Gestion des droits sur Windows 7 Pro

Bonjour,

Mes 450 postes sont désormais sous Windows 7, lors de la migration des os j’ai converti mes utilisateurs en utilisateur de base. Ils étaient administrateur locaux des machines sous XP (Je sais c’est pas bien). Hors maintenant lorsqu’une maj flash player ou firefox apparait le système demande une elevation de privilège et ce n’est pas pratique du tout surtout lorsque certains postes sont à 250 bornes du site où je travail et qu’il n’y a personne pour aider les utilisateurs sur place (je bosse dans l’éduc nat).

Auriez-vous une méthode pour autorisé l’installation des mises à jour des logiciels tiers installés sur notre parc (Wsus se chargeant de la mise à jour des logiciels Microsoft). J’ai effectué des test avec une GPO mais cela ne me convient pas.

Merci de votre aide

Bonjour,

En tant que “gestionnaire” de parc avec autant de postes, tu as la possibilité de contacter le “help desk” de MS.
Tu peux déjà commencer par cela: support.microsoft.com…

Malheureusement ça fait partie de ces logiciels mal programmés, avec tous les softs Adobe (tu auras le même problème avec Adobe Reader), qui ont besoin des droits administrateurs pour une simple mise à jours…

Je n’ai pas trouvé la solution, à part contourner le problème en travaillant avec des serveurs RDS… :frowning:

Sinon, tu as le bon vieux pcAnywhere…
Edité le 22/02/2012 à 01:31

La seule réponse proposé par Adobe c’est de faire un push de la nouvelle version de flash via GPO, je ne vais pas m’amuser à faire une GPO flash, une autre pour reader et encore une autre pour adobe air.

Bon je vais continué mes recherches via les GPO en espérant que j’arriverai à une solution convainquante. Pour la prise de controle je me sers de rdp. Mais intervenir sur une bécane juste pour faire une maj de flash ça me gonfle.

Merci de votre aide en tout cas
Edité le 22/02/2012 à 11:24

Bonjour.

Je ne sais pas si cette astuce fonctionne , mais cela ne coute à rien d’essayer :

Ouvrir le registre , puis déployer cette branche

[i]HKEY_CRRENT_USER\Software\Policies\Microsoft\Windows\Installer[/i]

Créer une valeur DWORD AlwaysInstallElevated , lui mettre comme donnée 1 (un) .

Il faudra certainement refaire un démarrage pour que l’opération soit prise en compte .
Edité le 22/02/2012 à 11:22

Pas bête j’essaye de suite
Edité le 22/02/2012 à 11:22

Bonjour,

Personnellement je me poserais la question différemment:

  • est-ce que je laisse les utilisateurs mettre à jour eux même les outils ?

L’idée serait surtout de désactiver la mise à jour automatique des produits Adobe:

  • d’abord en m’assurant qu’à l’installation celle-ci ne se met pas en place
  • ensuite en la désactivant sur tout les postes déjà installés

Après je suis partisan de gérer les mises à jour de manière globale mais évidemment selon l’environnement les solutions sont variées.

L’inconvénient en donnant les droits d’installation avec privilèges aux utilisateurs comme le suggère Foxburry (d’ailleurs ça se fait très bien par GPO), cela revient presque à ne pas avoir retirer les droits d’admin :neutre:

Bien évidemment c’est à toi de voir où se situe ce que j’appelle “le point d’équilibre” entre ce que tu gagne d’un coté et ce que tu perds de l’autre (facilité vs sécurité, sécurité supplémentaire vs gestion supplémentaire,…) ce point d’équilibre étant différent pour chacun.

Koin-Koin

Ce que je recherche c’est un moyen me permettant de contourner l’uac au moins pour l’installation des mises à jour flash et autres. Pour l’installation des logiciel là c’est différent, c’est moi qui gére je n’installe un logiciel que lorsque qu’il a été validé et tester par nos soins (j’entends par vérification son origine et sa propreté en terme de virus).

Ce que je veux c’est trouver le juste équilibre entre sécurité et pragmatisme, avec un réseau étendue comme le mien je ne peux plus me permettre de laisser une liberté totale à mes utilisateurs.

As tu essayer la solution utilisateurs avec pouvoir ?
Edité le 22/02/2012 à 12:36

Dans mon environnement une des règles de base est que les utilisateurs ne doivent pas être en mesure d’installer un logiciel par eux même donc non je ne m’en sers pas.

Par contre je t’invite à lire ceci pour mieux comprendre ce que son usage implique.

Je suis bien d’accord, l’installation de logiciel et l’installation de mise à jour sont deux choses à gérer distinctement (ça ne veux pas dire ne pas gérer l’un en fonction de l’autre).

De mon coté voici comment nous gérons notre parc:

  • installation complète d’un poste: master entièrement automatisé mis à jour régulièrement pour inclure les nouveaux patchs et nouvelles version de soft (ou nouveau soft tout court)
  • déploiement de mise à jour mensuellement: utilisation d’un outil tiers dédié (en l’occurrence Shavlik NetCheck), utilisé de telle manière que le master est mis à jour en même temps
  • déploiement d’un nouveau soft/composant: malheureusement un peu trop au cas par cas même si j’essaie de toujours utiliser les mêmes méthodes/outils (NetCheck en faisant partie mais parfois un bon script et un compte de déploiement font l’affaire) la difficulté étant avant tout d’être certain de cibler tout les postes mais là c’est avant tout avoir un inventaire à jour de son parc

ah oui, pour mieux te rendre compte, l'environnement est constituer de 70 sites distants répartis sur deux pays (avant c'était plus mais bon, la crise toussa...) Edité le 22/02/2012 à 13:05

Ok merci, nous aussi nous utilisons un master automatisé (Serveur WDS). Il faut que je trouve la solution la plus simple et si possible gratuite.

En tout cas merci pour les conseils.

Effectivement je vais pas utilisé la modification de la base de registre c’est trop risqué

L’anglais n’étant pas mon truc (et je suis fainéant), tu peux m’en dire un peu plus là dessus !
Ca m’intéresse !
[:superguipom]

Bon d’accord j’aurais pu chercher un lien en français mais comme c’est toi, je vais faire un effort de traduction :o
[spoiler]Parce que cette stratégie permet aux utilisateurs d’installer des applications qui nécessitent à des répertoires et de des clés de registres pour lesquels l’utilisateur peut ne pas avoir les permissions d’accès ou de modification, vous devriez vérifier si cela donne aux utilisateurs un niveau de sécurité approprié. Appliquer cette stratégie force Windows Installer à utiliser les Permissions Systèmes lorsqu’une application est installer sur le poste. Si cette stratégie n’est pas paramétrée, les applications qui ne sont pas distribuées par l’administrateur sont installé avec les droits utilisateur et seules les applications gérées (sous-entendu par des règles d’administration via GPO ou autres) obtiennent les droits étendus.

Notez qu’une fois la stratégie AlwaysInstallElevated est activé au niveau de la stratégie machine, n’importe quel utilisateur peut choisir son propre réglage.[/spoiler]

PS: oui je sais il y a quelques tournures qui ne sont pas rigoureuse :o


[quote="colino77"] Ok merci, nous aussi nous utilisons un master automatisé (Serveur WDS). Il faut que je trouve la solution la plus simple et si possible gratuite.

En tout cas merci pour les conseils.

Effectivement je vais pas utilisé la modification de la base de registre c’est trop risqué
[/quote]
De rien, c’est bien à ça que sert le forum :icon_biggrin:

Mon conseil pour faire simple:

  • dans un premier temps supprimer le message pour ne plus solliciter les utilisateurs pour rien quitte à ce les postes ne se mettent plus a jour tout seul
  • mettre en place une stratégie pour le maintien des postes a jour

Pour les mises à jour système j’utilise Wsus avec reboot automatique, donc qu’ils soient administrateur ou utilisateur de base ne change rien, les mises à jour s’installe. Mais là je ne vais quand même pas mettre en place une stratégie de push via GPO il y a trop de logiciels à mettre a jour flash, firefox, java, adobe reader c’est galère et super contraignant enfin je le ferai si il n’y a pas d’autre choix.

Et toi koin-koin tu utilises quoi comme logiciel ou méthode, mise à part la mise à jour des machines par master automatisé

Perso je n’ai jamais obtenu de résultat satisfaisant pour la distribution de soft par GPO donc je comprends tout a fait ta position à ce sujet.

Comme dis précédemment, ça dépend essentiellement de ce qu’il y a à mettre jour/distribuer mais voici une liste non exhaustive de méthodes:

  • compte dédié avec un script de connexion associé: tu te log avec ce compte et le script fait ce que tu lui a demandé
  • tâches programmés
  • installation à distance si le soft le permet (certain logiciel comme les antivirus intègre une console qui permet le déploiement à distance

Certains logiciels payant permettent de se faciliter la vie mais souvent il sont remplaçable par un peu d’astuce.

J’utilise beaucoup Dameware Utilities qui permet de faire beaucoup de chose à distance (modif BdR, programmation de tâches, services …).

Pour les patches c’est actuellement Shavlik NetCheck Pro (ça s’appelle maintenant VMware vCenter Protect Essentials Plus) dont un des grand avantages est que l’on peut s’en servir sans le moindre agent. Je m’en sert peu pour la distribution de logiciel mais ça fonctionne aussi, il est également possible de faire beaucoup de chose en mode custom.

Je suis toujours avec la version 7.8 mais il faut savoir que la grosse nouveauté de la version 8.0 est de pouvoir scripter des actions sur les postes et cela étant énormément ses possibilités (c’est également un des meilleurs support utilisateur auquel j’ai eu affaire).

Il y a une version gratuite mais je ne connais pas le détail de la licence d’utilisation donc si ça s’applique à ton environnement. Il faut savoir que l’outil est basé sur du Cloud computing. Bien évidemment il est beaucoup plus restreint que l’outil payant :neutre:

Dans la gamme outils gratuits et j’irai jusqu’à dire indispensable il y a la suite d’outils SysInternal dont la “sous-suite” PSTools (psexec…)

Les commandes natives [REG[/url], FORFILES, [url=http://technet.microsoft.com/fr-fr/library/bb491003.aspx]Shutdown](http://technet.microsoft.com/fr-fr/library/cc732643(v=ws.10).aspx), …

Ce que je te conseille:

  • prend un cas concret
  • trouve la solution la plus adapté
  • essaie de la généraliser à un autre cas
  • capitalise sur une méthode suffisamment générique même si cela te demande un investissement pour avoir quelque chose de propre et ré-utilise la le plus souvent possible
  • fait pareil pour l’installation dans ton master, plus la méthode est commune mieux c’est

Le temps “perdu” la première fois sera vite récupéré sur le long terme.