Jean-Benoit Paux's blog

Un des problèmes récurrent sur les forums, les newsgroups est un problème d’accès aux ressources réseaux à partir de Vista (ou supérieur) ou la connexion à Vista à partir de clients sous XP par exemple.

Je vais essayer d’en apporter sur ce post une explication ainsi qu’un moyen de résoudre (au moins en partie les problèmes).

L’authentification réseau sous Windows est assez complexe et les liens en fin d’articles vous aideront à en comprendre le fonctionnement si vous y tenez vraiment. Il s’agit pour simplifier d’un échange avec challenge.

L’authentification se base sur deux paramètres : SMB signing et LMCompatibility. Chacun a plusieurs niveaux de sécurité. SMB signing permet de garantir l’expéditeur d’un message et LMComptatibility de connaître le niveau de sécurité NTLM (Lan Manager) à utiliser pour l’échange.

Ces paramètres peuvent être modifiés pour permettre l’accès mais il faut savoir que ces modifications affectent la sécurité de votre plateforme.

Le paramètre LMComptatibility a augmenté de niveau avec Vista ce qui peut poser ce problème d’accès.

Vous pouvez diagnostiquer ce problème comme tel si :

• Le problème se pose uniquement sur vos clients sous Vista
• Aucun paramètre de LMComptatibility a été défini par GPO
• Une trace réseau révèle ce genre de message :

Vous pouvez redéfinir le niveau de sécurité en passant soit par le registre (par la clé HKLM\System\CurrentControlSet\Control\Lsa\LMComptatibility) soit par la console de sécurité locale secpol.msc dans Stratégies locales\Options de sécurité\Sécurité réseau : niveau d’authentification LAN Manager.

Les différents choix sont les suivants :

1. Envoyer les réponses LM et NTLM
2. Envoyer LM et NTLM – utiliser NTLMv2 si négocié
3. Envoyer uniquement les réponses NTLM
4. Envoyer uniquement les réponses NTLM v2 (par défaut)
5. Envoyer uniquement les réponses NTLM v2, refuser LM
6. Envoyer uniquement une réponse NTLM v2 ; refuser LM et NTLM

Vous pouvez essayer de réduire le niveau à 2 voir à 1 pour résoudre le problème.

Le mieux est d’uniformiser les différents niveaux de sécurité de vos machines.

Explication du fonctionnement de l’authentification : http://www.microsoft.com/technet/technetmag/issues/2006/08/SecurityWatch/?related=/technet/technetmag/issues/2006/08/SecurityWatch

Dans un domaine windows, on est authentifié pour quasiment tous les services via Kerberos sans avoir la moindre fenêtre de login/mot de passe nous demandant de nous authentifier.

Pourtant lorsqu’on veut ouvrir une connexion Terminal Services, on doit rentrer ses informations à chaque connexion.

Depuis Vista on peut cependant déléguer l’authentification pour utiliser ses informations directement (on ne se logue que sur la machine d’où le Single Sign On, appelé SSO pour les intimes). Cependant l’astuce ne fonctionne que pour se connecter à des machines sous Vista ou Windows Server 2008.

Voici la démarche : (vous pouvez le faire localement à une machine ou globalement aux machines du domaines) :

• Ouvrer gpedit.msc pour éditer la stratégie locale (ou ouvrez votre GPO)
• Paramètres machines (Computer Configuration)
• Modèles d’administrations (Administrative Templates)
• Système (System)
• Délégation d’informations d’identification (Credentials Delegation)
• Autoriser la délégation d’informations d’identification par défaut (Allow delegating default credentials)

Il faut maintenant :

• Cliquer sur Activer
• Ajouter les serveurs autorisé à recevoir l’information

Vous devez entrer les serveurs avec cette syntaxe : TERMSRV/fqdnDuServeur (et son nom court si vous voulez)

Vous pouvez entrer aussi TERMSRV/* pour vous connecter à l’ensemble des serveurs avec vos informations. (Attention, dans certains cas, vous ne pourrez plus préciser d’autres informations d’identification).

Vous pouvez aussi entrer TERMSRV/*.mondomain.local

Maintenant lorsque vous vous connectez à un serveur votre identité est entrée directement :

Si vous voulez plus d’informations (limitations, configuration pour TS Gateway) vous pouvez consulter cet article : http://blogs.msdn.com/ts/archive/2007/04/19/how-to-enable-single-sign-on-for-my-terminal-server-connections.aspx

Since Windows 2000, it is possible to configure which settings must be displayed in the control panel. You can hide some items or on the other side, only display the ones you choose.

To configure this you will have to edit a GPO (or the Local group policy).

The settings to edit are depending of what you want to achieve:

User Configuration\Administrative Templates\Control Panel\Hide specified Control Panel Items
or
User Configuration\Administrative Templates\Control Panel\Show only specified Control Panel Items

In Windows Vista or Windows 7, you must enter the values defined in the MSDN documentation instead of the different .cpl you want to display. You can find the different settings there : http://msdn.microsoft.com/en-us/library/cc144191(VS.85).aspx

If you want to restrict/show only the Display part in which you can set the resolution, display output, DPI, you’ll not find it in the previous link. The option is as simply as its name : Microsoft.Display.

You’ll now be able to restrict this view and have this kind of control panel

Depuis toujours il est possible de masquer des éléments du panneau de configuration ou au contraire d’en afficher qu’une partie.

Il faut pour cela passer par les GPO (ou en local via la local group policy).

Sous Windows Vista et Windows 7, cela se passe en mettant la liste des options à cacher ou à afficher grâce à ces settings :

User Configuration\Administrative Templates\Control Panel\Hide specified Control Panel Items
et
User Configuration\Administrative Templates\Control Panel\Show only specified Control Panel Items

On peut avoir la liste des choix (les items) grâce à ce lien sur MSDN :http://msdn.microsoft.com/en-us/library/cc144191(VS.85).aspx

La seule chose manquante cependant est l’absence de la partie Affichage, permettant de régler la résolution, les sorties écrans, etc.

Si vous cherchez, l’option s’appelle Microsoft.Display

On aura bien au final ce genre de panneau de configuration :