COMMENT FAIRE : Appliquer des stratégies locales à tous les utilisateurs à l'exception des administrateurs sous Windows Server 2003 d'un groupe de travail

Cet article explique comment appliquer des stratégies locales à tous les utilisateurs, à l'exception des administrateurs, sur un ordinateur Windows Server 2003 appartenant à un groupe de travail.

Lorsque vous utilisez un ordinateur Windows Server 2003 dans un groupe de travail (et non un domaine), vous pouvez être amené à mettre en oeuvre sur cet ordinateur des stratégies locales qui s'appliquent à tous les utilisateurs de cet ordinateur à l'exception des administrateurs. Cette exception permet aux administrateurs de conserver un accès et un contrôle sans limite de l'ordinateur, et de leur permettre également de restreindre les utilisateurs pouvant ouvrir une session sur cet ordinateur.

Pour que cette procédure fonctionne, les ordinateurs Windows Server 2003 doivent appartenir à un groupe de travail. Dans ce cas, les stratégies de domaine sont dans l'incapacité de remplacer les stratégies locales, car les stratégies de domaine n'existent pas. Microsoft vous recommande de sauvegarder l'ensemble des fichiers que vous modifiez au cours de cette procédure.

Application de stratégies locales à tous les utilisateurs à l'exception des administrateurs

Pour mettre en oeuvre des stratégies locales pour tous les utilisateurs, à l'exception des administrateurs, procédez comme suit :

1. Ouvrez une session sur l'ordinateur en tant qu'administrateur.
2. Ouvrez votre stratégie de sécurité locale. Pour cela, appliquez l'une des méthodes suivantes :
   
   
   • Cliquez sur Démarrer, sur Exécuter, tapez gpedit.msc, puis appuyez sur ENTRÉE.
     
     - ou -
   • Cliquez sur Démarrer, sur Exécuter, tapez mmc, appuyez sur ENTRÉE, ajoutez l'Éditeur d'objets de stratégie de groupe, puis configurez-le pour une stratégie de sécurité locale.
   Si la suppression de la commande exécuter est l'une des stratégies que vous souhaitez, Microsoft vous recommande d'utiliser la console MMC (Microsoft Management Console) pour modifier la stratégie, et d'enregistrer ensuite les résultats sous la forme d'une icône. La commande exécuter n'est désormais plus nécessaire pour rouvrir cette stratégie.
3. Développez l'objet Configuration utilisateur, puis développez Modèles d'administration.
4. Activez toutes les stratégies de votre choix (par exemple, "Cacher l'icône Favoris réseau sur le Bureau" ou "Cacher l'icône d'Internet Explorer sur le Bureau").
   
   REMARQUE : vérifiez que les stratégies appropriées sont sélectionnées, car sinon vous risquez de restreindre la capacité des administrateurs à ouvrir une session sur l'ordinateur (et mettre fin à la procédure de configuration de l'ordinateur). Microsoft vous recommande d'enregistrer les modifications apportées (ces informations vous seront utiles à l'étape 10).
5. Fermez le composant logiciel enfichable Stratégie de groupe Gpedit.msc, ou, si vous utilisez MMC, enregistrez la console sous la forme d'une icône pour pouvoir y accéder ultérieurement, puis fermez votre session sur l'ordinateur.
6. Ouvrez une session sur l'ordinateur en tant qu'administrateur.
   
   Vous pouvez vérifier à l'ouverture de cette session que les modifications de stratégie qui ont été précédemment effectuées, puisque par défaut, puisque les stratégies locales s'appliquent à tous les utilisateurs, y compris les administrateurs.
7. Fermez votre session sur l'ordinateur, puis ouvrez une session comme chacun des autres utilisateurs auxquels vous voulez appliquer ces stratégies. Les stratégies sont mises en oeuvre pour l'ensemble de ces utilisateurs, administrateur compris.
   
   REMARQUE : à ce stade, tout compte utilisateur n'ayant pas ouvert de session sur l'ordinateur ne peut pas avoir de stratégies mises en oeuvre pour ce compte.
8. Ouvrez une session sur l'ordinateur en tant qu'administrateur.
9. Cliquez sur Démarrer, pointez sur Panneau de configuration, puis cliquez sur Options des dossiers. Cliquez sur l'onglet Affichage, sur Afficher les fichiers et les dossiers cachés, puis cliquez sur OK, pour afficher le dossier caché Stratégie de groupe. Vous pouvez aussi ouvrir l'Explorateur Windows, cliquer sur Outils, puis cliquer sur Options de dossier pour afficher ces paramètres.
10. Copiez le fichier Registry.pol que vous trouverez dans le dossier %Systemroot%\System32\GroupPolicy\User sur un support de sauvegarde (par exemple, sur un autre disque dur, une disquette ou dans un autre dossier).
11. Rouvrez votre stratégie locale à l'aide du composant logiciel enfichable de stratégie de groupe Gpedit.msc ou en double-cliquant sur l'icône de la console MMC, puis activez les mêmes fonctionnalités que celles qui ont été désactivées dans la stratégie d'origine qui a été créée pour cet ordinateur.
    
    REMARQUE : En procédant ainsi, l'Éditeur de stratégie crée un nouveau fichier Registry.pol.
12. Fermez l'Éditeur de stratégie, puis copiez le fichier de sauvegarde Registry.pol créé à l'étape 10 dans son emplacement d'origine, le dossier %Systemroot%\System32\GroupPolicy\User.
    
    Lorsque vous êtes invité à remplacer le fichier existant, cliquez sur Oui.
13. Fermez la session de l'ordinateur, puis connectez-vous en tant qu'administrateur.
    
    Vous pouvez vérifier que les modifications apportées à l'origine n'appliquent pas à vous, car vous avez ouvert une session sur l'ordinateur en tant qu'administrateur.
14. Fermez la session de l'ordinateur, puis connectez-vous comme un autre utilisateur (ou des utilisateurs).
    
    Vous pouvez vérifier que les modifications apportées à l'origine vous sont appliquées, car vous avez ouvert une session sur l'ordinateur en tant qu'utilisateur (et non au titre d'un administrateur).
15. Ouvrez une session en tant qu'administrateur sur l'ordinateur pour vérifier que la stratégie locale ne vous affecte pas en tant qu'administrateur local de cet ordinateur.

Restauration des stratégies locales d'origine

Pour inverser le processus décrit dans la section "Application de stratégies locales à tous les utilisateurs à l'exception des administrateurs" du présent article, procédez comme suit :

1. Ouvrez une session sur l'ordinateur en tant qu'administrateur.
2. Cliquez sur Démarrer, pointez sur Panneau de configuration, puis cliquez sur Options des dossiers. Cliquez sur l'onglet Affichage, sur Afficher les fichiers et les dossiers cachés, puis cliquez sur OK, pour afficher le dossier caché Stratégie de groupe. Vous pouvez aussi ouvrir l'Explorateur Windows, cliquer sur Outils, puis cliquer sur Options de dossier.
3. Déplacez, renommez ou supprimez le fichier Registry.pol que vous trouverez dans le dossier %Systemroot%\System32\GroupPolicy\User.
   
   Un autre fichier Registry.pol par défaut est créé par le système de protection des fichiers Windows, lorsque vous fermez votre session ou redémarrez l'ordinateur.
4. Ouvrez la stratégie locale Pour cela, cliquez sur Démarrer, sur Exécuter, puis tapez gpedit.msc. Ou, cliquez sur Démarrer, sur Exécuter, tapez mmc, puis chargez la stratégie de sécurité locale. Ensuite, définissez à non configuré tous les éléments définis à désactivé ou activé pour annuler toutes les modifications apportées aux stratégies et mises en oeuvre dans le registre Windows Server 2003, comme l'indique le fichier Registry.pol.
5. Fermez votre session d'administrateur sur l'ordinateur, puis rouvrez une session en tant qu'administrateur.
6. Fermez cette session, puis ouvrez une session sous l'identité de chacun des autres utilisateurs sur l'ordinateur local, afin que les modifications apportées à leurs comptes soient également annulées.