Chapitres
|
||||||||||||||||||||||||
|
|
Définition de la statégie de Groupe
Pour rappel un objet de stratégie de groupe rassemble un ensemble de règles et de paramètres qui seront appliqués à un groupe d'utilisateurs/ordinateurs/Unité d'organisation.
Nous détaillerons les étapes de la création d'un objet
de stratégie de groupe ainsi que son processus d'application qui est
appelé "étendue de l'objet de stratégie de groupe".
Pour illustrer cet article, nous allons créer deux stratégies
de groupe et voir dans le détail les tâches qu'il nous est possible
d'effectuer grâce à GPMC et aux outils qu'il nous propose
Création d'une stratégie
de groupe
Règle d'application de la stratégie de groupe:
Une stratégie de groupe s'applique au niveau local, d'un
site, d'un domaine ou d'une unité d'organisation.
Rappellez vous la règle LSDOU
Pour Local Site Domaine Unité d'Organisation
Nous allons donc nous placer au niveau de l'un de ces conteneurs, disons l'OU Test. Nous allons ensuite effectuer un clic droit sur cette OU afin d'afficher le menu contextuel
Menu contextuel | Description |
Créer et lier un objet de stratégie de groupe ici |
nous permet donc de créer notre stratégie de groupe qui sera automatiquement liée à notre conteneur. |
Lier un objet de stratégie de groupe existant | comme son nom l'indique, nous permet de lier à notre conteneur une stratégie de groupe existante. |
Bloquer l'héritage | comme son nom l'indique, ce paramètre permet de bloquer l'héritage de la stratégie : cela signifie que la stratégie ne s'appliquera pas aux objets présents dans notre conteneur. |
Assistant Modélisation de stratégie de groupe | il s'agit du jeu de stratégie résultant en mode planification. |
Nouvelle unité d'organisation | permet la création d'une OU enfant. |
Nous créons donc une stratégie nommée Environnement utilisateur et une autre SUS. Une fois nos stratégies créées, voici comment cela apparaît dans la partie gauche de notre console
![]() |
![]() |
Affichage des stratégies appliquées à l'OU | L'onglet Objet de stratégie de groupe liés affiches les stratégies de groupe lié à notre OU. Elles apparaissent dans l'ordre de priorité. Il est possible de change cet ordre grâce aux flèches présentes sur le coté gauche
|
Onglet : Héritage de Stratégie de groupe
affiche toutes les stratégies de groupe héritées de conteneurs parents. Dans notre exemple il y a la stratégie de groupe Default Domain Policy.
Onglet : Délégation
L'onglet Délégation affiche le nom des utilisateurs et des groupes ayant des droits particuliers sur notre OU. Il est possible d'ajouter des membres à cette liste, d'en supprimer ou encore d'affiner ou de modifier les droits de ces membres en appuyant sur le bouton Avancé, situé en bas à droite
Un lien de stratégie de groupe est en quelques sortes un "raccourci" vers notre GPO. Un certain nombre d'actions sont réalisables à partir du menu contextuel que voici (clic droit sur un lien de stratégie de groupe):
Menu contextuel | Description |
Modifier | nous permet de configurer les paramètres ordinateurs et utilisateurs de nos stratégies de groupe |
Appliqué | équivaut à "Ne pas passer outre" sous Windows 2000. Cette fonctionnalité permet de forcer l'application d'une stratégie même si l'héritage a été bloqué au niveau d'un conteneur inférieur. Lorsque ce paramètre est appliqué, un cadenas apparaît sur de l'icône du lien de stratégie de groupe. |
Lien activé | détermine si le lien de stratégie de groupe est activé ou non. S'il n'est pas activé, les paramètres de la stratégie ne s'appliqueront pas |
Enregistrer le rapport | permet d'enregistrer au format HTML un compte-rendu des paramètres de stratégie qui ont été modifiés.Voir le détail du rapport ci dessous |
Supprimer | à ce niveau l'option supprimer nous permet d'agir
sur le lien de stratégie de groupe. J'insiste sur le fait que nous agissons ici sur un lien car les actions sur les stratégies de groupe en elles-mêmes diffèrent un peu. Si nous supprimons un lien de stratégie de groupe, la stratégie en elle-même existe toujours et nous pourrons par exemple la modifier plus tard ou encore la lier à un autre conteneur. Si nous supprimons une stratégie de groupe, cette dernière est définitivement perdue… enfin presque. Lorsque nous sélectionnons notre stratégie, le volet de droite affiche aussi certaines informations : |
Détail du rapport :
Modifier : nous permet de configurer les paramètres ordinateurs et utilisateurs
de nos stratégies de groupe.
Appliqué : équivaut à "Ne pas passer outre" sous
Windows 2000. Cette fonctionnalité permet de forcer l'application d'une
stratégie même si l'héritage a été bloqué
au niveau d'un conteneur inférieur. Lorsque ce paramètre est appliqué,
un cadenas apparaît sur de l'icône du lien de stratégie de
groupe.
Lien activé : détermine si le lien de stratégie de groupe
est activé ou non. S'il n'est pas activé, les paramètres
de la stratégie ne s'appliqueront pas.
Enregistrer le rapport : permet d'enregistrer au format HTML un compte-rendu
des paramètres de stratégie qui ont été modifiés.
Voici à quoi ressemble ce rapport :
Supprimer : à ce niveau l'option supprimer nous permet d'agir sur le
lien de stratégie de groupe.
J'insiste sur le fait que nous agissons ici sur un lien car les actions sur
les stratégies de groupe en elles-mêmes diffèrent un peu.
Si nous supprimons un lien de stratégie de groupe, la stratégie
en elle-même existe toujours et nous pourrons par exemple la modifier
plus tard ou encore la lier à un autre conteneur. Si nous supprimons
une stratégie de groupe, cette dernière est définitivement
perdue… enfin presque.
Lorsque nous sélectionnons notre stratégie, le volet de droite
affiche aussi certaines informations :
L'onglet Etendue présente trois parties :
Détail de l'onglet | Description |
Liaison | cette partie nous montre le ou les conteneurs auxquels est liée notre stratégie. |
Filtre de sécurité | affiche les utilisateurs, les groupes et les ordinateurs qui sont affectés par notre stratégie. Par défaut c'est le groupe Utilisateurs authentifiés qui est présent. |
Filtrage WMI | affiche le filtre WMI lié à notre stratégie
|
Onglet Détail :
affiche les informations sur la stratégie tels que la date de création ou de modification, son GUID ou encore son état. L'état d'une stratégie correspond à savoir si elle est activée ou non. Il nous est aussi possible de désactiver uniquement les paramètres utilisateurs ou les paramètres ordinateurs afin d'optimiser l'application de la stratégie sur les postes clients
L'onglet Paramètre :
affiche tous les paramètres effectifs de la stratégie :
L'onglet Délégation :
Même fonction que celui précédemment vu avec notre unité d'organisation.
Le noeud "Objets de stratégie
de groupe"
Jusqu'à présent la gestion des liens de stratégie
de groupe, même si elle a évolué grâce à GPMC,
est somme toute basique. Mais la gestion des objets de stratégie de groupe
va plus loin sous Windows Server 2003. Voyons les nouveaux outils mis à
notre disposition
Gestion des sauvegardes
Sauvegarder tout nous donne la possibilité de sauvegarder toutes nos stratégies de groupe. Pour cela, il faut tout d'abord définir un emplacement comme indiqué dans la fenêtre de sauvegarde puis d'entrer si on le veut une description pour notre sauvegarde
![]() |
![]() |
Gérer les sauvegardes
Affiche la liste des sauvegardes effectuées (avec les dates et heures de sauvegardes, le domaine d'origine de notre GPO, etc.…).Il est possible de restaurer ces sauvegardes, les supprimer et afficher leurs paramètres
L'éditeur de tables de migration
Il est possible comme nous le verrons par la suite d'importer des paramètres
de stratégies de groupe vers d'autres stratégies ou de copier
entièrement ces stratégies. Lors de ce processus, nous pouvons
être amené à changer certaines informations faisant référence
à des groupes de sécurité ou à des chemins UNC.
Une table de migration a pour but de faire le mappage entre les anciennes références
et les nouvelles. Par exemple si nous voulons importer des paramètres
de stratégies de groupe ayant trait à la redirection de dossiers
vers un nouveau GPO, il nous suffit de créer une table de migration qui
contiendra :
• l'ancien chemin UNC (la source) du partage utilisé pour stocker ces
informations
• le type d'objet que nous voulons mapper (un chemin UNC)
• le nouveau chemin UNC (la destination) vers lequel nous voulons que notre
GPO redirige les dossiers spécifiés.
Voici comment se présente cette table :
Il y a 3 colonnes.
Dans la première colonne :(Nom de la source) nous devons renseigner l'objet référencé dans notre stratégie.
En cliquant sur Parcourir, nous obtenons la fenêtre suivante
Deuxième colonne :( Type de source ) Nous devons donc choisir un objet dans la liste déroulante
Quant à la 3e colonne (Nom de la destination) le principe est le même que pour la 1ere, à savoir qu'il faut indiquer l'objet référencé dans notre stratégie de destination et ce toujours en fonction du type d'objet que nous auront défini auparavant
Prenons un exemple simple. Nous avons une stratégie dont le paramètre de redirection de dossiers a été activé. Le dossier Mes documents des utilisateurs sera redirigé vers l'emplacement suivant : \\Dc01\RepBase\%USERNAME%\Mes documents.
Nous voulons utiliser cette fonctionnalité pour les développeurs
mais nous voulons leur dédier un espace différent : \\Dc01\RepDev\%USERNAME%\Mes
documents. Pour affecter la stratégie spécialement dédié
aux développeurs, nous avons donc créer une table de migration
qui modifiera le chemin UNC du paramètre de redirection de dossier :
Pour remplir notre 1er champ, nous avons utilisé le menu "Outils" de notre table
Peupler depuis l'objet GPO :nous permet de récupérer les paramètres que nous voulons modifier directement à partir de la stratégie concernée.
Peupler depuis la sauvegarde : même effet que précédemment à la différence près que nous allons récupérer les paramètres depuis une sauvegarde de notre stratégie
Valider la table : vérifie que les paramètres de la stratégie destinataire sont valide
A noter que la case à cocher "Lors de l'analyse, inclure les entités de sécurité du DACL sur l'objet GPO" spécifie que les ACLs présentent sur l'objet de stratégie de groupe seront conservées. Il nous suffit à présent d'importer ce paramètre de stratégie dans ma nouvelle stratégie, ce que nous verrons dans la prochaine section
Gestion des Objets de stratégies de groupe
Les GPO possèdent leurs propres options qui diffèrent de celles présentent sur le nœud "Objet de stratégie de groupe". En voici la liste :
Détail du menu | Description |
Modifier | nous permet d'éditer les paramètres de notre stratégie de groupe |
Etat GPO | nous donne la possibilité d'activer ou de désactiver tout ou partie de notre stratégie. |
Sauvegarder | permet de sauvegarder notre stratégie |
Restaurer à partir d'une sauvegarde :
Cette testauration se fera avec l'aide d'un assistant qui nous guide tout au long de la procédure de restauration
Nous sommes ensuite invité à choisir le répertoire dans lequel se trouve notre sauvegarde
Nous voyons ensuite une liste de toutes les sauvegardes que nous avons pu effectuer sur notre stratégie incluant la date et l'heure, le domaine d'origine ainsi que l'ID de la stratégie
Une fois que nous avons choisi la sauvegarde que nous voulions restaurer, nous avons une fenêtre de récapitulation
Et pour finir le résultat de notre restauration
Importer des paramètres
Nous avons vu que nous pouvions créer une table
de migration afin de faciliter l'importation ou la copie de stratégies
de groupe. Voici comment l'importation se déroule :
Nous sommes encore une fois guider par un assistant qui nous propose, avant
l'importation de paramètres, de sauvegarder notre stratégie afin
que nous puissions la restaurer telle qu'elle était avant nos manipulations.
Il faut savoir que l'importation supprime tous les paramètres existant
de la stratégie
![]() |
![]() |
l faut ensuite renseigner le répertoire de sauvegarde à partir duquel nous voulons choisir la stratégie qui nous servira à l'imp
Une fois le répertoire défini, nous avons droit à la liste des stratégies de groupe à partir desquels nous pouvons importer des paramètres. A noter qu'il faut bien avoir sauvegarder notre stratégie source pour la voir lister dans cette fenêtre. Nous sélectionnons notre stratégie "RedirectionUsers" :
Après avoir choisi la stratégie que nous voulions comme source, une analyse de cette dernière est effectuée car il peut y avoir des références particulières (comme des chemins UNC ou des groupes d'utilisateurs)
Si l'analyse détecte des références
susceptibles d'être modifiés, l'assistant nous en informe et nous
propose plusieurs choix :
• effectuer une copie identique à partir de la source ne modifie aucunes
références et importe les paramètres tels qu'ils sont définis
dans la stratégie de groupe source.
• utiliser cette table de migration pour le mappage dans l'objet de stratégie
de groupe cible v va charger les paramètres que nous avons renseignés
à partir d'une table de migration de notre choix. Ici, les références
contenues dans la stratégie source et qui ne sont pas mappé dans
la table de migration seront copiés tel quel.
• utiliser uniquement la table de migration nous impose d'utiliser une table
pour laquelle tous les paramètres susceptibles de contenir des références
doivent être renseignées. Dans le cas contraire, l'importation
n'aura pas lieu.
Ici nous choisissons donc la table que
nous avons créé précédemment et qui concerne la
redirection de dossier.
Pour finir, nous avons droit à un récapitulatif puis au résultat
de notre importation :
![]() |
![]() |
Visualisons le résultat
Cette fonctionnalité peut-être utile dans le cas
où les références à modifier sont nombreuses ou
si l'importation doit s'appliquer à une stratégie appartenant
à un autre domaine.
Copier une stratégie : cette option permet de créer une nouvelle
stratégie de groupe en la copiant à partir d'une stratégie
existante. Pour ce faire il faut sélectionner la stratégie que
nous voulons copier et donc choisir l'option copier dans le menu contextuel.
Ensuite pour la coller (et ainsi en créer une nouvelle) il faut ouvrir
le menu contextuel du nœud Objet de stratégie de groupe et choisir Coller.
Une fenêtre nous propose de conserver les autorisations présentes
ou d'utiliser les autorisations par défaut