Un chapitre « Introduction aux stratégies de groupe » dans le manuel d’intégration Réseau Microsoft risque d’ennuyer un administrateur avancé, car les définitions des termes et l’énumération des possibilités offertes par les stratégies de groupe ne lui apporteront aucune nouvelle connaissance, voire l’ennuieront tout simplement. D’autre part, un débutant sera submergé par une introduction théorique de plusieurs pages. Seule l’utilisation pratique des stratégies de groupe lui ouvrira les yeux sur l’utilité des stratégies de groupe et sur leur capacité à simplifier considérablement l’administration d’un réseau sous Windows Server.
Partie 2 – Utiliser les stratégies de groupe de Windows XP
Partie 3 – Créer soi-même des fichiers modèles pour les stratégies de groupe manquantes
Partie 4 – Microsoft Office en réseau
| Cette série d’articles est un extrait du « Manuel d’intégration Microsoft-Netzwerk » d’Ulrich Schlüter. Date de parution : octobre 2004 chez Galileo Computing. (ISBN 3-89842-525-8) et a été mis à la disposition de WinTotal en exclusivité. |
Table des matières
Comment aborder la question des stratégies de groupe
Survolez ce chapitre afin de vous lancer le plus rapidement possible dans les exercices pratiques sur les stratégies de groupe que contiennent les chapitres suivants. Les débutants en particulier ne devraient pas essayer de comprendre en profondeur chacune des explications de ce chapitre d’introduction. Lisez ce chapitre d’introduction une deuxième fois de manière plus intensive, dès que vous aurez appris à utiliser les stratégies de groupe grâce aux exercices pratiques. La théorie grise de ce chapitre d’introduction est alors beaucoup plus facile à comprendre avec des connaissances de base pratiques. Une fois que vous avez acquis une compréhension de base de l’utilisation des stratégies de groupe grâce aux exercices pratiques, ce chapitre d’introduction est important pour vous permettre d’intégrer les connaissances détaillées sur les stratégies de groupe dans un contexte global et de distinguer clairement les termes appartenant à ce thème.
Analyser et adopter les paramètres de stratégie de groupe d’une installation Small Business Server 2003:
Chez Microsoft, vous pouvez commander en ligne une version d’évaluation gratuite de 180 jours de Windows Small Business Server 2003. L’installation de l’édition standard consiste à insérer quatre CD et se déroule automatiquement, presque sans intervention de l’utilisateur. L’Active Directory créé et les services tels que DHCP ou DNS sont ensuite préconfigurés en grande partie à titre d’exemple. Des groupes de sécurité et de distribution supplémentaires, des scripts et des stratégies de groupe sont créés.
Pour en savoir plus sur la manière dont les experts Microsoft structurent et configurent les stratégies de groupe, vous devriez lancer le snap-in Gestion des stratégies de groupe sur un SBS 2003 installé et générer un rapport de tous les objets de stratégie de groupe installés en cliquant sur chaque GPO avec le bouton droit de la souris et en sélectionnant Générer un rapport.
 |
|
Créer un rapport |
Vous trouverez ces rapports sur le DVD du livre. Analysez ensuite quelles autorisations ont été attribuées et quelles politiques ont été prédéfinies et comment. Il peut être utile de réfléchir à la question de savoir lesquels de ces paramètres devraient également être appliqués dans un environnement non-SBS 2003.
Que sont les stratégies de groupe ?
Les stratégies de groupe sont des ensembles de paramètres de configuration d’utilisateurs et d’ordinateurs qui sont associés à des ordinateurs, des sites, des domaines ou des unités d’organisation (OU) afin de contrôler le comportement du bureau de l’utilisateur et de définir en outre des choses telles que les paramètres de sécurité, les scripts de connexion et de déconnexion, les scripts de démarrage et d’arrêt d’un ordinateur ou de définir par exemple des redirections de dossiers. Les stratégies de groupe permettent de déterminer le comportement du système d’exploitation et de limiter ses options. Il existe également des stratégies de groupe qui permettent de contrôler de manière centralisée le comportement et les options d’applications telles que Microsoft Office.
Que sont les objets de stratégie de groupe (Group Policy Objets, GPO) ?
Par objet de stratégie de groupe, Microsoft entend un ensemble de paramètres de stratégie de groupe. Les nouveaux objets de stratégie de groupe sont créés à l’aide des consoles de gestion de stratégie de groupe. Les GPO sont stockés au niveau du domaine (et non au niveau de la structure globale d’Active Directory) dans des conteneurs de stratégie de groupe (GPC). Les GPO concernent des ordinateurs (ou groupes d’ordinateurs) ou des utilisateurs (ou groupes d’utilisateurs) sur des sites, dans des domaines individuels ou dans des unités organisationnelles. Cela signifie par exemple que vous pouvez créer une unité d’organisation (OU) appelée Ordinateurs portables, créer un nouvel objet de stratégie de groupe pour cette OU et définir spécifiquement dans ce GPO toutes les stratégies qui ne concernent que les ordinateurs portables et pas les autres ordinateurs qui sont connectés en permanence au réseau. Les paramètres de stratégie affectés dans ce GPO affectent tous les objets d’ordinateur qui sont déplacés dans l’unité d’organisation Ordinateurs portables.
En outre, les GPO peuvent également être créés pour des ordinateurs autonomes, c’est-à-dire des ordinateurs qui ne sont pas ou pas constamment connectés à un domaine Active Directory, comme les ordinateurs portables ou les tablettes PC. On parle alors d’objets de stratégie de groupe locaux.
Plusieurs GPO peuvent être appliqués à un site, un domaine ou une unité organisationnelle. Plusieurs GPO peuvent en outre être créés, par exemple dans un conteneur collectif de l’Active Directory, par exemple sous le nom d’objets de stratégie de groupe inter-organisationnels. Ensuite, chacun de ces GPO peut être attribué à plusieurs autres conteneurs (p. ex. unités d’organisation) via la fonction Lien de stratégie de groupe.
Qu’est-ce que le raccourci de stratégie de groupe ?
Prenons un exemple pour démontrer la méthode de liaison des stratégies de groupe : Vous créez des unités d’organisation pour les différents départements de l’entreprise avec les noms de département Administration, Ventes, Achats, Production, Développement. Vous créez les objets utilisateur dans ces OU de département.
Certaines stratégies de groupe sont spécifiques à un département, d’autres stratégies de groupe doivent s’appliquer à tous les collaborateurs de l’organisation. Vous définissez les stratégies qui doivent s’appliquer à tous les collaborateurs une seule fois dans un GPO, qui est créé à cet effet dans l’unité organisationnelle Objets de stratégie de groupe inter-organisationnels. Ensuite, vous liez ce GPO à toutes les UO de département. Si, plus tard, vous devez ajouter ou définir différemment une stratégie inter-organisationnelle, vous effectuez confortablement cette modification à un endroit central, et non pas séparément pour chaque service. Le nombre de GPO nécessaires reste ainsi gérable et le nombre de sources d’erreurs possibles est minimisé.
Que sont les conteneurs de stratégie de groupe (GPC) ?
Le conteneur de stratégie de groupe (GPC) est un objet Active Directory qui stocke les propriétés GPO et contient des sous-conteneurs pour les informations de stratégie de groupe relatives aux ordinateurs et aux utilisateurs. Le GPC contient des informations sur la version afin de garantir que les informations du GPC sont synchronisées avec les modèles de stratégie de groupe (GPT). En outre, le GPC contient des informations d’état indiquant si le GPO sous-jacent est actuellement activé ou désactivé. Le terme GPC prête à confusion et sa délimitation par rapport au terme GPT est difficile à maîtriser. C’est pourquoi le terme GPC n’apparaît que rarement et vous n’avez pas besoin de connaître sa signification en permanence.
Il est toutefois important de noter qu’un objet de stratégie de groupe peut être complètement désactivé temporairement. Si vous avez par exemple l’intuition qu’un comportement inexplicable dans l’interaction de plusieurs GPO est causé par les paramètres d’un GPO particulier, vous pouvez désactiver temporairement ce GPO afin de vérifier cette intuition. Si vous souhaitez qu’un nouveau GPO avec différentes directives ne prenne effet qu’à une date ultérieure, créez ce GPO avec tous les paramètres à l’état désactivé et n’activez le nouveau GPO qu’en cas de besoin.
C’est au plus tard à ce moment-là qu’un novice en matière de stratégies de groupe est pris de vertige et que la poursuite de la lecture et la compréhension des termes et abréviations deviennent une épreuve de patience. Je me souviens encore aujourd’hui de ma propre confusion et de la frustration que j’ai ressentie en étudiant cette matière complexe pour la première fois. Conscient de cela, j’ai déjà mis en garde au début de ce chapitre contre la pénibilité de cette matière théorique. C’est pourquoi je tiens à vous rassurer : vous n’êtes pas obligé de comprendre ces bases théoriques du premier coup. Dès que nous aurons joué avec les stratégies de groupe de Windows XP et Office 2003 dans les chapitres suivants et au plus tard lorsque nous aurons bricolé nos propres fichiers modèles pour les stratégies de groupe manquantes, la théorie grise sera remplie d’une vie pratique et la joie de l’administrateur sera au rendez-vous. D’ici là, la devise est de garder la tête baissée et de persévérer. Votre discipline sera récompensée plus tard, je vous en donne ma parole.
Que sont les modèles de stratégie de groupe (Group Policy Templates GPT) ?
Le modèle de stratégie de groupe (GPT) est une structure de dossiers dans le répertoire %systemroot%\SYSVOL\sysvol\Policies des contrôleurs de domaine. Cette structure de dossier est créée au moment où un nouvel objet de stratégie de groupe (GPO) est créé par l’administrateur via une console de gestion de stratégie de groupe. Elle stocke, sous la forme de plusieurs fichiers de configuration, les stratégies de groupe, mais aussi, par exemple, les scripts d’ouverture et de fermeture de session et les scripts de démarrage ou d’arrêt d’un ordinateur, si ces scripts sont définis via une stratégie de groupe.
 |
|
Structure des dossiers |
Cette structure de dossiers n’est entièrement visible dans l’Explorateur Windows que si vous avez désactivé l’option Masquer les fichiers système protégés et activé les options Afficher le contenu des dossiers système et Afficher tous les fichiers et dossiers. En tant qu’administrateur, vous devriez généralement adopter ces paramètres par défaut de l’Explorateur Windows pour tous les dossiers, aussi bien lorsque vous travaillez sur le serveur que sur un client. Dans la suite des explications de ce livre, nous partons du principe que vous avez défini ces paramètres par défaut dans l’Explorateur Windows et que vous verrez donc tous les fichiers et dossiers à l’avenir, y compris ceux qui ont l’attribut Caché ou l’attribut Système. De même, l’option Masquer les extensions pour les types de fichiers connus doit être désactivée au moins pour les administrateurs et les collaborateurs du service d’assistance. Ces collaborateurs ne doivent pas seulement connaître l’importance des extensions de nom de fichier, ils doivent également pouvoir manipuler les extensions si nécessaire.
Lors de la création d’un objet de stratégie de groupe, la structure de dossier GPT correspondante est créée sur le contrôleur de domaine. S’il y a plusieurs contrôleurs de domaine, cette nouvelle structure de dossiers est ensuite répliquée sur les autres contrôleurs de domaine. Le nom de dossier du GPT est une combinaison de 36 chiffres et de colonnes de lettres, séparés par des tirets, et correspond au GUID (identifiant unique global – Globally Unique Identifier) du GPO créé.
Dans le répertoire racine d’une structure de dossiers GPT, on trouve le fichier gpt.ini et les sous-dossiers Adm, Machine et User. Ces dossiers principaux accueillent des sous-dossiers dont la structure exacte dépend des politiques que vous définissez. Le fichier gpt.ini contient les variables suivantes et leur affectation :
displayName=Nouvel objet de stratégie de groupe: cette variable ne reprend pas le nom du GPO, mais a le nom par défaut « Nouvel objet de stratégie de groupe ».
Version=Numéro de version: un GPO nouvellement créé reçoit le numéro de version 0. Chaque politique modifiée dans le GPO augmente cette valeur. S’il y a plusieurs contrôleurs de domaine, Active Directory détermine, en comparant les versions, sur quel contrôleur de domaine se trouve la version la plus récente d’un GPO et la réplique ensuite sur les autres contrôleurs de domaine.
Disabled=0 ou 1, cette ligne n’apparaissant que dans les GPO locaux et définissant si le GPO est actuellement désactivé. Pour tous les autres GPO, l’état activé ou désactivé est enregistré dans le GPC, qui se trouve dans la mémoire de l’Active Directory.
Les dossiers les plus importants et leur signification sont mentionnés ci-dessous.
\Adm
Ce dossier contient les fichiers de modèle de stratégie de groupe qui ont été chargés dans l’éditeur de stratégie de groupe. Les fichiers de modèle de stratégie de groupe se trouvent dans le répertoire %Systemroot%\inf ou doivent être copiés dans ce répertoire. Ils ont l’extension de nom de fichier adm. Un Windows 2000 Server ou un Windows 2000 Professional installé a des fichiers de modèle différents d’un Windows XP Professional ou d’un Windows Server 2003.
Les fichiers modèles de Microsoft Office 2003 ne font pas partie de la livraison du CD Microsoft Office 2003. Ils sont installés dans le répertoire %systemroot%\inf d’un ordinateur lors de l’installation d’Office 2003 Resource Kit et doivent ensuite être copiés manuellement dans le répertoire %systemroot%\inf du contrôleur de domaine. Vous pouvez créer vous-même des fichiers modèles adm pour certains usages et applications, les transférer dans le répertoire %systemroot%\inf et les charger ensuite dans un GPO. Vous trouverez des détails sur l’utilisation des fichiers adm dans des chapitres ultérieurs.
\Machine
Ce dossier contient le fichier Registry.pol. Le fichier Registry.pol contient uniquement les paramètres des stratégies qui ont été activées ou désactivées dans la catégorie Ordinateurs, mais il ne fait pas référence aux stratégies qui restent non configurées. Lorsqu’un ordinateur démarre et se connecte à son domaine, le fichier Registry.pol est évalué et transféré dans la section HKEY_LOCAL_MACHINE de la base de registre de l’ordinateur. Le format du fichier Registry.pol n’est pas compatible avec le fichier du même nom utilisé sous Windows 95, 98 ou NT 4.0.
\Machine\Applications
Ce dossier accueille les fichiers de publication (fichiers AAS) utilisés par Windows Installer pour installer les paquets MSI pour les ordinateurs.
\Machine\Documents & Settings
Ce dossier contient tous les fichiers qui doivent se trouver sur le bureau de chaque utilisateur, quel que soit l’utilisateur qui se connecte.
\Machine\Microsoft\Windows NT\SecEdit
Ce dossier accueille le fichier GptTmpl.ini de l’éditeur de sécurité.
\Machine\Scripts\Shutdown
Scripts et fichiers associés qui sont exécutés lors de l’arrêt d’un ordinateur.
\Machine\Scripts\Startup
Scripts et fichiers associés qui s’exécutent au démarrage d’un ordinateur.
\User
Ce dossier contient le fichier Registry.pol. Le fichier Registry.pol contient uniquement les paramètres des stratégies qui ont été activées ou désactivées dans la catégorie Utilisateurs, mais il ne fait pas référence aux stratégies qui restent non configurées. Lorsqu’un utilisateur se connecte, le fichier Registry.pol est évalué et transféré dans la section HKEY_CURRENT_USER de la base de registre de l’ordinateur. Le format du fichier Registry.pol n’est pas compatible avec le fichier du même nom utilisé sous Windows 95, 98 ou NT 4.0.
\User\Application
Ce dossier accueille les fichiers de publication (fichiers AAS) utilisés par Windows Installer pour installer les packages MSI pour les utilisateurs.
\User\Documents & Settings
Tous les fichiers qui sont configurés comme faisant partie du bureau d’un utilisateur.
\User\Microsoft\RemoteInstall
Les autorisations dont dispose un utilisateur lorsqu’il réinstalle un ordinateur à l’aide du service d’installation à distance.
\User\Scripts\Login
Les scripts et les fichiers liés pour un script de connexion attribué.
\User\Scripts\Logoff
Les scripts et les fichiers liés pour un script de fermeture de session attribué.
Les outils de gestion de la stratégie de groupe
Les stratégies de groupe permettent également de définir le comportement et l’interface utilisateur d’un ordinateur individuel qui n’est pas connecté à un réseau. Sous Windows XP, il faut pour cela lancer l’option de menu Stratégie de sécurité locale via Démarrer – Paramètres – Panneau de configuration – Administration. Pour aller plus vite, il suffit de lancer la commande gpedit.msc via Démarrer – Exécuter.
 |
|
Outils d’administration |
Grâce à ce snap-in, vous pouvez par exemple sécuriser un ordinateur portable de telle sorte que l’utilisateur ne puisse modifier ultérieurement que quelques paramètres sur l’ordinateur portable et ne puisse lancer que des applications clairement définies. Grâce à ces restrictions, vous minimisez les frais d’assistance pour les ordinateurs autonomes.
Le domaine d’activité typique des administrateurs réseau n’est toutefois pas les stratégies de groupe locales, mais les stratégies qui sont implémentées dans l’Active Directory à l’échelle du réseau et qui ont un impact sur des domaines entiers, des sites individuels ou des unités organisationnelles individuelles. Ces stratégies de groupe sont contrôlées par les snap-in Utilisateurs et ordinateurs Active Directory, Sites et services Active Directory, Stratégies de groupe ou par l’outil de gestion GPMC.MSI.
Avec le snap-in Utilisateurs et ordinateurs Active Directory, vous créez des objets de stratégie de groupe (GPO) pour un domaine ou une unité d’organisation. Pour ce faire, cliquez avec le bouton droit de la souris sur l’objet du domaine ou de l’unité d’organisation, sélectionnez Propriétés, ouvrez l’onglet Stratégie de groupe et cliquez sur le bouton Nouveau.
 |
|
Outils d’administration |
Sélectionnez ensuite un nom pour le nouvel objet de stratégie de groupe et cliquez sur Modifier. Vous lancez ainsi l’éditeur de stratégie de groupe et pouvez maintenant définir des stratégies individuelles.
Avec le snap-in Sites et services Active Directory, vous créez des GPO pour des sites individuels. La procédure est similaire à celle du snap-in Utilisateurs et ordinateurs Active Directory. Vous cliquez avec le bouton droit de la souris sur l’icône du site, sélectionnez Propriétés, ouvrez l’onglet Stratégies de groupe et cliquez sur le bouton Nouveau pour créer un nouvel objet de stratégie de groupe pour le site sélectionné et lui attribuer un nom. Vous définissez ensuite les différentes directives du GPO à l’aide du bouton Modifier.
 |
|
Outils d’administration |
Les objets de stratégie de groupe pour les sites n’ont de sens que si un domaine s’étend sur plusieurs sites (sites) et s’il existe des stratégies de groupe dont le paramétrage doit différer d’un site à l’autre. Un exemple typique est la stratégie Redirection de dossier, qui vous permet, entre autres, de rediriger le dossier Mes documents vers un partage de serveur pour chaque utilisateur. Pour les collaborateurs situés à l’emplacement X, il sera judicieux de rediriger le dossier Mes documents vers un serveur situé à l’emplacement X. Par contre, les dossiers Mes documents des collaborateurs du site Y devront être redirigés vers un serveur du site Y.
En cliquant sur Démarrer – Outils d’administration, vous pouvez également démarrer le snap-in Stratégies de groupe afin de définir toutes les stratégies de groupe dans tous les objets de stratégie de groupe créés à l’aide de l’éditeur de stratégies de groupe.
Comme vous pouvez le constater dans les illustrations ci-dessus, sur mon serveur de test, lorsque vous cliquez sur l’onglet Stratégies de groupe, le message « Vous avez installé le snap-in Gestion des stratégies de groupe. Par conséquent, cet onglet n’est plus utilisé. Cliquez sur Ouvrir pour ouvrir la gestion des stratégies de groupe ». Les boutons Nouveau et Modifier mentionnés pour créer une nouvelle stratégie de groupe et modifier les stratégies de groupe existantes n’apparaissent plus, car l’outil de gestion des stratégies de groupe GPMC.MSI, disponible gratuitement sur www.microsoft.com, a été installé en plus.
GPMC.MSI est l’abréviation d’un nouveau snap-in Group Policy Management Console. Dans la version allemande, il s’agit de la console de gestion des stratégies de groupe. Cet outil de gestion a été développé par Microsoft après la sortie de Microsoft Windows Server 2003 et peut être téléchargé gratuitement dans des versions linguistiques localisées. Il peut être utilisé non seulement sous Windows Server 2003, mais aussi pour les réseaux sous Windows 2000 Active Directory, mais doit alors être installé sur un client Windows XP.
 |
|
Outils de gestion |
Avec le nouvel outil de gestion des stratégies de groupe (Group Policy Management) GPMC.MSI, il est désormais possible d’effectuer toutes les tâches de gestion relatives aux stratégies de groupe, qui devaient jusqu’à présent être effectuées par le biais de plusieurs snap-in, via un outil central. Il comprend en outre de nombreuses fonctions supplémentaires comme l’ensemble des résultats de la stratégie de groupe, la sauvegarde, le retour et l’importation d’objets de stratégie de groupe entiers, y compris toutes les stratégies qui y sont définies, et la gestion des filtres WMI. L’installation d’outils supplémentaires (tools) pour analyser le résultat résultant de plusieurs stratégies de groupe sur un objet utilisateur ou un objet ordinateur et pour trouver des erreurs dans l’interaction de nombreuses stratégies de groupe est ainsi supprimée. Le prix à payer, en particulier pour les néophytes, est un outil qui semble très complexe, du moins au premier abord, avec une multitude de vues, de commandes et d’options dont la signification et les effets peuvent sembler écrasants.
Pour les novices, le conseil suivant est donc donné : travaillez d’abord sans le nouvel outil GPMC.MSI afin de vous familiariser plus facilement avec l’utilisation des stratégies de groupe. Installez le nouvel outil GPMC dans un environnement de test séparé, par exemple dans un environnement virtuel supplémentaire que vous installez sur votre ordinateur avec un logiciel tel que Microsoft Virtual PC ou VMware. Vous devez connaître les possibilités limitées sans GPMC.MSI installé, rien que pour deux raisons :
- Il se peut que vous deviez plus tard fournir une assistance à un réseau étranger sur le serveur duquel la nouvelle console GPMC n’est pas installée, par exemple parce qu’il s’agit d’un serveur Windows 2000.
- Les articles de la base de connaissances, les livres blancs de Microsoft et les articles de tiers ne partent généralement pas du principe que le nouvel outil GPMC.MSI est installé. Pour comprendre ces articles, vous devez être en mesure de traiter les stratégies de groupe de manière traditionnelle, c’est-à-dire sans GPMC.
Appliquer une stratégie de groupe
Avant de pouvoir définir une stratégie de groupe, il faut d’abord créer un objet de stratégie de groupe (GPO). Il faut alors décider si le GPO doit être créé pour l’ensemble d’un domaine, pour un site ou pour une unité d’organisation (OU). La création du GPO s’effectue dans une console de gestion de stratégie de groupe. Dans l’éditeur d’objets de stratégie de groupe, chaque GPO comporte deux catégories : Configuration ordinateur et Configuration utilisateur. Dans la catégorie Configuration de l’ordinateur, vous définissez des stratégies qui agissent indépendamment de l’utilisateur connecté par la suite. Dans la catégorie Configuration utilisateur, vous définissez en revanche des stratégies qui doivent toujours s’appliquer à certains utilisateurs, quel que soit l’ordinateur auquel ces utilisateurs se connectent.
Si un GPO ne contient que des directives configurées pour les utilisateurs, la configuration des ordinateurs doit être désactivée. L’exécution du GPO est ainsi plus rapide, car la configuration de l’ordinateur n’est plus recherchée pour les réglages effectués. Inversement, si un GPO ne contient que des stratégies configurées pour les ordinateurs, la configuration des utilisateurs doit être désactivée.
Si le nouvel outil GPMC.MSI n’est pas installé, lancez le snap-in Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit de la souris sur les propriétés du conteneur qui contient le GPO, sélectionnez l’onglet Stratégies de groupe. Là, tous les GPO qui ont été créés jusqu’à présent pour le conteneur sont listés. Vous sélectionnez le GPO concerné et ouvrez les propriétés du GPO.
 |
|
Propriétés de l’objet |
Dans les propriétés du GPO, vous trouverez l’option Désactiver les paramètres de configuration de l’ordinateur et l’option Désactiver les paramètres de configuration personnalisés.
Si vous avez déjà installé le nouvel outil GPMC.MSI, vous trouverez les options de désactivation dans l’onglet Détails de la catégorie Objets de stratégie de groupe.
 |
|
Détails de l’objet |
Dans l’onglet Paramètres de sécurité (si GPMC.MSI est installé, sélectionnez l’onglet Délégation puis cliquez sur le bouton Avancé pour voir et modifier les autorisations), indiquez quels comptes d’ordinateurs ou d’utilisateurs sont autorisés à modifier, lire et adopter le GPO.
Remarque importante : un administrateur de stratégie de groupe doit certes pouvoir configurer un GPO et paramétrer les stratégies et a besoin pour cela des droits Lire et Modifier. Il ne doit toutefois pas être concerné par le GPO en règle générale, car les droits des utilisateurs concernés sont souvent fortement limités par le biais de directives. En désactivant le droit de sécurité Reprendre la stratégie de groupe pour les administrateurs, vous empêchez que l’environnement de travail de l’administrateur soit lui-même affecté par le GPO.
Pour les groupes de sécurité Administrateurs de domaine et Administrateurs d’organisation, les autorisations sont déjà prédéfinies de manière appropriée dans un GPO nouvellement créé : Les membres de ces groupes de sécurité peuvent modifier les directives de ce GPO, mais ne sont pas eux-mêmes concernés, l’autorisation « Appliquer la directive de groupe » est désélectionnée par défaut.
 |
|
Sécurité |
Ordre d’héritage des stratégies
Si plusieurs conteneurs sont imbriqués les uns dans les autres, une stratégie de groupe d’un conteneur n’agit pas seulement sur les objets informatiques ou les objets utilisateur de ce conteneur, mais également, par le biais de l’héritage, sur les objets qui se trouvent dans des sous-conteneurs situés à un niveau inférieur. Par exemple, si vous avez créé une unité d’organisation Site de Berlin avec les sous-unités d’organisation Ventes de Berlin, Production de Berlin et Administration de Berlin, et que vous avez défini des stratégies de groupe pour l’unité d’organisation Site de Berlin, ces stratégies s’appliquent à tous les objets de toutes les UO situées à un niveau inférieur.
Si vous créez un nouveau GPO pour la sous-UO Administration de Berlin et que vous y définissez une stratégie de groupe différente de celle de la stratégie de groupe supérieure, le paramètre de la stratégie de groupe située plus bas gagne. Les directives dans les deux OU qui ne sont pas en contradiction les unes avec les autres sont reprises de manière cumulative, elles s’additionnent donc au sens mathématique pour former un ensemble unifié.
Désactivation de l’héritage des stratégies
En cochant la case Désactiver l’héritage des stratégies, vous pouvez empêcher que les stratégies d’une OU supérieure s’appliquent à une OU inférieure en plus des stratégies définies pour cette OU. Vous trouverez cette option dans l’onglet Général. Pour les stratégies de site, l’héritage ne peut pas être désactivé, car les stratégies de site se trouvent au sommet de la hiérarchie des stratégies. On vérifie donc d’abord s’il existe une stratégie de site. Si c’est le cas, celle-ci est héritée, à moins qu’il n’existe une stratégie de domaine dont le libellé est différent ou une stratégie d’unité d’organisation dont le libellé est également différent.
L’option « Pas de priorité » remplace la désactivation de l’héritage
En plus de l’option Désactiver l’héritage des stratégies, il existe l’option Pas de priorité qui fait exactement le contraire. Si vous avez activé une stratégie de groupe pour l’OU Site de Berlin et que vous y avez activé l’option Pas de priorité, la stratégie de groupe s’applique toujours, même si la même stratégie de groupe a été définie exactement à l’inverse dans une OU située plus bas, comme par exemple Distribution Berlin, et est dans notre exemple définie sur désactivée. Si l’option Pas de priorité a été activée dans le conteneur parent, les paramètres de stratégie de ce conteneur seront appliqués aux objets des conteneurs inférieurs, même si l’option Désactiver l’héritage de stratégie a été activée dans les conteneurs inférieurs.
Les paramètres « Non configuré », « Activé » et « Désactivé
Si une stratégie est définie sur Activé, elle est appliquée à tous les objets du conteneur. Si une stratégie est dans l’état Non configuré, cela ne signifie toutefois pas que cette stratégie ne sera pas appliquée dans le résultat final. En effet, s’il existe un conteneur parent dans lequel cette politique est activée, ce paramètre s’applique également aux objets des conteneurs subordonnés en raison de l’héritage. Le paramètre Non configuré signifie correctement que les paramètres de la stratégie supérieure sont repris s’il existe des stratégies supérieures. Ainsi, si ce paramètre est configuré plus haut dans une politique et pas dans la politique actuelle, le paramètre Non configuré est remplacé par le paramètre appliqué plus haut.
Pour éviter cela, il existe le paramètre Désactivé. Ainsi, cette stratégie n’est pas appliquée et un paramètre de stratégie supérieur ne peut pas non plus l’écraser. Mais là aussi, il y a une exception : Si le paramètre Pas de priorité a été activé dans les propriétés d’une stratégie de niveau supérieur, ce paramètre de stratégie ne peut pas être annulé au niveau inférieur.
Un serveur DNS avec des enregistrements SRV est une condition préalable obligatoire
Un DNS configuré sans erreur est une condition nécessaire au bon fonctionnement des stratégies de groupe. Grâce aux enregistrements SRV du serveur DNS, le client trouve son affectation dans l’Active Directory : à quelle OU (Organisation Unit) l’ordinateur et l’utilisateur sont-ils affectés, quelles sont les directives qui y sont déposées, etc. Un service DNS mal configuré, l’absence d’enregistrement du serveur DNS chez les clients ou un enregistrement DNS erroné entraînent des temps de connexion extrêmement longs, les stratégies de groupe ne sont pas appliquées, des problèmes surviennent lors de la résolution des noms ou la réplication entre les contrôleurs de domaine ne s’effectue pas.
Le serveur Windows 2000/2003 avec le service DNS installé remplit toutes les conditions nécessaires au fonctionnement des stratégies de groupe Active Directory. Si l’on ne veut pas continuer à renoncer à BIND dans un environnement où le DNS était jusqu’à présent mis à disposition via Unix ou Linux BIND, il faut mettre à jour BIND de manière à ce que le DNS supporte les enregistrements SRV et soit un DNS dynamique (D-DNS). Dans ce cas, il est en tout cas conseillé d’inscrire un Windows Server 2000/2003 comme serveur DNS sur les clients Windows et d’inscrire le BIND Unix comme forwarder dans le service DNS Windows. Sur les clients Windows, le serveur DNS qui détient les enregistrements SRV doit être enregistré comme premier DNS dans les propriétés TCP/IP.
Les stratégies de groupe agissent sur les objets utilisateurs ou les objets ordinateurs, pas sur les groupes de sécurité.
Le terme de stratégies de groupe est d’ailleurs quelque peu trompeur. Les stratégies de groupe n’ont toujours un effet que sur les objets utilisateurs ou les objets ordinateurs qui se trouvent dans le conteneur correspondant, et non sur les groupes de sécurité. Si vous créez par exemple une unité d’organisation appelée Ordinateurs portables, que vous créez un objet de stratégie de groupe pour cette OU et que vous configurez dans ce GPO des stratégies spéciales pour les ordinateurs portables, vous devez ensuite déplacer tous les ordinateurs portables ou alors tous les utilisateurs d’ordinateurs portables dans cette OU pour que les stratégies agissent. Par contre, si vous créez uniquement un groupe de sécurité Ordinateurs portables dans l’OU Ordinateurs portables, qui contient les objets Ordinateurs portables en tant que membres, et que les objets Ordinateurs portables restent dans un autre OU qui n’est pas un sous-conteneur de l’OU Ordinateurs portables, la stratégie n’aura pas d’effet.
Il est néanmoins possible d’utiliser les groupes de sécurité pour contrôler, via les autorisations de stratégie de groupe, sur quels groupes d’utilisateurs ou d’ordinateurs un ensemble de stratégies doit agir. Pour le démontrer, modifions l’exemple des ordinateurs portables : vous avez créé une unité d’organisation appelée Clients. Cette OU comprend tous les ordinateurs, à l’exception des serveurs, c’est-à-dire aussi bien les ordinateurs de bureau que les ordinateurs portables ou les tablettes. Pour cette OU, vous créez un GPO dans lequel seules les stratégies spéciales pour les ordinateurs portables et les tablettes PC sont configurées. Cette GPO ne doit agir que sur tous les ordinateurs portables et tablettes PC de l’OU Clients, et non sur les clients qui sont toujours en ligne. Pour ce faire, créez un groupe de sécurité Ordinateurs portables et tablettes PC et incluez tous les ordinateurs portables et tablettes PC dans ce groupe de sécurité en tant que membres. Modifiez ensuite les autorisations du GPO de manière à ce que ce GPO ne puisse être lu et adopté que par le groupe de sécurité Ordinateurs portables et Tablettes PC, mais pas par les autres clients.
Dans les explications suivantes sur les stratégies de groupe, nous montrerons comment contrôler ce que les utilisateurs simples et les « power users » peuvent faire à l’aide de deux GPO seulement. Dans le premier GPO, des paramètres de stratégie sont définis pour l’utilisateur standard, qui sont très restrictifs. Le deuxième GPO ne peut être lu et appliqué que par le groupe de sécurité Poweruser. Les membres du groupe de sécurité Poweruser sont des programmeurs, des collaborateurs du service d’assistance et d’autres collaborateurs qui ont besoin de plus de liberté sur leur ordinateur. Dans ce deuxième GPO, certaines des directives qui, dans le premier GPO, limitaient fortement les droits de l’utilisateur standard, sont maintenant annulées en attribuant aux directives le statut désactivé. Avec un modèle simple et facile à comprendre composé de deux GPO, il est ainsi possible de contrôler quels collaborateurs se voient attribuer des directives rigides et non modifiables dans leur environnement de travail et quels collaborateurs voient ces directives rigides à nouveau assouplies afin qu’ils ne soient pas gênés dans leur travail quotidien.
Les stratégies configurées sont également enregistrées dans la base de données du registre.
Où et comment sont enregistrées les stratégies de groupe configurées pour l’ordinateur ou l’utilisateur connecté ? Le modèle de stratégie de groupe (GPT) est une structure de dossier dans le répertoire %systemroot%\SYSVOL\sysvol\Policies des contrôleurs de domaine. Cependant, les paramètres définis dans une stratégie de groupe sous « Modèles d’administration », en particulier, sont également écrits dans la base de données du registre des objets ordinateurs et utilisateurs auxquels ils doivent s’appliquer. Les stratégies configurées doivent également être efficaces lorsque le client est hors ligne et doivent donc, entre autres, être enregistrées localement et pas seulement dans l’Active Directory.
Dans la base de données du registre, il existe à cet effet les branches suivantes :
HKEY_LOCAL_MACHINE\Software\Policies HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies HKEY_CURRENT_USER\Software\Policies HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Forcer la mise à jour sans délai
Si l’on modifie le paramètre d’une stratégie, l’effet sur le client ou l’identifiant utilisateur concerné n’est effectif qu’après un certain délai. Les modifications qui concernent l’ordinateur ne prennent souvent effet qu’après le redémarrage du client. Les modifications qui concernent un utilisateur prennent effet au plus tard après une nouvelle connexion.
Il existe toutefois des commandes en ligne de commande qui permettent d’appliquer à nouveau immédiatement toutes les stratégies de groupe. Sous Windows 2000, on utilise la commande secedit, dans laquelle les paramètres machine_policy et user_policy permettent d’indiquer explicitement si seules les stratégies de la catégorie configuration de l’ordinateur ou de la catégorie configuration de l’utilisateur doivent être appliquées à nouveau :
secedit /refreshpolicy user_policy /enforce secedit /refreshpolicy machine_policy /enforce
Sous Windows XP, gpupdate remplace l’ancien outil secedit:
gpupdate /target:user /force /wait:0 gpupdate /target:computer /force /wait:0
L’outil gpupdate peut cependant aussi être utilisé sous Windows 2000 Professional. Pour cela, il doit être installé dans le répertoire %systemroot%\System32. Consultez l’aide en ligne de l’outil gpupdate pour en savoir plus sur la signification des différents paramètres. Le paramètre /force veille à ce que tous les paramètres soient à nouveau appliqués, même si le compteur de la stratégie n’a pas encore été augmenté.
Il existe également une stratégie qui permet d’abaisser le délai par défaut après lequel les stratégies de groupe sont réappliquées. Cette procédure est recommandée pendant la phase de test.
Sauvegarder, copier et importer des paramètres de stratégie
Imaginez que vous ayez créé une stratégie de groupe dans votre domaine de test et que vous souhaitiez copier tous les paramètres dans un environnement de production. Comment le faire avec le moins d’effort possible ?
Imaginez que vous souhaitiez créer une autre unité d’organisation et utiliser pour cette nouvelle OU des stratégies de groupe identiques ou presque identiques à celles que vous avez déjà créées pour une autre OU.
En automne 2003, Microsoft a publié la console de gestion des stratégies de groupe GPMC à télécharger gratuitement. Ce snap-in permet de copier ou d’importer un objet de stratégie de groupe avec toutes les stratégies qui y sont configurées. L’aide en ligne fournit de plus amples informations :
La copie permet de transférer les paramètres d’un objet de stratégie de groupe directement vers un nouvel objet de stratégie de groupe. Lors du processus de copie, un nouvel objet de stratégie de groupe est créé et reçoit un nouveau GUID (Globally Unique Identifier). De cette manière, les paramètres peuvent être transférés à un nouvel objet de stratégie de groupe dans le même domaine, dans un autre domaine de la même structure globale ou dans un domaine d’une autre structure globale. Comme le processus de copie utilise comme source un objet de stratégie de groupe présent dans Active Directory, il doit exister une relation de confiance entre le domaine source et le domaine cible.
Les opérations de copie conviennent pour le transfert de stratégies de groupe entre des environnements de production ou entre un domaine de test (ou une structure globale de test) et un domaine de production (ou une structure globale de production). La condition préalable est une position de confiance entre le domaine source et le domaine cible. Des instructions détaillées sont disponibles dans l’aide en ligne de GPMC sous .
La copie est similaire à une sauvegarde suivie d’une importation, l’étape intermédiaire via le système de fichiers étant supprimée et le nouvel objet de stratégie de groupe étant créé dans le cadre du processus de copie. Vous trouverez des informations sur la sauvegarde des objets de stratégie de groupe dans l’aide en ligne de GPMC sous le terme de recherche Sauvegarder.
Contrairement au processus de copie, l’importation ne nécessite pas de relation de confiance entre les domaines. Vous trouverez des informations sur le processus d’importation dans l’aide en ligne sous le terme de recherche Importer.
Les procédures de sauvegarde, de copie ou d’importation des GPO et les tâches associées peuvent également être exécutées à l’aide des exemples de scripts fournis avec le gestionnaire de stratégies de groupe GPMC.
Une société de services informatiques qui réalise des projets avec Windows 2000/2003 Active Directory pour de nombreux clients peut donc réutiliser confortablement les stratégies de groupe d’un environnement de test proprement configuré en sauvegardant les stratégies de groupe créées dans l’environnement de test sous forme de modèles, en les introduisant chez le client dans l’Active Directory fraîchement mis en place et en les adaptant ensuite simplement.
Ajouter un lien de stratégie de groupe
Si vous souhaitez toutefois utiliser une stratégie de groupe identique sans modification pour plusieurs unités d’organisation, vous pouvez le faire d’une autre manière, à savoir en créant un lien. Vous créez la stratégie de groupe dans une unité d’organisation neutre et la configurez. Ensuite, vous créez des liens vers cette stratégie de groupe centrale dans d’autres unités d’organisation. Cette méthode présente l’avantage que vous pouvez par la suite, si nécessaire, apporter des modifications à une stratégie de groupe à un seul endroit et que ces modifications prennent effet immédiatement pour toutes les unités d’organisation qui sont liées à la stratégie de groupe gérée de manière centralisée.
Vous ouvrez les propriétés de l’unité d’organisation et l’onglet Stratégies de groupe. Cette fois-ci, vous ne cliquez pas sur le bouton Nouveau, mais sur le bouton Ajouter. Ce bouton aurait été plus clairement appelé Connecter. Sélectionnez l’onglet Tout. Toutes les stratégies de groupe du domaine qui ont été créées jusqu’à présent sont listées.
À quoi sert la possibilité de lier une stratégie de groupe à plusieurs unités d’organisation ?
Si vous avez par exemple plusieurs sites et que des serveurs se trouvent sur tous les sites, vous pouvez créer une unité d’organisation centrale avec le nom Stratégie de groupe de l’organisation. Vous pouvez par exemple y générer une stratégie de groupe Contrôleurs de domaine, dans laquelle sont définies toutes les directives de sécurité importantes pour les contrôleurs de domaine. Pour chaque site, vous devez ensuite créer une OU et, au sein de cette OU, des sous-U pour les contrôleurs de domaine, les serveurs membres, les ordinateurs clients, les utilisateurs, les groupes d’utilisateurs et les contacts externes. Dans les sous-UO de contrôleurs de domaine, qui existent dans chaque OU de site, vous créez ensuite une stratégie de groupe en créant un lien vers la stratégie centrale Contrôleurs de domaine dans l’unité centrale Stratégies de groupe de l’organisation.
Procédez de la même manière pour les autres types de serveurs tels que les serveurs membres, les serveurs Exchange, les serveurs SQL. Sur le serveur web Microsoft, vous trouverez le « Windows Server Security Operations Guide » avec le chapitre 4, « Sécuriser les serveurs en fonction de leurs rôles ». Cet article décrit comment sécuriser différents types de serveurs à l’aide de stratégies de groupe.
Vous pouvez bien entendu utiliser les possibilités de liaison des stratégies de groupe pour des stratégies qui doivent s’appliquer à tous les utilisateurs de l’ensemble de l’organisation. Pour ce faire, vous créez une stratégie de groupe telle que Utilisateur standard à l’échelle de l’organisation et peut-être une autre stratégie de groupe telle que Utilisateur principal à l’échelle de l’organisation dans l’unité centrale Stratégies de groupe de l’organisation. La deuxième stratégie de groupe est alors destinée aux power users (développeurs de logiciels, collaborateurs du helpdesk, etc.), dont l’environnement n’est pas aussi limité que celui des utilisateurs standard. Vous liez ensuite ces stratégies de groupe centrales aux unités d’organisation appelées utilisateurs qu’elles ont créées en tant que sous-UO sous les différentes UO de site.
Toutefois, vous ne devez définir dans ces stratégies de groupe centrales que des stratégies qui s’appliquent à tous les utilisateurs de l’organisation. La stratégie Redirection de dossier, dans laquelle il faut indiquer un serveur sur lequel se trouve le répertoire de base de l’utilisateur, est peut-être moins appropriée pour une stratégie de groupe centrale. En effet, les répertoires de base (Userhome-Directories) d’une grande organisation avec plusieurs sites se trouvent sur plusieurs serveurs de fichiers. Mais ici aussi, il existe une astuce permettant de réaliser l’attribution à plusieurs serveurs. Vous trouverez de plus amples informations à ce sujet dans le chapitre « Profils d’utilisateurs enregistrés sur le serveur, dossiers de base et redirection de dossiers ».
Supprimer une stratégie de groupe ou son lien
Si vous supprimez une unité d’organisation sans supprimer au préalable les stratégies de groupe créées pour cette unité d’organisation, ces stratégies de groupe sont conservées dans l’Active Directory et dans le répertoire %SYSTEMROOT%\SYSVOL\sysvol\Company.local\Policies des contrôleurs de domaine. Pour tester cela, créez une nouvelle OU de test et créez une stratégie de groupe de test pour cette OU. Notez le nom unique de la stratégie de groupe qui s’affiche via le bouton Propriétés. Supprimez maintenant l’OU de test et vérifiez si le répertoire créé lors de la création de la stratégie de groupe sous %SYSTEMROOT%\SYSVOL\sysvol\Company.local\Policies a été automatiquement supprimé par la suppression de l’OU. Il est toujours présent.
Ouvrez maintenant les propriétés d’une autre OU et l’onglet Stratégies de groupe. Cette fois-ci, ne cliquez pas sur le bouton Nouveau, mais sur le bouton Ajouter. Sélectionnez l’onglet Tout. Toutes les stratégies de groupe du domaine sont listées, y compris la stratégie de groupe de test qui a été créée pour l’OU de test déjà supprimée.
Si l’on a sélectionné un objet de stratégie de groupe avec la souris et que l’on clique sur le bouton Supprimer, une interrogation apparaît :
Supprimer le lien de la liste a pour effet que d’autres conteneurs (sites, domaines, OU) peuvent toujours utiliser la stratégie. Seul le lien vers l’objet actuel est donc supprimé.
Supprimer le raccourci de la liste et supprimer l’objet de stratégie de groupe de manière irréversible signifie que la stratégie de groupe elle-même est supprimée et qu’elle sera complètement supprimée après cette opération. Il n’est pas possible d’appliquer cette stratégie à un autre conteneur ultérieurement.
Toutefois, avant de supprimer irrévocablement un objet de stratégie de groupe, vous devez vérifier le paramètre suivant : Sélectionnez la stratégie souhaitée et cliquez sur le bouton Propriétés. Dans l’onglet Liens, sélectionnez dans le champ Domaine le domaine dans lequel vous souhaitez rechercher des liens. Cliquez sur Rechercher. Cette opération permet de rechercher tous les conteneurs auxquels cette stratégie est liée. Vous pouvez ainsi vérifier si cette stratégie agit encore sur un autre conteneur d’un autre domaine.
La procédure décrite se rapportait à un serveur sans la console de gestion des stratégies de groupe GPMC installée en plus. Si cet outil est installé, la procédure est similaire. Vous devriez également connaître la procédure sans GPMC installée, car vous devrez peut-être administrer demain un serveur sur lequel la GPMC sera absente.
Restauration de la stratégie de domaine par défaut avec l’outil de ligne de commande
Pour un domaine nouvellement configuré, les deux objets de stratégie de groupe Default Domain Policy et Default Domain Controllers Policy sont automatiquement créés. Dans la mesure du possible, vous devriez éviter de modifier les paramètres de stratégie dans ces deux objets de stratégie de groupe par défaut ou du moins les documenter avec précision. Il est préférable de créer vous-même de nouveaux objets de stratégie de groupe et d’y effectuer les réglages souhaités. Si des modifications ont tout de même été apportées aux stratégies par défaut et que l’état initial doit être rétabli, Windows Server 2003 propose la commande de ligne de commande dcgpofix. L’outil correspondant dcgpofix.exe se trouve dans le répertoire %systemroot%\system32. L’aide en ligne explique l’utilisation de l’outil, les paramètres associés et les restrictions.
En spécifiant le paramètre /ignoreschema, vous pouvez permettre à dcgpofix.exe de fonctionner avec différentes versions d’Active Directory. Cependant, les objets de stratégie par défaut peuvent ne pas être restaurés dans leur état d’origine. Pour assurer la compatibilité, vous devez utiliser la version de dcgpofix.exe installée avec le système d’exploitation actuel. L’exemple suivant montre comment utiliser la commande dcgpofix pour restaurer l’objet de stratégie de domaine par défaut :
dcgpofix /target : domain
Pour plus d’informations, consultez les articles de la base de connaissances
- Réinitialisation des droits d’utilisateur dans la stratégie de groupe par défaut d’un domaine
- Réinitialisation des droits d’utilisateur dans l’objet de stratégie de groupe des contrôleurs de domaine par défaut
Fichiers reg de stratégie de groupe contra
De nombreuses stratégies de groupe permettent de modifier des valeurs dans la base de données du registre du client ou du serveur. On peut se demander s’il n’est pas possible d’atteindre les mêmes objectifs via des fichiers reg, peut-être même avec moins d’efforts. Outre la commande Regedit, il existe sur le marché de nombreux outils permettant d’effectuer des réglages dans Windows XP ou Microsoft Office et d’exporter les entrées de registre correspondantes directement dans un fichier reg, par exemple le Registry System Wizard ou RegShot. Ce fichier reg peut ensuite être importé via un script de connexion ou un script de démarrage.
Bien que Microsoft, depuis l’introduction d’Active Directory avec Windows 2000 Server, ne cesse de mettre en avant l’instrument des stratégies de groupe comme l’outil de gestion central pour le contrôle des clients, il n’existe jusqu’à présent, à part Microsoft, aucun fournisseur tiers que je connaisse qui propose des fichiers de modèles de stratégies de groupe (fichiers adm) afin que leurs produits puissent également être contrôlés de manière centralisée via l’éditeur de stratégies de groupe. De tels fichiers adm n’existent ni pour SAP, Sage KHK, AutoCAD, CorelDraw, ni pour les principaux produits antivirus. Et même le produit commercial Navision, que Microsoft distribue désormais, ne contient pas de fichiers de modèle de stratégie de groupe pour le contrôle centralisé des clients.
Pourtant, il existe désormais non seulement des outils pour convertir les fichiers reg en fichiers adm(Registry System Wizard, reg2adm, ptfe-PolicyTemplate File Editor) et des articles qui décrivent en détail la création de vos propres fichiers adm. Il existe également de nombreuses autres raisons de s’intéresser aux stratégies de groupe, car celles-ci permettent d’obtenir bien plus de résultats que les manipulations de la base de données du registre :
- Les stratégies de groupe permettent également de manipuler des valeurs dans la zone HKEY_LOCAL_MACHINE de la base de registre. Toutefois, l’utilisateur de base n’a généralement pas les droits nécessaires pour cela.
- Les stratégies de groupe permettent d’installer des applications.
- Les stratégies de groupe permettent d’activer des scripts de démarrage et d’arrêt, mais aussi des scripts de fermeture de session, ce qui offre bien plus de possibilités qu’un simple script de connexion.
- Les stratégies de groupe permettent de contrôler de manière centralisée des structures Active Directory complexes, composées de plusieurs sites ou même de plusieurs domaines.
- Les stratégies de groupe permettent de contrôler individuellement le comportement de groupes de clients ou de groupes d’utilisateurs. Vous pouvez par exemple créer une unité d’organisation dans laquelle vous placez tous les ordinateurs portables et les tablettes PC et mettre en place une stratégie de groupe spéciale pour cette OU afin de maîtriser les particularités des clients qui sont régulièrement hors ligne.
Ce ne sont là que quelques-uns des avantages que présente la stratégie de groupe par rapport à la manipulation de la base de données du registre au moyen de fichiers reg. Le principal avantage de la stratégie de groupe est que l’administrateur peut définir de manière centralisée à quoi ressemble un client, quelles applications et fonctionnalités sont autorisées ou bloquées et ce que l’utilisateur peut utiliser et modifier. Ces paramètres peuvent être modifiés à tout moment via les stratégies de groupe, sans que l’utilisateur ne doive faire partie du groupe des administrateurs locaux ou des utilisateurs principaux. Les paramètres de la base de données du registre contrôlés par des stratégies de groupe sont appliqués avec l’autorisation du groupe SYSTEM interne au système d’exploitation.
Les stratégies de groupe gérées de manière centralisée permettent de réduire considérablement la charge administrative d’un réseau, ainsi que le nombre de sources d’erreurs et de menaces de sécurité potentielles. D’une manière ou d’une autre, vous ne pouvez pas faire l’économie d’une réflexion sur les stratégies de groupe. Car demain peut-être, vous devrez gérer un réseau dans lequel les stratégies de groupe sont utilisées de manière intensive.
Dépannage lorsqu’une stratégie ne fonctionne pas
En principe, il peut y avoir de nombreuses causes, d’un environnement à l’autre, si l’on a activé une stratégie de groupe et que cette stratégie de groupe ne donne pas le résultat escompté sur le client concerné ou sous l’identifiant concerné. Si aucune stratégie de groupe ne fonctionne, cela est généralement dû à une mauvaise configuration du DNS. Vérifiez alors la configuration DNS du serveur DNS et les enregistrements DNS du client. Vérifiez le journal des événements du serveur.
Assurez-vous ensuite que l’ordinateur client ou l’identifiant d’utilisateur concerné se trouve dans la bonne OU à laquelle la stratégie est appliquée.
Vérifiez que les autorisations de la stratégie de groupe sont correctement définies, de sorte que l’ordinateur ou l’utilisateur puisse lire et adopter le GPO. Il est important de noter que les stratégies ne peuvent pas être appliquées à un groupe de sécurité, mais uniquement aux objets qui se trouvent dans le conteneur sur lequel la stratégie agit.
Vérifiez l’ordre dans lequel plusieurs stratégies sont appliquées, s’il existe des stratégies héritées de conteneurs de niveau supérieur. Un outil du Windows Server Resource Kit appelé GPRESULT montre également sous Windows 2000 Professional le résultat résultant lorsque plusieurs stratégies de groupe agissent sur un objet. Dans le nouvel outil de gestion GPMC.MSI, cet outil est déjà intégré.
Sur un client Windows XP, vous pouvez utiliser la commande de ligne de commande gpresult pour afficher le résultat de toutes les stratégies de groupe qui agissent. La commande gpresult / ? affiche tous les paramètres, la commande gpresult > c:\gpresult.txt redirige le résultat vers un fichier texte plus facilement exploitable. Avec les paramètres /u (pour utilisateur) et /s (pour système), il est même possible de savoir ce qui se passe lorsqu’un utilisateur donné se connecte à un autre ordinateur : gpresult /u:nomutilisateur /s:nomordinateur
Outils, articles et sources sur les stratégies de groupe
La première source d’informations supplémentaires sur le thème des stratégies de groupe est le livre-DVD, qui s’enrichit encore d’autres contributions, même si ce chapitre est déjà placé chez l’imprimeur. Sur le livre-DVD, vous trouverez un répertoire séparé pour les stratégies de groupe avec des outils, des livres blancs, des articles de savoir-faire et des renvois à des pages web avec d’autres sources. Dans un deuxième temps, vous devriez vérifier sur le portail Internet de l’éditeur, sur la page de mise à jour de ce livre, s’il y a de nouveaux articles sur le thème des stratégies de groupe.
| Cette série d’articles est un extrait du « Manuel d’intégration du réseau Microsoft » d’Ulrich Schlüter. Date de parution : octobre 2004 chez Galileo Computing. (ISBN 3-89842-525-8) et a été mis à la disposition exclusive de WinTotal en avant-première. |
Ulrich Schlüter