Profil obligatoire d'une station Windows Seven I. Objectif : Suite à l'évolution du parc machine, la machine qui était utilisée pour générer le profil obligatoire n'est plus présente dans le parc. Cette documentation a donc pour objectif d'affecter une nouvelle machine pour générer le profil obligatoire, et de générer un nouveau profil sur celle-ci. Note : La numérotation des paragraphes 1, 2,etc correspond à un changement de compte utilisateur. II. Rappel sur le profil obligatoire : Le profil obligatoire est un ensemble de règles du registre qui seront appliquées à l'ensemble du parc lors de la connexion d'un utilisateur, le profil contient aussi la configuration de certains logiciels d'une station. Ces règles viennent en complément aux règles définies dans ESU. Ceci correspondant au fichier ntuser.dat et au dossier «Application Data» d'un utilisateur sur un poste non connecté en réseau ou bien un utilisateur qui utilise un profil local. L'intérêt est d'avoir une configuration machine identique à chaque connexion d'un utilisateur. Il est nécessaire de refaire le profil obligatoire à chaque fois que vous installez un nouveau logiciel qui contient une partie de sa configuration dans le dossier «Documents And Settings» de l'utilisateur. Il est difficile de faire la liste de ces logiciels. III. Réglages impératifs dans ESU : Pour chaque groupe d'utilisateurs, il est impératif de s'assurer des réglages suivants dans ESU : Pour l'utilisateur Admin.profil (à remonter avant le groupe DomainAdmins) : La liste ne doit pas contenir : Application Data 1/12
Pour l'utilisateur Admin du Domaine : Il faut conserver les réglages personnels (U:) La liste doit contenir : Mes Documents;Favoris;Bureau;Application Data;Menu démarrer;cookies;modèles 2/12
Pour les utilisateurs eleves et professeurs (même configuration que l'admin.profil) La liste ne doit pas contenir : Application Data 3/12
IV. Méthode pour récupération du profil obligatoire présent sur le serveur. On est dans la situation où la machine qui a servi à générer le profil, qui est sur le serveur, n'est plus disponible sur le parc. On va donc récupérer le profil depuis le serveur pour le mettre sur une nouvelle machine. (Si vous êtes sur la machine qui a servi à générer le profil la dernière fois, allez directement au paragraphe «V - Génération d'un nouveau profil».) 1. Création du compte admin_profil On commence par se connecter sur la nouvelle machine qui servira à générer les profils obligatoires avec le compte admin.profil. admin.profil est le compte qui a été créé sur le Scribe pour la génération du profil. Remarque : Consultez les utilisateurs Scribe depuis l'ead pour vérifier qu'un tel compte existe (son login est différent d'un collège à l'autre, on trouve des admin.profil ou profil.profil ou profil.admin, ou...). Toujours est-il que ce compte Scribe est configuré pour travailler avec un profil local et est membre des groupes DomainAdmins et PrinterAdmins. Donc on se connecte sur la machine avec ce compte admin.profil. Ici l'objectif est de créer le dossier admin.profil dans le «C:\Documents and Settings» de la machine. 2. Copie du profil avec le compte admin On redémarre (pas une fermeture de session) la machine et on se connecte en «admin». Avec l'explorateur, allez dans le sous-dossier «profil.v2» du dossier «netlogon» (\\172.22.XXX.253\netlogon\profil.V2) Dans ce sous-dossier vous sélectionnez l'ensemble des dossiers et le fichier «ntuser.man» et vous les copiez. 4/12
Toujours avec l'explorateur, vous allez dans le dossier «C:\Documents and Settings\admin.profil». Et vous collez l'ensemble des fichiers copiés depuis «\\172.22.XXX.253\netlogon\profil.V2». Si besoin, vous confirmez par «Tous» aux questions «Voulez-vous vraiment copier...». Redémarrez la machine et reconnectez vous en «admin». Une fois la machine redemarée, dans le dossier «C:\Documents and Setting\admin.profil\», vous supprimez le fichier nommé «ntuser.dat». Puis vous renommez le fichier «ntuser.man» en «ntuser.dat». Voilà votre nouvelle machine pour générer les profils est prête. 5/12
IV. Configuration de l'environnement utilisateur du profil obligatoire Outre les réglages traditionnels des logiciels, d'autres ajustements sont à réaliser ici, notamment pour combler quelques lacunes d'esu vis-à -vis des stations Windows SEVEN. Pour la suite, pour plus de confort, prévoir d'être proche également d'une station XP. Vous trouverez ci-dessous la procédure classique de configuration et génération du profil sous Seven. 1. Se connecter en admin.profil sur la machine SEVEN qui servira à partir de maintenant à créer le profil obligatoire des stations SEVEN (inutile de créer un autre compte admin.profil spécifique pour le SEVEN, puisque qu'il s'agit de profils locaux). Il est possible que l'image du bureau ne soit pas descendue à la 1ère connexion. Dans ce cas-là, se déconnecter et se reconnecter. Refaire cela à chaque fois qu'un paramétrage d'esu vous semble ne pas s'être appliqué. 2. À l'aide d'un client XP en admin, supprimer ou déplacer des dossiers et icônes éventuellement apparus tels Accessories et Administratives Tools, Windows Media Player, IE, desktop.ini... dans les lieux suivants : - R:\icones\GM\DomainAdmins\Menu Démarrer\Programmes - R:\icones\GM\_Machine\Menu Démarrer\Programmes 3. Mieux vaut faire disparaître les raccourcis situés dans la barre des tâches (clic droit sur l'icône et "Détacher ce programme de la barre des tâches"). 4. Désactiver les messages de notification de toute sorte Panneau configuration (affichage par petites ou grandes icônes) Centre de maintenance à gauche, Modifier les paramètres du Centre de maintenance Les 6 cases "Messages de sécurité" et les 3 cases "Messages de maintenance" doivent être décochées si ça n'est pas déjà le cas. 5. Dans la foulée, traiter les "Paramètres du programme d'amélioration de l'expérience utilisateur" et les "Paramètres de rapports d'erreurs" : 6/12
6. Désactiver la barre de langue (le "FR" dans la barre des tâches). Faire un clic-droit sur le "FR" pour la désactivation, cocher "Ne plus afficher ce message" puis valider. 7. Dans "Ordinateur" "Organiser" "Disposition" Décocher "Volet de navigation" et "Volet de visualisation" ça n'empêchera pas les utilisateurs de les remettre mais, par défaut, ils ne s'afficheront pas et cela n'incitera pas les utilisateurs à aller dans ces zones. 8. Quelques réglages du Menu Démarrer sur lesquels ESU n'a pas d'impact: Pour accéder à la personnalisation du Menu Démarrer Clic droit dans un espace vide du menu démarrer "Propriétés" Onglet "Menu Démarrer" Commencer par décocher les 2 cases "Stocker et afficher..." Puis "Personnaliser" et suivre la capture de la page suivante : Cliquer d'abord sur "Paramètres par défaut" puis Décocher "Connexion" Ne pas afficher le "Dossier personnel" (Les fameux fichiers de l'utilisateur) Décocher "Programmes par défaut" Enfin valider par "OK". ci- 7/12
8/12
9. Les icônes de la zone de notification sont également personnalisables dans cette zone, dans l'onglet "Barre des tâches". ESU permettrait de supprimer efficacement cette zone de notification mais cela empêcherait par la même occasion d'accéder au contrôle du volume sonore, ce qui peut être parfois gênant. 10. Enfin, pour le bureau et l'esthétique de l'environnement Clic droit sur le bureau "Personnaliser" et suivre la capture ci-après : Configuration des logiciels (quelques logiciels courants sont cités ici) Vous pouvez utilisez la documentation suivante pour la liste des logiciels qui peuvent être paramétrer : http://carm37.tice.ac-orleans-tours.fr/php5/colleges/dotclear/public/stations/profil%20obligatoire/4profil-obligatoire-xp-seven-parametrages-logiciels.pdf Redémarrage V. Génération du profil Pour créer un profil obligatoire sous SEVEN, on fait à peu près la même que pour XP sauf que : pour le réglage du profil, il faut tenir compte des remarques précédentes. une subtilité va intervenir au moment du copiage du profil dans le perso de l'admin. la destination finale du profil sera un dossier du netlogon nommé "profil.v2" et non "profil" Les grandes lignes : 1. Ouvrir une session avec admin.profil déjà créé pour les postes en XP (Supprimer avec "MAJ+Suppr" les éventuels dossier $RECYCLE.BIN et fichiers desktop.ini qui pourraient être apparus dans "Mes documents" ou sur le bureau) ; Si le compte n'existe pas, on rappelle qu'il doit avoir un profil windows local et faire partie des groupes spéciaux DomainAdmins et PrintOperators. 2. Paramétrer le profil (voir avant) et redémarrer la station ; 3. Ouvrir une session avec admin pour copier le profil (refaire le ménage des $RECYCLE.BIN et desktop.ini avant de réaliser la copie) ; 4. Redémarrer la station. La subtilité : Microsoft a introduit un bug : sous Windows 7, au moment de copier le profil, le bouton "Copier dans" est grisé pour les utilisateurs du domaine (voir capture à la fin de la page suivante). Une solution pour contourner ce problème est d'utiliser un utilitaire nommé Windows Enabler : Aller dans le répertoire "SEVEN" du perso de l'admin, dans le dossier "Windows Enabler". Exécutez Windows Enabler.exe Cliquez sur l'icône apparu dans la zone de notification pour activer Windows Enabler (clic gauche). Ouvrez le gestionnaire de profils des utilisateurs. 9/12
Choisir le profil admin.profil, cliquer sur le bouton grisé "Copier dans"... pour l'activer. Comme pour XP, il ne faut pas copier le profil directement vers \\172.22.xxx.253\netlogon\profil.V2 mais passer par un dossier temporaire (exemple U:\profils\seven_2011_05_07), sinon, Windows va automatiquement placer des ACL trop permissives sur le dossier profil.v2 ce qui va entraîner des dysfonctionnements. À ce stade vous avez un nouveau dossier nommé "seven_2011_05_07" dans le sous-dossier "profils " du dossier "Mes documents" du compte admin. Dans ce dossier "U:\profils\seven_2011_05_07", vous renommez le fichier "ntuser.dat" en "ntuser.man" 10/12
Il ne reste plus qu'à copier l ensemble des ces fichiers dans le dossier "profil.v2" du netlogon (surtout pas dans le dossier "profil"!!!) que l'on atteint en tapant l'adresse suivante dans la barre d'adresse du poste de travail : \\172.22.xxx.253\netlogon\profil.V2 Suggestion Il faudrait également empêcher les élèves de parvenir au menu "bureau" accessible par le biais de "Ordinateur" car ce menu contient un raccourci vers le répertoire des "Fichiers Utilisateurs" et il faut éviter que les utilisateurs n'enregistre dans ces dossiers. Le souci est qu'esu ne permet pas pour le moment d'empêcher l'accès à ces fichiers utilisateurs depuis "Ordinateur" : Il est donc possible à ce stade de supprimer les quelques répertoires du profil obligatoire qui ne sont pas spécialement utiles, voire gênants si les élèves parviennent aux "Fichiers Utilisateurs" : Pour cela, retourner dans netlogon\profil.v2 : La suppression des répertoires suivants est conseillée : "Contacts Desktop - Documents Downloads Favorites Links Music Pictures Saves Games Searches Videos" (Tous sauf AppData, IECompatCache, IETldCache, PrivacIE) 11/12
Le contenu de netlogon\profil.v2 doit donc passer de la capture suivante : à celle-là : Enfin, avant de vérifier si tout se passe bien sur les comptes profs et élèves, penser à redémarrer la machine, une fois le profil terminé : Ceci est préférable à une fermeture de session. Redémarrage Fin. 12/12