GPO : paramètre inconnu sous W10 - Win 10 - Windows & Software
Marsh Posté le 23-11-2021 à 17:13:15
Ce sont des questions qui ont plus leur place dans la partie pro du forum : https://forum.hardware.fr/hfr/syste [...] ujet-1.htm
Marsh Posté le 23-11-2021 à 17:41:14
Salut,
Il n'existe pas de GPO pour windows 10 en effet.
Pour les virer, il faut créer manuellement les clés de registre via une GPP, ou importer le fichier XML qui va bien :
La clé en question : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\Start
Ensuite créer 2 valeurs DWORD pour chaque élément :
AllowPinnedFolderDocuments à 0
AllowPinnedFolderDocuments_ProviderSet à 1
AllowPinnedFolderPictures
AllowPinnedFolderPictures_ProviderSet
etc...
Le XML (tu peux virer les dossiers inutiles) :
<?xml version="1.0" encoding="utf-8"?> |
Si ça marche les icônes devraient disparaître et le bandeau "Certains paramètres sont masqués gérés par votre organisation" s'afficher
Pour désactiver totalement la recherche, il faut bloquer l'exécutable. Pour ça, créer une stratégie de restriction logicielle avec comme chemin le dossier tout court (plus pratique). Par contre je ne sais pas quelle version tu utilises, mais c'est peut-être cortana qu'il faut bloquer dans ton cas.
Marsh Posté le 23-11-2021 à 22:49:41
Laisse tes utilisateurs utiliser leur poste comme bon leur chante, ça sert à rien tout ça...
Marsh Posté le 25-11-2021 à 16:02:38
@renaud072
Merci beaucoup.
Alors avec le fichier XML, en utilisant le paramètre GPO "Configuration ordinateur > Modèles d’administration > Composant Windows > Explorateur de fichiers > Définir un fichier de configuration des associations par défaut" ça n'a pas fonctionné.
Le fichier XML était pourtant bien sur un partage auquel le poste client a accès et j'avais bien renseigné le chemin du partage dans le paramètre GPO...
Du coup, j'ai utilisé l'outil de création d'élément registre dans "Configuration ordinateur > Préférences > Paramètres Windows > Registre" afin de crée les clé que tu m'as indiqué et c'est bon, les icones ont disparus
Par contre pour la suppression de la recherche, je n'ai pas tout compris.
De quel dossier parlez-vous quand vous dites "avec comme chemin le dossier tout court" ?
Marsh Posté le 25-11-2021 à 18:36:48
sebastien4444 a écrit : Par contre pour la suppression de la recherche […] |
Juste une question : pourquoi ???
Non, parce que vouloir virer la principale fonctionnalité du menu Démarrer, et un outil qui est un petit peu la base de l’usage de Windows depuis Vista, faut vraiment avoir une vraie raison objectivement justifiable. Si c’est pour empêcher l’accès à certaines applications, il vaudrait mieux bloquer uniquement l’exécution de ces dernières.
Déjà que supprimer les raccourcis vers les dossiers utilisateur est, là encore, sans le moindre intérêt sans connaître ce qui pourrait vouloir motiver une telle décision… Tu veux flinguer la productivité des employés ou les forcer à bosser comme il y a 100 ans, sans ordinateur (parce qu’à ce stade de castration du système, autant s’en passer : ils iront plus vite avec du papier, des stylos et des classeurs à anneaux) ?
Marsh Posté le 26-11-2021 à 00:15:32
sebastien4444 a écrit : @renaud072 |
Euh... la GPO des associations n'a rien à voir avec le schmilblick.
Le fichier XML est à utiliser DANS l'outil de création d'élément registre, il faut faire un copier/coller ou glisser/déposer
sebastien4444 a écrit : |
Il faut indiquer le chemin de la SystemApp, qui est comme dans ma capture soit Microsoft.Windows.search.xxxxx soit MIcrosoft.Windows.cortana.xxxxx (selon la version de 10), la sélection du dossier interdit l'exécution de tout ce qui se trouve à l'intérieur.
Je vois pas comment être plus clair.
Marsh Posté le 26-11-2021 à 00:32:35
Trit' a écrit : |
Si tu avais vu les restrictions des postes quand j'étais au lycée... quasiment tout était verrouillé avec un menu démarrer minimaliste. Accès aux seules applications et au dossier perso/classe.
C'était vraiment hardcore.
Marsh Posté le 26-11-2021 à 01:06:42
renaud072 a écrit : Si tu avais vu les restrictions des postes quand j'étais au lycée... quasiment tout était verrouillé avec un menu démarrer minimaliste. Accès aux seules applications et au dossier perso/classe. |
Oui : moi aussi, il y a 20 ans (déjà…), les PC des salles de physique tournaient sur des Windows 95 ultra-castrés. Mais à l’époque, il n’était de toute façon pas question de faire des recherches (que ce soit de logiciels ou autres) depuis le menu Démarrer.
10 ans plus tard, les PC de la salle info de l’IUFM où j’étais alors étaient sur des Windows XP eux aussi castrés, au point que même le service « Thèmes » était désactivé, et l’interface avait alors une gueule affreuse (rappelez-vous l’apparence des fenêtres d’Invite de commandes ou de vieux logiciels Windows 16 bits ouverts sur XP avec le thème Luna activé).
Mais les temps ont changé depuis, et les usages aussi. Et de nos jours, virer la fonction de recherche du menu Démarrer est juste, je vais le dire franchement, débile. Ou alors, faudra m’expliquer en quoi ça peut être une bonne idée pour améliorer les conditions d’usage de la machine (alors qu’au contraire, ça lui met un handicap, et pas des moindres).
Marsh Posté le 26-11-2021 à 09:02:21
Parce ce que ça doit toujours être le même responsable informatique qui a ses habitudes de Win95
Marsh Posté le 26-11-2021 à 09:39:32
C'est marrant ça, je ne pensais vraiment pas que forum hardware était devenu un lieu de débat et où l'on devait justifier ses demandes...
Donc pour satisfaire ton "de-quoi-je-me-mêle-isme", on parle ici de postes industriels qui ne sont pas fait pour utiliser Windows.
Ce sont des écrans, tactiles, livrés sans clavier/souris, qui servent à utiliser une unique application qui va permettre de scanner des items et d'imprimer des étiquettes.
Sauf que voilà, cette application doit tourner sous Windows et les personnes qui vont l'utiliser ne doivent pas pouvoir faire autre chose qu'utiliser celle-ci (demande de la hiérarchie).
Donc ils N'ONT PAS à naviguer dans les dossier utilisateur et encore moins à lancer différents programmes natifs sur le poste.
Et au final, c'est plus facile pour moi de bloquer la fonction de recherche que de trouver et limiter l'accès à tous les programmes...
Ca va, c'est assez pertinent comme justification ?
@renaud072
Désolé mais en fait jta capture ne s'affiche pas et quand j'utilise le lien de celle-ci, ça me renvoi "ce site est inaccessible". C'est pour ça que je n'avais pas compris dans un premier temps.
Merci de ton aide en tout cas
Marsh Posté le 26-11-2021 à 09:43:56
ReplyMarsh Posté le 26-11-2021 à 12:00:17
sebastien4444 a écrit : C'est marrant ça, je ne pensais vraiment pas que forum hardware était devenu un lieu de débat et où l'on devait justifier ses demandes... |
C’est marrant, ça : quand on demande des précisions pour mieux comprendre le pourquoi du comment de demandes qui se retrouvent hors du cadre habituel afin de pouvoir renseigner au mieux (et dire s’ils font fausse route, le cas échéant), les gens se mettent sur la défensive et crient à l’inquisition, comme si on leur avait demandé leurs codes de carte bancaire…
sebastien4444 a écrit : Donc pour satisfaire ton "de-quoi-je-me-mêle-isme", on parle ici de postes industriels qui ne sont pas fait pour utiliser Windows. |
Tu vois : si tu avais commencé par nous donner le contexte, on aurait déjà mieux compris. Ça aurait fait gagner du temps à tout le monde (à commencer par toi), car on aurait d’emblée pu te dire que…
↓
Je@nb a écrit : le mode kiosque sert à ça mais bon... |
Et tu n’aurais alors pas forcément eu à trafiquer Windows et bidouillant des choses au pif, sans garantie de succès. D’ailleurs, vu que certaines de tes bidouilles ne fonctionnent pas, c’est pas comme ça qu’il faut d’y prendre.
Marsh Posté le 26-11-2021 à 15:36:01
sebastien4444 a écrit : |
AH... vous avez un proxy ou un DNS menteur qui bloque les sites ? Car ça fonctionne très bien chez moi.
Et je confirme ce qui a été dit : si une seule app doit tourner, alors le mode kiosque est tout indiqué
$ dig imgur.com |
Marsh Posté le 26-11-2021 à 16:55:39
[quote="Trit'"]C’est marrant, ça : quand on demande des précisions pour mieux comprendre le pourquoi du comment de demandes qui se retrouvent hors du cadre habituel afin de pouvoir renseigner au mieux (et dire s’ils font fausse route, le cas échéant), les gens se mettent sur la défensive et crient à l’inquisition, comme si on leur avait demandé leurs codes de carte bancaire… [/quote]
Peut-être le ton utilisé ?!
Tes messages sonnent beaucoup plus comme du jugement voir de l'accusation plutôt que de l'interrogation.
Le pire c'est que tu fais clairement semblant d'être étonné car le ton que tu as employé était clairement voulu.
Bref...
En effet je ne connaissais pas le mode kioske et je suis content d'en apprendre l'existance.
Cependant, Microsoft précise pour cela "Seules les applications qui peuvent s’exécuter au-dessus de l’écran de verrouillage seront disponibles dans la liste des applications à choisir".
En voulant tester, je n'ai même pas pu choisir une des applications installée sur mon pc (genre Filezilla ou Chrome, qui sont quand même hyper connues) ; du coup, pouvoir sélectionner une application industrielle développée presque spécifiquement pour l'entreprise dans laquelle je travaille, ça m'étonnerait que ce soit possible
En plus, je n'ai pas eu l'impression qu'il soit possible de déployer cela sur plusieurs postes à partir d'un AD...
Enfin, au final la GPO que je voulais créée est finalisée et fidèle à ce que je voulais, donc tout est bien qui fini bien.
Encore merci @renaud072.
Marsh Posté le 26-11-2021 à 17:11:45
sebastien4444 a écrit :
|
C'est possible. Au boulot, je m'occupe notamment de la maintenance d'une application de type scada et elle se lance en mode kiosque chez le client.
Comment? Il me semble que c'est un argument de boot, mais j'en suis absolument pas sûr, on a un bouton pour ça
Marsh Posté le 26-11-2021 à 21:07:04
frenchieisverige a écrit : |
Je crois que c'est la méthode "manuelle" qui n'est pas le mode kiosque officiel (qui ne marche qu'avec les UWP), ça consiste à remplacer la variable shell, qui au lieu de lancer explorer.exe, lance l'application que l'on veut.
Configurer Windows 10 en mode kiosk pour créer une borne
EDIT : Je viens de voir qu'il existe un programme officiel (Shelllauncher) pour faire la même chose : https://docs.microsoft.com/en-us/wi [...] lllauncher
M'enfin ça revient au même.
Marsh Posté le 02-12-2021 à 10:28:57
Bonjour,
Alors je suis quand même allé jeter un coup d'œil par hasard et il y a cette note :
Citation : Note |
Donc au final, ça permet certes d'afficher une application au premier plan, mais ça n'empêche pas d'accéder à d'autres choses.
Sans parler du fait que l'explication du fonctionnement de Shell Launcher n'est pas très clair en terme de configuration.
Mais merci quand même de m'avoir proposé une autre solution
Marsh Posté le 02-12-2021 à 10:35:30
Il existe deux modes kiosque. Le premier ne donne effectivement accès qu'aux applications du Windows Store. L'autre aux applications Desktop, mais il faut modifier le Shell Launcher, passer par un script Powershell etc...ça demande un peu de boulot, des compétences sur la partie master et des éditions LTSC.
Ce sont des configurations qu'on retrouve exclusivement sur des machines en workgroup, et souvent déconnectées d'un quelconque réseau.
Marsh Posté le 03-12-2021 à 10:20:04
Citation : Il existe deux modes kiosque. Le premier ne donne effectivement accès qu'aux applications du Windows Store. L'autre aux applications Desktop, mais il faut modifier le Shell Launcher, passer par un script Powershell etc...ça demande un peu de boulot, des compétences sur la partie master et des éditions LTSC. |
Oui au final je ne me galère pas plus avec ma GPO, qui pour le coup peut être déployé facilement sur tous les postes que je souhaite.
@renaud072
J'ai un dernier soucis : sur mes pc, l'arborescence ciblée de la base de registre s'arrête à la clé SOFTWARE\Microsoft\PolicyManager\current : il n'y a pas le sous-clé "device" et du coup pas le "start" non plus.
Quand je les ai crées manuellement sur ma machine de test, les clés se sont bien crées dedans ; mais si je ne les crées pas moi-même, ils ne le sont pas et du coup les REG_DWORD ne sont pas crées non plus.
Du coup, y a-t-il un moyen d'ajouter des lignes au début du fichier XML pour que les clés device et start soient crées avant la création des valeurs ?
Marsh Posté le 03-12-2021 à 16:25:44
sebastien4444 a écrit : |
C'est quelle version de 10 ? Sur la 21H2 la clé device est présente mais pas Start et dans ce cas, les valeurs sont bien créées.
Sinon tu as tenté de mettre create au lieu de update (qui est la valeur par défaut lors de l'import) ?
Autre piste : ajouter en haut de la liste la clé SOFTWARE\Microsoft\PolicyManager\current\device sans préciser de valeur.
Marsh Posté le 03-12-2021 à 16:41:23
Citation : C'est quelle version de 10 ? Sur la 21H2 la clé device est présente mais pas Start et dans ce cas, les valeurs sont bien créées. |
Au temps pour moi, il y a bien "device" mais pas "Start". C'est une version 21H1
Citation : Sinon tu as tenté de mettre create au lieu de update (qui est la valeur par défaut lors de l'import) ? |
J'avais déja fait la modification pour ça, j'ai remplacé les action="U" par des action="C", mais ça ne permet pas de crée la clé Start
J'ai même essayé ça :
Citation : |
Citation : Autre piste : ajouter en haut de la liste la clé SOFTWARE\Microsoft\PolicyManager\current\device sans rien mettre d'autre |
Désolé je n'ai pas compris car je ne sais justement pas comment ajouter une clé.
Si j'ai bien compris, les lignes Collection permettent de se déplacer dans l'arbprescence et les autres de crée les valeurs, seulement d'après ce que j'ai essayé (cité plus haut dans mon message), le type "KEY" n'existe pas...
Marsh Posté le 03-12-2021 à 16:56:20
sebastien4444 a écrit :
|
Je vais tester de mon côté.
sebastien4444 a écrit : |
Heu, j'ai dis une conn**** je voulais te faire ajouter la clé avec les autres valeurs ce qui aurait eu pour effet de créer une sous-clé start vide
Marsh Posté le 23-11-2021 à 16:16:27
Bonjour,
Afin de customiser des postes en Windows 10 intégrés à un domaine Active Directory, notamment empêcher l'accès à des nombreuses options aux utilisateurs finaux, je souhaite mettre en place une GPO qui gère toutes ces limitations.
Pour la partie customisation de la partie Menu Démarrer et Barre de tâche, je me rend donc (dans l'éditeur de gestion de stratégies de groupes) à Configuration utilisateur > Stratégies > Modèle d'administration >Menu Démarrer et barre de tâche.
J'ai donc activé la suppression de nombreux paramètres MAIS les paramètres "Supprimer l'icône Documents du menu démarrer" et "Supprimer l'icône Images du menu démarrer" n'ont aucun impact une fois la GPO appliquée.
En effet, quand on regarde la description de ces paramètres, on voit que les OS pris en charge ne vont que jusqu'à Windows 7.
D'où ma question : comment supprimer ces icônes du menu démarrer ?
Autre point : j'ai réussi à supprimer la barre de recherche de la barre des tâches (via modification de la base de registre) mais lorsque je déroule le menu démarrer et que je tape, par exemple, "cmd" : il me retourne bien l'invite de commande ; Or j'aimerai que les utilisateurs ne puissent pas du tout utiliser la fonction de recherche.
Merci d'avance de votre aide si il existe une solution à mon problème