IACA

Version 10. Auteur A. Sayer


Documentation > Pas à pas


Installation et première utilisation

Préparer votre serveur

Niveau fonctionnel

Cette version de IACA profite de l'imbrication des groupes. Cette imbrication n'est pas possible si votre serveur a un niveau fonctionnel insuffisant. Le niveau "Windows 2000 mixte" permettrait d'avoir des serveurs NT4 dans un domaine 2000 ou 2003 mais ce mode n'est pas suffisant avec cette version de IACA. Donc si votre domaine comporte au moins un serveur NT4 cette version de IACA ne convient pas.

Les niveaux fonctionnels "Windows 2000 natif" ou "Windows 2003" ou "Windows 2008" ou "Windows 2012" ou "Windows 2016" conviennent.

Pour changer le niveau fonctionnel de votre domaine procédez comme suit :
Dans "Utilisateurs et Ordinateurs Active Directory", faites un clic droit sur le nom de domaine.
    Avec Windows 2000 : Choisissez "Propriétés". Dans la partie "Mode de domaine" faites "Changer de mode" afin de passer en "Mode natif".
    Avec Windows 2003 et 2008, choisissez "Augmenter le niveau fonctionnel du domaine". Choisissez au minimum le niveau "Windows server 2003".
    Avec Windows 2012 et 2016, le niveau fonctionnel est normalement déjà bon.

L'augmentation du niveau fonctionnel ne demande pas de redémarrage du serveur.

Exigence des mots de passe

Les mots de passe créés par IACA sont en général trop simples et ne respectent pas les exigences par défaut de votre serveur. Cependant vous pouvez changer le paramétrage de IACA afin qu'il génère des mots de passe complexes.

Pour effectuer la modification, vous pouvez regarder le paragraphe "Réduire les exigences de mot de passe" dans le document correspondant à votre version de Windows serveur.

    Installer Windows 2000 serveur

    Installer Windows 2003 serveur

    Installer Windows 2008 serveur

    Installer Windows 2012 ou 2016 serveur

Installer IACA sur le serveur

Sur le site de IACASOFT à l'adresse http://www.iacasoft.fr allez à la rubrique "Téléchargement". Téléchargez le programme d'installation install_iacaXXX.exe.

Votre serveur doit être un contrôleur de domaine. En général il sera également serveur DNS et éventuellement serveur IIS. 

Exécutez le programme d'installation sur votre serveur. En général vous laisserez les choix par défaut.

L'installation crée le groupe de programmes "Gestion des comptes IACA" et place un raccourci vers IACA.exe et un raccourci vers le programme de sauvegarde Bkpiaca.exe.

Si IACA est déjà installé, le programme d'installation s'en rend compte et se contentent d'effectuer une mise à jour.

Premier démarrage de IACA

Sur le serveur, faites "Démarrer", "Programmes", "Gestion des comptes IACA" et exécutez le programme "IACA".

Lorsque IACA démarre, une vérification du paramétrage des serveurs est faite. Comme nous n'avons pas encore paramétré notre serveur, deux avertissements s'affichent indiquant que vous n'avez pas défini la partition à utiliser pour les dossiers personnels et les dossiers Classes. Placez-vous sur le serveur comme indiqué sur la copie d'écran suivante :

Tous les choix sont actuellement à "Non utilisé" mais les points rouges indiquent que ce n'est pas la réalité. Par exemple notre serveur est un contrôleur de domaine mais nous ne l'avons pas indiqué. En utilisant le bouton "Modifier" nous allons pouvoir effectuer les corrections.

Cochez "Est un contrôleur de domaine", cochez "Est un serveur IACA". Si IIS est installé sur votre serveur, cochez "Est un serveur IIS".

Cochez "Héberge les dossiers personnels". Choisissez la partition qui sera utilisée pour stocker les dossiers personnels des utilisateurs.

Cochez "Héberge la définition du parc". Choisissez la partition qui sera utilisée pour stocker le dossier PARCIACA.

Cochez "Héberge les dossiers classes". Choisissez la partition qui sera utilisée pour stocker le dossier CLASSES. Ce dossier pourra être utilisé pour stocker des dossiers au nom des classes.

Les autres coches ne sont pas obligatoires. Dans un premier temps, on pourra ne pas les cocher.

Seules les partitions NTFS des disques présents sur ce serveur s'affiche. Un NAS ne peut être utilisé que s'il utilise le protocole iSCSI car dans ce cas il est vu sur le serveur comme un disque local.

Conseil : Vous ne choisirez pas le lecteur où Windows est installé (C: en général), en effet à partir des ordinateurs du réseau, il serait possible de saturer le disque C ce qui perturberait le fonctionnement de Windows donc de votre serveur.

En validant, le fichier Domaines.xml est créé dans NETLOGON et les dossiers \IACA\PERSO, PARCIACA et CLASSES sont créés dans les partitions choisies et sont partagés. Les autorisations de sécurité et de partage sont définies avec précision.

La fenêtre précédente s'affiche à nouveau, et ne doit comporter que des points verts.

Fichier de licence de IACA

Si vous avez acheté IACA, vous avez reçu un fichier de licence nommé Cliaca.dat. Avec IACA dans le menu "?" utilisez "Fichier de licence de IACA..." et indiquez le fichier Cliaca.dat que vous avez reçu. Cela aura pour effet de copier ce fichier dans le dossier partagé sous le nom "Netlogon" ainsi que dans le dossier ...\Repl\Export\Scripts. Sans ce fichier de licence, IACA fonctionne en version de démonstration.


Création des comptes utilisateurs

Choix des fichiers contenant les noms des utilisateurs

Placez-vous sur "Users".

IACA a besoin de connaître la liste des fichiers contenant les noms des utilisateurs. Cliquez sur "Définir la liste des fichiers à utiliser lors l'importation". La liste des tables est actuellement vide et quelques choix simples vous sont proposés.

Si vous êtes en phase de test et que vous ne disposez pas des fichiers contenant les utilisateurs, vous pouvez sélectionner "Fichiers exemples fournis pour essais". Un établissement scolaire utilisera en général des fichiers XML venant de Siècle. Cliquez sur "Choisir cette liste" afin de choisir la liste conseillée.

La table ADMINMOD est de type "Administrateurs de modèles", elle contient des noms "ADMIN1", "ADMIN2"... Ces noms pourront être déclarés comme "Administrateurs de modèles" dans la définition des sous-parcs et seront utilisés pour paramétrer les stations. Il est donc vivement conseillé de ne pas supprimer cette table.

Placez-vous sur la table ELEVES. Vous pouvez constater que son type est "SIECLE Elèves XML" et que les noms des champs sont connus.

Dans la zone "Remarque" une aide rapide explique comment obtenir le fichier "ElevesSansAdresses.xml" à partir de Siècle. Indiquez dans la zone "Fichier" le chemin d'accès à ce fichier (vous pouvez vous aider du bouton "...").

Faites de même pour la table PROFS. Le fichier venant de Stsweb a un nom de la forme sts_emp_xxxx.xml.

Le bouton "Vérifier" permet de vérifier toutes les tables. Si un fichier table est manquant ou s'il n'est pas du type déclaré ou s'il ne comporte pas les champs indiqués, vous serez informé par un "Erreur grave détectée" et le nom de la table en cause sera précisé. Corrigez et essayez à nouveau "Vérifier".

La vérification doit se terminer par :

Validez cette fenêtre afin de retenir ce paramétrage. Le fichier ListeTables.dat est alors créé dans ...\SYSVOL\Domain\IACA\Site par défaut.

Pour une aide complète sur cette partie allez à Tables à importer

Importer les utilisateurs à partir des fichiers

L'importation des utilisateurs à partir des fichiers consiste à lire les fichiers définis à l'étape précédente et à comparer avec les comptes déjà présents dans Active Directory.

En cas d'homonymes (deux personnes ayant même nom et mêmes prénoms dans les fichiers), vous serez informé et vous pourrez abandonner l'importation et corriger ce problème (par exemple à l'aide du filtrage spécial).

Voici ce que donnent les fichiers exemples :

On peut constater que presque tous les points sont rouges. Cela signifie que ce qui est affiché diffère de la réalité. Par exemple aucun compte n'est encore présent avec comme login "BONNOT". Seule la case "Désactiver le compte" est verte car le compte n'est pas désactivé puisqu'il n'existe même pas.

En bas à gauche de la fenêtre, vous pouvez y remarquer un N (voulant dire qu'il s'agit d'un nouveau compte), une étoile (voulant dire que le compte doit être mis à jour) et un tiret (voulant dire que le compte a été modifié depuis le chargement de IACA).
Le menu "Rechercher" et "Prochain utilisateur modifié" permet de se placer sur le prochain utilisateur qui doit être mis à jour (donc avec une étoile).
'Le menu "Fichier", "Imprimer" et "Imprimer les changements" n'imprimera que les comptes modifiés depuis le chargement de IACA (donc avec un tiret).

En bas à droite, vous pouvez voir le chemin du dossier personnel de l'utilisateur sélectionné.

Mettre à jour les comptes

Pour l'instant rien n'est réellement fait, un peu comme si vous veniez de taper du texte dans un traitement de textes et que vous n'aviez pas encore sauvegardé votre travail.

La mise à jour des comptes consiste à retenir les modifications dans Active Directory.

Placez-vous sur "Users" et cliquez sur "Mettre à jour des comptes...". Une fenêtre récapitulative du travail à effectuer s'affiche.

Il est encore possible à ce stade d'abandonner. Si vous voyez des anomalies, faites "Annuler", quittez IACA sans faire la mise à jour des comptes et rechargez IACA.

En cliquant sur "Ok" les modifications sont faites.

Si des erreurs ont été trouvées vous en êtes informé.

ATTENTION, si vous utilisez la version de démonstration, les mots de passe affichés ne sont pas utilisés, ils sont en fait remplacés par la première lettre du nom de l'utilisateur afin de faciliter vos essais. Cette première lettre est en minuscule. Par exemple BONNOT a comme mot de passe la lettre minuscule b.
Avec la version normale, les mots de passe sont bien sûr ceux indiqués par IACA.

Après mis à jour des comptes, tous les points doivent être verts, et seul le tiret est maintenant présent dans la zone en bas à gauche.

Utilisateurs qui n'existent plus

Après importation, il est possible que des utilisateurs actuellement présents n'existent plus dans les fichiers. Dans ce cas, IACA va supprimer ces utilisateurs.

La suppression se fait en plusieurs étapes :

- Après l'importation, l'utilisateur a la coche mise devant "Désactiver le compte". Le compte est alors toujours présent et fonctionnel.
- Après mise à jour des comptes, l'utilisateur est encore présent mais il est désactivé (il serait encore possible de le rétablir).
- Vous êtes ensuite invité à supprimer les comptes désactivés. La suppression est alors définitive.

Nécessité d'une GPO pour TLots

Rôle de TLots

Le programme TLots.exe (Traitement par lots) permet au client IACA d'effectuer des remontées d'informations vers le serveur lors de la fermeture de session.

Par exemple, TLots permet d'informer IACA sur les serveurs que la session se ferme sur la station. TLots permet également de traiter la redirection de AppData et de Local AppData, permet de traiter Outlook Express sur le serveur.

L'installation n'est pas automatique, vous devez ajouter une GPO qui s'applique à tous les utilisateurs IACA afin que TLots.exe soit appelé à chaque fermeture de session.

Installer TLots sur serveur 2012 ou 2016

La création de la GPO pour Windows 2012 est décrite ci-après. La méthode est la même avec Windows 2016. 

Vous pouvez également regarder la petite vidéo en flash "Vidéo création GPO 2012 pour TLots"

- Dans le "Gestionnaire de serveur", utilisez "Outils" et "Gestion des stratégies de groupe". Entrez dans la forêt, dans "Domaines" et placez-vous sur l'OU contenant les utilisateurs IACA.

Le plus simple est de se placer sur l'ou "IACA" mais ce serait possible de se placer sur l'ou Users qui est dans "Site par défaut" (dans ce cas pensez à le faire sur tous les Users de chaque site si vous possédez la version Multisite de IACA).
Ne mettez pas cette GPO sur le conteneur "Users" qui a été créé par Windows lors de l'installation d'Active Directory et qui est à la racine du domaine.

- Faites un clic droit sur IACA et "Créer un objet GPO dans ce domaine et le lier ici..." (Si une GPO est déjà présente vous pouvez éventuellement l'utiliser). Le nom de la nouvelle GPO n'est pas important. Mettez par exemple "Pour IACA".

- L'objet GPO est créé. Vous pouvez faire un clic droit dessus et choisir "Modifier".

- Allez dans "Configuration utilisateurs", "Stratégies", "Paramètres Windows", "Script (ouverture/fermeture de session)".

- Ouvrez "Fermeture de session" et cliquez sur "Ajouter". Indiquez comme nom du script 

%WINDIR%\TLots.exe

Cela sera compris par les stations comme "Exécuter le programme TLots.exe qui est dans le dossier Windows". C'est le client IACA qui se charge de placer ce programme dans le dossier Windows des stations.

- Laissez la zone "Paramètres du script"  vide. Validez.

- Vous pouvez fermer "L'éditeur de stratégie de groupe".

Installer TLots sur serveur 2008

La création de la GPO pour Windows 2008 est décrite ci-après.

Vous pouvez également regarder la petite vidéo en flash "Vidéo création GPO 2008 pour TLots"

- "Outils d'administration", "Gestion des stratégies de groupe". Entrez dans la forêt, dans "Domaines" et placez-vous sur l'OU contenant les utilisateurs IACA.

Le plus simple est de se placer sur l'ou "IACA" mais ce serait possible de se placer sur l'ou Users qui est dans "Site par défaut" (dans ce cas pensez à le faire sur tous les Users de chaque site si vous possédez la version Multisite de IACA).
Ne mettez pas cette GPO sur le conteneur "Users" qui a été créé par Windows lors de l'installation d'Active Directory et qui est à la racine du domaine.

- Faites "Créer un objet GPO dans ce domaine et le lier ici..." (Si une GPO est déjà présente vous pouvez éventuellement l'utiliser). Le nom de la nouvelle GPO n'est pas important. Mettez par exemple "Pour les clients IACA".

- L'objet GPO est créé. Vous pouvez faire un clic droit dessus et choisir "Modifier".

- Allez dans "Configuration utilisateurs", "Stratégies", "Paramètres Windows", "Script (ouverture/fermeture de session)".

- Ouvrez "Fermeture de session" et cliquez sur "Ajouter". Indiquez comme nom du script 

%WINDIR%\TLots.exe

Cela sera compris par les stations comme "Exécuter le programme TLots.exe qui est dans le dossier Windows". C'est le client IACA qui se charge de placer ce programme dans le dossier Windows des stations.

- Laissez la zone "Paramètres du script"  vide. Validez.

- Vous pouvez fermer "L'éditeur de stratégie de groupe".

Installer TLots sur serveur 2000 ou 2003

La création de la GPO pour Windows 2000 et 2003 est décrite ci-après.

Vous pouvez également regarder la petite vidéo en flash "Vidéo création GPO 2003 pour TLots"

- "Outils d'administration", "Utilisateurs et Ordinateurs Active Directory" et placez-vous sur l'OU contenant les utilisateurs IACA.

Le plus simple est de se placer sur l'ou "IACA" mais ce serait possible de se placer sur l'ou Users qui est dans "Site par défaut" (dans ce cas pensez à le faire sur tous les Users de chaque site si vous possédez la version Multisite de IACA).
Ne mettez pas cette GPO sur le conteneur "Users" qui a été créé par Windows lors de l'installation d'Active Directory et qui est à la racine du domaine.

- Faites un clic droit, allez dans les propriétés et placez-vous dans le volet "Stratégie de groupe".

- Utilisez le bouton "Nouveau" (Si une GPO est déjà présente vous pouvez éventuellement l'utiliser). Le nom de la nouvelle GPO n'est pas important. Mettez par exemple "Pour les clients IACA".

- L'objet GPO est créé. Utilisez le bouton "Modifier".

- Allez dans "Configuration utilisateurs", "Stratégies", "Paramètres Windows", "Script (ouverture/fermeture de session)".

- Ouvrez "Fermeture de session" et cliquez sur "Ajouter". Indiquez comme nom du script 

%WINDIR%\TLots.exe

Cela sera compris par les stations comme "Exécuter le programme TLots.exe qui est dans le dossier Windows". C'est le client IACA qui se charge de placer ce programme dans le dossier Windows des stations.

- Laissez la zone "Paramètres du script"  vide. Validez.

- Vous pouvez fermer "L'éditeur de stratégie de groupe" et "Utilisateurs et Ordinateurs Active Directory"

Imprimer les mots de passe

Dans le menu "Fichier", "Imprimer" vous pouvez choisir :

Présentation normale

Cela permet d'avoir par classe la liste des utilisateurs avec leur nom complet et les trois paramètres qui leur permettent d'ouvrir une session, c'est à dire le nom d'utilisateur, le mot de passe et le domaine.
C'est présenté sous forme de petites bandes que l'on peut découper et distribuer.

Récapitulatif

Permet d'économiser le papier en n'utilisant qu'une ligne par utilisateur.

Imprimer les changements

Permet d'imprimer seulement les comptes qui ont été modifiés depuis le chargement de IACA (les comptes qui possèdent un tiret en bas à gauche). Par exemple en cours d'année, quelques élèves arrivent dans l'établissement, vous remplacez le fichier XML de siècle par le nouveau fichier, vous effectuez l'importation et la mise à jour des comptes. Vous pouvez alors imprimer les changements et distribuer les bandes de papier aux nouveaux élèves sans avoir à chaque fois à tout réimprimer.

Lorsque les fichiers des utilisateurs changent...

Vous venez de récupérer le nouveau fichier des utilisateurs. Remplacez le fichier existant par le nouveau et faites l'importation.

Vous pouvez alors vérifier les changements en utilisant le menu "Rechercher" et "Prochain utilisateur modifié" (placez-vous au préalable sur "Users" afin d'effectuer la recherche depuis le début).
Vous pouvez également vérifier les utilisateurs qui n'existent plus dans les fichiers en utilisant le menu "Rechercher" et "Prochaine utilisateur désactivé" (placez-vous au préalable sur "Users" afin d'effectuer la recherche depuis le début).

Si tout est comme vous le souhaitez, vous pouvez faire la "Mise à jour des comptes".

Il est a noter qu'à chaque importation des utilisateurs, IACA relit toutes les tables afin de déterminer ce qui a changé. Si par exemple vous utilisez des fichiers sur une clé USB ou sur un disque externe, pensez à le brancher avant d'effectuer l'importation. Si un fichier n'est pas accessible vous en serez informé et l'importation ne pourra pas se faire.

Fonctionnement des quotas

Windows propose une gestion des quotas. Vous pouvez activer les quotas sur une partition. Ces quotas sont bloquants, ce qui signifie que si un utilisateur veut ajouter des fichiers qui ferait dépasser le quota, il obtient un message indiquant le disque du serveur est plein. Il est possible d'indiquer un niveau d'avertissement, et un niveau de blocage.

IACA permet également une gestion des quotas sur les dossiers personnels. Les quotas de IACA ne sont pas bloquants mais l'utilisateur qui dépasse son quota reçoit une fenêtre lui rappelant qu'il dépasse et cette fenêtre apparaît d'autant plus fréquemment que le dépassement est important.

Si vous choisissez la solution proposée par IACA, voici son fonctionnement :


Quota pour l'utilisateur BONNOT

Si l'utilisateur a "Désactivé" alors il n'est pas limité par IACA.
Si l'utilisateur a un nombre alors son quota est fixé à ce nombre (voir "Quota effectif").
Si l'utilisateur a "Auto" alors cela dépend du paramétrage de son groupe ou des groupes supérieurs ou du paramétrage global.


Quota pour le groupe CADRES

Supposons maintenant que le groupe CADRES soit paramétré avec un quota de 2000. Chaque utilisateur du groupe CADRES qui a un quota en Auto aura un quota effectif de 2000.

Si le groupe CADRES a un quota "Auto" alors c'est le quota du groupe auquel il appartient qui s'applique. S'il n'y a plus de groupe au-dessus alors c'est le paramétrage défini dans "Paramètres" et "Paramètres divers" qui s'applique.


Critères déterminant l'appartenance des stations au site

Si vous n'utilisez pas la version "Multisite" de IACA, toutes vos stations appartiennent au site "Site par défaut". On pourra alors laisser le choix par défaut qui consiste à indiquer une étoile comme noms des stations.

Placez-vous sur "Computers". Vous n'aurez besoin d'utiliser le bouton "Modifier" que si vous utilisez la version Multisite et que avez plusieurs sites.

A l'intérieur de votre site, les stations seront regroupées en "sous-parcs".


Définir le parc d'ordinateurs

Création d'un sous-parc

Utiliser le bouton "Définir les sous-parcs..."

Ajoutez un "sous-parc" en lui donnant un nom (moins de 10 caractères sans espace) qui décrit au mieux les ordinateurs. Seuls des ordinateurs équivalents peuvent faire partie d'un même sous-parc.

Pour que des ordinateurs soient équivalents au sens de IACA, il faut :

- que la version de Windows soit la même. Par exemple, ne pas mettre des XP et des Windows 7 dans le même sous-parc. Ne pas mettre des Windows 7 32bits et des Windows 7 64 bits dans le même sous-parc.
- que les dossiers Windows soient les mêmes (par exemple tous C:\WINDOWS).
- que les mêmes programmes soient installés et dans les mêmes dossiers. Si ce n'est pas respecté, vous risquez d'avoir des raccourcis "morts" sur certains ordinateurs.

Des ordinateurs équivalents peuvent cependant :

- avoir des quantités différentes de mémoire.
- être de marques différentes
- avoir des vitesses différentes.
- avoir des disques durs de tailles différentes.

Liste des ordinateurs du sous-parc

Depuis la version 10 de IACA, il est possible de définir les sous-parcs avec trois critères. Si un ordinateur correspond à un critère il sera considéré comme appartenant au sous-parc.

Avec le nom des ordinateurs

Mettez le nom de chaque ordinateur en les séparant par un point-virgule. Vous avez le droit d'utiliser l'étoile (remplaçant un nombre quelconque de caractères) et le point d'interrogation (remplaçant un caractère).

Pour trouver le nom des ordinateurs :

Sur les stations 2000, allez dans les propriétés du poste de travail et utilisez le volet "Identification réseau".
Sur les stations XP, allez dans les propriétés du poste de travail et utilisez le volet "Nom de l'ordinateur".
Sur les stations Vista, Windows 7, 8 et 10, allez dans les propriétés de "Ordinateur" et regardez le nom indiqué dans "Nom de l'ordinateur". Si votre version est en anglais, ce sera "Computer" et "Computer name".

Recommencez avec les autres sous-parcs jusqu'à ce que tous les ordinateurs devant être Clients IACA soient dans un et un seul sous-parc. Si un ordinateur fait partie par erreur de plusieurs sous-parcs, c'est le premier sous-parc qui est utilisé.

Dans l'exemple suivant, le sous-parc nommé INFO contient des ordinateurs allant de Ordi01 à Ordi12 et tous les ordinateurs dont le nom commence par la lettre INF.
C'est l'utilisateur Admin1 qui a la charge de l'administration des modèles de ce sous-parc.

Si vous utilisez une notation comme Ordi01..Ordi12 pensez qu'il s'agit d'un ordre alphabétique et que par exemple Ordi2 ne fait pas partie de l'ensemble puisqu'il est après Ordi12.
Dans le doute, vous pouvez bien sûr mettre le nom de tous les ordinateurs en les séparant par des points-virgules.

Prenons quelques exemples

L'ensemble Ordi1..Orid15 contient Ordi1, Orid10, Ordi14, Ordi15 mais ne contient pas Ordi16 ni Ordi2 ni Ordi3.

L'ensemble Ordi01..Ordi30 contient Ordi01, Ordi02, Ordi1, Ordi16, Ordi29, Ordi3, Ordi30 mais ne contient pas Ordi0, ni Ordi00 ni Ordinateur ni Ordi3A.

Avec un groupe machines

Si, dans "Utilisateurs et Ordinateurs Active Directory" vous avez créé un groupe global et que vous avez placé des ordinateurs dans ce groupe, vous pouvez indiquer le nom de ce groupe.

Avec un chemin LDAP

Si, dans "Utilisateurs et Ordinateurs Active Directory" vous avez créé une OU et que vous avez placez des ordinateurs dans cette OU, vous pouvez indiquer le chemin LDAP de cette OU. Aidez-vous du bouton "Liste" et faites glisser le chemin avec la souris.

Administrateurs de modèles

Indiquez le nom de la personne qui sera chargée de créer et paramétrer les modèles applicables pour ce sous-parc. Cette personne sera dans la suite appelée "Administrateur de modèles" ou "Gestionnaire de sous-parc". Si vous utilisez les fichiers fournis, mettez par exemple Admin1. La personne responsable du sous-parc pourra utiliser les ordinateurs normalement avec son nom ou administrer les modèles de son sous-parc en utilisant Admin1 comme nom. Un administrateur de modèles est nécessairement un compte créé par IACA.

L'administrateur du domaine a tous les droits mais comme ce n'est pas un compte créé par IACA, il ne peut pas faire la personnalisation des modèles (voir plus loin). En effet la personnalisation d'un modèle doit être effectuée par un administrateur de modèles.

Autres paramètres

En précisant la version de Windows pour les ordinateurs de ce sous-parc, le programme Modeles indiquera par des pastilles de couleurs les options disponibles pour cette version.

Le volet "Passerelle" permet de préciser la passerelle Internet ainsi que des routes persistantes. Les boutons "?" correspondants donne l'aide.

Le volet "Message légal" permet par exemple d'afficher un message avant l'ouverture de session rappelant par exemple que les utilisateurs ont signé une charte ou que l'utilisation des ordinateurs doit se faire en respectant la charte de l'établissement...
Si vous avez indiqué un message légal et que vous souhaitez ne plus l'utiliser, cochez "Traiter le message légal" et laissez les champs vides.
Lorsque toutes les stations auront pris ce paramétrage, vous pourrez éventuellement décocher cette case.

Le volet "Arrêt" permet de programmer l'arrêt des stations à une heure précise.

Faites la mise à jour du parc.


Préparation des stations

Avant de pouvoir installer le client IACA sur les stations, vous devez effectuer les étapes suivantes :

1) Dans ses paramètres IP, la station doit avoir comme adresse DNS l'adresse IP d'un serveur Windows de votre réseau local exécutant le service "Serveur DNS".
2) La station doit être inscrite dans le domaine.
3) Le compte Admin1 du domaine (Remplacez Admin1 par l'administrateur de modèles) doit être ajouté dans le groupe Administrateurs local de la station. Au lieu de Admin1 vous pouvez mettre le groupe ADMINMOD.

Paramétrage IP

Sur le ou les serveurs

Sur le serveur Windows le service "Serveur DNS" doit être installé et fonctionnel. Le serveur doit être client de son propre serveur DNS afin que les informations relatives au serveur soient présentes dans le service DNS. Pour cela vérifiez que dans les propriétés de la carte réseau de votre serveur vous avez 127.0.0.1 comme DNS (ou éventuellement l'adresse de la carte réseau).

Ne mettez pas l'adresse de votre fournisseur d'accès ou l'adresse de la passerelle comme DNS. Ces adresses peuvent être mises dans les redirecteurs.

Les stations ne se contentent pas de demander des résolutions d'adresses auprès du serveur DNS, elles profitent également d'informations spécifiques Microsoft qu'elles trouvent dans le serveur DNS du serveur Windows.

Sur les stations

Que les stations utilisent des adresses attribuées automatiquement (DHCP) ou des adresses fixes, il est nécessaire que le DNS correspondent à l'adresse IP du serveur Windows. Il est possible de mettre plusieurs adresses DNS si vous possédez plusieurs serveurs.

Dans une fenêtre DOS, vous pouvez taper

    ipconfig  /all

afin de connaître le paramétrage IP effectif.

Les stations doivent être inscrites dans le domaine

Pour faire appartenir la station à un domaine, plusieurs méthodes sont possibles.

Si vous possédez le programme AIC (Auto_Install_Client), reportez-vous à la rubrique "Auto_Install_Client" car ce programme est capable d'effectuer automatiquement l'inscription dans le domaine. Ce programme a l'avantage de permettre les inscriptions sans limite par une personne ne connaissant pas le mot de passe de l'administrateur du domaine.

Par défaut, tout utilisateur authentifié a le droit d'ajouter des stations au domaine mais un tel utilisateur est limité à 10 inscriptions de stations.

L'administrateur du domaine n'est pas limité.

Si les personnes chargées d'inscrire les stations dans le domaine connaissent le mot de passe de l'administrateur du domaine, vous pouvez passer ce paragraphe.

Donner le droit d'inscrire les stations

Pour donner par exemple au membres du groupe ADMINMOD le droit d'inscrire les stations sans limite dans le domaine, nous devons modifier la sécurité sur le conteneur "Computers" de Active Directory. Voici comment procéder :

- Sur le serveur dans "Utilisateurs et ordinateurs Active Directory" menu "Affichage" cochez si ce n'est pas encore fait "Fonctionnalités avancées".
- Faites un clic droit sur "Computers" et propriétés.
- Dans le volet "Sécurité" faites "Ajouter", tapez "ADMINMOD" et validez.
- Toujours dans la fenêtre "Propriétés de Computers", placez-vous sur ADMINMOD et cochez en plus de Lire "Créer tous les objets enfants" et "Supprimer tous les objets enfants".
- Validez.

Maintenant les membres du groupe ADMINMOD ne sont plus limités à 10 inscriptions de stations.

Inscrire une station XP pro

Ouvrez la session sur la station en tant qu'administrateur local.

Clic droit sur "Poste de travail" et "Propriétés" afin de faire apparaître la fenêtre "Propriétés système". Dans le volet "Nom de l'ordinateur" cliquez sur "Modifier". Sélectionnez "Domaine" et indiquez le nom du domaine. Il vous sera demandé "le nom et le mot de passe d'un compte autorisé à joindre le domaine", donnez comme nom par exemple Admin1 et le mot de passe correspondant (ou Administrateur et le mot de passe de l'administrateur du domaine).

Il est également possible de faire apparaître la fenêtre "Propriétés système" en passant par "Panneau de configuration", "Performance et maintenance" et "Système".

Il est possible que l'ajout échoue si le nom de la station est déjà présent sur le serveur dans "Utilisateur et ordinateurs Active Directory" et "Computers". On peut supprimer la station sur le serveur et recommencer l'ajout à partir de la station.

Inscrire une station Vista, Windows 7, Windows 8 ou Windows 10

Ouvrez la session sur la station en tant qu'administrateur local.

Par défaut, le compte Administrateur est désactivé mais lors de l'installation de Windows vous avez été amené à saisir au moins un nom d'utilisateur. Cet utilisateur fait partie du groupe Administrateurs de la station, vous pouvez utiliser ce compte.

Astuce : Pour ouvrir la session avec un compte local alors que la station est déjà inscrite dans le domaine, vous pouvez taper le nom du compte local en le faisant précéder de .\
Par exemple .\moi

Clic droit sur "Ordinateur" et "Propriétés" afin de faire apparaître la fenêtre "Informations système générales". A côté de "Nom de l'ordinateur..." cliquez sur "Modifier les paramètres". Dans la fenêtre "Propriétés système", volet "Nom de l'ordinateur", utilisez le bouton "Modifier". Sélectionnez "Domaine" et indiquez le nom du domaine. Il vous sera demandé "le nom et le mot de passe d'un compte autorisé à joindre le domaine", donnez comme nom par exemple Admin1 et le mot de passe correspondant (ou Administrateur et le mot de passe de l'administrateur du domaine).

Il est également possible de faire apparaître la fenêtre "Informations système générales" en passant par "Panneau de configuration", choisissez "Système et sécurité" puis "Système".

L'administrateur de modèles doit avoir tous les droits sur la station

Il s'agit de mettre le compte Admin1 (ou celui qui est déclaré comme administrateur de modèles dans la définition du sous-parc) ou encore tout le groupe ADMINMOD dans le groupe Administrateurs de la station.

Ne confondez pas le groupe Administrateurs qui est sur le serveur avec celui de la station ! Une grosse erreur consisterait à mettre Admin1 dans le groupe Administrateurs du serveur car cela lui donnerait des droits complets sur tous les serveurs du domaine ainsi que sur toutes les stations !!!

Si vous utilisez le programme AIC (Auto_Install_Client), vous pouvez ignorer ce paragraphe. En effet, Auto_Install_Client ajoute automatiquement les administrateurs de modèles. Reportez-vous à la rubrique "Auto_Install_Client" pour la documentation de AIC.

Dans la suite je suppose que vous voulez ajouter le compte ADMIN1. Vous adapterez en fonction du compte ou du groupe que vous voulez ajouter.

 Si vous utilisez la version de démonstration n'oubliez pas que le mot de passe de Admin1 est a.

Station XP

Ouvrez "Outils d'administration" et "Gestion de l'ordinateur". Ouvrez "Utilisateurs et groupes locaux", "Groupes" et "Administrateurs". Cliquez sur "Ajouter".  Vérifiez que "A partir de cet emplacement" contient le nom du domaine. Tapez ADMIN1 (ou ADMINMOD). Un nom et un mot de passe vous seront demandés. N'importe quel nom d'utilisateur du domaine convient, par exemple tapez Admin1 et son mot de passe.

Vous constatez que Admin1 précédé du nom du domaine vient s'ajouter aux membres du groupe Administrateurs. Il était également possible de taper DOMAINE\Admin1


Windows XP

Stations Vista, Windows 7, 8 ou 10

Clic droit sur "Ordinateur", "Gérer". Ouvrez "Utilisateurs et groupes locaux", "Groupes" et "Administrateurs". Cliquez sur le bouton "Ajouter". Cliquez sur "Ajouter". Vérifiez que "A partir de cet emplacement" contient le nom du domaine. Tapez ADMIN1 (ou ADMINMOD). Un nom et un mot de passe vous seront demandés. N'importe quel nom d'utilisateur du domaine convient, par exemple tapez Admin1 et son mot de passe.


Installer le client IACA

Si vous utilisez le programme AIC (Auto_Install_Client), vous pouvez ignorer ce paragraphe. En effet, Auto_Install_Client installe automatiquement le client IACA avec les paramètres que vous voulez.. Reportez-vous à la rubrique "Auto_Install_Client" pour la documentation de AIC.

Ouvrez la session avec Admin1

Je suppose qu'un sous-parc est défini pour votre station, que le compte Admin1 est déclaré comme administrateur de modèles, que votre station est inscrite dans le domaine et que Admin1 est membre du groupe Administrateurs de votre station.

Ouvrez la session avec le compte Admin1 du domaine.

Accédez au dossier Netlogon du serveur, par exemple en tapant dans la zone rechercher (juste au dessus du bouton "Démarrer") le chemin
\\ (nom du serveur) \netlogon

Exécutez le programme Client.exe.

Ce programme est conçu pour accepter le mécanisme UAC qui existe depuis Vista. Ce mécanisme permet d'exécuter le programme avec les privilèges d'administrateur. Une fenêtre vous demande d'autoriser l'exécution de ce programme. Répondez "Oui" pour indiquer que vous faites confiance à ce programme.

En général on cochera toutes les cases, peut-être à l'exception de celle devant "Afficher les éventuels messages d'erreurs à l'ouverture".
Cette case pourra être cochée seulement pendant la phase de test, et pourra être supprimée ensuite. Cela n'empêche pas les messages d'erreurs de s'inscrire dans le fichier iaca.log (placé dans le dossier IACA du dossier Windows).

Les lignes grises correspondent à des options non disponibles pour la version de Windows utilisée.

Validez... Vous êtes invité à redémarrer l'ordinateur.

Faites ce travail sur chaque ordinateur de votre sous-parc.

En cas de refus du programme Client

Si le programme Client refuse d'effectuer la modification, vérifiez en particulier les points suivants :

- Est-ce que votre station est définie comme appartenant à un sous-parc ?

Le programme "Modeles" qui est dans Netlogon peut vous aider à vérifier ce point. Appelez le programme Modeles et utilisez le bouton "Sectionner le sous-parc de mon ordinateur". Si votre ordinateur appartient à un sous-parc, la surbrillance se placera sur le sous-parc, sinon vous serez informé.
Vous pouvez également utiliser le programme Modeles pour vérifier l'appartenance à un sous-parc de n'importe quel ordinateur en utilisant le bouton "Recherche le sous-parc d'un ordinateur" et en tapant le nom de cet ordinateur.

- Est-ce que vous avez ouvert une session avec le compte "Administrateur de modèles" déclaré dans la définition de ce sous-parc ?

Le programme Modeles peut encore vous aider. Lorsque vous êtes sur le sous-parc, vous pouvez voir dans la zone "Administrateurs" la liste des administrateurs de modèles déclarés pour ce sous-parc.

- Est-ce que Admin1 (ou le compte du domaine que vous utilisez) est membre du groupe Administrateurs de la station ou appartient à un groupe qui est membre du groupe Administrateurs de la station ?

Désinstallation du client IACA

Si plus tard vous souhaitez désinstaller le client IACA, ouvrez la session avec le compte administrateur de modèles et appelez le programme Client.exe qui se trouve dans Netlogon du ou des serveurs. Enlevez la coche devant "Activer le client IACA".

Depuis la version 10.22, vous pouvez également ouvrir la session avec un compte local ayant les droits d'administrateur de la station et désinstaller le client IACA en passant par "Panneau de configuration > Désinstaller un programme".

En plus de supprimer le client IACA, la nouvelle méthode supprime les traces du client IACA dans la base de registre des comptes IACA dont le profil est encore sur la station.


Création des modèles pour votre sous-parc

Ce travail est à faire une fois pour l'ensemble des ordinateurs de votre sous-parc.

Ouvrez la session sur une station de votre sous-parc en utilisant le compte Admin1. Comme vous n'avez pas encore défini de modèle, votre ordinateur démarre avec un modèle "normal". Windows se comporte comme si le client IACA n'était pas installé, cependant, vous êtes reconnu par IACA sur le serveur comme étant administrateur de modèles et à ce titre vous allez pouvoir créer des modèles d'utilisateurs.

Allez dans le dossier Netlogon de votre serveur et exécutez le programme Modeles.exe. Choisissez le sous-parc qui vous a été attribué.

Il est pratique d'utiliser le bouton "Sélectionner le sous-parc de mon ordinateur" afin de placer la surbrillance sur le bon sous-parc.

  

Souvent, dans un établissement scolaire, deux modèles sont créés, un modèle PROFS et un modèle ELEVES, mais vous pouvez faire d'autres choix.

Utilisez le bouton "Ajouter" et donnez par exemple "PROFS" comme nom de modèle.

Volet "Concernés"

Mettez au moins un utilisateur dans la partie "Sont concernés par ce modèle". En général, vous mettrez un ou plusieurs groupes. Si vous utilisez les fichiers fournis pour exemple, mettez par exemple CADRES.

Il est à remarquer qu'il est plus efficace et plus rapide de mettre un groupe que de mettre toutes les personnes du groupe. Si une nouvelle personne arrive dans le groupe elle obtient automatiquement les droits appliqués au modèle alors que si vous avez mis chaque personne une par une, vous aurez à ajouter cette nouvelle personne.

Attention : Ne mettez pas les administrateurs de modèles dans les personnes concernées. Les administrateurs de modèles peuvent automatiquement choisir tous les modèles du sous-parc.

Dans l'exemple ci-dessous, nous avons créé un modèle en l'appelant ELEVES et nous avons placé le groupe EMPLOYES dans la liste des groupes concernés par ce modèle.

Pour nos essais, je vous propose de choisir un modèle avec des restrictions faibles. Choisissez donc "Edition" et "Restreindre un peu". Observez les choix dans les différents volets, vous serez amené à affiner suivant vos besoins.

Faites en sorte que chaque personne susceptible de venir sur les ordinateurs de votre sous-parc soit concernée par un modèle ou, ce qui revient au même, soit dans un groupe concerné par un modèle.

Par exemple BARRE est concerné par le modèle ELEVES car il appartient au groupe EMPLOYES-COMPTA qui lui même appartient au groupe EMPLOYES et que le groupe EMPLOYES est concerné par le modèle COMPTA.

Si une personne est concernée par deux modèles alors elle pourra choisir parmi ces deux modèles.
Si une personne n'est concernée par aucun modèle, elle ne pourra pas travailler sur les ordinateurs du sous-parc.

Volet "Bureau"

Sans le client IACA

En fonctionnement habituel (sans le client IACA), le bureau utilisateur dépend de l'utilisateur (chaque utilisateur de la station peut avoir des raccourcis différents) alors que le bureau commun est commun à tous les utilisateurs de la station.
Les raccourcis de ces deux types de bureau sont retenus dans des dossiers différents.

Par exemple avec Windows 7 ou 8 le bureau de Dupond est en général dans C:\Users\Dupond\Desktop
Alors que le bureau commun est dans C:\Users\Public\Desktop

Avec Windows XP le bureau de Dupond est en général dans C:\Documents and Settings\Dupond\Bureau
Alors que le bureau commun est dans C:\Documents and Settings\All Users\Bureau

Avec le client IACA

Le client IACA peut changer les dossiers utilisés.

Bureau normal signifie que le dossier utilisé pour stocker les raccourcis du bureau sera celui qui est habituellement utilisé lorsque le client IACA n'est pas installé.

Bureau restauré signifie que l'utilisateur recevra une copie de votre bureau. Il pourra effectuer des modifications mais celles-ci seront perdues lorsqu'il ouvrira à nouveau la session.

Bureau figé signifie également que l'utilisateur recevra une copie de votre bureau mais il ne pourra pas effectuer de modification. Par exemple un clic droit sur le bureau et "Nouveau" et "Nouveau raccourci" ne fonctionnera pas. La suppression d'un raccourci existant échouera également.

Bureau dans U: signifie que les raccourcis que l'utilisateur ajoutera sur son bureau seront stockés dans son dossier personnel. Il les retrouvera donc sur toutes les stations pour lesquels ce choix a été fait.

Je suppose dans la suite que vous avez choisi "Figé".

D'autres possibilités sont offertes par le programme Modeles mais dans un premier temps, nous allons nous contenter de ce paramétrage.

Faites "Fichier" et "Enregistrer".


Personnalisation du modèle

Au moins un modèle a été créé. En ouvrant la session maintenant avec Admin1, vous avez le choix entre les modèles créés et le modèle <Windows normal>. Choisissez le modèle que l'on vient de créer.

Vous ne devez pas être en "Windows normal" pour effectuer la personnalisation.

Les raccourcis du bureau

Si vous n'avez pas choisi "Bureau restauré" ou "Bureau figé", il n'est pas utile de vous appliquer à créer et placer les raccourcis sur le bureau puisque ce sera ignoré par le client IACA pour les utilisateurs de ce modèle.

Quel que soit le paramétrage des bureaux dans "Modeles", l'administrateur de modèles, lorsqu'il choisit un modèle, a toujours des bureaux restaurés. Cela lui permet de les modifier et éventuellement de les enregistrer vers le serveur.

L'écran est composé de la barre des tâches, d'une image de fond et d'un ensemble d'icônes.

On distingue :
- les icônes ajoutées automatiquement par Windows. Suivant la version de Windows on trouvera "Ordinateur", "Poste de travail", "Corbeille", "Internet explorer", "Favoris réseau"...
- les icônes correspondant aux raccourcis placés dans le dossier Bureau de l'utilisateur de la station.
- les icônes correspondant aux raccourcis placés dans le dossier Bureau commun à tous les utilisateurs de la station.

En agissant directement sur le bureau, vous pouvez modifier, supprimer ou ajouter des raccourcis du bureau de l'utilisateur.

Pour modifier les raccourcis du bureau commun, il faudra agir directement dans le dossier correspondant.

Afin de retenir les raccourcis de votre bureau, utilisez la petite icône IACA qui se trouve dans la zone de notification (en bas à côte de l'heure) et faites "Appliquer"

Toutes les cases accessibles sont automatiquement cochées. Par exemple sur la station qui a servi pour cette copie d'écran, le programme OpenOffice n'est pas installé, il n'y a donc aucun paramétrage relatif à OpenOffice à copier vers le serveur.

Sauf cas particuliers, on laissera toutes les coches.

On pourra remarquer que la case permettant de copier le profil n'est pas cochée par défaut. Vous pouvez la cocher ou la décocher. Dans un premier temps cette case pourra restée blanche.

Faites "Appliquer".

Les paramètres de votre ordinateur sont copiés sur le serveur dans le dossier Parciaca\(nom du sous-parc)\(nom du modèle).
Si vous avez coché "Copier le profil...", c'est dans le dossier Parciaca\(nom du sous-parc)\ProfilsIACA qu'est copié le profil.

Si vous avez plusieurs modèles, et que vous souhaitez que les autres modèles aient par exemple les mêmes raccourcis sur le bureau, décochez tout sauf "Copier les raccourcis du bureau", choisissez un autre modèle et faites "Appliquer". Vous obtiendrez un message de confirmation semblable à celui-ci :

Il aurait bien entendu été possible d'ouvrir la session en choisissant l'autre modèle, en plaçant les raccourcis souhaités et en faisant "Appliquer".

Aucun contrôle n'est fait si vous oubliez d'enregistrer sur le serveur. Pensez donc à utiliser l'icône IACA et à faire "Appliquer" avant de fermer votre session si vous voulez que vos modifications soient retenues dans le modèle

Aide pour créer ou copier des raccourcis

Si, en étant administrateur de modèles, il vous manque des raccourcis sur le bureau ou dans le menu démarrer, il est possible que ces raccourcis existent sur la station dans un autre dossier. Ce sera par exemple le cas si vous avez installé un logiciel alors que vous étiez en "Windows normal", les raccourcis sont alors créés par le programme d'installation dans les dossiers "normaux". Étant en Windows normal vous n'avez pas la petite icône IACA pour faire appliquer. En ouvrant la session et en choisissant un modèle, vous n'avez pas ces raccourcis puisque IACA utilise des dossiers provisoires. 

Avec la petite icône IACA, utilisez le bouton "Information" puis le bouton "Aide raccourcis...". Voici un exemple de la fenêtre obtenue :

Cliquez par exemple sur "Bureau commun normal" vous y trouverez peut-être les raccourcis qui vous manquent. Faites un "copier" de ces raccourcis.

Cliquez sur "Bureau commun actuel" ou sur "Bureau actuel" et collez les raccourcis. Ils apparaissent alors immédiatement sur votre bureau.

Vous pourrez faire de même avec les différents menus démarrer.

Conseil : Ne supprimez rien dans les dossiers dont les noms se terminent par "normal", ils sont utilisés par les comptes non IACA ou par l'administrateur de modèles lorsqu'il ouvre la session en Windows normal.

Si vous voulez conserver ce que vous venez de faire, n'oubliez pas d'utiliser le bouton "Appliquer".


Utilisateurs standards

Voir le résultat

Ouvrez une session sur un ordinateur du sous-parc avec un nom d'utilisateur standard (un utilisateur créé par IACA qui n'est pas choisi comme administrateur de modèles). Dans l'exemple ci-dessous, c'est Monsieur BARRE (un comptable) qui est en train d'ouvrir une session. On peut constater que le modèle nommé ELEVES va lui être appliqué.
Vous devez obtenir une fenêtre ressemblant à celle-ci :

Tapez sur "Entrée" ou "Echap" ou "Espace" ou cliquez sur Ok ou attendez une trentaine de secondes... Windows continue son chargement et vous obtenez une petite icône dans la zone de notification.

Placez la souris sur cette icône sans cliquer, vous devez obtenir "Utilisateur IACA : BARRE".

Faites un clic simple sur cette icône si vous voulez obtenir des renseignements supplémentaires sur votre compte.

L'heure de votre station a été synchronisée avec l'heure du serveur IACA.
Le lecteur réseau U: est connecté à votre dossier personnel sur le serveur.

Documents (ou "Mes documents" suivant les version de Windows) pointe vers U:\Documents
Images (ou "Mes images") pointe sur U:\Pictures
Musique (ou "Mes musiques") pointe sur U:\Music
Vidéos (ou "Mes vidéos) pointe sur U:\Videos
Téléchargements pointe sur U:\Downloads

Des lecteurs réseau peuvent avoir été connectés.
Des paramètres et restrictions peuvent également vous être appliqués.
Etc.


Mode de fonctionnement des modèles

Certains paramètres du modèle s'utilisent simplement d'autres ont besoin de deux actions.

Paramétrages simples

Connecter un lecteur réseau, exécuter un programme au démarrage, interdire le clic droit... sont des actions simples. Il suffit d'utiliser le programme "Modèles" et d'effectuer le paramétrage souhaité. Dès que l'utilisateur standard ouvre une session et qu'il reçoit ce modèle, le paramétrage s'applique.

Paramétrages en deux temps

Définir un thème est une action qui se fait en deux temps. Peu importe l'ordre mais vous devez cocher dans Modèles "Appliquer le thème" et vous devez choisir le thème en ayant ouvert une session avec Admin1 sur une station du sous-parc.
La méthode pour choisir le thème dépend de la version de Windows.
- Avec Windows XP, choisissez le thème comme à l'habitude puis faites "Appliquer" avec la petite icône IACA.
- Avec Windows 7, lorsque vous faites "Appliquer" avec la petite icône IACA, choisissez un fichier avec extension themepack.
- Avec Windows 8, lorsque vous faites "Appliquer" avec la petite icône IACA, choisissez un fichier avec extension deskthemepack (les fichiers themepack sont également acceptés).

Le choix des raccourcis du bureau est également une action en deux temps. Vous devez choisir dans Modèles un bureau restauré ou figé et vous devez faire "Appliquer" avec la petite icône IACA afin de copier les raccourcis vers le serveur.

Voir le résultat

Le paramétrage est pris en compte lors de l'ouverture de session. Ouvrez la session avec un compte standard pour lequel le modèle s'applique. Vous devez constater que le paramétrage s'applique.

Si vous êtes administrateur de modèles, alors les restrictions du modèle ne s'appliquent pas, les bureaux et les menus démarrer sont toujours en "Restauré".


Qui peut faire quoi

Qui peut utiliser le programme Modeles ?

Tout le monde (sauf restriction particulières) mais seuls les administrateurs de modèles et l'administrateur du domaine peuvent effectuer des modifications.

Qui peut personnaliser un modèle ?

L'administrateur de modèles en ouvrant la session sur une station de son sous-parc et en choisissant le modèle à personnaliser. Après la personnalisation, s'il souhaite conserver les modifications, il ne doit pas oublier de faire "Appliquer" avec l'icône IACA.

Qui peut créer ou modifier les sous-parcs ?

L'administrateur du domaine en utilisant le programme IACA sur le serveur.

Qui peut donner le droit d'utiliser certains outils comme Devoirs, Envoimsg...

L'administrateur du domaine en utilisant le programme IACA sur le serveur.

Qui peut créer ou supprimer des utilisateurs ?

L'administrateur du domaine en utilisant le programme IACA sur le serveur.


Différencier Administrateurs de modèles et utilisateurs standards

On préférera en pratique ne pas utiliser un compte d'administrateur de modèles pour une utilisation normale.

Si vous êtes professeur et administrateur de modèles, il serait souhaitable de distinguer vos activités. En effet, les élèves trouveront normal d'avoir un devoir distribué avec votre nom de professeur. Si vous aviez ouvert la session avec Admin1 pour distribuer le devoir, ce sera Admin1 qui sera apparu dans le dossier des élèves.


Programme Devoirs

Principe

Les professeurs n'ont normalement pas le droit d'accéder aux dossiers personnels de leurs élèves.

Mais le programme Devoirs est conçu pour leur permettre :
   - de déposer des fichiers dans un sous-dossier du dossier personnel des d'élèves.
   - de récupérer des fichiers à partir du sous-dossier du dossier personnel des d'élèves.
   - de rendre les fichiers aux élèves (après correction par exemple).

Rôle de l'administrateur

L'administrateur, à l'aide du programme IACA sur le serveur, utilise "Paramètres" et "Droits particuliers".

Ajouter un droit d'utilisation de Devoirs

Dans "Droits", faites "Ajouter un droit d'utilisation de Devoirs". Indiquez le nom que vous souhaitez pour ce droit.

Utilisez "Affichage" et "Liste des groupes et utilisateurs" afin d'afficher la fenêtre "Liste".

Cela signifie que les personnes du groupe CADRES auront le droit d'utiliser le programme Devoirs et qu'elles pourront distribuer des devoirs aux membres du groupe EMPLOYES.

Si une personne est autorisée dans plusieurs droits, alors la liste des destinataires est la réunion (au sens mathématique) des destinataires.
Par exemple il reviendrait au même d'ajouter le groupe SIECLE dans les destinataires que d'ajouter un droit avec CADRES comme groupe autorisé et SIECLE comme destinataires. Dans les deux cas, un membre du groupe CADRES pourrait distribuer des devoirs aux membres des groupes EMPLOYES et SIECLE.

Le plus simple est d'autoriser le groupe PROFS et de mettre comme destinataires au moins le groupe ELEVES. On peut cependant affiner en créant un droit différent pour chaque professeur et en mettant la liste de ses classes dans la zone "Destinataires".

A mon avis, les personnes autorisées à utiliser Devoirs devront avoir pris connaissance du fonctionnement de ce programme afin qu'elles ne déposent pas n'importe quoi dans n'importe quel dossier personnel des élèves. Il pourrait être judicieux de ne mettre que le nom des professeurs ayant eu une mini formation à l'utilisation de ce programme.

Autoriser les utilisateurs qui ne sont pas client IACA

Si vous acceptez que des utilisateurs "non clients IACA" utilisent le programme Devoirs, cochez la case correspondante dans "Paramètres", "Paramètres divers" et "Autorisations spéciales".
Tout utilisateur présent dans Active Directory (créé par IACA ou sans passer par IACA) pourra alors utiliser Devoirs sur un ordinateur même si celui-ci n'a pas le client IACA installé. Il devra cependant correspondre à un "Droit d'utilisation de Devoirs".

Exemple en utilisant un ordinateur situé dans le réseau administratif ou un portable de professeur :
Appelez le programme Devoirs.exe par un chemin de la forme (corrigez avec la vrai adresse IP et sans mettre d'espace)
\\ (IP du serveur IACA) \ NETLOGON \ Devoirs.exe

Lorsque le programme Devoirs démarre, l'utilisateur doit indiquer le nom, le mot de passe et le nom netbios du domaine pédagogique (sans point). Le nom de l'utilisateur doit être un compte présent dans Active Directory du domaine pédagogique et doit avoir été ajouté dans "Droits particuliers". Ce nom n'est pas nécessairement un compte créé par IACA.

Si l'ordinateur est capable de résoudre l'adresse, vous pouvez remplacer l'adresse IP par le nom du serveur IACA. Si ce n'est pas le cas, vous pouvez faire en sorte que cet ordinateur soit capable de résoudre l'adresse en ajoutant une ligne au fichier Hosts (sans extension) qui est habituellement situé dans C:\WINDOWS\system32\drivers\etc.
Ajoutez une ligne dans le fichier Hosts de cet ordinateur, celle ligne ressemblera a ceci :
192.168.0.1  serv-peda
Cette façon de faire évite (suivant les versions de Windows) un "Avertissement de sécurité" car le fichier exécuté à l'aide de l'adresse IP n'est pas reconnu comme étant dans le réseau de l'établissement.

Rôle des administrateurs de modèles

Il peut être intéressant (mais pas obligatoire) de prévoir un raccourci vers le programme Devoirs.exe qui se trouve dans Netlogon sur le serveur pour le modèle qui s'applique aux professeurs. De cette façon les professeurs accèderont plus facilement au programme Devoirs.

La cible du raccourci sera de la forme \\NomDuServeurSansPoint\Netlogon\Devoirs.exe

Si l'administrateur de modèles a coché "Limiter aux applications autorisées", et qu'il n'y a pas de raccourci vers Devoirs.exe sur le bureau ni dans le menu démarrer, il faudra qu'il pense à ajouter Devoirs.exe dans la liste des programmes autorisés.

Utilisation par les professeurs

S'il y a un raccourci vers le programme devoirs utilisez-le, sinon ouvrez le voisinage réseau, le serveur, le dossier Netlogon et exécutez le programme Devoirs.

Vous pouvez également taper un chemin ressemblant à ceci (remplacez serv-peda par le nom réel du serveur IACA) :
    \\serv-peda\netlogon\Devoirs.exe

Le programme Devoirs comporte un bouton "Aide", utilisez-le pour prendre connaissance du fonctionnement du programme.

Dans la copie d'écran, on peut constater que seul le groupe EMPLOYES est proposé. Le professeur a défini un groupe GR1 qui contient une partie des utilisateurs de EMPLOYES-COMPTA, ce qui lui permet de retrouver facilement une liste qui peut être différente d'une classe complète. Il aurait même pu définir le groupe en prenant des utilisateurs appartenant à plusieurs groupes. 

Les groupes sont retenus dans votre dossier personnel. La liste des groupes est commune avec celle que vous définissez avec EnvoiMsg.

Lorsque la distribution d'un devoir s'est effectuée correctement, le programme Devoirs vous demande si vous voulez envoyer un message de notification aux élèves qui ont reçu le devoir. En répondant Oui, un message semblable à ceux que l'on peut envoyer avec EnvoiMsg est envoyé.

Seuls les comptes du domaine où est Devoirs.exe sont acceptés. Donc si vous avez deux domaines, vous devez choisir le programme Devoirs qui est sur un serveur du domaine qui possède votre compte utilisateur et vous ne pourrez distribuer des devoirs qu'aux élèves de votre domaine. Cette restriction n'existe pas si vous ouvrez une session et que vous êtes client IACA.


Programme "EnvoiMsg"

Principe

EnvoiMsg.exe permet de rédiger un petit message texte et de l'envoyer à un ensemble de destinataires clients IACA.
Les messages sont envoyés au serveur IACA qui les stocke dans le dossier System\IACA du dossier personnel des destinataires.

Lors de l'ouverture de la session, si un ou plusieurs messages sont présents, le programme Informe.exe est démarré et montre les messages. Il est possible de supprimer les messages lus.

Rôle de l'administrateur

L'administrateur, à l'aide du programme IACA sur le serveur, utilise comme pour Devoirs, "Paramètres" et "Droits particuliers". Il peut alors ajouter un droit d'utilisation du programme EnvoiMsg et indiquez les destinataires possibles.

Depuis la version 10.30, en plus des messages normaux, il est possible d'autoriser l'envoi de messages d'alerte. En général cette possibilité ne sera pas activée sauf peut-être pour quelques personnes. Le bouton "Options..." n'est présent que si cette possibilité est activée. Un message d'alerte pourrait par exemple être utilisé lors d'un exercice d'incendie ou d'un incendie ou pour signaler un attentat intrusion ou encore pour signaler l'arrêt imminent des serveurs...

Comme pour Devoirs il est possible d'autoriser les utilisateurs qui ne sont pas clients IACA.

Rôle des administrateurs de modèles

Comme pour Devoirs, il peut être intéressant (mais pas obligatoire) de prévoir un raccourci vers le programme EnvoiMsg.exe qui se trouve dans Netlogon sur le serveur pour le modèle qui s'applique aux professeurs. De cette façon les professeurs accèderont plus facilement au programme EnvoiMsg.

La cible du raccourci doit être de la forme \\NomDuServeurSansPoint\Netlogon\EnvoiMsg.exe

Si l'administrateur de modèles a coché "Limiter aux applications autorisées", et qu'il n'y a pas de raccourci vers EnvoiMsg.exe sur le bureau ni dans le menu démarrer, il faudra qu'il pense à ajouter EnvoiMsg.exe dans la liste des programmes autorisés.

Utilisation par les personnes autorisées

Appelez le programme EnvoiMsg qui est dans Netlogon de votre serveur. Rédigez votre message, sélectionnez vos destinataires et faites "Envoyer".

Si vous utilisez des listes de destinataires qui ne correspondent pas à un groupe existant, vous pouvez ajouter des groupes et y placer les personnes ou les groupes que vous voulez. Les groupes sont retenus dans votre dossier personnel. La liste des groupes est commune avec celle que vous définissez avec Devoirs.

Pour information, il existe une trace dans votre dossier personnel, des messages que vous avez envoyés. Ce fichier au format texte peut s'ouvrir avec le bloc-notes. Il se nomme MessagesEnvoyes.log et est situé dans le dossier IACA de votre dossier personnel. Ce fichier peut être supprimé.

Depuis la version 10.30 il est possible d'envoyer des des messages normaux ou des messages d'alerte. Le bouton Options... n'est présent que si vous avez le droit d'envoyer des messages d'alerte.

Un message d'alerte est un message qui s'affichera en remplissant totalement l'écran afin qu'il ne puisse pas être ignoré de celui qui le reçoit. L'utilisateur doit cocher "J'ai pris connaissance de ce message" avant de pouvoir le fermer. Ce message n'est pas un message d'information ordinaire, il est fait pour alerter les utilisateurs ayant une session ouverte ou étant sur le point d'ouvrir une session. Un message d'alerte qui a été vu par un utilisateur est supprimé pour cet utilisateur. Un message d'alerte périmé est ignoré et supprimé.

Réception des messages

Lors de l'ouverture de session, si au moins un message est présent dans votre dossier personnel, le programme "Informe" vous montre les messages. Lorsque le message a été lu, vous pouvez le supprimer.

Si un message est envoyé alors que votre session est déjà ouverte, alors une petite fenêtre monte puis descend, l'icône IACA de la barre des tâches se met à clignoter et vous êtes informé de l'arrivée du message par un son. Entre l'envoi du message et la réception sur les stations, il peut s'écouler au maximum une minute.

Cliquez sur l'icône IACA pour voir le message.


Programme "DosSup" (Dossiers supplémentaires)

Principe

Le programme "DosSup.exe" va permettre aux utilisateurs (ou plus exactement aux personnes à qui l'administrateur du domaine a donné le droit) de créer des sous-dossiers dans un sous-dossier du dossier DosSup du serveur.

Rôle de l'administrateur

L'administrateur, à l'aide du programme IACA sur le serveur, utilise "Paramètres", "Droits particuliers" et choisit "Ajouter un dossier de DosSup".

Il choisit par exemple "Parcours" comme nom de dossier et place dans la zone Autorisés le professeur DUCHEF.

Le sous-dossier Parcours est alors créé dans le dossier DOSSUP et l'autorisation est signalée dans le fichier Outils.xml.

L'utilisateur DUCHEF va maintenant avoir le droit d'utiliser le programme DosSup.exe et le programme DosSup va lui permettre de créer des sous-dossiers dans le dossier \DOSSUP\Parcours.

Rôle des personnes autorisées

Les personnes autorisées ont le droit d'utiliser DosSup à partir des stations. Ce programme se trouve dans le dossier NETLOGON du serveur IACA.

Dès que DosSup est chargé, la personne autorisée voit la liste des dossiers auxquels elle a droit :

En choisissant "Parcours", DUCHEF va avoir la possibilité de créer des sous-dossiers dans le dossier Parcours et de définir les autorisations à ce sous-dossier.

Dans la copie d'écran, le professeur DUCHEF, responsable du dossier "Parcours", vient de créer le dossier 3B en donnant un droit de lecture et écriture aux utilisateurs du groupe EMPLOYES-DESSIN et à lui-même.

Rôle de l'administrateur de modèles

Afin de faciliter l'accès au dossier DosSup du serveur, l'administrateur de modèles pourra à l'aide du programme Modeles connecter un lecteur réseau vers le dossier DosSup.

Par exemple il pourra pour chaque modèle connecter S: vers \\(nom du serveur)\DosSup ou mieux en utilisant la variable %SERVDOSSUP% le chemin pour S: sera alors :
\\%SERVDOSSUP%\DosSup

%SERVDOSSUP% sera automatiquement remplacé par le client IACA par le nom du serveur qui convient.

La connexion de ce lecteur réseau peut aussi être faite de façon globale pour tous les modèles de tous les sous-parcs à l'aide de IACA sur le serveur ("Paramètres" et "Lecteurs réseaux").

Utilisation des dossiers.

Un utilisateur du groupe EMPLOYES-DESSIN trouve dans son poste de travail le lecteur S: (ou accède à DosSup en passant par le voisinage réseau). Il y trouve les dossiers "Anglais", "Math", et "Parcours". Il entre dans "Parcours", et y trouve les dossiers 3A et 3B. Il est autorisé à entrer dans 3B. Il peut lire et modifier ce qui est dans 3B.


Programme "Auto_Inter"

S

Principe.

Le programme Auto_Inter utilise le protocole TCP/IP pour autoriser ou interdire l'utilisation d'un programme sur un ensemble d'ordinateurs de votre réseau.

Auto_Inter est souvent utilisé pour autoriser ou interdire l'accès Internet mais il peut également autoriser ou interdire l'utilisation de programmes.

Par exemple en utilisant Auto_Inter, le documentaliste peut autoriser ou interdire l'accès à Internet à certains ordinateurs de sa salle. Un simple clic de sa part et immédiatement tel ordinateur peut à nouveau ou ne peut plus accéder à Internet.

Pour agir sur l'accès à Internet, Auto_Inter agit sur la route IP qui permet de sortir du réseau de l'établissement. Il faut donc que l'administrateur du domaine avec IACA, ait indiqué la passerelle.

Pour agir sur des programmes, il est conseillé mais pas nécessaire de paramétrer le modèle des élèves en cochant "Limiter aux applications autorisées".
Avec le programme Auto_Inter, il est possible de passer outre les restrictions apportées par Modèles. Si le modèle n'autorise pas un programme, Auto_Inter peut l'autoriser. Si le modèle autorise un programme, Auto_Inter peut l'interdire.

Les boutons "Autoriser" et "Interdire" n'agissent que sur les ordinateurs où le client IACA est chargé (petite icône présente en bas dans la zone de notification). L'effet est conservé tant que Auto_Inter fonctionne, même si les ordinateurs des élèves sont arrêtés et redémarrés ou si les utilisateurs ferment et ouvrent à nouveau leur session.

Rôle de l'administrateur.

L'administrateur, à l'aide du programme IACA sur le serveur, doit définir le ou les "Droits" qui permettront d'autoriser ou d'interdire certains programmes. Pour chaque "droit", il faut préciser...

Les personnes qui pourront utiliser ce droit avec Auto_Inter.

Dans la copie d'écran, l'utilisateur BONNOT aura le droit d'utiliser le droit "Internet au CDI"

Le nom des ordinateurs concernés

Le programme Auto_Inter, pour chaque droit, va agir sur un groupe d'ordinateurs. Vous devez préciser le nom de chacun de ces ordinateurs.

En pratique, on mettra le nom des ordinateurs d'une salle. Si une personne est autorisée à utiliser Auto_Inter dans plusieurs salles il sera certainement judicieux de créer plusieurs droits. Par exemple "Internet S103" et "Internet S29".

L'action qui sera faite sur ces ordinateurs

Dans la copie d'écran, on peut voir que ce droit agira sur la passerelle.

Le volet "Programmes" permettrait d'agir sur des programmes. 

Par exemple pour Internet explorer le nom du fichier est iexplore.exe
Le titre de la fenêtre d'Internet explorer change en fonction du site mais se termine toujours par un espace, un tiret, à nouveau un espace et enfin Internet Explorer (ou Microsoft Internet Explorer)
Vous pourrez donc taper exactement (à l'espace près et à la majuscule près) pour une ancienne version de IE
TF= - Microsoft Internet Explorer
et pour une nouvelle version de IE
TF= - Internet Explorer

Si le titre d'une application ne change pas, mettez TE= suivi du titre.
Si vous connaissez le début du titre mettez TD= suivi de la partie fixe du titre
Si vous connaissez la fin du titre mettez TF= suivi de la partie fixe du titre
Si vous connaissez une partie du titre mettez TC= suivi de la partie fixe du titre

Légende :
TE= (le titre est égal à)
TC= (le titre contient)
TD= (le titre débute par)
TF= (le titre finit par)

Il est important d'être le plus précis possible pour les titres. Par exemple si vous mettez TC=a et que le programme Auto_Inter interdit ce programme, toute fenêtre qui contiendrait la lettre a minuscule dans son titre serait interdite et donc brutalement fermée.

Rôle des personnes autorisées à utiliser Auto_Inter.

En passant par voisinage réseau, choisissez le serveur et le dossier Netlogon.  Exécutez le programme Auto_Inter.

 

Si l'administrateur vous a donné plusieurs droits, vous les trouverez dans la liste déroulante (par exemple "Internet au CDI" et "Word S103").

Auto_Inter essaie de communiquer avec chaque ordinateur de la liste et indique son statut à gauche de chaque ordinateur.

Sélectionnez un ou plusieurs ordinateurs et utilisez un des boutons "Autoriser" ou "Interdire". Les pastilles ne montrent pas votre choix mais reflètent l'état réel des ordinateurs commandés.

Si l'ordinateur commandé est fonctionnel alors :
Lorsque vous utiliser le bouton "Autoriser" vous pouvez voir trois petits points puis aussitôt après une pastille verte.
Lorsque vous utiliser le bouton "Interdire" vous pouvez voir trois petits points puis aussitôt après une pastille rouge.

Légende :

Trois petits points : Auto_inter est en train d'essayer de contacter l'ordinateur.

Un point d'interrogation : Auto_inter ne parvient pas à communiquer avec l'ordinateur.

Une pastille verte : Le droit (Internet au CDI dans notre exemple) est actuellement autorisé sur l'ordinateur. L'élève qui travaille sur l'ordinateur W732-01 n'est pas bloqué pour l'accès à Internet.

Une pastille rouge : Le droit est refusé. Dans le cas de l'accès à Internet, cela signifie que la station n'a plus de passerelle pour accéder à Internet.

Une pastille rouge et verte : Cela peut se produire lorsque le droit agit sur plusieurs choses. Si toutes ces choses ne sont pas dans le même état (toutes autorisées ou toutes interdites) alors la pastille est rouge et verte. En cliquant sur "Autoriser" la pastille doit devenir verte et en cliquant sur "Interdire" la pastille doit devenir rouge.

Cas particulier avec XP à partir du SP2

Le SP2 de XP limite à 10 le nombre de connexions ayant échoué (Microsoft à fait cette limite pour réduire les risques de propagation des vers comme sasser et autres).

Auto_Inter et Observe essaient d'établir des connexions avec les stations en utilisant des adresses IP. Certaines connexions échouent (station arrêtée ou absente) et XP compte cette tentative de connexion comme une attaque potentielle (il est vrai qu'un virus utilise une méthode semblable pour trouver d'autres ordinateurs afin de se propager).

Le problème se produit lorsqu'on utilise Auto_Inter ou Observe sur un XP qui a au moins le SP2.

Un correctif existe. Voir le problème (24) à la rubrique "Dépannage".

Passerelle et VLAN

Si la station n'est pas dans le même réseau que les serveurs, elle doit passer par la passerelle pour accéder aux serveurs. Si Auto_Inter supprimer la passerelle, les stations n'accèdent plus au serveur sauf si on distingue l'accès au réseau des serveurs et l'accès au réseau Internet.

De façon simplifiée la station raisonne de cette façon :

Si l'adresse cherchée n'est pas dans mon réseau, je regarde quelle route me permet d'atteindre le réseau voulu. Je trouve une route pour le réseau du serveur et une route pour toutes les autres destinations. Si je dois atteindre le serveur, je peux emprunter la route prévue pour, et si je dois atteindre une destination autre que mon réseau et autre que celle du serveur alors je passe par route vers Internet.

Les routes peuvent être définies sur le serveur avec IACA dans le le volet "Passerelle" de la définition des sous-parcs.


Attention aux points et aux virgules dans la ligne indiquant la route persistante

Voici un exemple :

La station a pour adresse IP 172.16.15.123, masque 255.255.255.0 et passerelle 172.16.15.1

Un serveur a pour adresse IP 172.16.3.1 et l'autre 172.16.3.2 et comme masque 255.255.255.0.

En mettant comme route persistante :
Destination : 172.16.3.0
Masque : 255.255.255.0
Passerelle 172.16.15.1
Les stations qui veulent atteindre les serveurs auront le choix entre cette route et la route vers Internet. Si la route vers Internet est coupée, elles parviendront tout de même à atteindre les serveurs.

Remarquez les virgules entre les trois adresses et l'absence d'espace.


Programme "Mdpiaca"

Principe

Ce programme permet aux utilisateurs (ou plus exactement aux personnes à qui l'administrateur du domaine a donné le droit) de modifier leur mot de passe.
Ce programme modifie le mot de passe du serveur ainsi que le mot de passe connu de IACA. De cette façon, une mise à jour des comptes conserve le mot de passe choisi par l'utilisateur.

Le mot de passe de l'utilisateur est visible dans la fenêtre IACA sur le serveur. C'est pour cela que le programme Mdpiaca informe que le mot de passe ne doit pas contenir de code secret. L'administrateur peut donc redonner le mot de passe à un utilisateur qui l'a oublié, imprimer la liste des comptes IACA avec les mots de passe...

Rôle de l'administrateur

L'administrateur, à l'aide du programme IACA sur le serveur, utilise "Paramètres", "Droits particuliers". Dans "Droit" choisissez "Ajouter un droit d'utilisation de Mdpiaca". Le nom du droit n'est pas important. Indiquez dans "Autorisés" les groupes ou utilisateurs à qui vous voulez donner le droit de changer leur mot de passe.

 

En ajoutant un droit  et active le volet "Mots de passe". Il indique qui a le droit d'utiliser le programme Mdpiaca. Il est possible de mettre des groupes ou des utilisateurs de votre domaine. Vous ne pouvez pas mettre des groupes ou utilisateurs d'un autre domaine.

Rôle des administrateurs de modèles

Si l'administrateur de modèles a coché "Limiter aux applications autorisées", et qu'il n'y a pas de raccourci vers Mdpiaca.exe sur le bureau ni dans le menu démarrer, il faudra qu'il pense à ajouter Mdpiaca.exe dans la liste des programmes autorisés.

Rôle des personnes autorisées

Les personnes autorisées ont le droit d'utiliser Mdpiaca. Ce programme se trouve dans le dossier Windows sur la station.

Cas particulier des mots de passe masqués

Les mots de passe peuvent être masqués de deux façons :

Sur le serveur avec IACA, se placer sur un utilisateur ou sur un groupe (ou sur Users) et dans "Outils" choisir "Masquer les mots de passe". Les mots de passe masqués apparaissent alors avec 14 étoiles. Comme d'habitude la modification est effective après la mise à jour des comptes.

A partir d'une station en utilisant le programme Mdpiaca en mettant 14 étoiles comme nouveau mot de passe. Le mot de passe n'est alors pas changé mais il passe en mode masqué. Dans IACA il apparaît avec 14 étoiles.

Un mot de passe masqué ne peut plus être connu par l'administrateur du domaine, cependant il peut avec IACA imposer un nouveau mot de passe. Le mot de passe n'est alors plus masqué.

Lorsque le mot de passe a été masqué par IACA, l'utilisateur peut continuer à utiliser Mdpiaca pour changer son mot de passe mais il peut également le changer normalement (en tapant Ctrl, Alt et Suppr et en choisissant "Modifier un mot de passe").

Lorsque le mot de passe n'est pas masqué, l'utilisateur ne peut changer son mot de passe qu'en passant par Mdpiaca.

Mdpiaca et serveur RODC

Mdpiaca s'adresse au premier serveur du site en prenant en compte l'ordre indiqué dans IACA. Si le premier serveur est un serveur RODC alors Mdpiaca échouera avec l'erreur "Accès refusé". L'administrateur du domaine peut changer l'ordre afin de placer après le serveur RODC.

Si le site ne contient que des serveurs RODC alors l'utilisateur devra appeler Mdpiaca en passant en paramètre un serveur IACA du domaine qui n'est pas RODC.


Programme "Redirect"

Principe.

Ce programme permet aux utilisateurs ordinaires d'exécuter des programmes avec des droits supérieurs. Il permet également de regrouper une liste de programmes en un menu.

Redirect accepte un fichier texte en paramètre, ce fichier texte décrit les programmes à appeler et permet de préciser si l'appel doit se faire avec les droits normaux ou des droits d'administrateur de la station.

Aucun paramétrage n'est nécessaire sur le serveur, ce sont les administrateurs de modèles qui définissent l'utilisation de Redirect.

Rôle des administrateurs de modèles

Les administrateurs de modèles peuvent créer les fichiers paramètres et les mettre sur le serveur dans le bon dossier.

L'administrateur de modèles peut avoir l'aide en appelant Redirect sans paramètre.
Il peut imprimer l'aide en utilisant le bouton représentant une imprimante.
L'aide se trouve également ici : Redirect.htm

Utilisateurs standards

Si le fichier paramètres ne contient qu'un seul appel alors le programme Redirect n'est pas visible. Le programme indiqué dans le fichier paramètre est appelé directement.

Si le fichier paramètres contient plusieurs appels alors le programme Redirect montre un menu qui permet utilisateur de choisir.

Montre un exemple d'utilisation de Redirect comme menu vers un ensemble de programmes. La première ligne permet de modifier la base de registre afin de permettre ensuite l'utilisation du programme à problème. La modification de la base de registre se fera avec les droits d'administrateur de la station sans pour autant permettre à l'utilisateur ordinaire d'effectuer d'autres modifications que celles prévues.

Imprimantes

Certaines imprimantes ont besoin des droits d'administrateur pour être installées. On peut permettre aux utilisateurs standards d'installer l'imprimante à l'aide de Redirect en utilisant le niveau 2.

Supposons que le serveur SERA partage une imprimante sous le nom ImprNB et une autre ImprCouleur. Le fichier paramètre appelé par Redirect pourra ressembler à ceci :

<Redirect>

[Installer imprimante ImprNB]
Comm=À faire lorsque l'imprimante n'est pas encore installée sur le poste
Pgm=rundll32 printui.dll,PrintUIEntry /in /n \\SERVA\ImprNB
Niv=2

[Installer imprimante ImprCouleur]
Comm=À faire lorsque l'imprimante n'est pas encore installée sur le poste
Pgm=rundll32 printui.dll,PrintUIEntry /in /n \\SERVA\ImprCouleur
Niv=2


Programme "Observe"

Principe.

Observe utilise le protocole TCP/IP pour voir et garder une trace des différents programmes utilisés sur les ordinateurs du réseau. Pour avoir une trace complète, il faudra laisser le programme Observe fonctionner sur un ordinateur.

Rôle de l'administrateur.

A l'aide du programme IACA sur le serveur, précisez à qui vous donnez le droit d'utiliser le programme Observe. Pour cela, faites "Paramètres", "Droits particuliers..." et ajoutez un "Droit d'utilisation de Observe".

En général on mettra "Administrateur" afin de permettre à l'administrateur du domaine d'utiliser le programme Observe. Comme Administrateur n'est pas un compte créé par IACA, vous ne le trouverez pas dans "Affichage" et "Liste des groupes et utilisateurs". Utilisez à la place "Edition" et "Ajouter un utilisateur ou un groupe".

Tapez le nom à ajouter, sélectionnez "Est un utilisateur", faites "Ajouter" puis "Terminer".

Le nom est maintenant dans la liste des personnes autorisées.

 

En pratique, on réservera ce droit à une ou éventuellement deux personnes.

 

Rôle de la personne autorisée à utiliser Observe.

Si l'administrateur vous a autorisé à utiliser Observe, exécutez le programme Observe qui se trouve dans Netlogon.

Lors de la première utilisation de Observe, vous êtes invité à choisir le dossier dans lequel les log d'Observe seront enregistrés.

Dans "Liste des ordinateurs à observer", mettez la liste des adresses IP.

Vous pouvez aussi indiquer une ou plusieurs plages de recherche et activer la recherche automatique. Cette solution est très utile surtout si certains ordinateurs n'ont pas une adresse IP fixe.

Observe garde une trace dans un fichier nommé "Observe.log" des titres des fenêtres placées en premier plan en ajoutant le nom de l'utilisateur, le nom de l'ordinateur, le jour et l'heure de début ainsi que la durée pour tous les ordinateurs observés.
Il est possible de commencer automatiquement un nouveau fichier LOG chaque semaine et de conserver un certain nombre d'anciens fichiers LOG.

Seuls les ordinateurs "Clients IACA" peuvent être gérés par Observe.


Remontée de la configuration des stations

Il est possible de demander aux stations d'envoyer leur configuration vers le serveur. Cela se fait avec IACA sur le serveur dans "Outils" et "Faire remonter la config des stations". On peut alors indiquer le nom du serveur qui recevra les informations.

Sur le serveur vous trouverez dans C:\StationsIACA un dossier par sous-parc et dans chaque sous-parc un fichier au nom de la station.

Chaque fichier est mis à jour sur le serveur lorsqu'une session avec un client IACA est ouverte sur la station.

Chaque fichier se compose des parties suivantes :

[CONFIG]

On y trouve le nom de la station, le nom du sous-parc, le nom du modèle, l'adresse IP, la version de Windows.

[Poste de travail]

On y trouve les lecteurs de la station ainsi que les lecteurs réseaux.

[Programmes installés]

La liste des programmes installés sur cette station. Ce sont ceux qui apparaissent dans "Programmes et fonctionnalités".

[Programmes installés 64 bits]

Cette rubrique n'existe que si la version de Windows sur la station est en 64 bits.

[Membres du groupe Administrateurs]

La liste des utilisateurs et groupes qui appartiennent au groupe Administrateurs de la station.

[iaca.Log]

Une copie du fichier iaca.log de la station. Cela vous permet de consulter les logs des stations à partir du serveur.