www.lgeoffrin.c.la Précédent Actualiser Suivant
 

webmail

Configuration : niveau utilisateur

Spécifique à la version française :

Toutes versions (US et FR) de NT :

Q. Comment verrouiller automatiquement le pavé numérique ?

R. La clé à modifier avec Regedt32.exe est HKEY_CURRENT_USER\Control Panel\Keyboard\InitialKeyboardIndicators. Initialement, elle a la valeur 0, il faut la modifier pour lui donner la valeur 2. Pour que le pavé numérique soit bloqué avant même que quelqu'un ne soit logué, il faut modifier HKEY_USERS\.DEFAULT\Control Panel\Keyboard\InitialKeyboardIndicators de 0 en 2.

Q. Comment empêcher d'accéder au gestionnaire de tâches ?

R. On peut faire comme suit :

  1. Lancez l'éditeur de la base de registre.
  2. Recherchez HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\Policies.
  3. Si la clé \System n'existe pas, créez-la.
  4. Ajoutez-lui une nouvelle valeur de type DWORD, ayant pour nom DisableTaskManager et comme valeur 1.
  5. Redémarrez la machine.

On peut aussi utiliser l'éditeur de Stratégie Système (Poledit.exe).

  1. Lancez l'éditeur de Stratégie Système.
  2. Sélectionnez l'utilisateur ou modifiez l'utilisateur par défaut.
  3. Dans Restrictions/Interface, sélectionnez "Effacer la barre des tâches de l'utilisateur".

Pour le rendre inaccessible à tous les utilisateurs, renommez taskmgr.exe en autre chose, ou si le disque système est NTFS, fixez des permissions pour taskmgr.exe.

Q. Comment créer un utilisateur captif ?

R. Il est impossible de créer un utilisateur captif. Cependant, vous pouvez forcer un utilisateur à lancer un programme et le déconnecter s'il le ferme :

  1. Créez un batch du type :
    <Le programme que vous voulez lancer>
    Logout
  2. Créez un profil pour cet utilisateur.
  3. Effacez tous les groupes (au sens du menu "Démarrer" ) pour cet utilisateur, sauf celui de "Démarrage".
  4. Dans le groupe "Démarrage", créez un raccourci vers votre batch.

Le fichier "logout.exe" permet de déconnecter un utilisateur, il est aussi possible de limiter l'accès grâce à l'éditeur de stratégie système. A partir de l'éditeur de stratégie système, vous pouvez sélectionner les applications que peut lancer un utilisateur. (n'oubliez pas de lui donner l'accès à l'Explorateur !)

Vous pouvez aussi utiliser le Zéro Administration Kit de Microsoft, qui permet de limiter plus finement les droits et l'interface de l'utilisateur.

Q. Où doit-on placer les scripts de connections ?

R. Il faut les mettre dans le répertoire : WINNT\SYSTEM32\REPL\IMPORT\SCRIPTS.

Q. Quel doit être le contenu des scripts ?

R. Cela dépend des sites. En général, on synchronise l'heure de toutes les stations avec celle du serveur (en espérant que le serveur soit à l'heure). On peut attacher un répertoire personnel à une lettre de lecteur.

Voici un exemple de script :

@echo off
net time \\serveur1 /set /yes
net use p: /home

le /home identifiant le "Répertoire de base de l'utilisateur" comme défini dans le gestionnaire des utilisateurs d'un domaine, bouton "Profil".

Q. Y a-t-il des utilitaires pratiques pour gérer les scripts ?

R. Dans le Ressource Kit de NT, on trouve l'utilitaire KIX, qui permet d'écrire des scripts plus complexes. Il existe aussi le freeware KixTart.

Microsoft a développé le "Windows Scripting Host", inclus dans NT 2000, et qui doit être le prochain standard de script. On peut le télécharger à partir de http://www.microsoft.com/management/wsh.htm.

Q. Y a-t-il un moyen d'exécuter des tâches qui dépendent de l'appartenance à un groupe ?

R. Dans le Ressource Kit, on trouve un programme appelé IFMEMBER, qui permet cela.

Attention : IFMEMBER fonctionne en testant l'appartenance à un groupe et en renvoyant un ERRORLEVEL.

Q. Comment limiter l'espace disque utilisable par un utilisateur ?

R. Cela n'est pas possible dans NT Serveur seul (c'est annoncé pour NT 2000). Cependant, on peut utiliser des logiciels spécifiques, qui se rajoute à NT Serveur :

Q. Quelles variables sont disponibles pour les scripts ?

R. Voici une liste des variables utilisables dans des scripts, sous forme de batch.

%COMPUTERNAME% Nom de l'ordinateur.
%HOMEDRIVE% Nom du disque local.
%HOMEPATH% Le chemin UNC complet du répertoire de base de l'utilisateur.
%HOMESHARE% Le partage qui contient le répertoire de base de l'utilisateur.
%LOGONSERVER% C'est le nom du serveur qui valide la session de l'utilisateur.
%OS% L'OS de la machine qui se connecte.
%PROCESSOR% Par exemple 486.
%USERDOMAIN% Le nom du domaine de l'utilisateur.
%USERNAME% Le nom de l'utilisateur.

Q. Puis-je ajouter des utilisateurs à partir d'une base de données ?

R. Il existe un utilitaire dans le Ressource Kit, ADDUSERS.EXE, qui permet d'ajouter des utilisateurs et des groupes par programme.

Q. Y a-t-il un programme qui montre qui est connecté ?

R. Le Ressource Kit contient un utilitaire appelé WHOAMI.EXE, qui affiche le nom de l'utilisateur et le domaine auquel il appartient.

Q. Comment changer les variables d'environnements à partir de la ligne de commande ?

R. Dans le Ressource Kit, il existe un utilitaire appelé SETX.EXE qui permet de changer les variables d'environnement.

Par exemple :

setx variable 1
setx variable -k HKEY_LOCAL_MACHINE\...\DefaultDomainName

Q. Comment cacher des lecteurs à des utilisateurs ?

R. On peut le faire grâce à l'utilitaire TweakUI, dans l'onglet "My Computer". Il suffit de décocher les cases correspondant aux lecteurs que l'on veut cacher. En fait, cela vient modifier la clé du registre HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NODRIVES qui est un mot 32-bits. Les 26 premiers bits de cette clé à 32 bits correspondent aux lettres de lecteurs (de A à Z). Le lecteur est visible lorsque le bit correspondant est à 0, et caché s'il est à 1.

Le lecteur A est donc représenté par les données les plus à droite lorsque l'on sélectionne "Affichage des données binaires".

Par exemple : 00000000000000000000010101(0x7h)

Cette valeur implique que les lecteurs A, C et E sont cachés.

Les lecteurs cachés avec cette méthode ne sont visibles ni dans l'Explorateur, ni par l'icône Poste de travail, ni dans le "Ouvrir, Enregistrer sous" des boîtes de dialogues applicatives.

Le système de fichier et la ligne de commande de NT ne sont pas affectés par cette clé de la base de registre.

Q. Comment faire pour que l'interface démarre avant la fin du script ?

R. Changez à 0 la valeur de la clé du registre HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon\RunLogonScriptSync. Ceci aura pour conséquence de lancer l'interface avant la fin du script. Une valeur de 1 implique que l'interface ne démarre pas tant que le script n'est pas terminé.

Q. Comment empêcher l'animation de Windows ?

R. Dans TweakUI, dans l'onglet Général, il y a une case à cocher "Window Animation" qui stoppera l'animation. On peut aussi le faire par la base de registre :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_CURRENT_USER\Control Panel\Desktop\WindowsMetrics.
  3. Double-cliquez sur "MinAnimate".
  4. Changez la valeur à 1 pour une animation, et à 0 pour l'empêcher.
  5. Fermez l'éditeur de la base de registre.
  6. Déconnectez-vous et reconnectez-vous. Si vous utilisez TweakUI, ce n'est pas la peine.

Q. Comment réduire/augmenter le délai d'attente des menus ?

R. Vous pouvez utiliser TweakUI, onglet Mouse, case Menu speed, ou alors modifier la clé HKEY_CURRENT_USER\Control Panel\Desktop\MenuShowDelay de la base de registre.

Q. Comment changer l'icône "Poste de travail" ?

R. On peut le faire en utilisant les "Thèmes pour NT", à partir de l'onglet "Plus" des propriétés de l'affichage.
Cependant, on peut aussi modifier la base de registre :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\DefaultIcon
  3. Double-cliquez sur : (Default).
  4. Rentrez alors le chemin correspondant à la nouvelle icône, par exemple : "d:\Prog Files\Plus\Themes\John.ico,0". La valeur 0 indique que c'est le premier icône dans ce fichier.
  5. Quittez l'éditeur de la base de registre.

Q. Comment cacher l'icône "Voisinage Réseau" ?

R. Vous pouvez utiliser TweakUI, dans l'onglet "Desktop", décochez la case "Network Neighborhood". Cependant, on peut aussi modifier la base de registre :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  3. Double-cliquez sur NoNetHood et changez le premier 00 en 01 :
    0000 00 00 00 00 en 0000 01 00 00 00.
  4. Quittez l'éditeur de la base de registre.
  5. Déconnectez-vous et reconnectez-vous, l'icône "Voisinage Réseau" aura disparu.

Q. Pourquoi ne puis-je pas déplacer mes icônes ?

R. Il est possible de configurer NT pour réorganiser automatiquement les icônes du bureau. Pour empêcher cela, placez-vous sur le bureau (à un endroit où il n'y a pas d'icônes), et cliquez sur le bouton droit de la souris. Décochez ensuite la ligne "Réorganisation automatique" de l'affichage.

Q. Comment savoir à quel(s) groupe(s) appartient un utilisateur ?

R. NT permet de récupérer un certain nombre d'informations significatives avec la commande :

net user <nom de l'utilisateur> /domaine

Cette commande affiche alors des informations, comme la date de dernière connexion, le chemin du répertoire de base, etc... Dans le Ressource Kit, on trouve un utilitaire appelé SHOWGRPS.EXE qui ne renvoie que les informations sur les groupes :

showgrps <domaine>\<utilisateur>

Par exemple : showgrps savilltech\john

Q. Je ne vois plus rien dans le dossier commun du menu Démarrer ?

R. Il existe une clé dans la base de registre qui indique si le dossier commun est visible dans le dossier Démarrer. Pour revoir le dossier commun, ramenez à 0 la valeur de la clé suivante, à l'aide de l'éditeur de la base de registre :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCommonGroups.

Par défaut, cette clé n'existe pas.

Q. Comment rendre le bouton droit de la souris inactif ?

R. Pour les utilisateurs en Service Pack 2 ou plus, il est possible d'empêcher l'affichage des menus contextuels :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.
  3. A partir du menu édition, sélectionnez Nouveau - Valeur DWORD.
  4. Tapez le nom : NoViewContextMenu et appuyez sur Entrée.
  5. Double-cliquez sur la nouvelle valeur et donnez-lui la valeur 1.
  6. Fermez l'éditeur de la base de registre.
  7. Déconnectez-vous et reconnectez-vous.

Pour revenir à la situation initiale, effacez la clé NoViewContextMenu, déconnectez-vous et reconnectez-vous.

Q. Comment donner aux utilisateurs le droit de changer l'heure de la machine ?

R. Le droit de changer l'heure système est un droit qui doit être fixé en utilisant le gestionnaire des utilisateurs :

  1. Lancez le gestionnaire des utilisateurs (Démarrez - Programmes - Outils d'administration - Gestionnaire des utilisateurs )
  2. Cliquez sur le menu Stratégies et sélectionnez : Droits de l'utilisateur.
  3. Dans la boîte de dialogue qui apparaît, cochez la case "Afficher les droits avancés des utilisateurs".
  4. Dans la liste déroutante, choisissez "Modifier l'heure système".
  5. Cliquez sur le bouton "Ajouter", et ajouter autant de groupes et de personnes que vous voulez.
  6. Cliquez sur OK pour quitter cette boîte de dialogue.
  7. Fermez le gestionnaire des utilisateurs.
  8. Les utilisateurs connectés devront se déconnecter et se reconnecter pour utiliser leur nouveau droit.

Q. Comment ajouter un utilisateur ?

R. Pour ajouter un utilisateur à un domaine, vous devez vous connecter au serveur d'un domaine en tant qu'Administrateur, et lancer le gestionnaire des utilisateurs. Cependant, avant d'ajouter un utilisateur à un serveur, vous devez prendre en compte les quatre méthodes les plus utilisées en matière de noms d'utilisateurs dans un réseau :

Il est important de se fixer une règle et de s'y tenir, mais en général, on peut utiliser une règle déjà en cours dans l'entreprise.
Pour ajouter un utilisateur :

  1. Lancez le gestionnaire des utilisateurs du domaine (Menu Démarrer - Programmes - Outils d'administration - Gestionnaire des Utilisateurs du Domaine).
  2. Sélectionnez Nouvel utilisateur dans le menu Utilisateur.
  3. Dans le champ Nom de l'utilisateur, entrez le nom que tapera l'utilisateur pour se connecter, par exemple savillj. La casse (différence minuscule-majuscule) est importante car l'utilisateur savillj n'est pas le même que SavillJ, donc faites attention à cette étape de l'opération. Le nom d'utilisateur peut contenir 20 caractères en longueur et comporter des numéros, ponctuations sauf les caractères :
    " [] ? / \ ; : | = ,
    Vous pouvez utiliser des espaces, mais notez bien que cela peut être gênant pour exécuter des actions en lignes de commande.
  4. Bien que le nom détaillé ne soit pas obligatoire, c'est une bonne idée de remplir ce champ avec le vrai nom complet de la personne. Il y a plusieurs utilitaires dans NT qui permettent de lire cette information.
  5. Dans le champ Description, on peut mettre par exemple "Vendeur", ou ce que vous voulez.
  6. Vous devez rentrer un mot de passe que l'utilisateur tapera à sa première connection. Il doit être entré deux fois, une fois dans le champ "Mot de passe", une autre fois dans le champ "Confirmer le mot de passe".
  7. Vous verrez 4 cases à cocher :
    - L'utilisateur doit changer de mot de passe à la prochaine ouverture de session : c'est une bonne idée de la cocher car cela forcera l'utilisateur à changer son mot de passe.
    - L'utilisateur ne peut pas changer de mot de passe : pas une bonne idée, à n'utiliser que pour un compte partagé.
    - Le mot de passe n'expire jamais : encore une mauvaise idée, vous prenez des risques avec des mots de passe permanents.
    - Compte désactivé : pour suspendre un compte (vacances prolongées, par exemple).
  8. Cliquez sur le bouton "Groupes" en bas de la case de dialogue :
    - Sélectionnez un groupe dans la case de droite, puis cliquez sur Ajouter pour rendre le nouvel utilisateur membre d'un groupe.
    - Cliquez sur OK pour terminer.
  9. Cliquez sur le bouton "Profil" :
    - Dans le profil, vous pouvez renseigner la case "Chemin du profil de l'utilisateur", par exemple : \\savpdc\profiles.
    - Dans la case "Nom du script d'ouverture de session", tapez le nom du fichier batch qui sera exécuté lors de la connection. Vous n'avez qu'à rentrer le nom du fichier et pas le chemin complet. Le fichier batch doit se trouver dans le partage NETLOGON.
    - Vous pouvez aussi renseigner le "Répertoire de base de l'utilisateur", qui peut être un disque local, mais est plus généralement un partage.
    - Cliquez sur OK pour terminer.
  10. Il est aussi possible de restreindre la connection en fonction des heures en cliquant sur le bouton "Horaires".
  11. En cliquant sur le bouton "Accès depuis", on peut limiter les stations à partir desquelles l'utilisateur pourra se connecter.
  12. Le bouton "Compte" fixe une date d'expiration du compte (cas des stagiaires) et le type de compte (global ou local).
  13. Enfin, le bouton "Numérotation" permet de fixer les droits sur l'accès distant.

Q. Comment utiliser les "profils errants" ?

R. Lorsque vous utilisez un ordinateur et que vous changez ses propriétés, comme l'image du papier peint, cette information sera stockée localement sur la machine, dans le répertoire %systemroot%/profiles/<nom de l'utilisateur>.

Par exemple : d:\winnt\profiles\savillj.

Sur une autre machine, cette information ne sera pas accessible, il faudra donc changer le papier peint. Un profil dont les propriétés suivent l'utilisateur est appelé "Profil errant". Pour cela, il suffit de stocker le profil de l'utilisateur sur un partage réseau, qui sera téléchargé localement à chaque connexion de l'utilisateur. A la déconnexion, le profil sera mis à jour et une copie gardée localement. Pour utiliser les profils errants, suivez cette démarche :

  1. Lancez le gestionnaire des utilisateurs du domaine (Menu Démarrez - Programmes - Outils d'administration - Gestionnaire des Utilisateurs du Domaine).
  2. Double-cliquez sur l'utilisateur.
  3. Cliquez sur le bouton "Profils".
  4. Dans la case "Chemin du profil de l'utilisateur", entrez le chemin où sera stocké ce profil comme suit : \\<serveur>\<partage>\<nom>. Par exemple : \\bugsbunny\profiles\savillj (vous pouvez utiliser la variable %username% au lieu du nom).
  5. Cliquez sur OK pour terminer.

Comme mentionné précédemment, le profil est mis en cache localement sur les ordinateurs. Cependant, on peut empêcher son exécution en suivant la procédure suivante :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
  3. Créez une valeur de type DWORD nommée DeleteRoamingCache (Edition - Nouveau - Valeur Dword).
  4. Forcez cette valeur à 1.

Q. Comment faire pour que chaque utilisateur ait sa propre résolution d'écran ?

R. Vous ne pouvez pas, la résolution d'écran est stockée dans la base de registre, dans une section indépendante du nom de l'utilisateur. Les utilisateurs devront donc changer manuellement la résolution après s'être connecté.

Q. Comment créer une liste de tous les utilisateurs ?

R. Il existe quatre façons différentes de lister les comptes dans un domaine ou sur une machine :

  1. La plus simple est d'utiliser un utilitaire du Ressource Kit appelé ADDUSERS.EXE, qui permet d'ajouter des utilisateurs à partir d'un fichier texte. Il permet aussi d'exporter les informations sur les comptes vers un fichier texte, au format CSF. Qu'est-ce qu'un fichier CSF (Comma Separated File) ? C'est un fichier dont les différents éléments sont séparés par une virgule. On peut le lire simplement dans Excel, par exemple. La syntaxe est :
    addusers /d <nom du fichier>
    Par exemple : addusers /d johnslis.csf
    Attention : ne tapez pas /e à la place de /d, car /e efface tous les utilisateurs.
  2. Un utilitaire appelé USRSTAT.EXE existe dans le Ressource Kit pour NT Serveur, qui donne les informations sur tous les membres d'un domaine donné, y compris la date et l'heure de la dernière connexion :
    usrstat <domaine>
    Par exemple : usrstat savilltech .
  3. Dans le Ressource Kit, on trouve aussi le programme SHOWMBRS.EXE, qui montre tous les membres d'un groupe. On peut donc lister tous les membres d'un domaine en demandant la liste du groupe "Utilisateurs du domaine" :
    showmbrs "<domaine>\domain users"
    Par exemple : showmbrs "savilltech\domain users" .
    Vous pouvez ajouter "> <fichier>" pour rediriger le résultat vers un fichier, par exemple : showmbrs "savilltech\domain users" > allusers.list .
  4. Enfin, si vous n'avez pas le Ressource Kit, vous pouvez utiliser la commande NET, qui affiche tous les utilisateurs d'un domaine :
    net user /domaine
    Cette commande listera tous les utilisateurs, et donc, en rajoutant un "> <fichier>", vous récupérerez l'information dans un fichier. Vous aurez des informations détaillées sur un utilisateur en tapant la commande :
    net user <nom de l'utilisateur> /domaine
    Par exemple : net user savillj /domain .

Q. Comment changer la couleur utilisée pour caractérisée les fichiers/répertoires compressés ?

R. Cette couleur est stockée sous forme hexadécimale dans la base de registre. Donc, pour la modifier, vous devez savoir à quelle valeur Hexa elle correspond. Par exemple, dans le cas du rouge (RGB : 255,0,0), vous devrez convertir ces valeurs avec la calculatrice de NT (calc.exe) :

  1. Démarrez la calculatrice (Démarrez - Exécuter - Calc.exe).
  2. Dans le menu affichage, choisissez "Scientifique".
  3. Cliquez sur la case Dec et entrez la première partie de la valeur RGB (ici, c'est 255).
  4. Cliquez sur Hex pour la voir s'afficher en Hexa : la valeur FF s'affiche.
  5. Répétez ces opérations pour les deux autres valeurs (ici, on obtiendra 0 et 0).

Autre exemple, la valeur 255,128,0 donnera FF,80,0.

Ensuite, pour modifier cette couleur :

  1. Lancez l'éditeur du registre, Regedt32.exe.
  2. Sélectionnez la fenêtre "HKEY_CURRENT_USER sur la machine locale" et recherchez l'entrée HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
  3. Ajoutez une nouvelle valeur (Edition - Ajouter une valeur).
  4. Dans le champ Nom de la valeur, saisissez : AltColor et dans Type des données, choisissez : REG_BINARY.
  5. Ensuite, dans la fenêtre de l'éditeur binaire, saisissez en Hexa sur la première ligne : FF 00 00 00 (dans le cas du rouge).
  6. Fermez ensuite l'éditeur du registre.
  7. Vous devrez vous déconnecter et vous reconnecter pour que cette modification prenne effet.

Vous pouvez aussi plus simplement utiliser l'utilitaire TweakUI :

  1. A partir du panneau de configuration, démarrez TweakUI (Démarrer - Paramètres - Panneau de configuration - TweakUI).
  2. Cliquez sur l'onglet Explorer.
  3. En bas, vous verrez la ligne "Color of compressed files", cliquez sur "Change Color".
  4. Sélectionnez ensuite la couleur puis cliquez sur OK.
  5. Vous devrez vous déconnecter et vous reconnecter pour que cette modification prenne effet.

Q. Comment ajouter un utilisateur à partir de la ligne de commande ?

R. La réponse la plus simple est d'utiliser la commande net user <utilisateur> <mot de passe> /add (/domaine). Cependant, il est aussi possible d'automatiser non seulement son ajout pur et simple, mais aussi son ajout à des groupes et la création d'un compte partagé pour l'utilisation de fichiers modèles simples, par exemple. Beaucoup d'organisations ont des structures avec des répertoires partagés et des fichiers modèles Word et Excel. Par exemple :

ajoututil.bat

net user %1 motdepasse /add /homedir:\\<serveur>\users\%1 /scriptpath:login.bat /domain
net localgroup "<groupe local>" %1 /add
On répète la commande pour des groupes locaux
net group "<groupes>" %1 /add /domain
puis pour des groupes globaux
xcopy \\<serveur>\users\modeles \\<serveur>\users\%1\ /e
cacls \\<serveur>\users\%1 /e /r Everyone
On enlève la permission Tout le monde
cacls \\<server>\users\%1 /g %1:F /e
cacls \\<server>\users\%1 /g Administrators:F /e

Q. Comment configurer le papier peint pour qu'il soit ailleurs qu'au centre de l'écran ?

R. Il est possible de configurer NT pour qu'il affiche le papier peint n'importe où sur l'écran, mais cela doit se faire en manipulant manuellement la base de registre :

  1. Lancez l'éditeur du registre, Regedt32.exe.
  2. Recherchez l'entrée HKEY_CURRENT_USER\Control Panel\Desktop.
  3. A partir du menu Édition, sélectionnez "Nouvelle Valeur".
  4. Créez la clé WallpaperOriginX de type REG_SZ, puis cliquez sur OK. On vous demandera une valeur, c'est le nombre de pixels entre la gauche de l'image et le bord gauche de l'écran.
  5. Ensuite, créez la clé WallpaperOriginYe de type REG_SZ, puis cliquez sur OK. Entrez comme valeur le nombre de pixels entre le haut de l'image et le haut de l'écran.
  6. Vous devrez vous déconnecter et vous reconnecter pour que cette modification prenne effet.

Q. Comment copier des utilisateurs d'une machine à une autre ?

R. Si vous voulez juste remplacer le PDC d'un domaine par une autre machine, le plus simple est d'installer cette machine comme un BDC, puis de la promouvoir en PDC, ce qui évitera de créer la liste des comptes utilisateurs.

Par contre, si vous voulez fusionner deux domaines, ou juste déplacer des comptes, la procédure suivante vous aidera : (vous aurez besoin de addusers.exe du Ressource Kit).

  1. Connectez-vous en Administrateur sur la machine où se trouvent les comptes que vous voulez exporter.
  2. Lancez la commande :
    addusers /d <fichier>
    Cela créera un fichier dont les éléments sont séparés par des virgules avec tous les détails de groupes et de comptes.
  3. Vous n'avez pas besoin des informations sur les groupes globaux ou locaux, donc éditez le fichier (avec Excel par exemple) et effacez les sections [Global] et [Local], ainsi que leur contenu.
  4. Copiez le fichier sur la machine où vous souhaitez importer les comptes.
  5. Connectez-vous en Administrateur sur la machine où vous voulez importer les comptes (dans un domaine, connectez-vous sur le PDC).
  6. Lancez la commande :
    addusers /c <fichier>
    Cela lira le fichier et créera les comptes.
  7. Maintenant qu'ils sont créés, fixez leurs droits.

Q. Comment empêcher l'affichage du message "Cliquez ici pour commencer" ?

R. Il y a deux possibilités. Soit avec TweakUI, comme ceci :

  1. A partir du panneau de configuration, démarrez TweakUI (Démarrer - Paramètres - Panneau de configuration - TweakUI).
  2. Cliquez sur l'onglet "Explorer".
  3. Décochez la case "Animated click here to begin".
  4. Cliquez sur OK.

Soit avec l'éditeur de la base de registre, comme ceci :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez l'entrée HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  3. Double-cliquez sur NoStartBanner, et changez sa valeur à 01 00 00 00.
  4. Cliquez OK.
  5. Vous devrez vous déconnecter et vous reconnecter pour que cette modification prenne effet.

Q. Comment forcer un utilisateur à se déconnecter à certaines heures ?

R. On peut facilement, dans NT, fixer des heures de connection autorisées. En utilisant la stratégie utilisateur, on peut forcer NT à déconnecter les utilisateurs encore connectés au-delà des heures autorisées :

  1. Lancez le gestionnaire des utilisateurs du domaine (Menu Démarrer - Programmes - Outils d'administration - Gestionnaire des Utilisateurs du Domaine)
  2. Double-cliquez sur l'utilisateur, par exemple savillj.
  3. Cliquez sur le bouton "Horaires".
  4. Par défaut, l'utilisateur peut se connecter tout le temps. Chaque carré représentant une heure, sélectionnez les plages où l'utilisateur ne pourra pas se connecter, puis cliquez sur "Interdire".
  5. Cliquez sur OK lorsque vous avez fini, puis encore sur OK pour fermer la boîte de dialogue.
  6. Choisissez alors dans le menu "Stratégie", puis "Compte...".
  7. En bas de la case de dialogue, cochez la case "Déconnecter de force les utilisateurs distants du serveur lorsque l'horaire est dépassé", et cliquez sur OK.

Q. Comment modifier des droits à partir de la ligne de commande ?

R. En général, les droits sont fixés en utilisant le gestionnaire des utilisateurs du domaine, et en sélectionnant le menu "Stratégie", puis "Droits de l'utilisateur". Lorsque vous voulez fixer des droits par la ligne de commande, il vous faut utiliser la commande NTRIGHTS.EXE du Ressource Kit supplément 2.

Le programme utilise ces mots-clés pour fixer des droits :

Mot clé Droit
SeNetworkLogonRight Accéder à cet ordinateur depuis le réseau.
SeTcbPrivilege Agir comme un élément du système d'exploitation.
SeMachineAccountPrivilege Ajouter des stations au domaine.
SeBackupPrivilege Sauvegarder des fichiers et des répertoires.
SeChangeNotifyPrivilege Bypass traverse checking.
SeSystemtimePrivilege Changer l'heure système.
SeCreatePagefilePrivilege Créer un fichier Pagefile.
SeCreateTokenPrivilege Créer un "token".
SeCreatePermanentPrivilege Créer des partages permanents.
SeDebugPrivilege Débugger des programmes.
SeRemoteShutdownPrivilege Forcer l'arrêt à distance.
SeAuditPrivilege Générer des Audits de sécurité.
SeIncreaseQuotaPrivilege Augmenter les Quotas.
SeIncreaseBasePriorityPrivilege Modifier les priorités d'exécutions.
SeLoadDriverPrivilege Charger et décharger des pilotes.
SeLockMemoryPrivilege Bloquer des pages en mémoire.
SeBatchLogonRight Se connecter comme une tâche "Batch".
SeServiceLogonRight Se connecter en tant que service.
SeInteractiveLogonRight Se connecter localement.
SeSecurityPrivilege Agir sur les logs d'audits et de sécurité.
SeSystemEnvironmentPrivilege Modifier des paramètres d'environnement.
SeProfileSingleProcessPrivilege Fixer les affinités d'un processus.
SeSystemProfilePrivilege Profile system performance.
SeUnsolicitedInputPrivilege Read unsolicited input from a terminal device.
SeAssignPrimaryTokenPrivilege Replace a process level token.
SeRestorePrivilege Restaurer des fichiers et des répertoires.
SeShutdownPrivilege Arrêter le système.
SeTakeOwnershipPrivilege S'approprier des fichiers ou des objets.

Pour fixer un droit, utilisez  la syntaxe suivante :

ntrights +r SeInteractiveLogonRight -u SavillTech\savillj

Cela donnera à l'utilisateur savillj du domaine Savilltech, le droit de se connecter localement. Pour fixer des droits sur une machine distante, utilisez le paramètre -m.

ntrights +r SeInteractiveLogonRight -u SavillTech\savillj -m \\<nom de la machine

Q. Comment avoir plus de place dans la barre des tâches ?

R. Si vous déplacez votre curseur au-dessus à la limite du haut de la barre des tâches, il se transformera en flèche à double tête. Cliquez alors sur le bouton gauche de la souris, et agrandissez la barre des tâches.

Q. Comment configurer le système afin que tous les utilisateurs partagent le même dossier "Favoris" ?

R. Il est possible de définir le dossier Favoris de chaque utilisateur, en modifiant la base de registre et en indiquant le chemin UNC de ce dossier :

  1. Choisissez un serveur qui hébergera le dossier Favoris, et créez un dossier Favoris sur cette machine.
  2. Fixez les permissions pour que tout le monde puisse lire ce dossier et partagez-le.
  3. Mettez-y les éléments que vous voulez partager.
  4. Sur le PDC, avec regedit.exe, modifiez pour chaque utilisateur la clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders             en y indiquant le chemin UNC souhaité, par exemple e.g. \\pdcmain\favoris.

Q. Comment changer le mot de passe de l'administrateur local d'une machine sans aller dessus ?

R. Comme vous le savez, on peut changer le mot de passe par la ligne de commande en utilisant  net user,  grâce à la commande at, que l'on peut lancer à distance. Cela donne :

at \\<nom de la machine> <heure> cmd /c net user Administrateur cequevousvoulez

Par exemple : at \\savilljohn 18:00 cmd /c net user Administrateur motdepasse.

Le /c après cmd force la fenêtre à se fermer à la fin de la commande. On peut aussi utiliser soon à la place de at :

soon \\<nom de la machine> cmd /c net user Administrateur mot de passe

Q. Comment changer mon mot de passe ?

R. Faites comme suit :

  1. Appuyez sur Ctrl-Alt-Suppr.
  2. Cliquez sur le bouton "Changer de mot de passe".
  3. Entrez votre ancien mot de passe, puis deux fois le nouveau et cliquez sur OK.

Pour faire la même chose par la ligne de commande, utilisez  net user avec cette syntaxe :

net user <Utilisateur> <Motdepasse> (/domaine)

Dans un programme, appelez la fonction NetUserChangePassword().

Q. Comment régler les paramètres par défaut des nouveaux utilisateurs ?

R. Lorsqu'un nouvel utilisateur se connecte pour la première fois, une copie du profil par défaut (ntuser.dat) est généré pour créer son profil. Pour changer les paramètres par défaut des nouveaux utilisateurs, il faut modifier le ntuser.dat par défaut. Tout ce qui est dans HKEY_CURRENT_USER peut être changé en modifiant ntuser.dat.

Suivez cette  procédure :

  1. Lancez l'éditeur du registre, Regedt32.exe.
  2. Sélectionnez la fenêtre "HKEY_USERS sur la machine locale".
  3. Sélectionnez  "Charger la ruche ..." à partir du menu "Registre".
  4. Recherchez l'entrée  %systemroot%\Profiles\Default User (Par exemple : d:\winnt\Profiles\Default User).
  5. Sélectionnez Ntuser.dat et cliquez sur "ouvrir".
  6. Lorsque le programme demande un nom de clé, donnez-lui par exemple John.
  7. Sélectionnez alors ce nom "John" dans la fenêtre  "HKEY_USERS sur la  Machine Locale", et modifiez les données, par exemple, vous pouvez changer le papier peint par la clé : John\Control Panel\Desktop\Wallpaper.
    Attention : Si vous ajoutez des clés nouvelles, veillez à ce que tout le monde y ait accès en lecture, sinon elle ne sera pas copiée.
  8. Lorsque les changements seront effectués, choisissez  "Décharger la ruche ..." à partir du menu "Registre".
  9. Fermez ensuite l'éditeur du registre.

Tous ceux qui se connecteront sur cette machine utiliseront ces nouveaux paramètres par défaut.

Pour configurer le NTUSER.DAT dans un domaine, faites comme indiqué ci-dessus et dupliquez l'information sur le PDC.

  1. Connectez-vous en Administrateur.
  2. Allez dans le Panneau de configuration. (Démarrer - Paramètres - Panneau de configuration - Système).
  3. Cliquez sur l'onglet Profils Utilisateurs.
  4. Vous verrez une liste de tous les profils stockés sur la machine. Sélectionnez celui que vous voulez voir appliqué par défaut.
  5. Cliquez sur le bouton "Copier vers".
  6. Dans la zone "Copier le profil vers ", entrez l'emplacement du partage NETLOGON du PDC.(en général, %systemroot%\system32\Repl\Export\Scripts. Par exemple : h:\winnt\system32\repl\export\scripts (si h représente le C$ du PDC).
    Dans la zone "Autorisé à utiliser", cliquez sur "Changer". Sélectionnez "Tout le monde", et cliquez sur "Ajouter" puis OK.
  7. Cliquez sur OK pour démarrer la copie.
  8. Testez alors si le fichier ntuser.dat a été créé à l'endroit où vous le vouliez.

Q. Comment dire quel utilisateur possède quel SID?

R. Faites comme suit :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.
  3. Sélectionnez chaque SID, et regardez la valeur de la clé ProfileImagePath qui indique le nom de l'utilisateur.
  4. Fermez  l'éditeur de la base de registre.

Si vous connaissez le SID et que vous voulez juste savoir à quel utilisateur il correspond, utilisez la commande REG.EXE (du Ressource Kit Supplément 2), comme ceci :

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\<SID>\ProfileImagePath"

Par exemple : reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1843332746-572796286-2118856591-1000\ProfileImagePath"

Cela vous renverra la valeur pour ProfileImagePath, et donc, le nom de l'utilisateur.

Q. Comment puis-je configurer NT pour empêcher les utilisateurs de se connecter si leur profil errant n'est pas disponible ?

R. Cette fonction existait en standard sous NT 3.51. La même chose est possible sous NT 4.0. De même que le profil utilisateur possède l'extension .man au lieu de .dat (ntuser.man > ntuser.dat), il vous faut renommer le répertoire des profils utilisateurs avec l'extension .man, <nom>.man. La procédure est la suivante :

  1. Lancez le gestionnaire des utilisateurs du domaine (Menu Démarrer - Programmes - Outils d'administration - Gestionnaire des Utilisateurs du Domaine).
  2. Sélectionnez l'utilisateur et cliquez sur Profils.
  3. Vérifiez le chemin du stockage des profils dans "Chemin du profil de l'utilisateur".
  4. Démarrez l'Explorateur, suivez le chemin d'accès que vous avez repéré précédemment et sélectionnez le répertoire.
  5. Appuyez ensuite sur F2 (pour renommer)et ajoutez juste l'extension .man à la fin du nom du répertoire, par exemple savillj.man et appuyez sur Entrée.
  6. Retournez dans le gestionnaire des utilisateurs du domaine, et appliquez l'extension .man au nom du répertoire figurant dans la section "Chemin du profil de l'utilisateur", par exemple :
    \\<serveur>\<partage>\savillj.man
  7. Fermez le gestionnaire des utilisateurs du domaine.

Q. Comment déconnecter automatiquement les clients après n minutes d'inactivité ?

R. Faites comme suit :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters.
  3. A partir du menu Édition, sélectionnez "Nouvelle Valeur".
  4. Créez la clé Disc de type DWORD, puis cliquez sur OK.
  5. Entrez en valeur le nombre de minutes d'inactivité souhaitée avant déconnexion.
  6. Fermez l'éditeur de la base de registre.

Beaucoup de programmes réseaux communiquent constamment avec le serveur, comme les programmes de messagerie. Dans ces cas précis, ça ne fonctionnera pas, bien entendu. Cette manipulation déconnectera seulement les clients : pour réellement fermer la session, utilisez l'utilitaire winexit.scr du Ressource Kit.

Q. Comment modifier la taille des icônes sur le bureau ?

R. Comme vous savez déjà, vous pouvez changer la taille de vos icônes dans l'Explorateur en sélectionnant Grandes icônes/Petites icônes dans le menu Affichage. Mais vous pouvez également les rendre vraiment plus grands!

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics.
  3. Double-cliquez sur "Shell Icon Size"
  4. Modifiez la valeur par la taille que vous désirez, en multiple de 16, par exemple 48 ou 64. Cliquez sur OK.0
  5. Fermez l'éditeur de la base de registre.

Si, dans l'Explorateur, l'option Grandes icônes est choisie, vous verrez directement la nouvelle taille, vous n'avez pas besoin de vous déconnecter, mais juste changer de répertoire.

Il est aussi possible de changer la taille des petits icônes dans le menu Démarrer. Faites comme suit :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics.
  3. A partir du menu Edition, choisissez Nouveau - Valeur chaîne.
  4. Nommez-la "Shell Small Icon Size".
  5. Double-cliquez sur la valeur et saisissez la taille que vous désirez. C'est 16 par défaut, mais ça peut être encore 32, 48, 64 etc...
  6. Fermez l'éditeur de la base de registre.

Vous devrez vous déconnecter et vous reconnecter pour que cette modification prenne effet.

Pour changer le nombre de couleurs des icônes, suivez la procédure :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics.
  3. Double-cliquez sur "Shell Icon BPP".
  4. Modifiez la valeur à 4 pour 16 couleurs, 8 pour 256, 16 pour 65536, 24 pour 16 miillions et 32 pour True colour.
  5. Fermez l'éditeur de la base de registre.

Vous devrez, là aussi, vous déconnecter et vous reconnecter pour que cette modification prenne effet.

Q. Comment empêcher l'utilisation de Alt-Tab?

R. Cela peut être désactivé au niveau de la base de registre :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_CURRENT_USER\Control Panel\Desktop.
  3. Double-cliquez sur "Coolswitch".
  4. Mettez la valeur à 0 et cliquez sur OK.
  5. Fermez l'éditeur de la base de registre.

Vous devrez vous déconnecter et vous reconnecter pour que cette modification prenne effet.

Q. Comment configurer l'affichage de Alt-Tab ?

R. Encore une fois, cela se configure au niveau de la base de registre :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_CURRENT_USER\Control Panel\Desktop.
  3. Double-cliquez sur "CoolswitchColumns" pour changer le nombre de colonnes affichées, et Double-cliquez sur "CoolswitchRows" pour changer le nombre de rangées.
  4. Fermez l'éditeur de la base de registre.

Vous devrez redémarrer l'ordinateur pour que cette modification prenne effet.

Q. Comment modifier la liste des connexions disponibles lorsque l'on fait "Connecter un lecteur réseau" ?

R. Quand vous sélectionnez "Connecter un lecteur réseau" à partir du menu Outils de l'Explorateur et que vous cliquez dans la boîte du chemin d'accès, l'Explorateur recherche dans le registre HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Network\Persistent Connections une liste d'anciens/actuels disques connectés. Pour enlever des éléments dans la liste (ou en ajouter), suivez la procédure :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Network\Persistent Connections
  3. Dans le panneau de droite, vous pouvez voir une liste d'éléments de a-z, et, pour chaque élément, une valeur du type "\\<nom machine>\<partage>"
  4. Pour enlever un élément, sélectionnez la lettre qui lui est associée et appuyez sur Suppr.
  5. Vous devez maintenant éditer la clé "Order" et enlever la lettre que vous venez de supprimer.
  6. Si vous souhaitez ajouter un élément, choisissez dans le menu Edition Nouveau - Valeur chaîne, entrez une lettre de a-z (utilisez une lettre non-utilisée) et appuyez sur Entrée. Double-cliquez sur la nouvelle valeur et indiquez le nom de partage, par exemple "\\johnmachine\d$".
  7. Editez ensuite la clé "Order" et ajoutez la nouvelle lettre à la fin de la chaîne.
  8. Fermez l'éditeur de la base de registre.
  9. Démarrez l'Explorateur et vous pourrez constater que vos changements sont effectifs.

Q. Comment exclure le dossier "Temporary Internet Files" du profil utilisateur ?

R. Par défaut, la zone de stockage pour les fichiers temporaires internet est "%systemroot%\Profiles\<user>\Temporary Internet Files", et si vous avez mis en place des profils errants, alors ces fichiers feront partie intégrante de votre profil et occuperont un espace précieux sur votre serveur. Pour changer la localisation de ces fichiers dans votre browser, suivez la procédure :

  1. Démarrez Internet Explorer.
  2. Sélectionnez "Options Internet" à partir du menu Affichage.
  3. Sélectionnez l'onglet Général et cliquez sur le bouton Paramètres.
  4. Cliquez sur le bouton "Déplacer le dossier".
  5. Cliquez sur Oui dans la boîte de confirmation.
  6. Sélectionnez la nouvelle localisation et cliquez sur OK.

Vous devrez redémarrer l'ordinateur pour que la nouvelle localisation prenne effet.

Ou alors, vous pouvez créer un fichier .reg pour mettre à jour manuellement les valeurs dans les registres suivants, et inclure ce fichier dans un script de login :

Voici un exemple de fichier .reg :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1]
"CachePath"="E:\TEMP\Cache1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2]
"CachePath"="E:\TEMP\Cache2"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3]
"CachePath"="E:\TEMP\Cache3"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4]
"CachePath"="E:\TEMP\Cache4"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Cache"="E:\TEMP"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
"Cache"="E:\TEMP"

Cette procédure dirigera les fichiers temporaires vers le dossier E:\Temp. Bien entendu, vous pouvez changer ce dossier par celui que vous souhaitez. Enregistrez l'exemple ci-dessus comme cache.reg et exécutez-le comme ceci :

regedit /s cache.reg

Netscape ne stocke pas les fichiers temporaires sous le profil utilisateur (si cela vous intéresse, la zone de stockage est dans le registre HKEY_LOCAL_MACHINE\SOFTWARE\Netscape\Netscape Navigator\Users\<user>\DirRoot ;-) ).

Q. Comment arrêter les programmes du dossier Démarrage lorsque je me connecte ?

R. Tenez Shift appuyé pendant la connexion et aucun programme du dossier Démarrage ne s'exécutera.

Si les Administrateurs souhaitent enrayer cette possibilité, ils doivent exécuter la procédure suivante:

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
  3. A partir du menu Edition, choisissez Nouveau - Valeur chaîne.
  4. Nommez-la "IgnoreShiftOveride".
  5. Double-cliquez sur la valeur et mettez-la à 1.
  6. Fermez l'éditeur de la base de registre.

Q. Je ne peux pas supprimer l'utilisateur X. Comment faire ?

R. Cela peut être dû à plusieurs choses. Vous pouvez essayer de supprimer l'utilisateur par la ligne de commande :

net user <nom user> /delete [/domain]

Si cela ne fonctionne pas, essayez de renommer le compte utilisateur, et ensuite, supprimez-le :

  1. Lancez le gestionnaire des utilisateurs du domaine (Menu Démarrer - Programmes - Outils d'administration - Gestionnaire des Utilisateurs du Domaine).
  2. Sélectionnez l'utilisateur que vous n'arrivez pas à supprimer.
  3. A partir du menu Utilisateur, choisissez Renommer.
  4. Entrez le nouveau nom et cliquez sur OK.
  5. Maintenant, sélectionnez le nouveau nom de l'utilisateur et appuyez sur Suppr.
  6. Cliquez sur OK pour confirmer.

La solution devrait fonctionner si vous avez un nom d'utilisateur invalide (comme AAAAAAAAAAA).

Q. Comment empêcher les utilisateurs de connecter/déconnecter des lecteurs réseaux ?

R. Ceci peut être accompli à l'aide de l'Editeur de Stratégie, Poledit.exe, dans les paramètres. Il est également possible d'empêcher les utilisateurs en modifiant directement le registre :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.
  3. A partir du menu Edition, choisissez Nouveau - Valeur DWORD.
  4. Nommez-la NoNetConnectDisconnect et appuyez sur Entrée.
  5. Double-cliquez sur la valeur et mettez-la à 1.
  6. Fermez l'éditeur de la base de registre.

Vous devrez vous déconnecter et vous reconnecter pour que cette modification prenne effet.

Q. Comment rendre inactif un groupe complet d'utilisateurs ?

R. Rien ne permet directement de faire cela, mais deux commandes permettent de l'accomplir :

La première commande est effectuée à l'aide de l'utilitaire SHOWMBRS.EXE du Ressource Kit utility pour envoyer le groupe d'utilisateurs dans un fichier :

C:\>showmbrs <domaine>\<groupe> > users.txt

Par exemple : C:\>showmbrs savilltech\sales > users.txt

La seconde commande trie les utilisateurs concernés dans le fichier ainsi créé et procède à un net user <username> /active:no /domain :

C:\>for /f "skip=2" %I in (users.txt) do net user %I /active:no /domain

Si vous désirez créer un script, entrez les lignes suivantes dans un fichier, que vous nommerez dsblgrp.bat. L'usage est :

dsblgrp <nom groupe>

Par exemple : dsblgrp savilltech\sales

REM
REM dsblgrp <nom groupe>
REM by John Savill, 20th July 1998
REM
showmbrs %1 > users.txt
for /f "skip=2" %%I in (users.txt) do net user %%I /active:no /domain

Soyez certain d'avoir mis deux %% avant le I, sinon cela ne fonctionnera pas.

Il exite un problème avec showmbrs.exe qui ne peut voir que des groupes de moins de 7 membres. Pour résoudre ce problème, téléchargez la version corrigée à l'adresse suivante : ftp://ftp.microsoft.com/bussys/winnt/winnt-public/reskit/nt40/i386/Shombrs.exe

Q. Comment puis-je enlever l'utilisateur d'un groupe par la ligne de commande ?

R. S'il s'agit d'un groupe local, suivez la procédure :

C:\> net localgroup <nom groupe> <utilisateur> /delete

Par exemple : C:\> net grouplocal Administrateurs savillj /delete

Si le groupe fait partie d'un domaine :

C:\> net group <nom groupe> <utilisateur> /delete /domain

Q. Comment enlever le : de l'heure ?

R. Cela peut être accompli au niveau de la base de registre :

  1. Lancez l'éditeur de la base de registre, Regedit.exe.
  2. Recherchez la clé HKEY_CURRENT_USER\Control Panel\International.
  3. Double-cliquez sur sTime et ôter le : entre les guillemets.
  4. Cliquez sur OK.
  5. Fermez l'éditeur de la base de registre.

Vous devrez vous déconnecter et vous reconnecter pour que cette modification prenne effet.

Q. Comment renommer un utilisateur à partir de la ligne de commande ?

R. Un utilitaire, RENUSER.EXE, existe et peut être téléchargé à l'adresse : http://www.ntfaq.com/ntfaq/download/renuser.zip et doit être utilisé comme ceci :

C:\> renuser <ancient nom> <nouveau nom> [<nom domaine>]

Par exemple : C:\> renuser savillj johns savilltech

Q. Les profils errants ne sont pas sauvegardés sur le serveur. Comment y arriver ?

R. If a user is a member of the Domain Guests group then no changes to profiles are stored, therefore you should check the members of the Domain Guests group do not include those users that are having the problem.

Q. J'ai créé un partage caché. Maintenant, les utilisateurs ne peuvent plus s'y connecter. Comment faire ?

R.  To hide a share all you need to do is add the $ sign to the end, for example, \\server\share$.

If previously in your logon scripts you had the command

net use f: \\<server>\%username%

it will no longer work as the share is hidden with the $ and to connect you will need to specifically specify the $ so change the command to

net use f: \\<server>\%username%$

Q. Comment rendre inactif l'icône Affichage du Panneau de configuration ?

R. Using policies it is possible to disable the display control panel applet, however it can also be accomplished using the registry editor

  1. Start the registry editor (regedit.exe)
  2. Move to HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  3. From the Edit menu select New - DWORD value
  4. Enter a name of NoDispCPL and press enter
  5. Double click the new value and set to 1
  6. Close the registry editor

The change takes immediate effect and if you try and run the display control panel applet either by right clicking on the desktop and selecting properties or starting from the control panel applet you will receive the message

"Your system administrator disable the Display control panel"

Q. Comment rendre inactifs certains éléments de l'icône Affichage du Panneau de configuration ?

R. Again using policies it is possible to disable elements of the display control panel applet, however it can also be accomplished using the registry editor

  1. Start the registry editor (regedit.exe)
  2. Move to HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  3. From the Edit menu select New - DWORD value
  4. Enter any of the following as outlined in the table below.
  5. Double click the new value and set to 1
  6. Close the registry editor
NoDispAppearancePage Removes the Appearance tab which means users cannot change the colours or colour scheme
NoDispBackgroundPage Removes the Background tab meaning no more Pamela Anderson background (damn!)
NoDispScrSavPage Removes the Screen Save tab
NoDispSettingsPage Removes the Settings and the Plus tab

These change takes immediate effect and any disabled tab will not be displayed.

Of course the user can go into the registry and change these back which is why it is better to implement these as policies (which is what I do), however as they take immediate effect there is nothing to stop someone creating a reg script to run as part of the start-up group, which sets it to how they want to get round the policy, but I would never condone this :-)

Q. Comment débugger un profil errant ?

R. It is possible to create a log file of all roaming profile transactions using the checked version of userenv.dll. The checked version of the UserEnv.dll is the same dynamic link library (.dll) as the retail version, except that it contains debug flags that you can set and use with the kernel debugger. This file, which is included in both the Windows NT Device Driver Kit (DDK) and the Windows NT Software Development Kit (SDK)

  1. Rename the Userenv.dll file in the %systemroot%\System32 directory to Usernv.org.
    C:\> rename %systemroot%\system32\userenv.dll userenv.org
  2. Copy the checked version of Userenv.dll to the %systemroot%\System32 directory of the client computer that you want to debug. The checked version of the Userenv file must match the version of the operating system being used.
    C:\> copy userenv.chk %systemroot%\system32\userenv.dll
  3. Start the registry editor (regedit.exe)
  4. Move to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  5. From the Edit menu select New - DWORD value
  6. Enter a name of UserEnvDebugLevel and press ENTER
  7. Double click the new value, set the type to hexadecimal and set to 10002. Click OK
  8. Reboot the computer

A log file of the roaming profile transactions will be written to userenv.log to the root of the C: drive. Below is an profile log.

=========================================================
LoadUserProfile: Entering, hToken = <0xb0>, lpProfileInfo = 0x12f4e8
LoadUserProfile: lpProfileInfo->dwFlags = <0x2>
LoadUserProfile: lpProfileInfo->lpUserName = <savillj>
LoadUserProfile: lpProfileInfo->lpProfilePath = <\\titanic\Profiles\savillj>
LoadUserProfile: lpProfileInfo->lpDefaultPath = <\\TITANIC\netlogon\Default User>
LoadUserProfile: lpProfileInfo->lpServerName = <\\TITANIC>
LoadUserProfile: lpProfileInfo->lpPolicyPath = <\\TITANIC\netlogon\ntconfig.pol>
ParseProfilePath: Entering, lpProfilePath = <\\titanic\Profiles\savillj>
ParseProfilePath: Tick Count = 20
ParseProfilePath: FindFirstFile found something with attributes <0x10>
ParseProfilePath: Found a directory
LoadUserProfile: ParseProfilePath returned a directory of <\\titanic\Profiles\savillj>
RestoreUserProfile: Entering
RestoreUserProfile: Profile path = <\\titanic\Profiles\savillj>
RestoreUserProfile: User is a Admin
IsCentralProfileReachable: Entering
IsCentralProfileReachable: Testing <\\titanic\Profiles\savillj\ntuser.man>
IsCentralProfileReachable: Profile is not reachable, error = 2
IsCentralProfileReachable: Testing <\\titanic\Profiles\savillj\ntuser.dat>
IsCentralProfileReachable: Found a user profile.
RestoreUserProfile: Central Profile is reachable
RestoreUserProfile: Central Profile is floating
GetLocalProfileImage: Found entry in profile list for existing local profile
GetLocalProfileImage: Local profile image filename = <%SystemRoot%\Profiles\savillj>
GetLocalProfileImage: Expanded local profile image filename = <E:\WINNT\Profiles\savillj>
GetLocalProfileImage: No local mandatory profile. Error = 2
GetLocalProfileImage: Found local profile image file ok <E:\WINNT\Profiles\savillj\ntuser.dat>
Local profile is reachable
Local profile name is <E:\WINNT\Profiles\savillj>
RestoreUserProfile: About to call UpdateToLatestProfile
UpdateToLatestProfile: Entering. Central = <\\titanic\Profiles\savillj> Local = <E:\WINNT\Profiles\savillj>
UpdateToLatestProfile: Central and local profile times match.
RestoreUserProfile: About to Leave. Final Information follows:
Profile was successfully loaded.
lpProfile->szCentralProfile = <\\titanic\Profiles\savillj>
lpProfile->szLocalProfile = <E:\WINNT\Profiles\savillj>
lpProfile->dwInternalFlags = 0x112
RestoreUserProfile: Leaving.
UpgradeProfile: Entering
UpgradeProfile: Build numbers match
UpgradeProfile: Leaving Successfully
ApplyPolicy: Entering
ApplyPolicy: PolicyPath is: <\\TITANIC\netlogon\ntconfig.pol>.
ApplyPolicy: Local PolicyPath is: <E:\WINNT\Profiles\savillj\prf1.tmp>.
ApplyPolicy: Looking for user specific policy. OpenUserKey: No entry for savillj, using .Default instead.
CopyKeyValues: EnableProfileQuota => 1 <OK>
CopyKeyValues: ProfileQuotaMessage => You have exceeded your profile storage space. Before you can log off, you need to move some items from your profile to network or local storage. <OK>
CopyKeyValues: MaxProfileSize => 48 <OK>
CopyKeyValues: WarnUserTimeout => 15 <OK>
ApplyPolicy: Processing group(s) policy.
ApplyPolicy: Failed to get group processing order.
ApplyPolicy: Looking for machine specific policy.
OpenUserKey: No entry for ODIN, using .Default instead.
ApplyPolicy: Leaving with 1
LoadUserProfile: Leaving with a value of 1. hProfile = <0x90>
=========================================================

Q. Comment copier un profil utilisateur?

R. User profiles are stored under the %systemroot%\profiles directory, but if you just try to copy this to someone else the new user will not have permission to use the profile. Instead the following procedure must be used.

  1. Logon as an Administrator
  2. Start the System Control Panel Applet (Start - Settings - Control Panel - System)
  3. Click the User Profiles tab
  4. You will see a list of all the profiles stored on the machine. Select the one which you wish to copy
  5. Click the "Copy to" button
  6. In the "Copy profile to" enter the location where you want it copied to. If you wanted to use as a roaming profile you would enter the netlogon location on a domain controller, usually %systemroot%\system32\Repl\Export\Scripts, you want the Export area not Import as anything in Export is copied to the import by the replication process.
  7. In the "Permitted to use" click Change. Select Everyone and click Add or just the user who will use it, then click OK.
  8. Click OK to start the copy.

You should then check that the file ntuser.dat has been created where you selected.

If you have trouble exporting a profile see Q. I get an error when I try to export a profile other than Administrator.

Q. Quelles sont les différences entre les profils NT et Windows 9x ?

R. The first differences is that difference files are used:

Windows NT Windows 9x
NTuser.dat User.dat
NTuser.dat.LOG User.da0
NTuser.man User.man

The Windows 9x User.da0 and the NT NTuser.dat.Log files work in a different way. Everytime you log off in Windows 9x a copy of User.dat is copied to to User.da0. Windows NT uses NTuser.dat.LOG as a transaction log file to provide fault tolerance. This allows Windows NT to recover the user profile if a problem occurs while Windows NT is updating NTuser.dat.

This obviously means you can't share a profile between the two OS's. Other differences include:

Q. Lorsque je me déconnecte, mon répertoire personnel est effacé. Comment y remédier ?

R. The most common cause is if your roaming profile path and your home directory path are the same. It seems that part of the update makes sure the contents of the directories (and subdirectories) are the same, and as the local profile directory does not contain your home directory files they are deleted!

You should therefore change the location of the roaming profile so it is different from the users home directory. It may be a subdirectory if you wish. This can be changed by using the User Manager application, click the Profiles button and change the locations.

Q. Comment effacer un profil utilisateur local ?

R. Using the System Control panel applet any locally stored profile can be deleted.

  1. Start the System control panel applet (start - settings - control panel - system)
  2. Click the "User Profiles" tab
  3. Select the profile and click Delete
  4. Click Yes to the confirmation
  5. Click OK

Please note you can't delete a profile if you are currently logged on as that user, an area that the profile is in use will be displayed.

If you want to remotely delete a locally stored profile you can use the DELPROF.EXE utility which is supplied with the Windows NT Server Resource Kit. The tool deletes all profiles that have not been used for a given number of days, for example

C:\>delprof /p /q /i /c:\\garfield /d:3

Would delete any profiles that have not been used for 3 days. The /p prompts for confirmation before deleting each profile, the /q suppresses the starting:

Delete profiles on \\garfield that have not been used in the last 1 days? (Yes /No)

prompt. The /i ignores errors, /c is the computer name and /d: is the number of days the profile needs to be older than.

Q. Quels sont les problèmes liés à la copie locale des profils ?

R. If you are not using roaming profiles but are instead just copying a profile for another domain user on the local machine you may just create a directory under profiles for the user and copy it there as per the instructions in Q. Comment copier un profil utilisateur?

If you do this you will find that when the user logs in for the first time for whom you copied the profile, they will not use the directory you created for them, but instead a <username>.000 will be created instead. This is because a mapping is used for the user to the Profile area and if the user logs in for the first time and a directory of its user name already exists it won't use it and will instead create a new area of the format <username>.nnn where nnn starts at 000.

The workaround to this is to logon as the domain user first, logout and then copy the profile as this will setup the correct mapping of the user to profile area.

If this has already happened perform the instructions in Q. Comment définir l'emplacement d'un profil utilisateur ?

Q. Comment définir l'emplacement d'un profil utilisateur ?

R. By default when a user logs on for the first time at a machine a directory under %systemroot%\profiles is created under the name of the user to hold the users profile, e.g. for user saviljo the area created would be %systemroot%\profiles\saviljo.

Problems arise if the directory already exists and so an alternate directory <user name>.nnn will be created, starting with 000. This mapping is stored in the registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList. You can therefore force a user to use a specific profile area by performing the following:

  1. Start the registry editor (regedit.exe)
  2. Move to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
  3. Find the SID that relates to the user (check the ProfileImagePath value)
  4. Once found double click on ProfileImagePath and remove the .nnn, e.g.
    %SystemRoot%\Profiles\garfield.000
    to
    %SystemRoot%\Profiles\garfield
  5. Click OK
  6. Close the registry editor

The user should now login using the profile you originally copied for them. Once you are sure it works you can delete the <username>.nnn directory under %systemroot%\profiles. You should make sure the user has the right to user the original profile, for example if you have copied it to that location and granted rights accordingly.

Q. Comment voir à quels groupes locaux d'un domaine approuvé appartient un utilisateur ?

R. The normal method for checking which local groups a user belongs to on a machine would be to start User Manager and double click on the user in question and click the Groups button.

If however you wanted to see which local groups on a server a member of another domain belonged to there is no way to do this. Fortunately a utility from http://www.fidutec.com has been released as FreeWare which does exactly this. The diagram below best illustrates how it works.

Guest Group

Download from http://www.ntfaq.com/ntfaq/download/gestgrp.exe

Q. Comment limiter la taille des profils utilisateurs ?

R. Service Pack 4 introduces PROQUOTA.EXE which is used to limit user quotas.

Profile quotas are enabled by using a system policy.

  1. Start the System Policy editor (poledit.exe)
  2. Load the templates Common.adm and Winnt.adm (from the Options menu select "Policy Template" from the %systemroot%\inf directory)
  3. Create a new policy (File - "New Policy")
  4. Open Default User, and then expand Windows NT User Profiles.
  5. When you select Limit Profile Size, the following option are available:
    - Custom Message - The text in the dialog box that appears when the user's profile exceeds the quota.
    - Max Profile Size - The maximum size of the user profile. This value defaults to 30,000 KB, so administrators will want to carefully consider how low they set this value. This is especially true, given the fact that users will not be able to successfully log off if their profile is too large.
    - Include registry in file list - When the user exceeds the profile quota, an error icon appears in the system tray. Double-clicking the icon brings up a tool that lists all the files in the profile, as well as the file size from the largest file to the smallest. By default, the list does not include files that are smaller than 2 KB. Users can consult this list to determine which files can be erased, moved to server-based storage, or backed up to offline storage. When this option is checked, the users' registry settings, Ntuser.dat, will be included in the list. Users cannot delete this file.
    - Notify user when profile storage space is exceeded - By default, users will get a dialog box informing them that their user profile is too large only when they attempt to log off. With this option selected, a dialog box appears as soon as the profile reaches the quota size, and at a configurable interval thereafter.
  6. A second option is to select "Exclude directories in roaming profile" which does not include specified directories as part of the users profile
  7. Once complete save the file to the netlogon share of the domain controller as NTCONFIG.POL

Ensure clients have the PROQUOTA.EXE image by either installation Service Pack 4 on them or manually copy the file to the %systemroot%\system32 directory.

When the clients log back on they will now have their quotas monitored and these can be examined by clicking the proquotasmall icon.

NOTE: Remember that the user will not be able to log off if the user profile quota is exceeded, and, by default, small files are not listed in the dialog that displays the files contained in the profile. If Internet Explorer 4.x is installed, these small files could include the entries in the Temporary Internet Files folder. This cache uses a small percentage of the total drive space, but can easily grow to be several megabytes in size. To delete these files, the user will need to empty the cache through the Internet Explorer Internet Options dialog box.

If quotas are enabled and the user cannot logoff, the PROQUOTA.EXE process can be killed in Task Manager. This will allow the user to logoff.

The following list describes the registry keys and values for Profile Quotas in the following registry key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Q. Je ne peux me déconnecter car mon profil utilisateur dépasse le quota autorisé. Comment faire ?

R. Service Pack 4 introduced PROQUOTA.EXE which allows user profile space to be limited. In the event of the quota exceeded the user will not be able to logoff until the profile size has been reduced to within the limit.

If you need to logoff then you can simply stop the PROQUOTA.EXE process.

  1. Right click on the Task bat and select Task Manager
  2. Click the Processes tab
  3. Select PROQUOTA.EXE and press the "End Process" button
  4. Click Yes to the confirmation
  5. Close Task Manager
  6. Logoff

If you have the resource kit you could just enter the command

C:\> kill proquota

Q. Comment donner des droits aux utilisateurs dans Windows 2000?

R. In Windows NT 4.0 user rights are assigned via User Manager - Policies - User Rights.

User Manager has been replaced in Windows 2000 and the way to assign user rights is not obvious!

  1. Start the Computer Management MMC snap-in (Start - Programs - Administrative Tools - Computer Management)
  2. Expand System Tools branch then Group Policy Editor - Computer Settings - Security Settings - Local Policies - User Rights Assignment
  3. Double click on the user right you wish to grant
  4. Click Add and select the users/groups. When completed click OK
  5. Click OK to close the user right assignment

Simple!

User Rights

 

Spécifique à la version française de NT :

Q. Comment rendre à Caps-lock son fonctionnement normal ?

R. Il faut le Service Pack 3 (incontournable).

Puis, il faut installer un patch post-SP3 nommé ADMNFIXI.exe (ou ADMNFIXA pour
Alpha), qui est censé combler les trous de sécurité de NT.

La version française peut être trouvée à l'adresse suivante : ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/frn/nt40/hotfixes-postSP3/getadmin-fix/

Une fois le patch appliqué :

  1. Lancez l'éditeur du Registre, Regedt32.exe.
  2. Sélectionnez la fenêtre "HKEY_LOCAL_MACHINE sur la machine locale" et recherchez l'entrée HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\0000040C
  3. Ajoutez une nouvelle valeur (Edition - Ajouter une valeur).
  4. Dans le champ Nom de la valeur, saisissez : Attributes et dans Type des données, choisissez :  REG_DWORD.
  5. Ensuite, dans la fenêtre de l'éditeur binaire, saisissez en Hexa sur la première ligne : 00 01 00 00.
  6. Fermez ensuite l'éditeur du registre.
  7. Vous devrez rebooter pour que cette modification prenne effet, et oh! miracle...ça marche.