
Ensuite, j'active "Ne pas traiter la liste d’exécution héritée"
 
Ça aura pour effet de bloquer le lancement de lync?
Par contre je remarque que dans les commentaires de la gpo, il est indiqué que ca concerne les systèmes 2000, xp et vista.
Seven sera pris en compte?
 
En tout cas cela donne envie d'appronfondir le powershell.
 
Je ne le répéterais jamais assez, encore merci.
 
Edit: que ce soit en local ou avec la gpp, la tache ne lance pas le script, j'ai l'impression qu'il ne comprend pas qu'il doit utiliser powershell.
Je tape la commande dans shell, pas de problème, mais une fois dans la partie "action" de la tache, je met powershell dans le champs programme/script et l'argument : powershell -command  {Get-Process communicator | ? { $_.Name -like "Communicator*" } | Stop-Process -Force }  
J'ai aussi essayé avec l'argument de Nebulios.
J'ai plusieurs fois vérifier le reste des paramètres, les autorisations, le compte.
C'est étonnant que ça passe en commande directe mais pas en tache...


Message édité par toche77 le 10-01-2012 à 12:08:30
Reply

Marsh Posté le 10-01-2012 à 12:04:17    

nebulios a écrit :

Ou plus simplement Get-Process Commmunicator* | Stop-Process ? Je ne vois pas trop l'intérêt d'un ForEach ici ?

 

C pas un foreach c un where-object ;) le caractère "? {bloc}" , un filtre en somme . Le foreach-object est représenté par "%{bloc}" . Mais effectivement on peut en revenir à la commande Get-Process communicator* | Stop-Process -Force
D'ailleurs après test la commande suivante fonctionne aussi " Stop-Process -Name communicator* -Force "

 

@toche:Pour les gpo vista ,ca pose aucun prb pour windows 7 .

Message cité 1 fois
Message édité par statoon54 le 10-01-2012 à 12:23:16
Reply

Marsh Posté le 11-01-2012 à 13:00:33    

Bon, grâce à ton script, j'ai résolu le problème.
 
J'ai copier le script sur le serveur, fais une gpo temporaire d'autorisation de scripts powershell en RemoteSigned et une autre GPO qui exécute le script en dernier au démarrage. (soit environ 15secondes après que Lync ce soit lancé.)
 
Plus simple que de faire une tache planifiée ou de copier le script sur tous les postes.
 
Du coup, ça fonctionne super bien et tout le monde est content.
 
Encore merci à tous pour votre aide et vos conseils et surtout merci pour le script.

Reply

Marsh Posté le 11-01-2012 à 14:24:25    

statoon54 a écrit :


 
C pas un foreach c un where-object ;)  


Autant pour moi j'ai confondu les deux alias  :pfff:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed