Donc, vous travaillez à domicile à cause de COVID-19 et vous utilisez Remote Desktop pour vous connecter à votre ordinateur de bureau Windows 10 via le protocole de bureau à distance (RDP). Vous sélectionnez accidentellement (ou peut-être intentionnellement) l’option Arrêter lorsque vous cliquez sur le bouton Démarrer dans votre session RDP et, par conséquent, votre ordinateur de bureau s’arrête.
Et maintenant ? Comment remettre votre ordinateur de bureau en marche alors qu’il n’y a personne dans le bureau qui puisse appuyer sur le bouton d’alimentation de votre ordinateur pour le redémarrer ? Et surtout, existe-t-il un moyen d’empêcher ce genre de chose de se produire si vous êtes le responsable informatique chargé de gérer les ordinateurs des employés de votre entreprise ?
Utilisation de la stratégie de groupe
C’est délicat. Une approche souvent utilisée consiste à activer le paramètre de stratégie de groupe suivant :
Ce paramètre se trouve sous :
Configuration de l’utilisateur Æ Modèles administratifs Æ Menu Démarrer et barre des tâches
Ce qu’il fait, c’est empêcher les utilisateurs de sélectionner Arrêter, Redémarrer, Veiller et Hiberner à partir du menu Démarrer ou de l’écran Sécurité de Windows. Vous pourriez activer cette politique dans le GPO lié à l’OU où se trouvent les comptes d’utilisateur des travailleurs distants.
Notez que cela peut ne pas empêcher les utilisateurs d’arrêter leurs ordinateurs distants en utilisant d’autres moyens, comme en invoquant la commande d’arrêt à une invite de commande. Mais cela supprime le moyen le plus évident pour un utilisateur d’éteindre sans réfléchir son PC de bureau lorsqu’il a terminé son travail de la journée.
Modification du registre
Que faire si vous voulez masquer l’option d’arrêt du menu Démarrer mais laisser toutes les autres options présentes comme Redémarrer, Veille, Hibernation, et aussi l’option de déconnexion pour une session RDP ? Il s’avère que vous pouvez le faire en modifiant un paramètre de registre, mais le paramètre que vous devez utiliser dépend de la version de Windows 10 que votre PC exécute. Plus précisément, sur Windows 10 v.1803 ou antérieur, définissez la valeur de registre suivante égale à 1:
HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\Start\HideShutdown
Mais sur Windows 10 v.1809. ou plus tard, définissez cette valeur de registre égale à 1 :
HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideShutDown\value
Voici à quoi cela ressemble sur Windows 10 v.1909.:
Dans un environnement géré, vous pouvez bien sûr utiliser les préférences de stratégie de groupe (GPP) pour déployer des paramètres de registre comme celui-ci sur les ordinateurs des utilisateurs.
Suppression des privilèges d’arrêt
Que faire si vous voulez vraiment empêcher les utilisateurs d’arrêter leur ordinateur ? Je veux dire pas seulement leur cacher les moyens les plus évidents de le faire, mais réellement leur retirer leurs privilèges d’arrêt ?
La stratégie de groupe vous permet de le faire en modifiant les droits des utilisateurs sur les ordinateurs ciblés par la GPO que vous éditez. Le paramètre particulier concerné se trouve sous le chemin suivant dans l’éditeur de stratégie de groupe :
Configuration de l’ordinateur \NParamètres Windows \NParamètres de sécurité \NPolitiques locales \NDroits de l’utilisateur assignés\NArrêter le système
Par défaut, les comptes d’utilisateur membres des groupes administrateurs locaux, opérateurs de sauvegarde et utilisateurs ont le droit d’arrêter l’ordinateur. Le moyen le plus simple d’empêcher l’utilisateur d’éteindre sa machine est de simplement supprimer le groupe users de la liste ci-dessus. Mais avant d’utiliser cette approche « extrême », voyez la section intitulée Attention aux dommages collatéraux plus loin dans cet article.
Autres approches de l’accès au bureau à distance
Rendre difficile pour les utilisateurs d’éteindre leurs PC de bureau via une connexion de bureau à distance est parfois plus de problèmes que cela ne vaut la peine, comme nous le verrons bientôt. Pour cette raison, certains administrateurs évitent d’essayer de mettre en œuvre de telles solutions et acceptent plutôt l’inévitable que certains PC d’employés finissent par être éteints à la fin de la journée de travail – et essaient ensuite de mettre en œuvre une approche pour les faire redémarrer automatiquement avant que le matin arrive. L’une des méthodes les plus courantes consiste à utiliser le Wake On Lan (WOL), une technologie de réseau prise en charge par de nombreux adaptateurs réseau qui permettent d’allumer l’ordinateur à distance lorsqu’il est en veille, en hibernation ou, dans certains cas, complètement éteint. Le WOL fonctionne en permettant à un « paquet magique » (un paquet Ethernet spécialement conçu) de démarrer la carte mère, provoquant le lancement du système d’exploitation.
La mise en œuvre du WOL peut être délicate. Premièrement, elle nécessite que vous ayez activé la fonctionnalité WOL dans le BIOS système de l’ordinateur, la carte mère de votre système doit donc prendre en charge cette fonctionnalité. Ensuite, il faut modifier les paramètres de la carte réseau de l’ordinateur. Pour ce faire, ouvrez le Gestionnaire de périphériques, développez le nœud Adaptateurs réseau et cliquez avec le bouton droit de la souris sur votre adaptateur Ethernet pour sélectionner Propriétés. Maintenant, dans l’onglet Avancé, assurez-vous que Wake on Magic Packet est activé comme ceci :
Passez ensuite à l’onglet Gestion de l’énergie et assurez-vous que le paramètre « N’autoriser qu’un paquet magique pour réveiller l’ordinateur » est activé :
Maintenant que vous avez activé WOL sur la machine, vous avez besoin d’un programme qui puisse lui envoyer un paquet magique lorsque vous voulez la démarrer alors que la machine a été éteinte. Le logiciel de gestion des systèmes que votre entreprise utilise possède probablement déjà cette fonctionnalité ; sinon, il existe de nombreux programmes autour de vous parmi lesquels vous pouvez choisir, dont beaucoup sont gratuits. TeamViewer est l’un de ces outils et est souvent utilisé dans les environnements de helpdesk. Une chose à garder à l’esprit : Ce n’est pas pour rien qu’on l’appelle Wake On Lan. Certains routeurs bloqueront le paquet magique s’il provient de l’extérieur du réseau – par exemple, en l’envoyant via Internet.
Une autre approche consiste à savoir si vos PC ont des processeurs Intel qui prennent en charge la technologie Intel Active Management Technology (AMT) de la plateforme Intel vPro qui vous permet de contrôler à distance les PC même lorsqu’ils tombent en panne ou sont éteints.
Interdire l’accès au bureau à distance : Attention aux dommages collatéraux
Quoique vous fassiez, assurez-vous d’être d’abord au courant des difficultés ou des problèmes qui peuvent survenir lorsque vous mettez en œuvre une solution qui rend difficile ou impossible pour les utilisateurs distants d’éteindre leurs ordinateurs de bureau via RDP. L’élément le plus important à prendre en compte ici est l’impact que cela peut avoir sur le support du helpdesk pour ces travailleurs distants. Par exemple, il arrive qu’un utilisateur travaillant à domicile et utilisant le Bureau à distance pour accéder à son ordinateur de bureau rencontre un problème quelconque avec son ordinateur de bureau. L’utilisateur téléphone au service d’assistance et le technicien lui indique les étapes à suivre pour résoudre le problème. L’utilisateur suit ces étapes mais le problème n’est pas résolu. Le technicien de support passe alors à l’étape suivante et demande à l’utilisateur d’essayer de redémarrer son ordinateur de bureau. « Comment puis-je faire cela ? Le service informatique a supprimé cette option de menu de mon ordinateur ». Les têtes se grattent tandis que l’appel de support s’éternise et que l’utilisateur prend du retard dans sa mission de travail.
Un jour de plus dans les tranchées de l’informatique.
Image vedette :
.
0 commentaire