Installation manuelle
L'agent 'Station' UserLock est conçu pour auditer, contrôler et protéger les postes de travail stations, serveurs et serveurs de terminaux. L'agent à pour but d'auditer toute l'activité des sessions interactives sur ce type de machine et de protéger leurs accès en appliquant la politique de contrôle d'accès utilisateur définie à l'aide des règles de 'Comptes protégés'.
Cet agent doit être installé sur les machines et communique avec les serveurs UserLock pour réguler les demandes d'ouvertures des sessions interactives.
L'agent UserLock 'Station' peut être installé depuis la console UserLock. Vous pouvez cependant l'installer également manuellement en suivant cette procédure en fonction des systèmes d'exploitations cibles. Dans tous les cas la définition des paramètres de communication de l'agent 'Station' est requise.
Installation manuelle de l'agent
A partir de Windows Vista / Windows Serveur 2008, l'agent 'Station' est un service Windows configuré pour s'exécuter en tant que 'Service Local'.
Pour Windows XP, Serveur 2003 et 2003 R2, consultez cette section spécifique ci-dessous.
- Copiez le fichier 'ULAgent.exe' depuis le répertoire d'installation UserLock du serveur principal ('C:\Program Files[ (x86)]\ISDecisions\UserLock' par défaut) dans le répertoire système de la machine cible ("%windir%\SysWOW64\" pour un système d'exploitation 64 bits, "%windir%\System32\" pour un système d'exploitation 32 bits).
- Ajoutez le nom du serveur dans la base de registre de la machine.
-
Enregistrez le service Windows à l'aide de la commande suivante (en tant qu'administrateur) :
ULAgentExe.exe /SERVICE S
-
Démarrez le service de l'agent 'Station' UserLock depuis la 'Console de gestion des services' Windows ou avec la commande suivante (en tant qu'administrateur) :
net start UlAgentService
Aucun redémarrage n'est requis.
Modification de la base de registre de la machine
Les paramètres de communication de l'agent 'Station' doivent être configurés sur toutes les machines, quelque soit le système d'exploitation ou la technologie de l'agent impliqué.
- Ouvrez le Registre de la machine.
- Naviguez jusqu'à la clé de Registre 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'.
- Créez les valeurs suivantes :
- 'UserLockServer' (REG_SZ) contenantle nom du serveur Principal UserLock.
- 'UserLockServerBackup' (REG_SZ) contenantle le nom du serveur de Sauvegarde UserLock.
Pour les ordinateurs hors site, il peut être intéressant de configurer également les valeurs de registre suivantes :- 'UserLockInternetUrl' (REG_SZ) Si UserLock Anywhere est activé, créez cette valeur de registre et définissez dans son contenu l'URL de UserLock Anywhere (en savoir plus sur UserLock Anywhere).
- 'SessionsWithoutNetworkLogoffAgentInternet' (REG_DWORD) Si UserLock Anywhere est activé, le nombre de minutes pendant lesquelles l'agent Station attendra entre chaque demande la liste des sessions avec lesquelles interagir.
- 'UserLockCfg' (REG_DWORD) Voir les détails dans la page Package Windows Installer.
Exemple via PowerShell :
$RegKeyPath = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'
Set-ItemProperty -Path $RegKeyPath -Name 'UserLockServer' -Value 'ULSRVPRI'
Set-ItemProperty -Path $RegKeyPath -Name 'UserLockServerBackup' -Value 'ULSRVBAC'
Set-ItemProperty -Path $RegKeyPath -Name 'UserLockInternetUrl' -Value 'https://VES1.VDE.INTRA/ulproxy'
Set-ItemProperty -Path $RegKeyPath -Name 'UserLockCfg' -Value 768
Remarque :
L'absence de ces valeurs empêchera l'agent 'Station' de localiser les serveurs UserLock.
Pour Windows XP, Serveur 2003 et 2003 R2
L'agent station est une DLL (librairie dynamique) de type GINA (Graphical Identification and Authentication Dynamic-Link Library).
- Copiez le fichier 'UlAgent.dll' depuis le répertoire d'installation du serveur UserLock ('C:\Program Files[ (x86)]\ISDecisions\UserLock' par défaut) dans le répertoire 'System32' de la machine cible.
- Ajoutez le nom du serveur dans la base de registre de la machine.
- Définissez la valeur du registre 'GinaDLL' située dans la clé 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' en indiquant le chemin de 'UlAgent.dll': 'C:\Windows\System32\UlAgent.dll'.
Les droits administrateurs sont requis pour écrire cette valeur. - Redémarrez la machine pour activer l'agent 'Station'.
Pour les serveurs de terminaux Citrix
Citrix metaframe utilise sa propre 'GINA dll'. En conséquence, vous devez spécifier l'agent UserLock dans la valeur 'ctxGinaDll' en lieu et place de 'GinaDll'. La GINA Citrix appellera donc la GINA UserLock.
Vous devez ensuite ajouter le nom du serveur dans la base de registre de la machine.
Une fois ce changement effectué, la machine doit être redémarré' pour activer l'agent 'Station'.
Pour les ordinateurs avec une autre GINA déjà installée
Dans ce cas, la valeur du registre 'GinaDll' existe déjà dans la clé 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'.
- Renommez la valeur 'GinaDll' en 'OldGinaDll'.
- Créez une nouvelle valeur 'GinaDll' avec comme contenu le chemin vers 'ULAgent.dll'.
Ainsi configurée, la GINA UserLock sera en charge d'appeler la deuxième GINA. Les deux GINA pourront alors fonctionner ensemble.
Si l'autre GINA nécessite d'être appelée en première position, vous devez lire la documentation la concernant pour savoir comment cette GINA peut être chaînée avec la GINA UserLock. Dans la plupart des cas, il faudra spécifier le chemin de 'ULAgent.dll' dans une autre valeur du registre (comme la valeur 'ctxGinaDll' des serveurs de terminaux Citrix).
- Ajoutez le nom du serveur dans la base de registre de la machine.
- Une fois ce changement effectué, la machine doit être redémarré' pour activer l'agent 'Station'.
Remarque :
Depuis la version 5.51, la valeur de registre 'OldGinaDll' utilisée pour le chaînage de GINA a été renommée en 'UlOrigGinaDll' pour éviter un conflit avec l'application 'Avatier Password Station' qui utilisait ce même nom de valeur. Les agents mis à jour continuent à utiliser la valeur nommée 'OldGinaDll' pour garder la compatibilité avec les installations précédentes.
Désinstallation de l'agent Station
Vous pouvez désinstaller l'agent Station manuellement.
Pour effacer entièrement les données de l'agent (commun à tous les OS Windows)
Exécutez "RegEdit", parcourez la clé de registre "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", puis supprimez:
- toutes les valeurs de registres commençant par "UserLock".
- La sous-clé "UserLock" (la clé de registre "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserLock").
A partir de Windows Vista / Windows Serveur 2008
Supprimez l'agent en saisissant les lignes de commandes suivantes (exécuter en tant qu'administrateur):
NET STOP UlAgentService
C:\Windows\SysWOW64\ULAgentExe.exe /SERVICE U
C:\Windows\SysWOW64\ULAgentExe.exe /UNREGISTER
Sur un système d'exploitation 32 bits, remplacez "SysWOW64" par "System32".
Une fois exécutées, l'agent sera complètement désinstallé.
Pour Windows XP, Serveur 2003 et 2003 R2
Supprimez l'agent en saisissant les lignes de commandes suivantes (exécuter en tant qu'administrateur):
regsvr32 /u C:\Windows\System32\ULAgent.dll
Une fois exécutée, l'agent sera désactivé mais toujours installé. Vous devrez redémarrer la machine pour qu’il soit complètement désinstallé.