Stratégie de groupe
L'agent 'Station' UserLock est conçu pour auditer, contrôler et protéger les postes de travail stations, serveurs et serveurs de terminaux. L'agent à pour but d'auditer toute l'activité des sessions interactives sur ce type de machine et de protéger leurs accès en appliquant la politique de contrôle d'accès utilisateur définie à l'aide des règles de 'Comptes protégés'.
Cet agent doit être installé sur les machines et communique avec les serveurs UserLock pour réguler les demandes d'ouvertures des sessions interactives.
L'agent UserLock 'Station' peut être installé manuellement ou déployé automatiquement à l'aide de la console UserLock.
Il est cependant possible de déployer l'agent 'Station' à l'aide d'une solution tierce ou des 'Stratégies de groupe Microsoft'. A ce titre nous fournissons deux packages MSI de l'agent 'Station'.
Il est possible de déployer les paramètres de communication et de configuration de l'agent 'Station' par les 'Stratégies de groupe Microsoft' (GPO) à l'aide d'un 'Modèle d'administration' que nous fournissons (compatible avec les agents Station installés via la console, automatiquement, via MSI, manuellement...).
Dans le répertoire d'installation de UserLock (par défaut 'c:\Program files[ (x86)]\ISDecisions\UserLock') se trouve le 'Modèle d'administration' nommé 'UserLock.adm'. Installez le modèle dans la 'Stratégie de groupe' que vous souhaitez utiliser pour déployer les paramètres de l'agent 'Station'.
Une fois le modèle ajouté, vous pouvez aller dans les modèles d'administration et afficher 'UserLock' puis 'Agent' (allez dans 'Modèles d'administration classiques' sur Windows 2008 et supérieur). Vous pourrez alors définir les même paramètres de l'agent que dans la console UserLock avec en plus la possibilité de définir les paramètres de communication de l'agent (Nom du 'serveur Principal UserLock' et du nom du 'serveur de Sauvegarde UserLock').
Tous les paramètres configurés par les 'Stratégies de groupe' annulent et remplacent les paramètres éventuels déjà configurés dans la console et déployés par le service UserLock.
Par exemple, vous pouvez ainsi déclarer le nom du serveur principal UserLock sur tous les agents.
Sur les ordinateurs concernés, ces paramètres de stratégie de groupe seront déployés dans la clé de registre "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ISDecisions\UserLock\Agent":
A noter que par défaut l'agent de bureau UserLock consulte les valeurs de registre enregistrées dans la clé « Winlogon ». Parfois, lors de certaines mises à jour de Windows, la clé « Winlogon » est réinitialisée par Microsoft, par conséquent certaines valeurs de UserLock dans la clé « Winlogon » disparaissent.
La seule solution pour corriger ce problème est de désinstaller et réinstaller l'agent UserLock sur toutes les machines (utiliser le mode automatique pour un résultat plus rapide).
Pour éviter ce problème, une GPO contenant les valeurs de registre UserLock peut être déployée sur les machines dans une clé de registre alternative (voir l'exemple ci-dessus). Veuillez également noter que l'agent de bureau lira d'abord les valeurs de registre stockées dans la clé alternative utilisée par la GPO et ensuite celles stockées dans la clé Winlogon.