Bonjour à tous,
Sous Windows XP l'administration des périphériques est assez basique; cette administration est fondée sur la signature des pilotes. Dans ce cas, l'utilisateur qui a ouvert une session avec un compte d'Administrateur a le choix d'installer ou pas ces pilotes non signés.
Finalement, il s'agit-là d'une administration relativement limitée.
Windows Vista introduit deux nouvelles fonctionalités de gestion :
- Le Trusted Driver Store, magasin de pilotes approuvés qui contient tous les pilotes nécessaires aux utilisateurs qui connecteront leurs périphériques.
- Le Driver Store Policies, Stratégies de groupe qui déterminent le comportement du système envers les pilotes non présents : pilotes non conformes aux standards (de l'entreprise par exemple) et les pilotes non signés.
Le Trusted Driver Store, vous l'avez deviné, est un tentrepôt de confiance situé sur chaque machine cliente et qui contient tous les pilotes autorisés. L'ajout de pilotes nécessite une élévation de droits vers le profil Administrateur. Toutefois, ces ajouts peuvent être réunis en une seule opération lors du déploiement du système (phase de staging).
Une fois les pilotes intégrés à ce magasin, n'importe quel utilisateur peut brancher n'importe quel périphérique qui aura été approuvé par l'Administrateur et cela sans l'intervention de celui-ci.
Vous vous en doutez, cette nouvelle fonctionalité permet de libérer une foule de tâches administratives futures liées aux demandes des utilisateurs. Seuls les périphériques autorisés pourront être connectés à une station Windows Vista.
Bien entendu, cette évolution introduit également un changement dans le cycle des pilotes. Avec Windows XP, c'est Microsoft qui signe les pilotes.Avec Windows Vista, l'administrateur peut signer lui-même localement les pilotes qu'il a jugé valides à l'aide d'un certificat.
Il s'ensuit qu'il est donc possible de savoir qui a signé le pilote et contrôler si le package a été altéré depuis sa signature.
Le Driver Store Policies permet à l'Administrateur de décider qui installe quoi, de filtrer les installations de périphériques et d'autoriser l'installation de tel ou tel type de matériel, telle ou telle classe de périphériques.
Il vrai que les Stratégies de groupe permettent une foule de combinaisons possibles dans la gestion d'une machine ou plusieurs machines en domaine. Elles contiennent un véritable arsenal de réglages à la disposition de l'Administrateur local et de réseaux.
Ouvrons maintenant l'éditeur de stratégies : GPEDIT.MSC
On découvre quelques changements avec l'ajout d'un nouveau format xml Admx des fichiers de stratégies. Dans la branche Classic Administratives Templates (ADM) / System / Device installation / Device installation restrictions http://msmvps.com/photos/patrice/images/140953/637x379.aspx . Si cette clé n'est pas présente, il faut charger le fichier Adm modèle par Ajout/suppression de modèle : devinst.adm
Par défaut, les périphériques sont tous autorisés.
Dans ce dossier Device installation restriction, on peut par exemple sélectionner :
- Allow Administrators to override device installation policy settings : Permettre aux Admin de contourner les restrictions,
- Allow installation of devices using drivers for these device classes : l’utilisateur pourra installer le matériel identifié par sa classe d’objet (GUID) seulement après autorisation sur élévation de droit http://msmvps.com/photos/patrice/images/140955/496x637.aspx . On peut tout aussi bien interdire le-dit périphérique parce qu'il n'est pas conforme aux attentes de l'entreprise. Pour la classe de l'objet, il suffit d'aller copier la chaîne GUID depuis les propriétés du matériel dans le gestionnaire de périphériques.
On voit donc qu'il est possible d'administrer Windows Vista de manière très précise en respectant au mieux les impératifs de sécurité d'une entreprise.
Si vous avez des questions, n'hésitez pas.
A bientôt.
Patrice.