Windows XP

Windows 7

Manuellement

Installer le patch seven.reg sur la station puis redémarrer la avant d'intégrer la machine au domaine.

Le fichier seven.reg se trouve ici :

p:\Maintenance\seven.reg

Warning

Cette étape est IMPORTANTE et OBLIGATOIRE pour l'intégration d'une machine Windows 7 ( 32b & 64b ) dans le domaine.

Le fichier "seven.reg" est mis à jour automatiquement au fur et à mesure des mises à jour de serveurs. Il ne faut pas le modifier.

Via OPSI

Installer le paquet opsi-patch-domain-seven et opsi-domain-join depuis la forge et lancer les paquets sur les stations.

Suivre la documentation des paquets pour la configuration :

http://opsi-doc.giprecia.fr/opsi-patch-domain-seven/index.html

http://opsi-doc.giprecia.fr/opsi-domain-join/index.html

Lancer le opsi-patch-domain-seven en premier puis le opsi-domain-join à la fin.

Description détaillée du patch seven.reg

Son contenu

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters]

"DNSNameResolutionRequired"=dword:00000000
"DomainCompatibilityMode"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters]
"RequireStrongKey"=dword:00000001
"RequireSignOrSeal"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"SlowLinkDetectEnabled"=dword:00000000
"DeleteRoamingCache"=dword:00000001
"WaitForNetwork"=dword:00000000
"CompatibleRUPSecurity"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSC]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000

Etude détaillé des clés

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSC]
"Start"=dword:00000004

EnableLUA

Afin d'éviter que windows seven ne demande en permanence la validation des logiciels lancés, et autorise le fonctionnement d'ESU, il faut désactiver LUA. C'est l'objectif de cette clé

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=dword:00000000

EnableFirewall

Il est important que le firewall de Windows soit désactivé, et pour plusieurs raisons :
  • il faut que l'on puisse à distance accéder à la machine pour pouvoir déployer des applications via rdp
  • il faut qu'OPSI puisse accéder à son client
  • il faut que le DHCP puisse pinguer les machines pour pouvoir déterminer si l'adresse est libre ou non
  • il faut que l'on puisse déployer l'antivirus, et que la console antivirus puisse atteindre ses clients
  • ...

Toutes ces raisons font qu'on désactive le firewall natif de Windows, et que l'on règle plutôt les problèmes de firewall de Windows via l'antivirus

Les clés suivantes se chargent de cette manipulation

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000

Clés pour le fonctionnement dans le domaine

Les clés suivantes doivent être fixées aux valeurs suivantes pour pouvoir fonctionner correctement dans un domaine samba.

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters]

"DNSNameResolutionRequired"=dword:00000000
"DomainCompatibilityMode"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters]
"RequireStrongKey"=dword:00000001
"RequireSignOrSeal"=dword:00000001

Des explications techniques détaillés sur la raison de la mise en place de ces clés sont disponibles sur le net. Ces techniques et dépassent le cadre de cette documentation.

Reprise des clés "traditionnelles"

Les clés suivantes ont été reprises du patch standard utilisé lors de la connexion des Windows XP. Elles ont été remises ici afin de ne pas obliger à rebooter une nouvelle fois suite à l'intégration au domaine.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"SlowLinkDetectEnabled"=dword:00000000
"DeleteRoamingCache"=dword:00000001
"WaitForNetwork"=dword:00000000
"CompatibleRUPSecurity"=dword:00000001

Désactivation du mode hors connexion

Les raisons sont expliquées dans le chapitre dédié aux patchs de base de registre ( voir ici : Ouverture de session, scripts de connexion#le-patch-usager-admin )

Sous Seven, il faut aussi désactiver ce service.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSC]
"Start"=dword:00000004

Catégorie STATIONS

AdminDocs: Stations/Entrée sur le domaine (last edited 01/06/2015 14:42:00 by ChloeFonck)