Windows 10 – Modèles de GPO ADMX

windows10-logo

Microsoft a publié les nouveaux modèles de GPO pour Windows 10 à l’adresse suivante : http://www.microsoft.com/en-us/download/details.aspx?id=48257

A noter que les modèles peuvent être installés sur une machine qui n’a pas Windows 10.

L’installeur est au format MSI et copie les modèles dans C:\Program Files (x86)\Microsoft Group Policy\Windows 10\PolicyDefinitions

Par défaut, le répertoire contient les fichiers ADMX et les sous dossiers de traduction linguistique avec les fichiers ADML.

Ce package intègre 10 fichiers supplémentaires par rapport à ceux présents nativement dans le système Windows 10 qu’on peut trouver dans le répertoire C:\Windows\PolicyDefinition

  • Fileserverssagent.admx
  • grouppolicypreferences.admx
  • gamedvr.admx
  • terminalserver-server.admx
  • userdatabackup.admx
  • deliveryoptimization.admx
  • grouppolicy-server.admx
  • mmcsnapins1.admx
  • textinput.admx
  • windowsserver.admx

Pour profiter de ces nouveaux réglages sur l’ensemble du parc, il faut les déployer dans le Sysvol (%systemroot%\sysvol\domain\policies\PolicyDefinitions) du Central Store d’un des controleurs de domaine : https://msdn.microsoft.com/en-us/library/bb530196.aspx

Après l’insertion des ADMX, il est possible de rencontrer un warning dans la console des stratégies de groupe gpmc.msc indiquant : Microsoft.Policies.Sensors.WindowsLocationProvider’ is already defined.

Ce problème est connu et documenté chez Microsoft à l’adresse suivante : https://support.microsoft.com/en-us/kb/3077013

Microsoft a également publié la liste des réglages disponibles à l’adresse suivante :

Group Policy Settings Reference for Windows and Windows Server

On y trouve notamment des réglages pour gérer le nouveau navigateur Microsoft Edge.

Internet Explorer 11 – Mode Entreprise

Le navigateur Internet de Microsoft, Internet Explorer est aujourd’hui disponible en version 11.

Internet Explorer 11

Face à la concurrence de Mozilla Firefox et Google Chrome, Microsoft améliore son navigateur et y implémente des fonctionnalités majeures comme le mode entreprise ou la protection de la vie privée.

Le navigateur peut être téléchargé à cette adresse : http://windows.microsoft.com/fr-fr/internet-explorer/download-ie

A propos d'IE11

A propos d’IE11

La page dédié à Internet Explorer dans Technet http://technet.microsoft.com/fr-fr/library/bb265256.aspx offre la possibilité de consulter le guide de déploiement d’Internet Explorer 11 ou encore de télécharger le kit d’administration (IEAK) pour Internet Explorer 11.

Déployer IE11

Le mode Entreprise d’Internet Explorer 11 est un mode de compatibilité qui permet d’afficher des sites Web à l’aide d’une configuration de navigateur modifiée conçue pour émuler Internet Explorer 8. On évite ainsi des problèmes de compatibilité couramment associés aux applications Web écrites et testées sur des versions anciennes d’Internet Explorer.

Ce mode apporte :

  • une compatibilité accrue des sites Webs et des applications

    Mode entreprise activé

    Mode entreprise activé

  • un controle centralisé grâce aux stratégies de groupes (GPO utilisateur, Composants Windows, Internet Explorer)
Spécifier ici l'URL du fichier XML généré avec l'application Entreprise Mode Site List Manager pour centraliser la diffusion de la configuration

Spécifier ici l’URL du fichier XML généré avec l’application Entreprise Mode List Site Manager pour centraliser la diffusion de la configuration par GPO

Autoriser les utilisateurs à activer le mode entreprise

Autoriser les utilisateurs à activer le mode entreprise par GPO

L'utilisateur peut activer le mode entreprise par le menu Outils

L’utilisateur peut activer le mode entreprise par le menu Outils

 

IE11 List Manager

IE11 Enterprise Mode Site List Manager

L’application permet de générer une liste au format XML des sites à afficher avec le mode entreprise.

 

L’ensemble de ces réglages est accessible également à partir du registre

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main\EnterpriseMode]
"SiteList" = Adresse URL du Fichier
 
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main\EnterpriseMode]
"Enable" = "" | {URL:port}
Les paramètres du mode entreprise dans le registre

Les paramètres du mode entreprise dans le registre

Enfin, on notera qu’il est possible d’activer ce paramètre à partir d’Internet Explorer grâce au menu développeur, accessible en pressant la touche F12

L'émulation de versions antérieures d'IE en mode développeur

L’émulation de versions antérieures d’IE en mode développeur

Pour plus d’nformations : http://msdn.microsoft.com/fr-fr/library/dn640687.aspx ou http://blogs.msdn.com/b/ie/archive/2014/04/02/stay-up-to-date-with-enterprise-mode-for-internet-explorer-11.aspx

MDT 2012 : Apply Local GPO Package

MDT 2012 a apporté son lot de nouveauté ! Le moins que l’on puisse dire, c’est qu’il y a des changements qui semblent transparents mais qui mériteraient d’être un peu mieux mentionnés.

Dans la TaskSequence « Standard Client Task Sequence » par défaut, il existe une nouvelle fonction appelée « Apply Local GPO Package »

Apply Local GPO Package dans la TaskSequence MDT 2012

Cette action vient en réalité appliquer une stratégie de sécurité locale par défaut au poste en cours de déploiement.

Les modèles de sécurité sont enregistrés dans le point de déploiement MDT dans le répertoire Templates\GPOPacks

Les modèles de sécurité appliqués par défaut par OS supporté

Rencontrant depuis la migration vers MDT2012 des difficultés d’accès à certaines machines non Windows sur le réseau, j’ai identifé que mon problème venait de cette stratégie.

Pour revenir à la stratégie par défaut sur les postes déjà déployés, j’ai utilisé cette commande en mode administrateur :
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
Après un redémarrage tout rentre dans l’ordre.

 En attendant, les stratégies proposées par défaut méritent d’être étudiées minutieusement avant de les appliquer.

Ci-joint, le fichier Excel des politiques par défaut.

MDTGPOPacks

 

Désactiver l’assistant au premier démarrage d’IE8

L’objectif principal d’un master est de faciliter les choses à l’utilisateur final.

Dans le cas d’Internet Explorer, on souhaite ici éviter à l’utilisateur d’avoir à subir l’assistant de premier démarrage d’Internet Explorer 8.

L’assistant de premier démarrage d’IE8 qu’on cherche à désactiver

Pour désactiver l’assistant qui se lance au premier démarrage d’Internet Explorer 8, il existe plusieurs méthodes.

On peut passer par l’IEAK mais sur Windows 7, IE8 est déjà intégré.

On peut passer par le registre avec la clé

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\DisableFirstRunCustomize
En passant la valeur DWORD à 1, mais l’assistant ne sera alors désactivé que pour l’utilisateur courant.

Pour gérer ce réglage de manière plus globale, autant privilégier l’utilisation des GPO.

Pour arriver à cette fin, créer une GPO locale ou globale

Dans : Stratégies, Modèles d’administration, Compsants Windows, Internet Explorer

Sélectionner Empêcher le fonctionnement des paramètres de personnalisation à la première exécution.

Empêcher le fonctionnement des paramètres de personnalisation à la première exécution

Activer la GPO et sélectionner « Aller directement à la page d’accueil »

Activer la GPO et choisir d’aller à la page d’accueil