Bonjour,
 
Je suis administrateur de niveau 1 débutant (1 an d'expérience après BTS IG) et j'ai une demande spécifique d'un client qui me pose souci car pas l'habitude    

Pour info : Je travaille dans une petite société de service et nos client sont des petits parcs (30 postes maxi). Contrairement aux gros comptes, la sécurité et la parano sur les postes clients ne sont pas de mise. En gros, la politique c'est "open bar" sur les postes clients, on fait totale confiance aux utilisateurs finaux. Surtout on veut pas se compliquer la vie.
En général l'utilisateur final est administrateur local de sa machine. Au pire on lui laisse uniquement les droits utilisateurs. On affine légérement au besoin avec quelques GPO si il y a un domaine.
C'est donc la première fois que j'ai à me préoccuper de brider au max un poste destiné au public.
 
La demande du client :
 
Un PC doit être mis à disposition du public dans une médiathèque mais uniquement dans le but de consulter une BDD qui tourne grâce à un logiciel "lambda", la BDD est sur le serveur de la médiathèque (en LAN).
Un autre PC doit être mis à disposition de public avec comme unique fonction un accès internet sur uniquement le site "http://www.lambda.fr"
 
Le réseau
 
* 1 serveur sous 2003server. Rôles : AD, DNS, DHCP, impression, partage DATA, et BDD  
* 10 postes backoffice : les utilisateurs du domaine sont admin locaux des machines
* 1 switch HP + 1 Zyxel Zywall 5 + 1 P662 en bridge
* 2 postes actuellement à disposition du public, intégré au domaine, sous windows XP mis en place par l'ancien prestataire avec les condition que je vais expliquer ci-après et que je dois remplacer.
 
Résultats à obtenir sur les 2 postes publics
 
* ouverture de session automatique -- Je ne sais pas faire, je suppose que c'est une GPO. En tout cas c'est impressionnant un poste qui démarre tout seul alors qu'il est en domaine.  
 
Q : Mais comment se logger avec un autre compte si besoin ??
 
[cas n°1]
 
* pas d'écran d'accueil (en gros comme sur les GPS ou Guichet de retrait, c'est du Windows mais on le montre pas afin de pas exciter les bidouilleurs -- je sais pas faire
* lancer le programme lambda au démarrage -- Ça je sais faire, dossier "démarrage" de Windows
* rien ne s'affiche tant que le logiciel n'a pas démarré, toujours dans l'esprit on ne montre pas qu'on est sous Windows -- Je ne sais pas faire
* ne rien pouvoir faire d'autre que de naviguer sur le logiciel "lambda" (qui lui est connecté via le serveur, ça je maitrise ) -- Je sais pas faire non plus
* CTRL - ALT - SUPP désactivé, une autre combinaison de touche permet de pouvoir aller éteindre le PC le soir -- Je ne sais encore pas faire.
* Si un petit malin trouve la combinaison de touche, il ne faut qu'il puisse rien faire sur le PC : aucun accès au partitions, aucun changement, juste revenir sur 'lambda' ou éteindre l'ordinateur -- sais pas faire
 
 
[cas n°2]
 
* lancer IE au démarrage -- pas de soucis
* il démarre sur http://www.lambda.fr -- pas de soucis
* je ne peux que surfer que sur lambda.fr et pas ailleurs sachant que je n'ai pas de proxy -- je me demande si c'est possible
* je peux réduire IE pour aller sur le bureau
* je n'ai accès à AUCUN réglage, adresse IP, IE, heure, install, fond d'écran etc... -- sais pas faire
* je n'ai accès à rien d'autre que ce qui est sur le bureau (raccourcis Word et Excel) -- sais pas faire
* je peux créer des doc word et excel, les imprimer mais pas les enregistrer -- interdire la création de fichier, je sais pas faire
* CTRL - ALT - SUPPR désactivé -- sais pas faire
 
Dernière subtilité :
 
Il faut pouvoir faire ça dans le domaine et hors domaine car une succursale de la médiathèque, hors LAN doit être équipée pareillement    
 
Un gros gros merci d'avance
 
   

Pour ta machine cliente BDD : Microsoft Steady State pour la configuration du seul compte utilisateur, éventuellement un petit Deepfreeze par dessus au cas où. Tu veux te connecter en admin ? au démarrage la touche F8->mode sans échec, et tu te logues sur le compte administrateur
 
Pour ton kiosque, tu peux partir sur un autre OS comme webconverger, paramétrer le DNS vers nulle part et indiquer uniquement l'adresse IP de ton site "lambda.fr" (dans le fichier /etc/hosts).
Tu peux aussi utiliser les mêmes solutions que pour ta machine cliente BDD car Steady State est aussi adapté pour cette situation.

 
Me suis mal exprimé, les nouvelles machines sont en Win7, or steadystate ne fonctionne pas sous Win7 Cela dit je ne connaissais pas
Deepfreeze c'est pas mal, mais comme tu dis "par dessus". Parce que seul dans ce cas là, il ne sert à rien : les utilisateurs ne sont pas bridés...
J'avais pas pensé au mode sans echec Reste à savoir comment faire une ouverture de session automatique
 
 

 
On a vendu du Win7 et de l'Office, on doit installer sur Win7 Sinon, effectivement du côté Linux il doit y avoir des OS pile poil pour ça en effet
Excellent l'idée du fichier host et du DNS foireux Effectivement, je n'ai pas du tout ce genre de réflexe...
 
 
 
J'ai donc bien peur que mes questions restent entières :
 
* comment forcer une ouverture de session automatique sur un poste ne domaine ?
* comment ne rien afficher jusqu'au lancement auto d'un logiciel (comme sur un GPS ou un distrib de billet par exemple) au démarrage de la machine ?
* comment bloquer l'accès à tout (réglage, DATA etc...) ?
* comment désactiver ou remplacer par d'autre touches la combinaison CTRL-ALT-SUPPR ?
* comment empêcher de sortir d'un logiciel, de réduire la fenêtre, de retourner sur le bureau ?
* comment limiter le seul accès à ce qui est sur le bureau ?  
* comment interdire la création de fichier ?
* comment, toutefois et malgré toutes ces restrictions, autoriser l'impression ?
 
Le tout en et hors domaine...  
Tout est-il configurable via GPO ?  
Si oui est-ce aussi valable via les stratégies de groupe locale (GPEdit.msc) ?
 

A ta place j'opterai pour un Windows CE voir un Linux en poste client ...  
 
Pour que ton poste n'ai accès qu'à ton site (sur le LAN) , il suffit soit de modifier la passerelle soit de shunter les DNS.
 

Je ne comprends pas comment un poste hors LAN pourrait accéder à ton serveur (SQL) sur LAN ?
 
D'autres parts les GPO c'est sur domaine, ensuite tu as les stratégies locales à faire sur chacun des postes ( laborieux donc) ou tu peux te créer des .reg qui te faciliteront ce paramétrage.

 
Comme j'ai dis juste au dessus, pas le choix de l'OS, c'est Windows 7 point barre
 
Je n'ai pas précisé que les postes hors LAN n'ont pas le même logiciel (celui qui fait appel à la BDD du serveur), mais le cahier des charges est exactement le même (excepté la relation client -serveur)
 
Les GPO, ils y en a en local. L'éditeur de stratégie de groupe local est là pour ça. Laborieux... sur 2 postes ça ira
 
Mes questions sont toujours en suspens :
 
* comment forcer une ouverture de session automatique sur un poste ne domaine ?
* comment ne rien afficher jusqu'au lancement auto d'un logiciel (comme sur un GPS ou un distrib de billet par exemple) au démarrage de la machine ?
* comment bloquer l'accès à tout (réglage, DATA etc...) ?
* comment désactiver ou remplacer par d'autre touches la combinaison CTRL-ALT-SUPPR ?
* comment empêcher de sortir d'un logiciel, de réduire la fenêtre, de retourner sur le bureau ?
* comment limiter le seul accès à ce qui est sur le bureau ?  
* comment interdire la création de fichier ?
* comment, toutefois et malgré toutes ces restrictions, autoriser l'impression ?  
 
Merci
 
 
 

Aie, j'avais pas compris que c'était du 7, car j'avais lu :

 
Pour 7, il faut bricoler, mais pas de panique tonton Billou nous explique tout