Tuto - GPO - Créer un fichier .adm personnalisé

Koin-Koin · Octobre 16, 2010, 2:44

Bonjour,

Suite à cette discussion, voici une tentative de tutoriel sur le sujet.

Préambule:
Cet article s’adresse aux personnes qui maitrise les notions de base concernant la base registre et les stratégies de groupe (GPO).

Appliquer une GPO revient à modifier une valeur de clé de registre, ainsi tout paramétrage de l’OS ou d’une application est potentiellement transposable en GPO.
Pour ce faire, il faut créer un fichier .adm (un simple fichier texte).

Quelques liens de références:

Écriture de fichiers ADM personnalisés pour l’Éditeur de stratégie système
How to Write a Simple .Adm File for Registry-based Group Policy
GPO Masters (en français)
L’utilitaire RegToADM
Using Administrative Template Files with Registry-Based Group Policy (Livre Blanc en anglais)
Administrative Template File Format

Tutoriel
Afin de rester simple et concret, je vais commenter un fichier .adm qui est en production dans mon environnement.

Ce fichier définit en fait deux GPO:

Autologon: permet de définir compte (nom et domaine, mot de passe) pour qu’une machine ouvre une session automatiquement au démarrage
ForceAutologon: permet de forcer l’ouverture de session automatique après la fermeture de session

Voici le contenu du fichier:


#if version >= 3		<- Présent avant chaque GPO ou groupe de GPOs, permet de définir à partir de quel niveau d'OS cette GPO peut s'appliquer

CLASS MACHINE		<- Définit Si la GPO est de niveau machine (MACHINE) ou utilisateur (USER), il ne peut y avoir qu'une fois chaque valeur dans un fichier.

CATEGORY System		<- Définit ou se situe la GPO dans l'inteface de gestion des GPO (console MS)
CATEGORY Logon		<- les categories s'imbriquent pour apparaitre sous forme d'arborescence dans la console


	POLICY !!AutoLogon	<- Début de la définition de la GPO "!!" permet à la fois de définir le nom de celle-ci dans la console et l'étiquette du texte de description (Rubrique [strings] en fin de fichier)

	EXPLAIN !!AutoLogon_Help	<- Définition de l'étiquette du texte d'aide (Rubrique [strings] en fin de fichier)
		KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"	<- Clé du registre ou se situe la valeur
		VALUENAME "AutoAdminLogon"	<- Nom de la valeur du registre à paramétrer, ici Activer/Désactiver
			VALUEON  1		<- Donnée de la valeur pour activer le paramètre
			VALUEOFF 0		<- Donnée de la valeur pour désactiver le paramètre
		PART "DefaultUserName" EDITTEXT	<- Les rubriques PART permettent d'ajouter des paramètres complémentaires lorsque la GPO est activé
		VALUENAME "DefaultUserName"	<- Nom de la valeur du registre à paramétrer, ici du texte à saisir induit par EDITTEXT qur la ligne précédente
		END PART				<- Fin de la rubrique PART
		PART "DefaultPassword" EDITTEXT	<- Seconde rubrique PART, encore du texte à saisir
		VALUENAME "DefaultPassword"
		END PART 				<- Fin de la seconde rubrique PART
		PART "DefaultDomainName" EDITTEXT
		VALUENAME "DefaultDomainName"
		END PART 

		PART "AutoAdminLogon" EDITTEXT
			VALUENAME "AutoAdminLogon"
		END PART
 


	END POLICY ; AutoLogon	<- fin de la définition de la GPO, le ";" met en commentaire la suite de la ligne, la reprise du nom de la GPO n'est ici que pour la lisibilité


	POLICY !!ForceAutoLogon	<- Début de la seconde GPO qui est classée au même niveau dans l'arborescence
		KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" 
		VALUENAME "ForceAutoLogon"
			VALUEON Numeric "1"		<- A noter ici l'utilisation de "Numeric" qui s'applique pour des valeur de type DWORD ou BINARY, les valeurs étant de type RG_SZ par défaut 
			VALUEOFF Numeric "0"
	END POLICY		<- fin de la définition de la GPO, 

END CATEGORY    ; Logon		<- fin du dernier niveau de CATEGORY

END CATEGORY    ; System	<- fin du premier niveau de CATEGORY

#endif				<- Fin de la condition de niveau d'OS

[strings]		<- Cette rubrique définit le texte (Descriptifs et aides) correspondant aux étiquettes utilisées précédemment
ForceAutoLogon="Force AutoLogon With LogOff User"
AutoLogon="Automated logon for managed workstations"
AutoLogon_Help="Sets account name, password, and domain to enable automatic logon  to system without user intervention. This policy was created to allow for shared workstation access in a managed environment. Be aware that the name and password are readable within the GPO and control access accordingly."

Et voici ce que cela donne dans l’interface de la console:

[Photo supprimée]

La GPO Autologon non paramétrée
[Photo supprimée]
La GPO Autologon paramétrée
[Photo supprimée]
La GPO ForceAutoLogon
[Photo supprimée]
Edité le 08/12/2011 à 17:50

Koin-Koin · Octobre 16, 2010, 2:46

Je ne suis pas complètement satisfait de l’article mais je pense que c’est ce que je peux faire de mieux sans y passer trop de temps.

J’essaierais de l’améliorer petit à petit.

Vos commentaires sont évidemment les bienvenus.

Koin-Koin · Février 7, 2011, 4:42

Ajout de liens supplémentaires

brutax · Février 8, 2011, 10:01

Salut !

Merci pour ce tuto

Au passage, que diriez-vous de voir s’il serait possible d’ouvrir une section du forum un peu plus “pro” avec les OS serveurs, la virtualisation, AD, GPO, DNS et tout ça ?

Koin-Koin · Février 8, 2011, 11:02

Personnellement je n’ai rien contre, mais est-ce que le tri sur l’OS n’est pas déjà suffisant ?

Un topic dédié pour poser la question et avoir l’avis des autres forumeurs me semble tout indiqué.

Koin-Koin · Décembre 19, 2011, 11:50

Petit déterrage de topic histoire d’ajouter un exemple supplémentaire.

Suite à un audit externe, il nous a été préconisé de désactiver le SSL2 sur nos serveurs afin de forcer l’utilisation de SSL3.
En se basant sur les informations de cet article, voici ce que donne la GPO pour activer/désactiver les protocoles au choix:

CLASS MACHINE

CATEGORY System
CATEGORY "Security Providers"
CATEGORY "Secured Channel"
CATEGORY Protocols

 POLICY !!Multi-Protocol_Unified_Hello
 EXPLAIN !!Multi-Protocol_Unified_Hello_Help

  KEYNAME "SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\Multi-Protocol Unified Hello\Server"
  VALUENAME "Enabled"
  VALUEON Numeric "1"
  VALUEOFF Numeric "0"

 END POLICY

 POLICY !!PCT_1.0
 EXPLAIN !!PCT_1.0_Help

  KEYNAME "SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\PCT 1.0\Server"
  VALUENAME "Enabled"
  VALUEON Numeric "1"
  VALUEOFF Numeric "0"

 END POLICY

 POLICY !!SSL_2.0
 EXPLAIN !!SSL_2.0_Help

  KEYNAME "SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server"
  VALUENAME "Enabled"
  VALUEON Numeric "1"
  VALUEOFF Numeric "0"

 END POLICY

 POLICY !!SSL_3.0
 EXPLAIN !!SSL_3.0_Help

  KEYNAME "SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server"
  VALUENAME "Enabled"
  VALUEON Numeric "1"
  VALUEOFF Numeric "0"

 END POLICY

 POLICY !!TLS_1.0
 EXPLAIN !!TLS_1.0_Help

  KEYNAME "SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server"
  VALUENAME "Enabled"
  VALUEON Numeric "1"
  VALUEOFF Numeric "0"

 END POLICY


END CATEGORY
END CATEGORY
END CATEGORY
END CATEGORY


[strings]
Multi-Protocol_Unified_Hello="Multi-Protocol Unified Hello Setting"
Multi-Protocol_Unified_Hello_Help="Enable/Disable Multi-Protocol Unified Hello"
PCT_1.0="PCT 1.0 Setting"
PCT_1.0_Help="Enable/Disable PCT 1.0"
SSL_2.0="SSL_2.0 Setting"
SSL_2.0_Help="Enable/Disable SSL_2.0"
SSL_3.0="SSL_3.0 Setting"
SSL_3.0_Help="Enable/Disable SSL_3.0"
TLS_1.0="PCT 1.0 Setting"
TLS_1.0_Help="Enable/Disable TLS 1.0"

francois2010 · Janvier 19, 2012, 5:14

puige avoir une liste de tuto a lire pour aquérire les notion de bas pour savoir et comprandre la base de rejistre