Comment configurer et déployer des économiseurs d’écran sous Windows à l’aide de la stratégie de groupe

Gérer les économiseurs d’écran sur plusieurs machines Windows peut vite devenir fastidieux, surtout si vous souhaitez que tous les utilisateurs voient le même diaporama de conseils de sécurité. En général, modifier les paramètres individuellement sur chaque PC n’est pas idéal. La solution ? La stratégie de groupe : elle permet de déployer simultanément la même configuration, les mêmes images et la même durée d’affichage de l’économiseur d’écran sur tous les ordinateurs du domaine. Sa configuration ? Rien de bien compliqué, mais elle nécessite quelques étapes, principalement la copie des fichiers image dans un dossier réseau partagé, puis la configuration de l’objet de stratégie de groupe (GPO).Il est assez surprenant que Windows conserve certains paramètres chiffrés ou masqués, mais cette méthode permet de créer un modèle universel. Ainsi, l’économiseur d’écran de chacun est identique et la gestion est simplifiée.

Comment activer un écran de veille de type diaporama d’entreprise via la stratégie de groupe

Comment préparer vos images de veille

Avant toute chose, préparez vos images JPG. Placez-les dans un dossier réseau partagé (de préférence sur le partage SYSVOL d’un contrôleur de domaine).Sur une machine Windows, créez un dossier comme \\woshub.loc\SYSVOL\woshub.loc\scripts\ScreenSaver. Déposez-y vos images : tous les fichiers JPG contenant des informations confidentielles ou tout élément que vous souhaitez rendre visible à tous. Assurez-vous que le groupe Utilisateurs authentifiés dispose des droits de lecture sur ce dossier ; sinon, personne ne pourra voir les images. Car, bien sûr, Windows complique toujours les choses inutilement.

Copier des fichiers sur les machines des utilisateurs avec GPP

Voici maintenant la partie délicate : vous souhaitez que tous ces fichiers JPG soient automatiquement copiés sur chaque poste utilisateur. Ouvrez donc Gestionnaire de stratégie de groupe ( gpmc.msc ), créez un nouvel objet de stratégie de groupe (ou modifiez-en un existant) et liez-le à l’unité d’organisation contenant les comptes utilisateurs. Voici la marche à suivre :

• Dans la stratégie de groupe, accédez à Configuration utilisateur > Préférences > Paramètres Windows > Dossiers. Créez un nouvel élément de dossier nommé %Public%\Pictures\ScreenSaver« Écran de veille ».Cela crée un dossier « Écran de veille » dans le profil utilisateur public de chaque PC ; c’est là que Windows recherchera les images.
• Accédez à la section Fichiers des Préférences et créez une règle de copie de fichiers. Choisissez une nouvelle règle qui copie tous les fichiers de \\woshub.loc\SYSVOL\woshub.loc\scripts\ScreenSaver\*vers %Public%\Pictures\ScreenSaver. Utilisez le caractère générique * pour inclure tous les fichiers JPG. Ainsi, lors de l’application de la stratégie de groupe, toutes les images seront synchronisées sur chaque PC.

Configurez le registre pour utiliser votre dossier d’images.

C’est là que ça se complique un peu. Il existe une clé de registre, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows Photo Viewer\Slideshow\Screensaver, nommée EncryptedPIDL, qui stocke le chemin d’accès aux images, mais encodé en Base64 (donc chiffré).Sur la machine de référence, vous pouvez récupérer cette valeur en ouvrant l’Éditeur du Registre, en accédant à la ruche correspondante et en copiant la valeur EncryptedPIDL. Ensuite, dans votre stratégie de groupe (GPO), accédez à Configuration utilisateur > Stratégies > Modèles d’administration > Panneau de configuration > Personnalisation et créez un nouvel élément de registre :

• Ruche:HKEY_CURRENT_USER
• Chemin d’accès principal :SOFTWARE\Microsoft\Windows Photo Viewer\Slideshow\Screensaver
• Nom de la valeur :EncryptedPIDL
• Type de valeur :REG_SZ
• Données de valeur : Collez la chaîne Base64 que vous avez obtenue de l’ordinateur de référence.

Cochez la case « Supprimer l’élément lorsqu’il n’est plus appliqué » sous l’onglet Commun pour que les paramètres soient effacés si des stratégies sont supprimées ultérieurement. Cette étape est un peu délicate, mais c’est ce que Windows utilise pour mémoriser le dossier d’affichage des diaporamas.

Configurer les paramètres de l’économiseur d’écran et du verrouillage dans la stratégie de groupe

• Accédez à Configuration utilisateur > Stratégies > Modèles d’administration > Panneau de configuration > Personnalisation.
• Activez l’option « Forcer l’économiseur d’écran spécifique » et définissez-la sur « PhotoScreensaver.scr.».Cela garantit que Windows utilise toujours le diaporama avec vos images.
• Définissez le délai d’inactivité de l’économiseur d’écran dans la section « Délai d’inactivité de l’économiseur d’écran ». En général, 300 secondes (5 minutes) conviennent, mais vous pouvez personnaliser ce délai selon vos besoins.
• Pour que les écrans se verrouillent automatiquement, activez l’option « Protection de l’écran par mot de passe ». Pour empêcher les utilisateurs de le modifier, activez l’ option « Empêcher la modification de l’écran de veille ».

Une fois terminé, fermez l’éditeur de stratégie de groupe et forcez la mise à jour gpupdate /forcesur les machines clientes. Ensuite, lorsque les machines sont inactives, l’économiseur d’écran devrait s’activer et afficher le diaporama de vos règles de sécurité. Soyez attentif aux éventuels problèmes : un redémarrage ou une nouvelle connexion peut parfois être nécessaire pour que la synchronisation se fasse correctement, notamment avec les valeurs de registre Base64.

Et si vous voulez vérifier ce qui se passe, voici un extrait de code PowerShell qui indique si l’économiseur d’écran est actif :

Get-WmiObject win32_desktop | Where-Object { $_. Name -match $env:USERNAME }

Écran de veille actif : Vrai Écran de veille sécurisé : Faux Délai d'inactivité de l'économiseur d'écran : 60