Modifier les permissions des sites dans IE et Mozilla Firefox (Environnement Active Directory)

Voici tout d'abord une (pas assez courte) introduction pour expliquer le contexte.

Environnement Microsoft Windows avec un contrôleur de domaine AD/DS. Donc quand je parlerai de "domaine" dans ce billet, c'est bien sous entendu un domaine Microsoft Active directory. Oui, pour une fois ce billet touche à de l'administration système Windows.

Nous déployons une GED [1]. Certaines fonctionnalités de la GED déclenchent l'ouverture de Microsoft office. Fatalement par défaut, le navigateur et Office refusent de faire ça sans quelques avertissements.

Un des objectifs avant la mise en production est de limiter le nombre de messages d’avertissements que subiront les moldus:

image001.png

image001.png

Pour IE

C'est assez simple. Une petite GPO pour ajouter l'URL dans les sites de confiance:

Configuration Ordinateur > stratégies > Modèles > Composants windows > Internet Explorer > Onglet sécurité

Liste des attributions de sites aux zones:

Capture-gpo-attribution-sites-zones-ie.PNG

La valeur 2 correspond à la zone des sites approuvés[2]

Pour Firefox

C'est plus compliqué. Firefox ne fonctionne pas par "zones", mais vraiment site par site. Apres un click sur le "i" à gauche de l'URL; ">"; plus d'informations; onglet permission:

Capture-permissions-bdg.PNG

Dans le cas de notre GED, il faudrait que Microsoft Office soit en mode "autorisé".

Je n'ai ni trouvé comment le faire via une GPO simple, ni en passant par la fonction "pref"du potentiel fichier user.js.

Les permissions des sites sont stockées dans le profil de l'user (app_data), dans un fichier sqlite. Voici le script qui:

  • Télécharge le client sqlite
  • Fait la requête d'ajout d'une permission.

Au préalable, Vous téléchargez SQLITE, en extrayez le fichier sqlite3.exe (le client sqlite) et le déposez sur un partage auquel les utilisateurs du domaine auront accès (j'utilise le sysvol pour ça).

Dans le script suivant, remplacez

  • "https://yourSite.local" par l'URL qui doit avoir ce privilège (Il est possible d'utiliser des wildcards https//*.domaineAD.lan par exemple ) .
  • \\DOMAINE.local\sysvol\DOMAINE.local\scripts\sqlite3.exe par le chemin UNC qui correspond à l'endroit où vous avez déposé le binaire sqlite.
@echo off
REM Configuration avancée de Firefox
REM l'utilisation de microsoft office via firefox depuis le site https://yourSite.local est autorisé.
copy \\DOMAINE.local\sysvol\DOMAINE.local\scripts\sqlite3.exe "%TEMP%\sqlite3.exe"
FOR /D %%P IN ("%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\*") DO (
%TEMP%\sqlite3.exe %%P\permissions.sqlite "insert into moz_perms values (null,'https://yourSite.local','plugin:npspwrap',1,0,0,null);" >NUL
%TEMP%\sqlite3.exe %%P\permissions.sqlite "insert into moz_perms values (null,'https://yourSite.local','plugin:npauthz',1,0,0,null);" >NUL
)

Voila il ne vous reste plus qu'à utiliser une GPO pour placer ce script à l'ouverture de session utilisateur.

Notes

[1] Gestion éléctronique de documents Alfresco

[2] On pourrait croire que le comportement du navigateur et de l'OS soit encore moins durci pour la zone 1 qui correspond aux sites intranet. Les essais effectués m'ont montré que ce n'est pas le cas.

gnieark vendredi, avril 6 2018, 10:16 scripts shell bash
Page top