Auteur Sujet: Remplacer le groupe résidentiel de Windows  (Lu 16339 fois)

0 Membres et 1 Invité sur ce sujet

yf38

  • Client Orange Fibre
  • *
  • Messages: 32
Remplacer le groupe résidentiel de Windows
« le: 22 décembre 2018 à 09:59:09 »
Remplacer le groupe résidentiel de Windows

Résumé du principe
- Création d'un même compte local (ici appelé HG) sur les PC d'un réseau workgoup qui partagent des dossiers en tant que serveurs pour créer un équivalent du groupe résidentiel.
- Cet identifiant et mot de passe sont communiqués aux utilisateurs des autres PC autorisés à accéder aux dossiers du groupe.
- Cet identifiant est caché par un paramètre dans le registre pour qu'il ne soit pas visible pour d'autres usages.

Historique
La version originale date du 30/5/2018 mais a perdu ses images:
© yf38 version initiale 30/5/2018
Mise en forme pour le forum 22/12/2018
Additions au chapitre visibilité du réseau pour contourner un problème de visibilité. voir détail avec Windows 11.
Améliorations de présentation.
Quelques précautions oratoires sur la sécurité, dans les commentaires ci-dessous.

Commentaires
La fonctionnalité groupe résidentiel disponible depuis Windows 7 a été supprimée par Microsoft dans la version 1803 du printemps 2018 de Windows 10.
Une méthode est proposée ici pour remplacer le groupe résidentiel, dans un réseau local "à la maison", pour arriver au même résultat.
Elle utilise le partage réseau workgroup classique.
La méthode a été testée avec Windows 10 en compte local, Windows 7 Linux et Android comme clients des partages.
Je l'utilise depuis février 2018 et elle a franchi les mises à jour de Windows 10 sans encombres de 1709 à 20H2.
Avec Windows XP en client la méthode fonctionne mais en version home on ne peut pas mémoriser un identifiant / mot de passe différent de celui de l'utilisateur en cours, un autre identifiant n'est valable que pour la session. En version XP pro, le choix de mémoriser existe, je n'ai pas testé.
D'autres solutions de partage existent (NAS , Cloud, autres)  qui peuvent avoir un intérêt mais ce sujet n'a pas été créé pour ça.

Si on ne désire pas utiliser de compte caché, ni créer l'équivalent de l'ancien groupe résidentiel, on peut utiliser quand même les méthodes décrites dans ce topic, à l'exception de ce qui concerne le compte caché.
Il faut alors désigner, quand nécessaire, un compte existant dans la machine serveur, ou bien que le compte autorisé à partager soit identique à celui du client.
On est ramené au partage standard, le client doit alors connaitre le compte du serveur.

Le protocole  SMBv1 est présent dans ce texte, car on peut avoir affaire à lui dans la mise en œuvre du partage avec des appareils qui ne connaissent que SMBv1, ou plus simplement pour gérer des périphériques anciens (imprimantes réseau).
Il a été rendu obsolète par Microsoft bien qu'encore fourni comme fonctionnalité optionnelle.
Il est déconseillé de l’installer si on n'en a pas absolument besoin.

Le partage sur réseau local est critiqué aussi par certains qui considèrent que son existence même est un risque potentiel de sécurité.
Je préconise de ne partager les dossiers qu'en lecture, sauf besoin contraire, pour limiter les risques, c'est d'ailleurs le choix par défaut de la fenêtre de partage.
Cette méthode est décrite pour une utilisation privée et pas en entreprise ou administration où des critères de sécurité peuvent l'interdire.

Rappel:
Le groupe résidentiel permettait de partager des dossiers répartis sur plusieurs PC sans que les utilisateurs aient à connaître ou disposer d'un compte sur ces PC.
Il suffisait qu'ils rejoignent le groupe résidentiel en connaissant son mot de passe.

Mise en œuvre:
Pour mettre en œuvre le partage il faut au préalable s'assurer de quelques pré-requis.
Les PC doivent être dans le même groupe de travail ( workgroup habituellement).
Si vous utilisiez le groupe résidentiel, supprimer tous les partages et quitter le groupe résidentiel sur tous les PC.
Elle a été validée sur un réseau local avec des utilisateurs qui ont tous un mot de passe et sont administrateurs, si ce n'est pas le cas il en faut au moins un administrateur par PC, et tester pour les autres si besoin.
L'utilisation de la commande netplwiz pour supprimer l'écran de connexion au login (tout en conservant le mot de passe) reste compatible.
Il ne faut pas en attendre plus que le partage réseau workgroup dont elle est juste un mode d'emploi particulier.
Si le partage réseau a déjà été tenté et ne fonctionne pas, il peut y avoir diverses raisons que ce tuto n'a pas vocation à résoudre, même s'il peut aider (voir le chapitre 2 visibilité).

La méthode est détaillée dans les posts suivants :

« Modifié: 17 novembre 2021 à 09:40:57 par yf38 »

yf38

  • Client Orange Fibre
  • *
  • Messages: 32
Remplacer le groupe résidentiel de Windows
« Réponse #1 le: 22 décembre 2018 à 09:59:37 »
Paramétrer le centre réseau et partages

Pour y accéder: paramètres / réseau et internet / options de partage

Réseau privé:


Puis "tous les réseaux":



Commentaires:
Les partages fonctionnent en réseau privé.
Attention, à la coche validant le contrôle d'un mot de passe dans la zone "tous les réseaux".
Un tuto de Microsoft propose de désactiver ce contrôle de mot de passe et de choisir "tout le monde" dans la définition des partages.
C'est le contraire qui est demandé ici, pour bénéficier de la sécurité d'un mot de passe.
« Modifié: 27 juin 2020 à 17:33:38 par yf38 »

yf38

  • Client Orange Fibre
  • *
  • Messages: 32
Remplacer le groupe résidentiel de Windows
« Réponse #2 le: 22 décembre 2018 à 10:00:08 »
Visibilité du réseau
La visibilité du réseau local dans l'explorateur est sujette à des problèmes récurrents suite aux évolutions décidées par Microsoft (2017-2018).
Sinon ce chapitre ne serait pas nécessaire pour  le remplacement du groupe résidentiel.
Il ne prétend pas résoudre tous les problèmes de visibilité réseau.
L'évocation du protocole SMBv1 n'est pas due à la méthode utilisée ici, mais à sa présence éventuelle pour compatibilité avec certains matériels.

Le protocole SMB version 1 (SMB1, SMBv1)
Historiquement le protocole SMBv1 était utilisé.
Le protocole SMBv1 est en voie de disparition de Windows 10 pour des raisons d'obsolescence, et de sécurité, depuis la version 1709.
Il n'est pas nécessaire d'activer SMBv1 pour la méthode décrite ici.
On peut aussi  voir les autres PC en mettant leur adresse \\nomPC dans la barre d'adresse de l'explorateur, vers un dossier partagé.
Si SMBv1 est activé sur certains PC il ne dérange pas pour le partage .
En cas de problème de visibilité entre PC avec et PC sans SMB1 lire le dernier paragraphe.
Si vous avez des appareils qui ne gèrent que SMBv1 vous risquez de devoir conserver SMBv1, en particulier pour des imprimantes réseau, ou des vieux NAS.

Sous Windows 10 (en tout cas 1709 ,1803, 1809, 1903, 1909, 2004, 20H2) l'installation de SMBv1 reste disponible dans les fonctionnalités optionnelles de Windows, mais elle est à éviter autant que possible.

On peut y accéder par: paramètres / Applications / programmes et fonctionnalités
A éviter si ce n'est pas nécessaire:


La 3ième coche sert à désinstaller automatiquement SMB1 si on ne s'en sert pas, ne pas cocher si on ne veut pas de cette option.

Réseau avec des PC sans SMB1 et d'autres avec SMB1.
J'ai observé (version 1809) que la publication du PC avec SMB1 se faisait en Netbios et pas en WSD .
On peut  voir ceci sur le PC avec SMB1 de la manière suivante:
Dans l'explorateur, sélectionner "réseau" puis avec le ruban dans l'onglet affichage choisir de grouper par méthode de découverte.
On constate alors que le PC figure dans la liste NETBIOS mais ne figure pas dans la liste WSD.
Sur les PC qui n'ont pas SMB1 la découverte netbios n'est pas activée et il n'y a pas de liste NETBIOS affichée.
Ils ne voient pas l'autre PC avec SMB1 (sauf peut-être dans une liste SSDP en tant que périphérique média)
Ce problème n'est pas systématique.
Le contournement suivant semble résoudre tous les cas, à appliquer sur tous les PC du réseau qui ont un problème de visibilité réseau.
EDIT Windows 11 le comportement a un peu changé avec Windows 11, le contournement décrit ci-dessous continue de fonctionner mais la visibilité du PC lui même disparait avec le temps...
Si SMBV1 est validé alors le PC retombe en découverte Netbios, sinon il n'est plus vu dans réseau.
ça n'empêche pas les partages de fonctionner, c'est simplement un peu ridicule.
Contournement:
Si sur le PC avec SMB1 (ou pas) on arrête le service FDRespub puis on le relance, la publication WSD se fait et il devient visible dans la rubrique WSD.
On peut tester ce comportement en ligne de commande:
Lancer une invite de commande en tant qu’administrateur,
Taper net stop fdrespub puis net start fdrespub.
A ce moment le PC avec SMB1 où on tape la commande bascule de la catégorie netbios à la catégorie WSD, et il devient visible depuis le PC sans SMB1.
Pour automatiser on peut créer une tache planifiée qui démarre 30 secondes après le login de l'utilisateur.
Edit 11/2020: après des mois d'expérience c'est la solution qui convient à tous les cas que j'ai rencontré:
Créer deux fichiers .txt renommés en .bat ensuite:
netpub.bat contenant:
net stop FDResPub
net start FDResPub
exit
et startpub.bat contenant:
start /min m:\netwsd\netpub.bat
Le chemin est celui du dossier contenant les deux fichiers, ce second fichier permet le lancement en mode fenêtre réduite.
Edit Windows 11: si on exécute netpub.bat quand le PC a disparu de WSD alors il y revient immédiatement et peut y rester des heures jusqu'à ce que "quelque chose" le fasse disparaitre à nouveau.
Créer une tache planifiée publication contenant les onglets:
Général: nom: publication
Compte d'utilisateur: nom du PC\nom utilisateur
exécuter avec les autorisations maximales: coché

déclencheur: à l'ouverture de session, et choisir de reporter le lancement de 30s
actions: démarrer un programme: m:\netwsd\startpup.bat   (mettre votre chemin)
paramètres: autoriser l'exécution de la tache à la demande (pour test)

Dans l'explorateur, sur réseau, en affichage en mode de découverte, on va voir basculer le PC de netbios en WSD au moment de l'exécution de la tache.
Si le PC n'a pas SMB1 activé, on ne voit pas la rubrique Netbios, et on ne voit pas non plus le PC lui même dans "réseau".
Après l'exécution de la tache, le PC devient visible dans "réseau".
Tester la tache en demandant son exécution (clic droit), voir la fenêtre de l'invite de commande dans la barre des taches pendant son exécution en fenêtre réduite (soulignée), et l'effet sur l'affichage de l'explorateur.
A partir de ce moment le PC deviendra visible sur les autres PC du réseau, même sans SMB1, en découverte WSD.
La tache doit s'exécuter à chaque démarrage.
à l'usage on n'y prête plus attention.
Les PC clients n'ont pas besoin d'être en marche, pour le contournement.
C'est le PC serveur qui  devient en mesure de répondre pour être reconnu en WSD.
Attention avec Windows 11 le comportement a changé, le contournement fonctionne mais ne dure pas toute la session, bien que les partages continuent de fonctionner.
Si on exécute à nouveau la tache ou simplement le ficher netpub.bat cité ci-dessus, alors le PC revient en découverte WSD.
Manifestement ce n'est pas une priorité chez Microsoft.
« Modifié: 05 novembre 2021 à 09:08:54 par yf38 »

yf38

  • Client Orange Fibre
  • *
  • Messages: 32
Remplacer le groupe résidentiel de Windows
« Réponse #3 le: 22 décembre 2018 à 10:00:22 »
Création du compte Homegroup

Créer un compte local avec les droits d'administrateur:
paramètres / comptes / famille et autres utilisateurs / ajouter un autre utilisateur
puis les écrans suivants:

Ici, choisir je ne dispose pas….


Ici cliquer sur Ajouter un utilisateur sans compte Microsoft


Ici entrer le compte ( HG ou autre nom de votre choix) et le mot de passe choisi.

Et continuer…

Cacher le compte HG

Pour éviter que ce compte soit utilisé comme login de session, ce qui renforce aussi l'analogie avec le groupe résidentiel.
Le nom du compte HG et le mot de passe seront fournis à tous les utilisateurs du réseau faisant partie de ce pseudo "groupe résidentiel".
Ce compte HG n'a pas besoin d'être créé sur les PC qui seraient simplement clients des dossiers partagés par HG sur les autres PC du groupe.
Pour rendre invisible ce compte HG, bien que ce ne soit pas une nécessité pour la méthode proposée:

Clic droit menu démarrer / exécuter / regedit
Aller sur la clé Winlogon visible sur la capture d'écran.
Créer la clé SpecialAccounts puis la sous clé UserList et dans cette sous clé le dword32 HG en laissant la valeur 0 présente à sa création.


« Modifié: 22 décembre 2018 à 10:23:13 par yf38 »

yf38

  • Client Orange Fibre
  • *
  • Messages: 32
Remplacer le groupe résidentiel de Windows
« Réponse #4 le: 22 décembre 2018 à 10:00:36 »
Partage coté serveur

Sur le PC serveur il faut gérer les droits d'accès aux dossiers partagés par HG.
Avec l'explorateur aller sur le dossier à partager,
clic droit et choisir "accorder l'accès à"  et à   "des personnes spécifiques"
Dans la fenêtre de partage il faut taper directement le nom HG s'il est déjà caché, ou le choisir si on le voit dans la liste, puis cliquer sur ajouter.
Choisir l'autorisation en écriture si besoin avant de finir en cliquant sur "partager", puis terminé.

Exemple:


Pour constater le résultat de la méthode ouvrir les propriétés du dossier, onglet partage, puis partage avancé, puis autorisations, où vous verrez "tout le monde", au lieu du nom HG que vous aviez choisi, et de celui du propriétaire qui était présent avant d'ajouter HG.
Aller ensuite dans l'onglet sécurité où  vous verrez le nom du propriétaire et HG qui avaient disparu de l'onglet partage.
L'accès réseau a été autorisé pour "tout le monde" mais l'onglet sécurité a repris à son compte les droits d'accés, que l'on peut affiner pour chaque utilisateur.

Dans une version antérieure, l'onglet partage conservait les utilisateurs autorisés, au lieu de tout le monde, et l'onglet sécurité contenait "utilisateurs authentifiés" qui n'est plus présent avec la méthode décrite ci-dessus, mais qui fonctionne toujours si on effectue les modifications des dossiers partage et sécurité sans passer par la commande "accorder l'accès" de l'explorateur.
C'est pourquoi, après être passé d'une version antérieure il faut vérifier l'état des onglets pour qu'ils soient de préférence dans la dernière version.

Si pour une raison ou une autre vous préférez l'ancienne méthode alors il faut aller dans les autorisations avancées de l'onglet partage, et supprimer "tout le monde" puis ajouter HG et le propriétaire du dossier.
Aller ensuite dans l'onglet  securité et modifier pour supprimer HG, et ajouter "utilisateurs authentifiés".
Des informations sur les partages et autorisations:
https://blog.netwrix.fr/2019/02/28/differences-entre-autorisations-de-partage-et-autorisations-ntfs/
et aussi:
https://www.generation-nt.com/reponses/partage-difference-entre-autorisation-et-securite-entraide-118917.html
« Modifié: 15 décembre 2020 à 09:40:07 par yf38 »

yf38

  • Client Orange Fibre
  • *
  • Messages: 32
Remplacer le groupe résidentiel de Windows
« Réponse #5 le: 22 décembre 2018 à 10:00:49 »
Partage coté client

Au premier accès d'un utilisateur sur un PC client à un dossier partagé par HG, il aura la fenêtre suivante à compléter avec le nom HG et le mot de passe de HG.
Cocher la mémorisation pour ne pas avoir à le répéter à chaque session, sauf préférence contraire.



Si elle est mémorisée, cette accréditation sera ensuite visible dans le panneau de configuration / comptes d'utilisateurs/ gestionnaire d'identification / gérer les informations d'identification Windows.
(panneau de configuration "ancienne version" lancé par démarrer / système Windows / panneau de configuration).
Sur les PC clients on peut aussi ajouter cette accréditation manuellement ce qui fournit l’équivalent du "rejoindre le groupe résidentiel".
C'est utile pour une préparation quand le PC "serveur" n'est pas disponible.
Supprimer l'accréditation fournit l'équivalent de "quitter le groupe résidentiel" pour un client


Redémarrer le PC pour que tout ça devienne effectif.
« Modifié: 14 septembre 2021 à 18:13:57 par yf38 »

Nh3xus

  • Réseau Deux Sarres (57)
  • Client K-Net
  • *
  • Messages: 2 687
  • Sarrebourg (57)
Remplacer le groupe résidentiel de Windows
« Réponse #6 le: 22 décembre 2018 à 15:39:55 »
Mais arrêtes de poster ton tuto moisi partout.

Sur HFR tu as été prévenu que ton tuto abaisse la sécurité des PC.

C'est pas une raison pour le poster ici.

vivien

  • Administrateur
  • *
  • Messages: 39 735
    • Twitter LaFibre.info
Remplacer le groupe résidentiel de Windows
« Réponse #7 le: 22 décembre 2018 à 15:54:22 »
Je pense que ce tutoriel peut être intéressant pour certaines personnes non exposées sur Internet (attention au rançongiciel WannaCry et sucesseurs) ou bien protégées.
J'ai rajouté SMBv1 dans le titre afin d'être plus explicite.

Nh3xus, il me semble plus intéressant de détailler les risques de SMBv1, mais si Microsoft le supporte encore, il y a une bonne raison...

yf38

  • Client Orange Fibre
  • *
  • Messages: 32
Remplacer le groupe résidentiel de Windows
« Réponse #8 le: 22 décembre 2018 à 16:45:47 »
SMBv1 dans le titre:
Ce n'est pas une obligation, comme j'explique dans la partie concernée.
ça peut l'être si on veut inclure dans le réseau des appareils qui ne savent pas faire autrement.
C'est vrai qu'il y en a encore un peu trop.
Dommage que Microsoft n'a pas fait le minimum pour que la désinstallation de SMBv1 passe inaperçue dans le cas d'un partage réseau simple.
On ne demande pas ici de pouvoir lancer l'exécution d'un exécutable propagé par le réseau.
Je conseille aussi d'éviter le droit d'écriture dans le partage.
« Modifié: 22 décembre 2018 à 17:20:37 par yf38 »

vivien

  • Administrateur
  • *
  • Messages: 39 735
    • Twitter LaFibre.info
Remplacer le groupe résidentiel de Windows
« Réponse #9 le: 22 décembre 2018 à 17:11:45 »
Ok retiré.

Voici la liste de ce qui nécessite SMBv1 : https://blogs.technet.microsoft.com/filecab/2017/06/01/smb1-product-clearinghouse/

Coté Windows, c'est nécessaire pour Windows XP, Windows Server 2003 (et plus anciens) + Windows Embedded Standard 2009

yf38

  • Client Orange Fibre
  • *
  • Messages: 32
Remplacer le groupe résidentiel de Windows
« Réponse #10 le: 24 décembre 2018 à 08:27:04 »
Au sujet de la visibilité du réseau.
Plusieurs évolutions de Windows ont eu lieu depuis 1709, 1803, 1809 dans le domaine réseau local.
Chacune peut avoir laissé des traces, supprimé ou désactivé des fonctionnalités, se comporter de manière différente selon qu'il s'agit d'une mise à jour ou d'une installation fraiche.
La découverte réseau a été largement concernée en particulier pour l'affichage dans l'explorateur du contenu du "dossier" réseau.
N'étant pas spécialiste je peux commettre des erreurs dans ce qui suit et vous me le signalerez.
Mon texte a un coté brouillon à cause de mon expertise limitée du sujet mais aussi du coté brouillon du comportement de Windows quand on a un réseau avec des PC de différents niveau d'évolution et versions, avec ou sans SMBv1 activé

Il y a au moins deux types de découvertes des PC du réseau, celle par netbios et celle par wsd.
SMBv1 utilise netbios, et on voit dans ces PC la rubrique netbios si SMBv1 est installé quand on affiche réseau en groupant par méthode de découverte.
Comme le routeur des box intervient aussi dans l'affaire, on peut y voir même des PC qui ne sont plus sous tension. (Livebox play).

On voit aussi des PC groupés dans la rubrique wsd, enfin, ceux qui sont détectés et qui apparaissent dans le volet de navigation de réseau.

L'apparition des PC dans ces rubriques n'est pas immédiat, il faut un "certain temps" et éventuellement actualiser.

Depuis la version 1809 (mais aussi avant) de Windows il y a des cas où des PC ne sont pas vus.
Ils sont pourtant accessibles si on les demande par \\nom du pc dans la barre d'adresse de l'explorateur et ils vont rejoindre le volet de navigation réseau, mais pas le volet principal.
Et ça ne dure que jusqu'à la sortie de l'explorateur.
Éviter de les épingler dans l'accès rapide ça peut entrainer des blocages de 30 secondes dans certains cas quand le PC n'est pas accessible, même au démarrage de l'explorateur.

Le partage et l'accès aux PC du réseau comme décrit dans le tuto fonctionne dans tous les cas, seule la visibilité des PC dans le  réseau est un peu erratique, mais ce n'est pas du à la méthode du tuto, il faut chercher ailleurs.
Peut être qu'une hypothétique évolution de Windows corrigera ça.
Le problème est largement évoqué sur le web, chercher avec découverte, netbios, wsd.
Je n'ai pas encore trouvé de solution applicable dans tous les cas, surtout si on veut éviter SMBv1 sur tous les PC, mais ça n'empêche pas le partage, c'est juste un peu désagréable.
« Modifié: 24 décembre 2018 à 10:20:19 par yf38 »

renaud07

  • Client Orange adsl
  • *
  • Messages: 2 271
Remplacer le groupe résidentiel de Windows
« Réponse #11 le: 24 décembre 2018 à 13:47:26 »
Depuis la version 1809 (mais aussi avant) de Windows il y a des cas où des PC ne sont pas vus.
Ils sont pourtant accessibles si on les demande par \\nom du pc dans la barre d'adresse de l'explorateur et ils vont rejoindre le volet de navigation réseau, mais pas le volet principal.

C'est la même chose sous linux, depuis la désactivation de SMBv1 impossible de voir les PC dans l'onglet du réseau mais accessibles si on tape l'ip direct... Il suffit de reprendre une "vieille" version d'ubuntu (16.04) et la magie tous les PC réapparaissent, même ceux qui ont SMBv1 désactivé (c'est bizarre). Enfin, c'est pareil sous XP, un PC windows 10 apparaît bien mais il est inaccessible.