Bienvenue sur le Laboratoire SUPINFO des technologies Microsoft !
Nous sommes étudiants et travaillons sur des centaines de projets sur les technologies Microsoft.
Nous préparons la migration de ce portail vers les technologies SharePoint 2013.
L'équipe du Laboratoire Microsoft


 


Tous les Articles du Laboratoire Microsoft

Les stratégies de groupe, c'est quoi ?
Accueil > Articles > Système
Auteurs 
Naïma HIZIR
LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT
Laboratoire Supinfo des Technologies Microsoft


 Tous les articles de cet auteur

1,2/5

Mauvais


676685
2394/2968

2. Application d’une stratégie de groupe

2.1. Les modèles d’administration

Les fichiers dont l’extension est « .adm » (pour administration) servent de modèles et renferment la description des GPO, ils se situent dans le dossier %systemroot%\inf . On sont aussi présents dans le dossier %systemroot%\system32\GroupPolicy\Adm quand une stratégie a déjà été définie.

Ils contiennent d’une part une description des modifications à apporter pour mettre en place une stratégie et d’autre part les options de restrictions pour les valeurs, leur valeur par défaut, la définition de chaque paramètre et enfin les versions de Windows qui prennent en charge le paramètre. Un administrateur est néanmoins libre de créer ses propres modèles d’administration pour gérer les éléments dont il a la responsabilité. Ces fichiers texte (ANSI : 1 caractère=1 octet ou UNICODE : 1 caractère= 2 octets) comportent plusieurs sections : chaque section et sous-section est identifiée par un mot-clef.

Généralement, deux à quatre fichiers sont utilisés, ce sont : 

  • system.adm (pour le système Windows)
  • inetres.adm ( pour Internet Explorer)
  • wuau.adm (éventuellement pour Windows Update)
  • conf.adm (éventuellement pour NetMeeting)

Certaines règles de syntaxes doivent impérativement être respectées :  

  • Les lignes d'un fichier .adm ne sont pas sensibles à la casse
  • Un ";" marque le début d’ un commentaire. Tout ce qui est situé à droite est ignoré 
  • Les lignes vides sont ignorées.
  • Les espaces non nécessaires sont ignorés
  • Le nom d’une variable ne doit pas comporter d'espace
  • Les retours à la ligne dans les chaînes de caractères sont remplacés par la chaîne \n
  • Les chaînes de caractères doivent être encadrées par des guillemets (")
  • Les chaînes de caractères peuvent être stockées dans des variables, dont le nom commence obligatoirement par "!!". Par exemple : !!UnenableHighLinkDetect.

2.2. GPO par défaut et application selon les objets

Par défaut, chaque domaine dispose de deux GPO : l’une qui est vide et la seconde qui s’applique sur le conteneur contrôleur de domaine (c’est cette GPO qui va interdire par exemple aux utilisateurs simples de s’identifier en tant que contrôleur de domaine).

Pour les comptes utilisateurs, les comptes sur lesquels la GPO s’applique doivent avoir les permissions Lire et Appliquer la Stratégie ou encore faire partie d’un groupe approprié. Il existe un groupe « Utilisateurs authentifiés » qui dispose de ces permissions dans l’ACL (liste d’accès qui permet de déterminer quels seront les comptes qui seront ou non concernés dans les conteneurs) d’une GPO, donc par défaut une GPO est valable pour tous les utilisateurs.

En outre une GPO est valable pour tous les comptes de machine par défaut (ce qui inclut les contrôleurs de domaine) dans les conteneurs concernés. Lorsque l’on désire qu’une machine ne soit pas concernée par une GPO celle-ci doit avoir la permission « Refuser l’application ».

Il faut noter qu’une GPO s’applique sur un conteneur et que les objets ordinateurs/utilisateurs appliquent la GPO.

2.3. Héritage d’une GPO

L’ordre dans lequel les objets GPO sont appliqués dépend du conteneur active directory auquel sont liés les objets. Ils sont hérités et appliqués dans l’ordre suivant : au site, au domaine puis au unité d’organisation.

Chaque paramètre d’une GPO peut être configuré ou non, s’il n’est pas configuré, un paramètre ne provoque pas de conflit. Cependant si des paramètres configurés entrent en conflit, l’échelle de priorité précédente détermine le paramètre à appliquer. Lorsque plusieurs GPO sont appliqués sur une OU, la GPO la plus élevée (la première) est la plus prioritaire et la dernière, la moins prioritaire.

En cas de conflit dans la configuration des GPO de différents niveaux, par défaut, on appliquera le paramètre de la GPO la plus proche de l’objet. Voici les règles applicables par défaut :

  • Dans le cas d’un domaine, les GPO appliquées celui-ci sont héritées de domaine père en domaines fils.
  • Dans le cas d’une Unité d’organisation, les GPO appliquées à celle-ci sont héritées d’une unité d’organisation mère en unités d’organisations filles.

Il existe néanmoins des exceptions dans la mesure où pour chaque conteneur (OU ou domaine) les deux options suivantes sont configurables :

  • Bloquer l’héritage : Lorsque cette case est cochée, aucune GPO supérieure ne sera héritée par le conteneur en question.
  • Ne pas passer outre : Cette exception va empêcher qu’une GPO plus proche de l’objet utilisateur ou ordinateur ne prime sur une GPO plus éloigné.

Dans la mesure où ils sont définis une seule fois pour tout le domaine dans la première GPO, certains paramètre font exception à l’ordre d’application et aux possibilités d’héritage : c’est le cas des paramètres de mots de passe et ceux de verrouillage de compte. Si ces derniers sont définis à un autre emplacement, ils n’auront aucun effet.

2.4. Filtrage à l’installation de la GPO

L’option filtrage du déploiement d’une GPO permet d’appliquer la stratégie de groupe à certains groupes exclusivement. En effet, chaque objet GPO va être lié à une ACL (liste d’accès) qui va définir quels sont les utilisateurs, ordinateurs ou groupes qui vont pouvoir accéder à l’objet GPO donc pouvoir appliquer ces paramètres.

Par exemple, pour appliquer une GPO seulement sur le groupe Administrateur, il suffit donc d’afficher les sécurités de l’objet GPO et de retirer l’autorisation Appliquer la stratégie de groupe à tous les autres utilisateurs excepté au groupe « Administrateurs ».

2.5. Délai d’application


Un ordinateur vérifie qu’il utilise la dernière version des GPO toutes les 90 minutes environ ( plus ou moins 30 minutes déterminées de façon aléatoire) afin d’éviter que plusieurs ordinateurs fassent des requêtes au DC en même temps.

En ce qui concerne les contrôleurs de domaines, ils sont réactualisés toutes les 5 minutes. Ce paramètre est configurable dans la GPO elle-même. Vous pouvez forcer le rafraîchissement sur chaque machine en utilisant les commandes suivantes (l’une pour les paramètres d’ordinateur, l’autre pour les paramètres utilisateurs) :

  • Secedit /refresh machine_policy
  • Secedit /refresh user_policy
  • gpudate (pour les clients XP et les serveurs 2003, cf chapitre 4)

Introduction
1. Qu'est-ce qu'une stratégie de groupe ?
2. Application d'une stratégie de groupe
3. Comment configurer les paramètres des GPO ?
4. Quelques outils en ligne de commande bien utiles
5. Des limitations à respecter
Conclusion



En Savoir Plus 
Evaluez cet article 


Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft



Retrouvez ci-dessous les autres sections du Laboratoire Microsoft