Discussion :

[levit]

Bonjour, bonjour,

Alors j'aimerais pouvoir modifier les stratégies locales de sécurité des ordinateurs (XP pro) d'un domaine. Je ne peux pas utiliser les GPO.

La manipulation que je souhaite est celle-ci :

1. Dans le menu Démarrer, cliquez sur Panneau de configuration.
2. Dans le Panneau de configuration, cliquez sur Affichage classique, si nécessaire.
3. Double-cliquez sur Outils d'administration.
4. Dans la fenêtre Outils d'administration, double-cliquez sur Stratégie de sécurité locale.
5. Dans la fenêtre Paramètres de sécurité locaux, développez le dossier Stratégies locales.
6. Cliquez sur Options de sécurité.
7. Dans la colonne Stratégie, double-cliquez sur Accès réseau : modèle de partage et de sécurité pour les comptes locaux.
8. Dans la boîte de dialogue Accès réseau : modèle de partage et de sécurité pour les comptes locaux, remplacez la valeur par Classique - les utilisateurs locaux s'authentifient eux-mêmes et cliquez sur le bouton Appliquer.

Évidemment, je tiens à ne pas à me déplacer sur tous les postes du domaine.
Est-il possible de réaliser cette modification par un script bat ?
Si la modification est à faire dans la base de registre, comment savoir quelle clé modifier ?

D'avance merci,
Julien

[levit]

Bon ba je pense avoir trouvé ma réponse par ici :

En ce qui concerne les clefs qui sont manipulées par SECPOL.MSC (sous XP PRO
seulement, car pour une raison STUPIDE, MS a jugé bon de supprimer cet outil
dans XP HOME !!), c'est assez complexe (là aussi, celui qui a pondu le
système avait du abuser un peu trop sur de la très mauvaise moquette! ;-) )
Le plus fort est que ce que je vais dire est valable AUSSI sous XP HOME !
(d'où le caractère encore plus ABSURDE de l'interdiction de SECPOL sous XP
HOME !)

Les NOM des clefs relatives à la section "Stratégies locales/Options de
sécurité" de SECPOL sont définis dans la branche :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values

Vous pouvez vous amuser (!) à parcourir le contenu de cette branche.
On y trouve plein de sous-clefs, dont le nom est LUI-MÊME le nom d'une clef
(quand je disait "esprit tordu!), dans lequel on a remplacé
"HKEY_LOCAL_MACHINE" par "MACHINE"
P.ex. :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg
Values\MACHINE/Software/Microsoft/Driver Signing/Policy

Dans cette clef (au nom très bizarre, je l'accorde, avec au départ de "\"
traditionnels, puis des "/" afin de les distinguer des 1ers), on trouve une
entrée de nom "DisplayName", qui contient le LIBELLÉ affiché dans SECPOL.MSC
(pour ceux qui peuvent l'utiliser)

Dans l'exemple précédent, on lit :
"Périphériques : comportement d'installation d'un pilote non signé"


Tout cela signifie que la stratégie de sécurité
"Périphériques : comportement d'installation d'un pilote non signé"
est stockée dans la BDR dans la clef :
HKLM\Software\Microsoft\Driver Signing
Entrée :
Policy
et vaut (chez moi) :
1
NB: la plupart du temps, cette entrée est de type
REG_DWORD
ou REG_BINARY limité à 1 octet


Autre exemple :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg
Values\MACHINE/Software/Microsoft/Windows
NT/CurrentVersion/Setup/RecoveryConsole/SetCommand

"Console de récupération : autoriser la copie de disquettes et l'accès à
tous les lecteurs et dossiers"

Cette stratégie (très très utile, car elle permet d'accéder à n'importe
dossier de n'importe quelle partition sous la console de récupération !!)
est stockée dans :
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\
entrée
SetCommand
et vaut (chez moi)
1


J'ai commencé à écrire un script VBS qui fait cette gymnastique
automtiquement, et qui, bien sûr, est utilisable sous toute version de
Windows NT (XP HOME compris)...

(pfff... faut que je revoie mes techniques de recherche)