IACA

Version 10. Auteur A. Sayer

Documentation > Pas à pas

Installation et première utilisation

Préparer votre serveur

Exigence des mots de passe

Les mots de passe créés par IACA sont en général trop simples et ne respectent pas les exigences par défaut de votre serveur. Cependant vous pouvez changer le paramétrage de IACA afin qu'il génère des mots de passe complexes.

Pour effectuer la modification, vous pouvez regarder le paragraphe "Réduire les exigences de mot de passe" dans le document correspondant à votre version de Windows serveur.

    Installer Windows 2003 serveur

    Installer Windows 2008 serveur

    Installer Windows 2012 ou 2016 ou 2019 ou 2022 serveur (Le document a été conçu pour 2012 et convient pour 2016, 2019 et 2022)

Installer IACA sur le serveur

Sur le site de IACASOFT à l'adresse https://www.iacasoft.fr allez à la rubrique "Téléchargement". Téléchargez le programme d'installation install_iacaXXX.exe.

Votre serveur doit être un contrôleur de domaine. En général il sera également serveur DNS et éventuellement serveur IIS. 

Exécutez le programme d'installation sur votre serveur. En général vous laisserez les choix par défaut.

L'installation crée le groupe de programmes "Gestion des comptes IACA" et place un raccourci vers IACA.exe et un raccourci vers le programme de sauvegarde Bkpiaca.exe.

Vous pouvez ajouter "Iaca" et "Sauvegarde" à l'écran d'accueil, à la barre des tâches ou sur le bureau afin de les trouver plus facilement.

Si IACA est déjà installé, le programme d'installation s'en rend compte et se contentent d'effectuer une mise à jour.

Premier démarrage de IACA

Sur le serveur, exécutez le programme "IACA".

Lorsque IACA démarre, une vérification du paramétrage des serveurs est faite. Comme nous n'avons pas encore paramétré notre serveur, deux avertissements s'affichent indiquant que vous n'avez pas défini la partition à utiliser pour les dossiers personnels et les dossiers Classes. Placez-vous sur le serveur comme indiqué sur la copie d'écran suivante :

Tous les choix sont actuellement à "Non utilisé" mais les points rouges indiquent que ce n'est pas la réalité. Par exemple notre serveur est un contrôleur de domaine mais nous ne l'avons pas indiqué. En utilisant le bouton "Modifier" nous allons pouvoir effectuer les corrections.

Cochez "Est un contrôleur de domaine", cochez "Est un serveur IACA". Si IIS est installé sur votre serveur, cochez "Est un serveur IIS".

Cochez "Héberge les dossiers personnels". Choisissez la partition qui sera utilisée pour stocker les dossiers personnels des utilisateurs.

Cochez "Héberge la définition du parc". Choisissez la partition qui sera utilisée pour stocker le dossier PARCIACA.

Cochez "Héberge les dossiers classes". Choisissez la partition qui sera utilisée pour stocker le dossier CLASSES. Ce dossier pourra être utilisé pour stocker des dossiers au nom des classes.

Les autres coches ne sont pas obligatoires. Dans un premier temps, on pourra ne pas les cocher.

Seules les partitions NTFS des disques présents sur ce serveur s'affiche. Un NAS ne peut être utilisé que s'il utilise le protocole iSCSI car dans ce cas il est vu sur le serveur comme un disque local.

Conseil : Vous ne choisirez pas le lecteur où Windows est installé (C: en général), en effet à partir des ordinateurs du réseau, il serait possible de saturer le disque C ce qui perturberait le fonctionnement de Windows donc de votre serveur.

En validant, le fichier Domaines.xml est créé dans NETLOGON et les dossiers \IACA\PERSO, PARCIACA et CLASSES sont créés dans les partitions choisies et sont partagés. Les autorisations de sécurité et de partage sont définies avec précision.

La fenêtre précédente s'affiche à nouveau, et ne doit comporter que des points verts.

Fichier de licence de IACA

Si vous avez acheté IACA, vous avez reçu un fichier de licence nommé Cliaca.dat. Avec IACA dans le menu "?" utilisez "Fichier de licence de IACA..." et indiquez le fichier Cliaca.dat que vous avez reçu. Cela aura pour effet de copier ce fichier dans le dossier partagé sous le nom "Netlogon" ainsi que dans le dossier ...\Repl\Export\Scripts. Sans ce fichier de licence, IACA fonctionne en version de démonstration.

Création des comptes utilisateurs

Choix des fichiers contenant les noms des utilisateurs

Placez-vous sur "Users".

IACA a besoin de connaître la liste des fichiers contenant les noms des utilisateurs. Cliquez sur "Définir la liste des fichiers à utiliser lors l'importation". La liste des tables est actuellement vide et quelques choix simples vous sont proposés.

Si vous êtes en phase de test et que vous ne disposez pas des fichiers contenant les utilisateurs, vous pouvez sélectionner "Fichiers exemples fournis pour essais". Un établissement scolaire utilisera en général des fichiers XML venant de Siècle ou un fichier au format texte ou csv obtenu à l'aide du logiciel utilisé au secrétariat de l'établissement. Cliquez sur "Choisir cette liste" afin de choisir la liste conseillée pour vos essais.

La table ADMINMOD est de type "Administrateurs de modèles", elle contient des noms "ADMIN1", "ADMIN2"... Ces noms pourront être déclarés comme "Administrateurs de modèles" dans la définition des sous-parcs et seront utilisés pour paramétrer les stations. Il est donc vivement conseillé de ne pas supprimer cette table.

Placez-vous sur la table ELEVES. Vous pouvez constater que son type est "SIECLE Elèves XML" et que les noms des champs sont connus.

Dans la zone "Remarque" une aide rapide explique comment obtenir le fichier "ElevesSansAdresses.xml" à partir de Siècle. Indiquez dans la zone "Fichier" le chemin d'accès à ce fichier (vous pouvez vous aider du bouton "...").

Faites de même pour la table PROFS. Le fichier venant de Stsweb a un nom de la forme sts_emp_xxxx.xml.

Le bouton "Vérifier" permet de vérifier toutes les fichiers. Si un fichier est manquant ou s'il n'est pas du type déclaré ou s'il ne comporte pas les champs indiqués, vous serez informé par un "Erreur grave détectée" et le nom de la table en cause sera précisé. Corrigez et essayez à nouveau "Vérifier".

La vérification doit se terminer par :

Validez cette fenêtre afin de retenir ce paramétrage. Le fichier ListeTables.dat est alors créé dans ...\SYSVOL\Domain\IACA\Site par défaut.

Si vous préférez, vous pouvez utiliser les fichiers XML qui viennent de l'Annuaire Académique Fédérateur (AAF). Il faudra donner à IACA le fichier Complet et s'ils existent tous les fichiers partiels qui contiennent les modifications successives. De plus ces fichiers devront être indiqués dans l'ordre.

Pour une aide complète sur cette partie allez à Tables à importer

Importer les utilisateurs à partir des fichiers

L'importation des utilisateurs à partir des fichiers consiste à lire les fichiers définis à l'étape précédente et à comparer avec les comptes déjà présents dans Active Directory.

Résultat

Voici ce que donnent les fichiers exemples :

On peut constater que presque tous les points sont rouges. Cela signifie que ce qui est affiché diffère de la réalité. Par exemple aucun compte n'est encore présent avec comme login "BONNOT". La case "Désactiver le compte" est verte car le compte n'est pas désactivé puisqu'il n'existe même pas.

En bas à gauche de la fenêtre, vous pouvez y remarquer un N (voulant dire qu'il s'agit d'un nouveau compte), une étoile (voulant dire que le compte doit être mis à jour) et un tiret (voulant dire que le compte a été modifié depuis le chargement de IACA).
Le menu "Rechercher > Prochain utilisateur modifié" permet de se placer sur le prochain utilisateur qui doit être mis à jour (donc avec une étoile).
'Le menu "Fichier > Imprimer... > Seulement les utilisateurs modifiés depuis le chargement de IACA" n'imprimera que les comptes modifiés depuis le chargement de IACA (donc avec un tiret).

En bas à droite, vous pouvez voir le chemin du dossier personnel de l'utilisateur sélectionné.

Mettre à jour les comptes

Pour l'instant rien n'est réellement fait, un peu comme si vous veniez de taper du texte dans un traitement de textes et que vous n'aviez pas encore sauvegardé votre travail.

La mise à jour des comptes consiste à retenir les modifications dans Active Directory.

Placez-vous sur "Users" et cliquez sur "Mettre à jour des comptes...". Une fenêtre récapitulative du travail à effectuer s'affiche.

Il est encore possible à ce stade d'abandonner. Si vous voyez des anomalies, faites "Annuler", quittez IACA sans faire la mise à jour des comptes et rechargez IACA.

En cliquant sur "Ok" les modifications sont faites.

Si des erreurs ont été trouvées vous en êtes informé.

ATTENTION, si vous utilisez la version de démonstration, les mots de passe affichés ne sont pas utilisés, ils sont en fait remplacés par la première lettre du nom de l'utilisateur afin de faciliter vos essais. Cette première lettre est en minuscule. Par exemple BONNOT a comme mot de passe la lettre minuscule b.
Avec la version normale, les mots de passe sont bien sûr ceux indiqués par IACA.

La stratégie des mots de passe du domaine peut empêcher la création des comptes. Une vérification des contraintes imposées par les stratégies de sécurité du domaine est faite et si des mots de passe ne respectent pas ces contraintes vous êtes informé et avez la possibilité d'abandonner.

Après la mise à jour des comptes, tous les points doivent être verts, et seul le tiret est maintenant présent dans la zone en bas à gauche.

Utilisateurs qui n'existent plus

Après importation, il est possible que des utilisateurs actuellement présents n'existent plus dans les fichiers. Dans ce cas, IACA va supprimer ces utilisateurs.

La suppression se fait en plusieurs étapes :

- Après l'importation, l'utilisateur a la coche mise devant "Désactiver le compte". Le compte est alors toujours présent et fonctionnel.
- Après mise à jour des comptes, l'utilisateur est encore présent mais il est désactivé (il serait encore possible de le rétablir).
- Vous êtes ensuite invité à supprimer les comptes désactivés. La suppression est alors définitive.

Nécessité d'une GPO pour TLots

Rôle de TLots

Le programme TLots.exe (Traitement par lots) permet au client IACA d'effectuer des remontées d'informations vers le serveur lors de la fermeture de session.

Par exemple, TLots permet d'informer IACA sur les serveurs que la session se ferme sur la station. TLots permet également de traiter la redirection de AppData et de Local AppData.

L'installation n'est pas automatique, vous devez ajouter une GPO qui s'applique à tous les utilisateurs IACA afin que TLots.exe soit appelé à chaque fermeture de session.

Ajouter la GPO qui appelle TLots

La création de la GPO sur votre serveur est décrite ci-après. 

Vous pouvez également regarder cette petite vidéo : Création de la GPO qui appelle Tlots.exe

Sur le serveur, allez dans "Gestion des stratégies de groupe" (on peut aussi y accéder en exécutant gpmc.msc)

A partir de Windows 2016 vous trouverez la gestion des stratégies de groupe en allant dans les "Outils d'administration"

Avec Windows 2012, allez dans le "Gestionnaire de serveur", vous trouverez la gestion des stratégies de groupe dans "Outils".

Entrez dans la forêt, dans "Domaines" et placez-vous sur l'OU contenant les utilisateurs IACA.

- Faites un clic droit sur IACA et "Créer un objet GPO dans ce domaine et le lier ici..." (Si une GPO est déjà présente vous pouvez éventuellement l'utiliser). Le nom de la nouvelle GPO n'est pas important. Mettez par exemple "Pour IACA".

- L'objet GPO est créé. Vous pouvez faire un clic droit dessus et choisir "Modifier".

- Allez dans "Configuration utilisateurs", "Stratégies", "Paramètres Windows", "Script (ouverture/fermeture de session)".

- Ouvrez "Fermeture de session" et cliquez sur "Ajouter". Indiquez comme nom du script 

%WINDIR%\TLots.exe

Cela sera compris par les stations comme "Exécuter le programme TLots.exe qui est dans le dossier Windows lorsque la session se ferme". C'est le client IACA qui se charge de placer ce programme dans le dossier Windows des stations.

- Laissez la zone "Paramètres du script"  vide. Validez.

- Vous pouvez fermer "L'éditeur de stratégie de groupe".

Mots de passe

Une page est consacrée aux mots de passe : http://www.iacasoft.fr/Mdp.htm

Imprimer les mots de passe

Dans le menu "Fichier", "Imprimer" vous obtenez ces choix :

Impression détaillée ou récapitulatif

L'impression détaillée permet d'avoir par classe la liste des utilisateurs avec leur nom complet et les trois paramètres qui leur permettent d'ouvrir une session, c'est à dire le nom d'utilisateur, le mot de passe et le domaine. C'est présenté sous forme de petites bandes que l'on peut découper et distribuer.

Le récapitulatif permet d'économiser le papier en n'utilisant qu'une ligne par utilisateur.

Changer de page à chaque groupe

Facilité la distribution aux personnes chargées de distribuer les logins.

Seulement les utilisateurs modifiés depuis le chargement de IACA

Permet d'imprimer seulement les comptes qui ont été modifiés depuis le chargement de IACA (les comptes qui possèdent un tiret en bas à gauche). Par exemple en cours d'année, quelques élèves arrivent dans l'établissement, vous remplacez le fichier XML de siècle par le nouveau fichier, vous effectuez l'importation et la mise à jour des comptes. Vous pouvez alors imprimer les changements et distribuer les bandes de papier aux nouveaux élèves sans avoir besoin de tout imprimer.

Seulement les utilisateurs ayant un login différent du login calculé

Ce choix est utile si les utilisateurs connaissent leur mot de passe mais que le login ne peut pas se deviner. Par exemple DUCHEMIN Alain et DUCHEMIN Manon ne peuvent pas avoir tous les deux DUCHEMIN comme login.
Si IACA a choisi DUCHEMIN pour Alain et DUCHEMINM pour Manon alors seul l'utilisateur Duchemin Manon sera imprimé.

Lorsque les fichiers des utilisateurs changent...

Vous venez de récupérer le nouveau fichier des utilisateurs. Remplacez le fichier existant par le nouveau et faites l'importation.

Vous pouvez alors vérifier les changements en utilisant le menu "Rechercher" et "Prochain utilisateur modifié" (placez-vous au préalable sur "Users" afin d'effectuer la recherche depuis le début).
Vous pouvez également vérifier les utilisateurs qui n'existent plus dans les fichiers en utilisant le menu "Rechercher" et "Prochaine utilisateur désactivé" (placez-vous au préalable sur "Users" afin d'effectuer la recherche depuis le début).

Si tout est comme vous le souhaitez, vous pouvez faire la "Mise à jour des comptes".

Il est a noter qu'à chaque importation des utilisateurs, IACA relit toutes les tables afin de déterminer ce qui a changé. Si par exemple vous utilisez des fichiers sur une clé USB ou sur un disque externe, pensez à le brancher avant d'effectuer l'importation. Si un fichier n'est pas accessible vous en serez informé et l'importation ne pourra pas se faire.

Fonctionnement des quotas

Windows propose une gestion des quotas. Vous pouvez activer les quotas sur une partition. Ces quotas sont bloquants, ce qui signifie que si un utilisateur veut ajouter des fichiers qui ferait dépasser le quota, il obtient un message indiquant le disque du serveur est plein. Il est possible d'indiquer un niveau d'avertissement, et un niveau de blocage.

IACA permet également une gestion des quotas sur les dossiers personnels. Les quotas de IACA ne sont pas bloquants mais l'utilisateur qui dépasse son quota reçoit une fenêtre lui rappelant qu'il dépasse et cette fenêtre apparaît d'autant plus fréquemment que le dépassement est important.

Si vous choisissez la solution proposée par IACA, voici son fonctionnement :

Quota pour l'utilisateur BONNOT

Si l'utilisateur a "Désactivé" alors il n'est pas limité par IACA.
Si l'utilisateur a un nombre alors son quota est fixé à ce nombre (voir "Quota effectif").
Si l'utilisateur a "Auto" alors cela dépend du paramétrage de son groupe ou des groupes supérieurs ou du paramétrage global.

Quota pour le groupe PROFS

Supposons maintenant que le groupe PROFS soit paramétré avec un quota de 8000. Chaque utilisateur du groupe PROFS qui a un quota en Auto aura un quota effectif de 8000.

Si le groupe PROFS a un quota "Auto" alors c'est le quota du groupe auquel il appartient qui s'applique. S'il n'y a plus de groupe au-dessus alors c'est le paramétrage défini dans "Paramètres > Paramètres divers" qui s'applique.

Définir le parc d'ordinateurs

Pour que des ordinateurs soient équivalents au sens de IACA, il faut :

- que la version de Windows soit la même. Par exemple, ne pas mettre des XP et des Windows 7 dans le même sous-parc. Ne pas mettre des Windows 7 32bits et des Windows 7 64 bits dans le même sous-parc.
- que les dossiers Windows soient les mêmes (par exemple tous C:\WINDOWS).
- que les mêmes programmes soient installés et dans les mêmes dossiers. Si ce n'est pas respecté, vous risquez d'avoir des raccourcis "morts" sur certains ordinateurs.

Des ordinateurs équivalents peuvent cependant :

- avoir des quantités différentes de mémoire.
- être de marques différentes
- avoir des vitesses différentes.
- avoir des disques durs de tailles différentes.

Liste des ordinateurs du sous-parc

Depuis la version 10 de IACA, il est possible de définir les sous-parcs avec trois critères. Si un ordinateur correspond à un critère il sera considéré comme appartenant au sous-parc.

Avec le nom des ordinateurs

Mettez le nom de chaque ordinateur en les séparant par un point-virgule. Vous avez le droit d'utiliser l'étoile (remplaçant un nombre quelconque de caractères) et le point d'interrogation (remplaçant un caractère).

Pour trouver le nom des ordinateurs :

Sur les stations 2000, allez dans les propriétés du poste de travail et utilisez le volet "Identification réseau".
Sur les stations XP, allez dans les propriétés du poste de travail et utilisez le volet "Nom de l'ordinateur".
Sur les stations Vista, Windows 7, 8 et 10, allez dans les propriétés de "Ordinateur" et regardez le nom indiqué dans "Nom de l'ordinateur". Si votre version est en anglais, ce sera "Computer" et "Computer name".

Avec un groupe machines

Avec un chemin LDAP

Sur le ou les serveurs

Les stations ne se contentent pas de demander des résolutions d'adresses auprès du serveur DNS, elles profitent également d'informations spécifiques Microsoft qu'elles trouvent dans le serveur DNS du serveur Windows.

Sur les stations

Inscrire une station XP pro

Il est également possible de faire apparaître la fenêtre "Propriétés système" en passant par "Panneau de configuration", "Performance et maintenance" et "Système".

Il est possible que l'ajout échoue si le nom de la station est déjà présent sur le serveur dans "Utilisateur et ordinateurs Active Directory" et "Computers". On peut supprimer la station sur le serveur et recommencer l'ajout à partir de la station.

Inscrire une station Vista, Windows 7, Windows 8 ou Windows 10

Il est également possible de faire apparaître la fenêtre "Informations système générales" en passant par "Panneau de configuration", choisissez "Système et sécurité" puis "Système".

L'administrateur de modèles doit avoir tous les droits sur la station

Installer le client IACA

Ouvrez la session avec Admin1

Je suppose qu'un sous-parc est défini pour votre station, que le compte Admin1 est déclaré comme administrateur de modèles, que votre station est inscrite dans le domaine et que Admin1 est membre du groupe Administrateurs de votre station.

Ouvrez la session avec le compte Admin1 du domaine.

Accédez au dossier Netlogon du serveur, par exemple en tapant dans la zone rechercher (juste au dessus du bouton "Démarrer") le chemin
\\ (nom du serveur) \netlogon

Exécutez le programme Client.exe.

Ce programme est conçu pour accepter le mécanisme UAC qui existe depuis Vista. Ce mécanisme permet d'exécuter le programme avec les privilèges d'administrateur. Une fenêtre vous demande d'autoriser l'exécution de ce programme. Répondez "Oui" pour indiquer que vous faites confiance à ce programme.

En général on cochera toutes les cases sauf "Désactiver l'UAC" et peut-être celle devant "Afficher les éventuels messages d'erreurs à l'ouverture".
Cette case pourra être cochée seulement pendant la phase de test, et pourra être supprimée ensuite. Cela n'empêche pas les messages d'erreurs de s'inscrire dans le fichier iaca.log (placé dans le dossier IACA du dossier Windows).

Les lignes grises correspondent à des options non disponibles pour la version de Windows utilisée. Par exemple "Supprimer la fenêtre Ctrl Alt Suppr" n'est pas disponible avec Windows 11.

Les cases peuvent avoir trois états :

Coché

Vide (donc non coché)

Grise (apparaissant avec les nouvelles versions de Windows sous la forme d'un signe moins ) 

Validez... Vous êtes invité à redémarrer l'ordinateur.

Faites ce travail sur chaque ordinateur de votre sous-parc.

En cas de refus du programme Client

Si une personne est concernée par deux modèles alors elle pourra choisir parmi ces deux modèles.
Si une personne n'est concernée par aucun modèle, elle ne pourra pas travailler sur les ordinateurs du sous-parc.

Bureau

Sans le client IACA

En fonctionnement habituel (sans le client IACA), le bureau utilisateur dépend de l'utilisateur (chaque utilisateur de la station peut avoir des raccourcis différents) alors que le bureau commun est commun à tous les utilisateurs de la station.
Les raccourcis de ces deux types de bureau sont retenus dans des dossiers différents.

Le bureau de Dupond est en général dans C:\Users\Dupond\Desktop
Alors que le bureau commun est dans C:\Users\Public\Desktop

Avec le client IACA

Le client IACA peut changer les dossiers utilisés.

Bureau normal signifie que le dossier utilisé pour stocker les raccourcis du bureau sera celui qui est habituellement utilisé lorsque le client IACA n'est pas installé.

Bureau restauré signifie que l'utilisateur recevra une copie de votre bureau. Il pourra effectuer des modifications mais celles-ci seront perdues lorsqu'il ouvrira à nouveau la session.

Bureau figé signifie également que l'utilisateur recevra une copie de votre bureau mais il ne pourra pas effectuer de modification. Par exemple un clic droit sur le bureau et "Nouveau" et "Nouveau raccourci" ne fonctionnera pas. La suppression d'un raccourci existant échouera également.

Bureau dans U: signifie que les raccourcis que l'utilisateur ajoutera sur son bureau seront stockés dans son dossier personnel. Il les retrouvera donc sur toutes les stations pour lesquels ce choix a été fait.

Je suppose dans la suite que vous avez choisi "Figé".

D'autres possibilités sont offertes par le programme Modeles mais dans un premier temps, nous allons nous contenter de ce paramétrage.

Faites "Fichier" et "Enregistrer".

Personnalisation du modèle

L'écran est composé de la barre des tâches, d'une image de fond et d'un ensemble d'icônes.

On distingue :
- les icônes ajoutées automatiquement par Windows. Suivant la version de Windows on trouvera "Ordinateur", "Poste de travail", "Corbeille", "Internet explorer", "Favoris réseau"...
- les icônes correspondant aux raccourcis placés dans le dossier Bureau de l'utilisateur de la station.
- les icônes correspondant aux raccourcis placés dans le dossier Bureau commun à tous les utilisateurs de la station.

En agissant directement sur le bureau, vous pouvez modifier, supprimer ou ajouter des raccourcis du bureau de l'utilisateur.

Pour modifier les raccourcis du bureau commun, il faudra agir directement dans le dossier correspondant.

Les paramètres de votre ordinateur sont copiés sur le serveur dans le dossier Parciaca\(nom du sous-parc)\(nom du modèle).
Si vous avez coché "Copier le profil...", c'est dans le dossier Parciaca\(nom du sous-parc)\ProfilsIACA qu'est copié le profil.

Ouvrez une session sur un ordinateur du sous-parc avec un nom d'utilisateur standard (un utilisateur créé par IACA qui n'est pas choisi comme administrateur de modèles). Dans l'exemple ci-dessous, c'est Monsieur BARRE (un comptable) qui est en train d'ouvrir une session. On peut constater que le modèle nommé ELEVES va lui être appliqué.
Vous devez obtenir une fenêtre ressemblant à celle-ci :

Définir un thème est une action qui se fait en deux temps. Peu importe l'ordre mais vous devez cocher dans Modèles "Appliquer le thème" et vous devez choisir le thème en ayant ouvert une session avec Admin1 sur une station du sous-parc.
La méthode pour choisir le thème dépend de la version de Windows.
- Avec Windows XP, choisissez le thème comme à l'habitude puis faites "Appliquer" avec la petite icône IACA.
- Avec Windows 7, lorsque vous faites "Appliquer" avec la petite icône IACA, choisissez un fichier avec extension themepack.
- Avec Windows 8 et 10, lorsque vous faites "Appliquer" avec la petite icône IACA, choisissez un fichier avec extension deskthemepack (les fichiers themepack sont également acceptés).

Le choix des raccourcis du bureau est également une action en deux temps. Vous devez choisir dans Modèles un bureau restauré ou figé et vous devez faire "Appliquer" avec la petite icône IACA afin de copier les raccourcis vers le serveur.

Voir le résultat

Qui peut créer ou supprimer des utilisateurs ?

Différencier Administrateurs de modèles et utilisateurs standards

On préférera en pratique ne pas utiliser un compte d'administrateur de modèles pour une utilisation normale.

Si vous êtes professeur et administrateur de modèles, il serait souhaitable de distinguer vos activités. En effet, les élèves trouveront normal d'avoir un devoir distribué avec votre nom de professeur. Si vous aviez ouvert la session avec Admin1 pour distribuer le devoir, ce sera Admin1 qui sera apparu dans le dossier des élèves.

Programme Devoirs

Principe

Les professeurs n'ont normalement pas le droit d'accéder aux dossiers personnels de leurs élèves.

Mais le programme Devoirs est conçu pour leur permettre :
   - de déposer des fichiers dans un sous-dossier du dossier personnel des d'élèves.
   - de récupérer des fichiers à partir du sous-dossier du dossier personnel des d'élèves.
   - de rendre les fichiers aux élèves (après correction par exemple).

Rôle de l'administrateur

L'administrateur, à l'aide du programme IACA sur le serveur, utilise "Paramètres" et "Droits particuliers".

Ajouter un droit d'utilisation de Devoirs

Dans "Droits", faites "Ajouter un droit d'utilisation de Devoirs". Indiquez le nom que vous souhaitez pour ce droit.

Utilisez "Affichage" et "Liste des groupes et utilisateurs" afin d'afficher la fenêtre "Liste".

Cela signifie que les personnes du groupe CADRES auront le droit d'utiliser le programme Devoirs et qu'elles pourront distribuer des devoirs aux membres du groupe EMPLOYES.

Si une personne est autorisée dans plusieurs droits, alors la liste des destinataires est la réunion (au sens mathématique) des destinataires.
Par exemple il reviendrait au même d'ajouter le groupe SIECLE dans les destinataires que d'ajouter un droit avec CADRES comme groupe autorisé et SIECLE comme destinataires. Dans les deux cas, un membre du groupe CADRES pourrait distribuer des devoirs aux membres des groupes EMPLOYES et SIECLE.

Le plus simple est d'autoriser le groupe PROFS et de mettre comme destinataires au moins le groupe ELEVES. On peut cependant affiner en créant un droit différent pour chaque professeur et en mettant la liste de ses classes dans la zone "Destinataires".

A mon avis, les personnes autorisées à utiliser Devoirs devront avoir pris connaissance du fonctionnement de ce programme afin qu'elles ne déposent pas n'importe quoi dans n'importe quel dossier personnel des élèves. Il pourrait être judicieux de ne mettre que le nom des professeurs ayant eu une mini formation à l'utilisation de ce programme.

Autoriser les utilisateurs qui ne sont pas client IACA

Exemple en utilisant un ordinateur situé dans le réseau administratif ou un portable de professeur :
Appelez le programme Devoirs.exe par un chemin de la forme (corrigez avec la vrai adresse IP et sans mettre d'espace)
\\ (IP du serveur IACA) \ NETLOGON \ Devoirs.exe

Lorsque le programme Devoirs démarre, l'utilisateur doit indiquer le nom, le mot de passe et le nom netbios du domaine pédagogique (sans point). Le nom de l'utilisateur doit être un compte présent dans Active Directory du domaine pédagogique et doit avoir été ajouté dans "Droits particuliers". Ce nom n'est pas nécessairement un compte créé par IACA.

Si l'ordinateur est capable de résoudre l'adresse, vous pouvez remplacer l'adresse IP par le nom du serveur IACA. Si ce n'est pas le cas, vous pouvez faire en sorte que cet ordinateur soit capable de résoudre l'adresse en ajoutant une ligne au fichier Hosts (sans extension) qui est habituellement situé dans C:\WINDOWS\system32\drivers\etc.
Ajoutez une ligne dans le fichier Hosts de cet ordinateur, celle ligne ressemblera a ceci :
192.168.0.1  serv-peda
Cette façon de faire évite (suivant les versions de Windows) un "Avertissement de sécurité" car le fichier exécuté à l'aide de l'adresse IP n'est pas reconnu comme étant dans le réseau de l'établissement.

Rôle des administrateurs de modèles

Il peut être intéressant (mais pas obligatoire) de prévoir un raccourci vers le programme Devoirs.exe qui se trouve dans Netlogon sur le serveur pour le modèle qui s'applique aux professeurs. De cette façon les professeurs accèderont plus facilement au programme Devoirs.

La cible du raccourci sera de la forme \\NomDuServeurSansPoint\Netlogon\Devoirs.exe

Si l'administrateur de modèles a coché "Limiter aux applications autorisées", et qu'il n'y a pas de raccourci vers Devoirs.exe sur le bureau ni dans le menu démarrer, il faudra qu'il pense à ajouter Devoirs.exe dans la liste des programmes autorisés.

Utilisation par les professeurs

S'il y a un raccourci vers le programme devoirs utilisez-le, sinon ouvrez le voisinage réseau, le serveur, le dossier Netlogon et exécutez le programme Devoirs.

Vous pouvez également taper un chemin ressemblant à ceci (remplacez serv-peda par le nom réel du serveur IACA) :
    \\serv-peda\netlogon\Devoirs.exe

Le programme Devoirs comporte un bouton "Aide", utilisez-le pour prendre connaissance du fonctionnement du programme.

Dans la copie d'écran, on peut constater que seul le groupe EMPLOYES est proposé. Le professeur a défini un groupe GR1 qui contient une partie des utilisateurs de EMPLOYES-COMPTA, ce qui lui permet de retrouver facilement une liste qui peut être différente d'une classe complète. Il aurait même pu définir le groupe en prenant des utilisateurs appartenant à plusieurs groupes. 

Les groupes sont retenus dans votre dossier personnel. La liste des groupes est commune avec celle que vous définissez avec EnvoiMsg.

Lorsque la distribution d'un devoir s'est effectuée correctement, le programme Devoirs vous demande si vous voulez envoyer un message de notification aux élèves qui ont reçu le devoir. En répondant Oui, un message semblable à ceux que l'on peut envoyer avec EnvoiMsg est envoyé.

Seuls les comptes du domaine où est Devoirs.exe sont acceptés. Donc si vous avez deux domaines, vous devez choisir le programme Devoirs qui est sur un serveur du domaine qui possède votre compte utilisateur et vous ne pourrez distribuer des devoirs qu'aux élèves de votre domaine. Cette restriction n'existe pas si vous ouvrez une session et que vous êtes client IACA.

Programme "EnvoiMsg"

Principe

EnvoiMsg.exe permet de rédiger un petit message texte et de l'envoyer à un ensemble de destinataires clients IACA.
Les messages sont envoyés au serveur IACA qui les stocke dans le dossier System\IACA du dossier personnel des destinataires.

Lors de l'ouverture de la session, si un ou plusieurs messages sont présents, le programme Informe.exe est démarré et montre les messages. Il est possible de supprimer les messages lus.

Rôle de l'administrateur

L'administrateur, à l'aide du programme IACA sur le serveur, utilise comme pour Devoirs, "Paramètres" et "Droits particuliers". Il peut alors ajouter un droit d'utilisation du programme EnvoiMsg et indiquez les destinataires possibles.

Depuis la version 10.30, en plus des messages normaux, il est possible d'autoriser l'envoi de messages d'alerte. En général cette possibilité ne sera pas activée sauf peut-être pour quelques personnes. Le bouton "Options..." n'est présent que si cette possibilité est activée. Un message d'alerte pourrait par exemple être utilisé lors d'un exercice d'incendie ou d'un incendie ou pour signaler un attentat intrusion ou encore pour signaler l'arrêt imminent des serveurs...

Comme pour Devoirs il est possible d'autoriser les utilisateurs qui ne sont pas clients IACA.

Rôle des administrateurs de modèles

Comme pour Devoirs, il peut être intéressant (mais pas obligatoire) de prévoir un raccourci vers le programme EnvoiMsg.exe qui se trouve dans Netlogon sur le serveur pour le modèle qui s'applique aux professeurs. De cette façon les professeurs accèderont plus facilement au programme EnvoiMsg.

La cible du raccourci doit être de la forme \\NomDuServeurSansPoint\Netlogon\EnvoiMsg.exe

Si l'administrateur de modèles a coché "Limiter aux applications autorisées", et qu'il n'y a pas de raccourci vers EnvoiMsg.exe sur le bureau ni dans le menu démarrer, il faudra qu'il pense à ajouter EnvoiMsg.exe dans la liste des programmes autorisés.

Utilisation par les personnes autorisées

Appelez le programme EnvoiMsg qui est dans Netlogon de votre serveur. Rédigez votre message, sélectionnez vos destinataires et faites "Envoyer".

Si vous utilisez des listes de destinataires qui ne correspondent pas à un groupe existant, vous pouvez ajouter des groupes et y placer les personnes ou les groupes que vous voulez. Les groupes sont retenus dans votre dossier personnel. La liste des groupes est commune avec celle que vous définissez avec Devoirs.

Pour information, il existe une trace dans votre dossier personnel, des messages que vous avez envoyés. Ce fichier au format texte peut s'ouvrir avec le bloc-notes. Il se nomme MessagesEnvoyes.log et est situé dans le dossier IACA de votre dossier personnel. Ce fichier peut être supprimé.

Depuis la version 10.30 il est possible d'envoyer des des messages normaux ou des messages d'alerte. Le bouton Options... n'est présent que si vous avez le droit d'envoyer des messages d'alerte.

Un message d'alerte est un message qui s'affichera en remplissant totalement l'écran afin qu'il ne puisse pas être ignoré de celui qui le reçoit. L'utilisateur doit cocher "J'ai pris connaissance de ce message" avant de pouvoir le fermer. Ce message n'est pas un message d'information ordinaire, il est fait pour alerter les utilisateurs ayant une session ouverte ou étant sur le point d'ouvrir une session. Un message d'alerte qui a été vu par un utilisateur est supprimé pour cet utilisateur. Un message d'alerte périmé est ignoré et supprimé.

Messages prédéfinis

Depuis la version 10.48, il est possible de passer en paramètre un fichier contenant un message tout prêt qui peut permettre d'agir vite par exemple en cas d'intrusion. Ce fichier peut être fabriqué en utilisant le bouton "Enregistrer".

Exemple de fichier paramètre :

Objet=Alerte intrusion dans l'établissement
Mes=Irruption d’un individu armé dans l’établissement.
Mes=Veuillez vous mettre en sécurité.
Mes=Restez calmes et silencieux.
Alerte=10
Group=Tous

On pourra ensuite créer un raccourci qui appelle EnvoiMsg avec comme paramètre "/param=le nom du fichier paramètre"

Les guillemets sont nécessaires si le paramètre contient au moins un espace. Exemple de cible pour le raccourci :

\\serv-peda\Netlogon\EnvoiMsg.exe   /param=U:\Documents\intrusion.txt

Le fichier paramètres ne donne pas plus de droits que ceux attribués par l'administrateur avec IACA dans les "Droits particuliers". Par exemple si le fichier contient Group=PROFS et que l'administrateur n'a pas indiqué le groupe PFOFS dans les destinataires, la ligne Group=PROFS sera simplement ignorée lorsque EnvoiMsg sera appelé avec le fichier paramètres.
Si le fichier contient Alerte=(le nombre de minutes) pour indiquer que le message doit être envoyé comme message d'alerte et que l'administrateur n'a pas autorisé les messages d'alerte, alors la ligne Alerte est ignorée.

Si le fichier contient la ligne Group=Tous alors EnvoiMsg cochera tous les destinataires.

Réception des messages

Lors de l'ouverture de session, si au moins un message est présent dans votre dossier personnel, le programme "Informe" vous montre les messages. Lorsque le message a été lu, vous pouvez le supprimer.

Si un message est envoyé alors que votre session est déjà ouverte, alors une petite fenêtre monte puis descend, l'icône IACA de la barre des tâches se met à clignoter et vous êtes informé de l'arrivée du message par un son. Entre l'envoi du message et la réception sur les stations, il peut s'écouler au maximum une minute.

Cliquez sur l'icône IACA pour voir le message.

Lien hypertexte

Depuis la version 10.40, il est possible d'envoyer un lien hypertexte. Pour cela le texte que vous tapez dans EnvoiMsg devra contenir le lien et le texte cliquable. Le lien doit être en < et > et à la fin de la zone cliquable mettez </a>.

Par exemple :

Vous pouvez cliquer sur <http://www.iacasoft.fr>Le site de IACA</a>
donnera pour l'utilisateur
Vous pouvez cliquer sur Le site de IACA

La syntaxe complète au format HTML convient également. Soit :

Vous pouvez cliquer sur <a href=http://www.iacasoft.fr>Le site de IACA</a>

Programme "DosSup" (Dossiers supplémentaires)

Principe

Rôle des personnes autorisées

Les personnes autorisées ont le droit d'utiliser DosSup à partir des stations. Ce programme se trouve dans le dossier NETLOGON du serveur IACA.

Dès que DosSup est chargé, la personne autorisée voit la liste des dossiers auxquels elle a droit :

En choisissant "Parcours", DUCHEF va avoir la possibilité de créer des sous-dossiers dans le dossier Parcours et de définir les autorisations à ce sous-dossier.

Dans la copie d'écran, le professeur DUCHEF, responsable du dossier "Parcours", vient de créer le dossier 3B en donnant un droit de lecture et écriture aux utilisateurs du groupe EMPLOYES-DESSIN et à lui-même.

Rôle de l'administrateur de modèles

Afin de faciliter l'accès au dossier DosSup du serveur, l'administrateur de modèles pourra à l'aide du programme Modeles connecter un lecteur réseau vers le dossier DosSup.

Par exemple il pourra pour chaque modèle connecter S: vers \\(nom du serveur)\DosSup ou mieux en utilisant la variable %SERVDOSSUP% le chemin pour S: sera alors :
\\%SERVDOSSUP%\DosSup

%SERVDOSSUP% sera automatiquement remplacé par le client IACA par le nom du serveur qui convient.

La connexion de ce lecteur réseau peut aussi être faite de façon globale pour tous les modèles de tous les sous-parcs à l'aide de IACA sur le serveur ("Paramètres" et "Lecteurs réseaux").

Utilisation des dossiers.

Un utilisateur du groupe EMPLOYES-DESSIN trouve dans son poste de travail le lecteur S: (ou accède à DosSup en passant par le voisinage réseau). Il y trouve les dossiers "Anglais", "Math", et "Parcours". Il entre dans "Parcours", et y trouve les dossiers 3A et 3B. Il est autorisé à entrer dans 3B. Il peut lire et modifier ce qui est dans 3B.

Programme "Auto_Inter"

S

Principe.

Le programme Auto_Inter utilise le protocole TCP/IP pour autoriser ou interdire l'utilisation d'un programme sur un ensemble d'ordinateurs de votre réseau.

Auto_Inter est souvent utilisé pour autoriser ou interdire l'accès Internet mais il peut également autoriser ou interdire l'utilisation de programmes.

Par exemple en utilisant Auto_Inter, le documentaliste peut autoriser ou interdire l'accès à Internet à certains ordinateurs de sa salle. Un simple clic de sa part et immédiatement tel ordinateur peut à nouveau ou ne peut plus accéder à Internet.

Pour agir sur l'accès à Internet, Auto_Inter agit sur la route IP qui permet de sortir du réseau de l'établissement. Il faut donc que l'administrateur du domaine avec IACA, ait indiqué la passerelle.

Pour agir sur des programmes, il est conseillé mais pas nécessaire de paramétrer le modèle des élèves en cochant "Limiter aux applications autorisées".
Avec le programme Auto_Inter, il est possible de passer outre les restrictions apportées par Modèles. Si le modèle n'autorise pas un programme, Auto_Inter peut l'autoriser. Si le modèle autorise un programme, Auto_Inter peut l'interdire.

Les boutons "Autoriser" et "Interdire" n'agissent que sur les ordinateurs où le client IACA est chargé (petite icône présente en bas dans la zone de notification). L'effet est conservé tant que Auto_Inter fonctionne, même si les ordinateurs des élèves sont arrêtés et redémarrés ou si les utilisateurs ferment et ouvrent à nouveau leur session.

Rôle de l'administrateur.

L'administrateur, à l'aide du programme IACA sur le serveur, doit définir le ou les "Droits" qui permettront d'autoriser ou d'interdire certains programmes. Pour chaque "droit", il faut préciser...

Les personnes qui pourront utiliser ce droit avec Auto_Inter.

Dans la copie d'écran, l'utilisateur BONNOT aura le droit d'utiliser le droit "Internet au CDI"

Le nom des ordinateurs concernés

Le programme Auto_Inter, pour chaque droit, va agir sur un groupe d'ordinateurs. Vous devez préciser le nom de chacun de ces ordinateurs.

En pratique, on mettra le nom des ordinateurs d'une salle. Si une personne est autorisée à utiliser Auto_Inter dans plusieurs salles il sera certainement judicieux de créer plusieurs droits. Par exemple "Internet S103" et "Internet S29".

L'action qui sera faite sur ces ordinateurs

Dans la copie d'écran, on peut voir que ce droit agira sur la passerelle.

Le volet "Programmes" permettrait d'agir sur des programmes. 

Rôle des personnes autorisées à utiliser Auto_Inter.

En passant par voisinage réseau, choisissez le serveur et le dossier Netlogon.  Exécutez le programme Auto_Inter.

Si l'administrateur vous a donné plusieurs droits, vous les trouverez dans la liste déroulante (par exemple "Internet au CDI" et "Word S103"). Auto_Inter essaie de communiquer avec chaque ordinateur de la liste et indique son statut à gauche de chaque ordinateur. Sélectionnez un ou plusieurs ordinateurs et utilisez un des boutons "Autoriser" ou "Interdire". Les pastilles ne montrent pas votre choix mais reflètent l'état réel des ordinateurs commandés. Si l'ordinateur commandé est fonctionnel alors : Lorsque vous utiliser le bouton "Autoriser" vous pouvez voir trois petits points puis aussitôt après une pastille verte. Lorsque vous utiliser le bouton "Interdire" vous pouvez voir trois petits points puis aussitôt après une pastille rouge. Légende : Trois petits points : Auto_inter est en train d'essayer de contacter l'ordinateur. Un point d'interrogation : Auto_inter ne parvient pas à communiquer avec l'ordinateur. Une pastille verte : Le droit (Internet au CDI dans notre exemple) est actuellement autorisé sur l'ordinateur. L'élève qui travaille sur l'ordinateur W732-01 n'est pas bloqué pour l'accès à Internet. Une pastille rouge : Le droit est refusé. Dans le cas de l'accès à Internet, cela signifie que la station n'a plus de passerelle pour accéder à Internet. Une pastille rouge et verte : Cela peut se produire lorsque le droit agit sur plusieurs choses. Si toutes ces choses ne sont pas dans le même état (toutes autorisées ou toutes interdites) alors la pastille est rouge et verte. En cliquant sur "Autoriser" la pastille doit devenir verte et en cliquant sur "Interdire" la pastille doit devenir rouge.

Cas particulier avec XP à partir du SP2

Le SP2 de XP limite à 10 le nombre de connexions ayant échoué (Microsoft à fait cette limite pour réduire les risques de propagation des vers comme sasser et autres).

Auto_Inter et Observe essaient d'établir des connexions avec les stations en utilisant des adresses IP. Certaines connexions échouent (station arrêtée ou absente) et XP compte cette tentative de connexion comme une attaque potentielle (il est vrai qu'un virus utilise une méthode semblable pour trouver d'autres ordinateurs afin de se propager).

Le problème se produit lorsqu'on utilise Auto_Inter ou Observe sur un XP qui a au moins le SP2.

Un correctif existe. Voir le problème (24) à la rubrique "Dépannage".

Passerelle et VLAN

Si la station n'est pas dans le même réseau que les serveurs, elle doit passer par la passerelle pour accéder aux serveurs. Si Auto_Inter supprimer la passerelle, les stations n'accèdent plus au serveur sauf si on distingue l'accès au réseau des serveurs et l'accès au réseau Internet.

De façon simplifiée la station raisonne de cette façon :

Si l'adresse cherchée n'est pas dans mon réseau, je regarde quelle route me permet d'atteindre le réseau voulu. Je trouve une route pour le réseau du serveur et une route pour toutes les autres destinations. Si je dois atteindre le serveur, je peux emprunter la route prévue pour, et si je dois atteindre une destination autre que mon réseau et autre que celle du serveur alors je passe par route vers Internet.

Les routes peuvent être définies sur le serveur avec IACA dans le le volet "Passerelle" de la définition des sous-parcs.

Attention aux points et aux virgules dans la ligne indiquant la route persistante

Voici un exemple :

La station a pour adresse IP 172.16.15.123, masque 255.255.255.0 et passerelle 172.16.15.1

Un serveur a pour adresse IP 172.16.3.1 et l'autre 172.16.3.2 et comme masque 255.255.255.0.

En mettant comme route persistante :
Destination : 172.16.3.0
Masque : 255.255.255.0
Passerelle 172.16.15.1
Les stations qui veulent atteindre les serveurs auront le choix entre cette route et la route vers Internet. Si la route vers Internet est coupée, elles parviendront tout de même à atteindre les serveurs.

Remarquez les virgules entre les trois adresses et l'absence d'espace.

Programme "Mdpiaca" et mots de passe

Principe

Le mot de passe des utilisateurs IACA peut être visible par l'administrateur ou masqué. Dans le cas d'un mot de passe visible par l'administrateur, la seule façon pour un utilisateur de changer son mot de passe est de passer par le programme Mdpiaca. Dans le cas d'un mot de passe masqué, l'utilisateur peut changer son mot de passe à l'aide de Mdpiaca ou par la méthode habituelle de Windows.

Dans tous les cas, le mot de passe peut être changé avec IACA par l'administrateur.

Mdpiaca permet également à certaines personnes de définir un nouveau mot de passe à d'autres personnes.

C'est l'administrateur qui définit qui a le droit d'utiliser le programme Mdpiaca et pour quelle utilisation.

Rôle de l'administrateur

A l'aide du programme IACA sur le serveur, utilisez "Paramètres", "Droits particuliers". Dans "Droit" choisissez "Ajouter un droit d'utilisation de Mdpiaca". Le nom du droit n'est pas important. Indiquez dans "Autorisés" les groupes ou utilisateurs à qui vous voulez donner ce droit.

Dans la copie d'écran, les membres du groupe CADRES auront le droit d'utiliser Mdpiaca pour changer le mot de passe des membres du groupe EMPLOYES.

Si les mots de passe des membres du groupe CADRES sont masqués, il n'est pas nécessaire de cocher "Droit d'utiliser Mdpiaca pour changer son mot de passe". En effet, ils pourront le changer par la méthode habituelle de Windows.

Si un membre du groupe EMPLOYES oublie son mot de passe, il pourra demander à un membre du groupe CADRES de lui changer.

Rôle des administrateurs de modèles

Si l'administrateur de modèles a coché "Limiter aux applications autorisées", et qu'il n'y a pas de raccourci vers Mdpiaca.exe sur le bureau ni dans le menu démarrer, il faudra qu'il pense à ajouter Mdpiaca.exe dans la liste des programmes autorisés.

Rôle des personnes autorisées

Programme Mdpiaca à utiliser

Vous pouvez utiliser le programme Mdpiaca qui se trouve dans Netlogon d'un serveur IACA. Si votre ordinateur est client IACA vous pouvez également utiliser le programme qui se trouve dans C:\Windows

Si vous n'êtes pas utilisateur IACA alors vous aurez à vous identifier avec un utilisateur du domaine qui a le droit d'utiliser le programme Mdpiaca.

Si plusieurs serveurs IACA sont déclarés dans votre domaine, vous aurez peut-être à choisir un serveur dans la liste proposée.

Droits d'utilisation de Mdpiaca

Si l'administrateur vous a donné le droit de modifier votre mot de passe alors Mdpiaca ressemblera à ceci :

Le point vert indique que la modification de votre mot de passe a réussi.

Si l'administrateur vous a donné le droit de modifier le mot de passe d'autres utilisateurs alors  Mdpiaca ressemblera à ceci :

Le point vert indique que la modification du mot de passe a réussi.

Utilisez le bouton "..." pour choisir dans la liste que l'administrateur vous a attribuée. Saisissez le mot de passe souhaité.

Vous pouvez alors choisir entre "Masqué avec obligation de le changer" ou 'Masqué" ou "Visible par l'administrateur".

Si l'administrateur est en train d'utiliser IACA et que l'utilisateur est sélectionné alors il verra le mot de passe se modifier tout seul (s'il n'est pas masqué).

Si l'administrateur vous a donné les deux droits alors vous pourrez changer votre mot de passe et changer le mot de passe d'autres utilisateurs.

Lorsque vous changez le mot de passe d'un autre utilisateur, une vérification de votre identité vous sera peut-être demandée. Voici un exemple :

Mots de passe visibles ou masqués

Si le mot de passe est visible pour l'administrateur, l'utilisateur ne peut changer son mot de passe qu'avec Mdpiaca (à condition que l'administrateur lui ait donné le droit).

Un mot de passe masqué ne peut plus être connu par l'administrateur du domaine, cependant celui-ci peut avec IACA imposer un nouveau mot de passe. Le mot de passe n'est alors plus masqué.

Si le mot de passe est masqué, l'utilisateur peut changer son mot de passe avec Mdpiaca (à condition que l'administrateur lui ait donné le droit) ou de façon habituelle (Ctrl Alt Suppr).

Un utilisateur avec mot de passe masqué retrouve le fonctionnent normal d'un réseau Microsoft. Par défaut un mot de passe a une durée de vie comprise entre 1 et 42 jours et Active Directory mémorise 24 mots de passe. Ce qui signifie que lorsqu'un utilisateur vient de changer son mot de passe, il doit attendre au moins un jour avant de pouvoir le changer à nouveau. De plus lorsque le mot de passe a plus de 42 jours, Windows oblige l'utilisateur à le changer. L'utilisateur ne peut pas réutiliser un mot de passe parmi les 24 mots de passe précédemment utilisés. Ces valeurs par défaut peuvent être changées dans les stratégies de groupe du domaine

Les deux stratégies de groupe "Durée de vie minimum" et "Ne pas réutiliser un ancien mot de passe" ne s'appliquent pas lorsque le mot de passe est changé par l'administrateur ou par Mdpiaca.

Dans tous les cas, le mot de passe doit respecter la longueur et la complexité définis dans les stratégies de groupe du domaine.

Par exemple, un mot de passe vide ne sera accepté que si les stratégies de groupe n'imposent pas la complexité et autorise les mots de passe de 0 caractère.

La date de naissance étant en général de la forme JJ/MM/AAAA il faudra que dans les stratégies de groupe pour les mots de passe, la complexité ne soit pas activée et que la longueur ne soit pas de plus de 10 caractères.

RGPD

Vous pouvez peut-être souhaiter de toujours masquer les mots de passe. Vous pourrez pour cela avec IACA masquer tous les mots de passe et utiliser "Option prem.MDP" dans la liste des fichiers à utiliser lors de l'importation pour que le mot de passe des nouveaux utilisateurs soit masqué.

De plus pour que le programme Mdpiaca ne puisse pas rendre visible un mot de passe, choisissez "N'autoriser que les mots de passe masqués" ou "N'autoriser que les mdp masqués obligation de changer" dans le volet "Divers" que vous trouverez avec IACA dans "Paramètres > Paramètres divers".

Si vous utilisez une version multisite, il est inutile de faire ce paramétrage pour chaque site. En effet, ce paramétrage est global pour tous les sites.

Mdpiaca et les non clients IACA

Si vous n'êtes pas client IACA, vous pouvez tout de même utiliser le programme Mdpiaca qui est dans Netlogon sur le serveur. Vous aurez alors à indiquer le nom et le mot de passe d'un compte IACA qui a le droit d'utiliser le programme Mdpiaca.

Mdpiaca et serveur RODC

Mdpiaca s'adresse au premier serveur du site en prenant en compte l'ordre indiqué dans IACA. Si le premier serveur est un serveur RODC alors Mdpiaca échouera avec l'erreur "Accès refusé". L'administrateur du domaine peut changer l'ordre afin de placer les serveurs RODC à la fin.

Programme "Redirect"

Principe.

Ce programme permet aux utilisateurs ordinaires d'exécuter des programmes avec des droits supérieurs. Il permet également de regrouper une liste de programmes en un menu.

Redirect accepte un fichier texte en paramètre, ce fichier texte décrit les programmes à appeler et permet de préciser si l'appel doit se faire avec les droits normaux ou des droits d'administrateur de la station.

Aucun paramétrage n'est nécessaire sur le serveur, ce sont les administrateurs de modèles qui définissent l'utilisation de Redirect.

Rôle des administrateurs de modèles

Les administrateurs de modèles peuvent créer les fichiers paramètres et les mettre sur le serveur dans le bon dossier.

L'administrateur de modèles peut avoir l'aide en appelant Redirect sans paramètre.
Il peut imprimer l'aide en utilisant le bouton représentant une imprimante.
L'aide se trouve également ici : Redirect.htm

Utilisateurs standards

Si le fichier paramètres ne contient qu'un seul appel alors le programme Redirect n'est pas visible. Le programme indiqué dans le fichier paramètre est appelé directement.

Si le fichier paramètres contient plusieurs appels alors le programme Redirect montre un menu qui permet utilisateur de choisir.

Montre un exemple d'utilisation de Redirect comme menu vers un ensemble de programmes.	La première ligne permet de modifier la base de registre afin de permettre ensuite l'utilisation du programme à problème. La modification de la base de registre se fera avec les droits d'administrateur de la station sans pour autant permettre à l'utilisateur ordinaire d'effectuer d'autres modifications que celles prévues.

Imprimantes

Certaines imprimantes ont besoin des droits d'administrateur pour être installées. On peut permettre aux utilisateurs standards d'installer l'imprimante à l'aide de Redirect en utilisant le niveau 2.

Supposons que le serveur SERA partage une imprimante sous le nom ImprNB et une autre ImprCouleur. Le fichier paramètre appelé par Redirect pourra ressembler à ceci :

<Redirect>

[Installer imprimante ImprNB]
Comm=À faire lorsque l'imprimante n'est pas encore installée sur le poste
Pgm=rundll32 printui.dll,PrintUIEntry /in /n \\SERVA\ImprNB
Niv=2

[Installer imprimante ImprCouleur]
Comm=À faire lorsque l'imprimante n'est pas encore installée sur le poste
Pgm=rundll32 printui.dll,PrintUIEntry /in /n \\SERVA\ImprCouleur
Niv=2

Redirect et mots de passe masqués

Lorsque le mot de passe est masqué et que Redirect a besoin de le connaître (Niv=2) alors Redirect demande le mot de passe à l'utilisateur. Le mot de passe est alors mémorisé pour les utilisations futures de Redirect. Il ne sera alors redemandé que si le mot de passe est changé.

---

Programme "Observe"

Principe.

Observe utilise le protocole TCP/IP pour voir et garder une trace des différents programmes utilisés sur les ordinateurs du réseau. Pour avoir une trace complète, il faudra laisser le programme Observe fonctionner sur un ordinateur.

Rôle de l'administrateur.

A l'aide du programme IACA sur le serveur, précisez à qui vous donnez le droit d'utiliser le programme Observe. Pour cela, faites "Paramètres", "Droits particuliers..." et ajoutez un "Droit d'utilisation de Observe".

En général on mettra "Administrateur" afin de permettre à l'administrateur du domaine d'utiliser le programme Observe. Comme Administrateur n'est pas un compte créé par IACA, vous ne le trouverez pas dans "Affichage" et "Liste des groupes et utilisateurs". Utilisez à la place "Edition" et "Ajouter un utilisateur ou un groupe". Tapez le nom à ajouter, sélectionnez "Est un utilisateur", faites "Ajouter" puis "Terminer". Le nom est maintenant dans la liste des personnes autorisées.

En pratique, on réservera ce droit à une ou éventuellement deux personnes.

 

Rôle de la personne autorisée à utiliser Observe.

Si l'administrateur vous a autorisé à utiliser Observe, exécutez le programme Observe qui se trouve dans Netlogon.

Lors de la première utilisation de Observe, vous êtes invité à choisir le dossier dans lequel les log d'Observe seront enregistrés.

Dans "Liste des ordinateurs à observer", mettez la liste des adresses IP.

Vous pouvez aussi indiquer une ou plusieurs plages de recherche et activer la recherche automatique. Cette solution est très utile surtout si certains ordinateurs n'ont pas une adresse IP fixe.

Observe garde une trace dans un fichier nommé "Observe.log" des titres des fenêtres placées en premier plan en ajoutant le nom de l'utilisateur, le nom de l'ordinateur, le jour et l'heure de début ainsi que la durée pour tous les ordinateurs observés.
Il est possible de commencer automatiquement un nouveau fichier LOG chaque semaine et de conserver un certain nombre d'anciens fichiers LOG.

Seuls les ordinateurs "Clients IACA" peuvent être gérés par Observe.

---

Remontée de la configuration des stations

Il est possible de demander aux stations d'envoyer leur configuration vers le serveur. Cela se fait avec IACA sur le serveur dans "Outils" et "Faire remonter la config des stations". On peut alors indiquer le nom du serveur qui recevra les informations.

Sur le serveur vous trouverez dans C:\StationsIACA un dossier par sous-parc et dans chaque sous-parc un fichier au nom de la station.

Chaque fichier est mis à jour sur le serveur lorsqu'une session avec un client IACA est ouverte sur la station.

Chaque fichier se compose des parties suivantes :

[CONFIG]

On y trouve le nom de la station, le nom du sous-parc, le nom du modèle, l'adresse IP, la version de Windows.

[Poste de travail]

On y trouve les lecteurs de la station ainsi que les lecteurs réseaux.

[Programmes installés]

La liste des programmes installés sur cette station. Ce sont ceux qui apparaissent dans "Programmes et fonctionnalités".

[Programmes installés 64 bits]

Cette rubrique n'existe que si la version de Windows sur la station est en 64 bits.

[Membres du groupe Administrateurs]

La liste des utilisateurs et groupes qui appartiennent au groupe Administrateurs de la station.

[iaca.Log]

Une copie du fichier iaca.log de la station. Cela vous permet de consulter les logs des stations à partir du serveur.

---