Déploiement de Stratégie de Groupes Locales

Ce forum est destiné au support entre utilisateurs de logiciel OPSI
Antworten
guillaume
Beiträge: 23
Registriert: 19 Feb 2019, 18:08

Déploiement de Stratégie de Groupes Locales

Beitrag von guillaume »

Bonjour tout le monde,

Je me demandais quelle serait la meilleure option pour pousser une stratégie de groupe locale pour les utilisateurs et ordinateurs via OPSI sur les ordinateurs au bureau. En effet nous ne voulons pas utiliser d'AD pour le peu de personnes que l'on a sur site et limiter nos frais au maximum.
  1. Est ce qu'il vaut mieux privilégier un import d'un fichier texte d'une stratégie provenant d'une machine de test par exemple ?
  2. Est ce qu'il vaut mieux privilégier la création d'entrées dans la base de registre ?
  3. Est ce qu'il vaut mieux cloner le fichier config-win-10 ou config-win-base et affiner les options pour configurer selon nos besoins ?
L'idée est de forcer ou bloquer certaines choses comme les mises à jour de sécurités Windows, interdire l'installation des MAJ Chrome et Firefox (pour les installer seulement via OPSI), activer le numlock, activer l'ICMP dans le firewall, activer le bureau distant sur les ordinateurs et aussi dans le Firewall etc ...

Je reste à votre écoute pour discuter autour de ça et prendre la meilleure option.

Merci !
Benutzeravatar
SisterOfMercy
Beiträge: 1217
Registriert: 22 Jun 2012, 19:18

Re: Déploiement de Stratégie de Groupes Locales

Beitrag von SisterOfMercy »

Well, because no one seems to be responding as of yet...

I use registry entries, plain and simple. I make a snapshot of the registry, then change something in gpedit.msc, and make another snapshot of the registry.
The only downside with this that it is not easy to see what policies are in effect, and when it is deployed you can not see this from gpedit.msc.
Directly using the registry always works, so you do not have to work with policies that are not applying, or have to use them with a domain.

I recommend keeping your references in the opsi script (IE: the url where you found it), and to not put all your policy settings in one large script, because that has bitten me a bit.
Bitte schreiben Sie Deutsch, when I'm responding in the German-speaking part of the forum!
guillaume
Beiträge: 23
Registriert: 19 Feb 2019, 18:08

Re: Déploiement de Stratégie de Groupes Locales

Beitrag von guillaume »

Thanks a lot,

I'm going to think about that because in the same way i'd like to set Firefox and Chrome restrictions (plugins installation for example) and add Favorties too.
So i'll have some registry key to change or add on computers at the same time ... That is not an emergency but i'll work on it and give a feedback for the community if others users are in the same case.

When you tell
and to not put all your policy settings in one large script, because that has bitten me a bit
What's the rule or bests practices ? A script for all FW and AV rules, a script for all internet browsers rules etc or something else ? :?:
guillaume
Beiträge: 23
Registriert: 19 Feb 2019, 18:08

Re: Déploiement de Stratégie de Groupes Locales

Beitrag von guillaume »

Hi Sister of Mercy,

I start deploying restrictions on Firefox and Chrome ... it looks like to work correctly ! I was wondering if you have a good way to manage computers and not only applications with registry changes ? If yes how did you do it ?

Thanks for your help

---

Bonjour Sister of Mercy,

J'ai commencé à déployer des restrictions pour Firefox et Chrome ... ca semble fonctionner correctement ! Je me demandais si tu avais une idée pour gérer des machines et pas seulement des logiciels avec des changements dans la base de registre ? Si oui, comment fais tu cela ?

Merci pour ton aide
guillaume
Beiträge: 23
Registriert: 19 Feb 2019, 18:08

Re: Déploiement de Stratégie de Groupes Locales

Beitrag von guillaume »

Bonjour,

J'ai commencé à mettre en place des gestions et restriction sur firefox et chrome, mais je voudrais étendre cela à d'autres applications et à Windows 10. Je me demande si mon approche est correcte et sinon comment corriger cela pour que je puisse être plus agile dans les restrictions appliquées.

Je m'explique :
  • Je n'utilise et ne veut pas d'AD pour l'instant
  • J'applique mes restrictions via la base de registre
  • Plus je regarde ca et plus je trouve que ca manque de finesse ...
  • Pour la réversibilité, ca demande à coder mon fichier de désinstallation avec un REG DELETE pour chaque commande

Code: Alles auswählen

[Winbatch_install]
"%ScriptPath%\$SetupFile$" /S

; Désactivation des mises à jour automatiques
REG ADD "HKLM\Software\Policies\Mozilla\Firefox" /v DisableAppUpdate /t REG_DWORD /d 1 /f

; Activer les mises à jour automatiques des plugins
REG ADD "HKLM\Software\Policies\Mozilla\Firefox" /v ExtensionUpdate /t REG_DWORD /d 1 /f

; Désactivation de l'enregistrement des mots de passe dans Firefox
REG ADD "HKLM\Software\Policies\Mozilla\Firefox" /v PasswordManagerEnabled /t REG_DWORD /d 0 /f

; Désactivation de la fonction Pocket
REG ADD "HKLM\Software\Policies\Mozilla\Firefox" /v DisablePocket /t REG_DWORD /d 1 /f

; Désactivation de la synchroniation des comptes Firefox
REG ADD "HKLM\Software\Policies\Mozilla\Firefox" /v DisableFirefoxAccounts /t REG_DWORD /d 1 /f

; Installation des plugins autorisés
REG ADD "HKLM\Software\Policies\Mozilla\Firefox\InstallAddonsPermission" /v Default /t REG_DWORD /d 1 /f
REG ADD "HKLM\Software\Policies\Mozilla\Firefox\InstallAddonsPermission\Allow" /v 1 /t REG_SZ /d https://addons.mozilla.org/firefox/downloads/file/3775705/connecteur_pour_antidote-10.2.82-fx.xpi /f
REG ADD "HKLM\Software\Policies\Mozilla\Firefox\InstallAddonsPermission\Allow" /v 1 /t REG_SZ /d https://addons.mozilla.org/firefox/downloads/file/3484096/web_developer-2.0.5-an+fx.xpi /f
Je me dis que une configuration comme config-win10 pourrait être une bonne chose en y mettant tout ce que je veux activer ou non comme restrictions, mais je ne sais pas par ou commencer ...
  • Est ce que je fais une configuration de gestion du registre pour chaque logiciel ?
  • Est ce que je fais une configuration de gestion du registre pour Windows ?
  • Est ce que je modifie le fchier de configuration config-win10 ? Mais en cas de mise à jour de OPSI, est ce que je risque de tout perdre ?
  • Est ce que je fais quelque chose de combiné pour mes logiciels et Windows ?
Merci pour vos conseils, vos morceaux de script et vos idées pour mieux travailler ceci.

Guillaume
Benutzeravatar
SisterOfMercy
Beiträge: 1217
Registriert: 22 Jun 2012, 19:18

Re: Déploiement de Stratégie de Groupes Locales

Beitrag von SisterOfMercy »

Why are you not using Registry sections in your script?
https://download.uib.de/4.2/documentati ... t-registry

Example:

Code: Alles auswählen

Registry_system /SysNative
Registry_RDP_AllProfiles /AllNTUserDats

[Registry_system]
; Set services startup timeout to 300 seconds
openkey [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
set "ServicesPipeTimeout" = REG_DWORD:0x000493e0

[Registry_RDP_AllProfiles]
; Do not check RDP certs
openkey [HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client]
set "AuthenticationLevelOverride" = REG_DWORD:00000000
Bitte schreiben Sie Deutsch, when I'm responding in the German-speaking part of the forum!
Antworten