2. Gestion des stratégies de groupe
Pour rappel un objet de stratégie de groupe rassemble
un ensemble de règles et de paramètres qui seront appliqués
à un groupe d'utilisateurs/ordinateurs.
Voyons donc maintenant quelles sont les étapes de la création
d'un objet de stratégie de groupe ainsi que son processus d'application
qui est appelé "étendue de l'objet de stratégie
de groupe".
Pour illustrer cet
article, nous allons créer deux stratégies de groupe et voir dans le détail
les tâches qu'il nous est possible d'effectuer grâce à GPMC et aux outils qu'il
nous propose.
2.1 Création d'une stratégie de groupe
Une
stratégie de groupe s'applique au niveau d'un site, d'un domaine ou d'une
unité d'organisation. Nous allons donc nous placer au niveau de l'un de ces
conteneurs, disons l'OU Test. Nous allons ensuite effectuer un clic droit
sur cette OU afin d'afficher le menu contextuel
 Créer et lier un objet de stratégie de groupe
ici : nous permet donc de créer notre stratégie de groupe qui sera
automatiquement liée à notre conteneur.
Lier
un objet de stratégie de groupe existant
: comme son nom l'indique, nous permet de lier à notre conteneur une stratégie
de groupe existante.
Bloquer
l'héritage : comme
son nom l'indique, ce paramètre permet de bloquer l'héritage de la stratégie
: cela signifie que la stratégie ne s'appliquera pas aux objets présents dans
notre conteneur.
Assistant
Modélisation de stratégie de groupe
: il s'agit du jeu de stratégie résultant en mode planification.
Nouvelle
unité d'organisation : nous donne la possibilité de créer une OU enfant.
Nous créons donc
une stratégie nommée Environnement utilisateur et une autre SUS.
Une fois nos stratégies créées, voici comment cela apparaît dans la partie
gauche de notre console :
Sous l'OU Test sont apparus 2 liens de stratégies de groupe.
La partie droite
de notre console apparaît comme suit :
L'onglet Objet
de stratégie de groupe liés affiches les stratégies de groupe lié à notre
OU. Elles apparaissent dans l'ordre de priorité. Il est possible de change
cet ordre grâce aux flèches présentes sur le coté gauche.
L'onglet Héritage
de stratégie de groupe affiche toutes les stratégies de groupe héritées
de conteneurs parents. Dans notre exemple il y a la stratégie de groupe Default
Domain Policy.
L'onglet Délégation
affiche le nom des utilisateurs et des groupes ayant des droits particuliers
sur notre OU. Il est possible d'ajouter des membres à cette liste, d'en supprimer
ou encore d'affiner ou de modifier les droits de ces membres en appuyant sur
le bouton Avancé.
2.2 Lien de stratégie de groupe
Un lien de stratégie
de groupe est en quelques sortes un "raccourci" vers notre GPO.
Un certain nombre d'actions sont réalisables à partir du menu contextuel que
voici (clic droit sur un lien de stratégie de groupe)i :
 Modifier : nous permet de configurer les paramètres
ordinateurs et utilisateurs de nos stratégies de groupe.
Appliqué : équivaut à "Ne pas passer outre"
sous Windows 2000. Cette fonctionnalité permet de forcer l'application d'une
stratégie même si l'héritage a été bloqué au niveau d'un conteneur inférieur.
Lorsque ce paramètre est appliqué, un cadenas apparaît sur de l'icône du lien
de stratégie de groupe.
Lien activé
: détermine si le lien de stratégie de groupe est activé ou non. S'il n'est
pas activé, les paramètres de la stratégie ne s'appliqueront pas.
Enregistrer
le rapport : permet
d'enregistrer au format HTML un compte-rendu des paramètres de stratégie qui
ont été modifiés. Voici à quoi ressemble ce rapport :
Supprimer : à ce niveau l'option supprimer nous permet
d'agir sur le lien de stratégie de groupe.
J'insiste sur le fait que nous agissons ici sur un lien car les actions sur
les stratégies de groupe en elles-mêmes diffèrent un peu. Si nous supprimons
un lien de stratégie de groupe, la stratégie en elle-même existe toujours
et nous pourrons par exemple la modifier plus tard ou encore la lier à un
autre conteneur. Si nous supprimons une stratégie de groupe, cette dernière
est définitivement perdue… enfin presque.
Lorsque nous sélectionnons
notre stratégie, le volet de droite affiche aussi certaines informations :
L'onglet Etendue
présente trois parties :
Liaison : cette partie nous montre le ou les conteneurs
auxquels est liée notre stratégie.
Filtre de
sécurité : affiche
les utilisateurs, les groupes et les ordinateurs qui sont affectés par notre
stratégie. Par défaut c'est le groupe Utilisateurs authentifiés qui est présent.
Filtrage
WMI : affiche le
filtre WMI lié à notre stratégie.
L'onglet Détails
affiche les informations sur la stratégie tels que la date de création ou
de modification, son GUID ou encore son état. L'état d'une stratégie correspond
à savoir si elle est activée ou non. Il nous est aussi possible de désactiver
uniquement les paramètres utilisateurs ou les paramètres ordinateurs afin
d'optimiser l'application de la stratégie sur les postes clients.
L'onglet Paramètres
affiche tous les paramètres effectifs de la stratégie :
Quant à l'onglet
Délégation, elle a le même objectif que celui précédemment vu avec notre
unité d'organisation.
2.3 Le noeud "Objets de stratégie
de groupe"
Jusqu'à présent la gestion des liens de stratégie de groupe,
même si elle a évolué grâce à GPMC, est somme toute basique. Mais la gestion
des objets de stratégie de groupe va plus loin sous Windows Server 2003. Voyons
les nouveaux outils mis à notre disposition.
2.4 Gestion des sauvegardes
Sauvegarder tout
nous donne la possibilité de sauvegarder toutes nos stratégies de groupe. Pour
cela, il faut tout d'abord définir un emplacement comme indiqué dans la fenêtre
de sauvegarde puis d'entrer si on le veut une description pour notre sauvegarde.
2.5 Gérer les sauvegardes :
Affiche la liste des sauvegardes que nous avons
effectuées (avec les dates et heures de sauvegardes, le domaine d'origine de
notre GPO, etc.…). Nous pouvons restaurer ces sauvegardes, les supprimer et
afficher leurs paramètres.
2.6 L'éditeur de tables de migration
Il est possible comme nous le
verrons par la suite d'importer des paramètres de stratégies de groupe vers
d'autres stratégies ou de copier entièrement ces stratégies. Lors de ce processus,
nous pouvons être amené à changer certaines informations faisant référence à
des groupes de sécurité ou à des chemins UNC. Une table de migration a pour
but de faire le mappage entre les anciennes références et les nouvelles. Par
exemple si nous voulons importer des paramètres de stratégies de groupe ayant
trait à la redirection de dossiers vers un nouveau GPO, il nous suffit de créer
une table de migration qui contiendra :
- l'ancien chemin UNC (la source) du partage utilisé
pour stocker ces informations
- le type d'objet que nous voulons mapper (un chemin
UNC)
- le nouveau chemin UNC (la destination) vers lequel
nous voulons que notre GPO redirige les dossiers spécifiés.
Voici comment se présente cette
table :
Il y a 3 colonnes. Dans la première
(Nom de la source) nous devons renseigner l'objet référencé dans notre
stratégie.
Lorsque nous cliquons sur
Parcourir, nous obtenons la fenêtre suivante :
Nous devons donc choisir un objet en fonction
du type d'objet que nous aurons choisit dans la 2e colonne (Type
de la source). Cette dernière nous propose différents types d'objets dans
une liste déroulante :
Quant à la 3e colonne (Nom de
la destination) le principe est le même que pour la 1ere, à savoir
qu'il faut indiquer l'objet référencé dans notre stratégie de destination et
ce toujours en fonction du type d'objet que nous auront défini auparavant.
Prenons un exemple simple. Nous
avons une stratégie dont le paramètre de redirection de dossiers a été activé.
Le dossier Mes documents des utilisateurs sera redirigé vers l'emplacement
suivant : \\Dc01\RepBase\%USERNAME%\Mes documents.
Nous voulons utiliser cette
fonctionnalité pour les développeurs mais nous voulons leur dédier un espace
différent : \\Dc01\RepDev\%USERNAME%\Mes documents.
Pour affecter la stratégie spécialement dédié aux développeurs, nous avons donc
créer une table de migration qui modifiera le chemin UNC du paramètre de redirection
de dossier :
Pour remplir notre 1er champ, nous
avons utilisé le menu "Outils" de notre table :
Peupler depuis l'objet
GPO : nous permet de récupérer les paramètres
que nous voulons modifier directement à partir de la stratégie concernée.
Peupler depuis la sauvegarde
: même effet que précédemment à la différence près que nous allons récupérer
les paramètres depuis une sauvegarde de notre stratégie.
Valider la table
: vérifie que les paramètres de la stratégie destinataire sont valide.
A noter que la case à cocher "Lors de l'analyse,
inclure les entités de sécurité du DACL sur l'objet GPO" spécifie que les
ACLs présentent sur l'objet de stratégie de groupe seront conservées. Il nous
suffit à présent d'importer ce paramètre de stratégie dans ma nouvelle stratégie,
ce que nous verrons dans la prochaine section.
2.7 Gestion des Objets de stratégies de groupe
Les GPO possèdent leurs propres options
qui diffèrent de celles présentent sur le nœud "Objet de stratégie de groupe".
En voici la liste :
 |
Modifier
: nous permet d'éditer les paramètres de notre
stratégie de groupe.
Etat GPO
: nous donne la possibilité d'activer ou de désactiver tout ou partie
de notre stratégie.
Sauvegarder :
permet de sauvegarder notre stratégie |
Restaurer à partir d'une
sauvegarde : rien à ajouter si ce n'est que nous
sommes pris en charge par un assistant qui nous guide tout au long de la procédure
de restauration.
Nous sommes ensuite invité à choisir le répertoire
dans lequel se trouve notre sauvegarde :
Nous voyons ensuite une liste
de toutes les sauvegardes que nous avons pu effectuer sur notre stratégie incluant
la date et l'heure, le domaine d'origine ainsi que l'ID de la stratégie :
Une fois que nous avons choisi la sauvegarde
que nous voulions restaurer, nous avons une fenêtre de récapitulation :
Et pour finir le résultat de notre restauration
:
:
2.8 Importer des paramètres
Nous avons vu que nous pouvions
créer une table de migration afin de faciliter l'importation ou la copie de
stratégies de groupe. Voici comment l'importation se déroule :
Nous sommes encore une fois
guider par un assistant qui nous propose, avant l'importation de paramètres,
de sauvegarder notre stratégie afin que nous puissions la restaurer telle qu'elle
était avant nos manipulations. Il faut savoir que l'importation supprime tous
les paramètres existant de la stratégie :
Nous sommes ensuite invité à définir le répertoire
de sauvegarde à partir duquel nous voulons choisir la stratégie qui nous servira
à l'import :
Une fois le répertoire défini,
nous avons droit à la liste des stratégies de groupe à partir desquels nous
pouvons importer des paramètres. A noter qu'il faut bien avoir sauvegarder notre
stratégie source pour la voir lister dans cette fenêtre. Nous sélectionnons
notre stratégie "RedirectionUsers" :
Après avoir choisi la stratégie
que nous voulions comme source, une analyse de cette dernière est effectuée
car il peut y avoir des références particulières (comme des chemins UNC ou des
groupes d'utilisateurs) :
Si l'analyse détecte des références susceptibles
d'être modifiés, l'assistant nous en informe et nous propose plusieurs choix
:
-
effectuer une copie identique à partir de la
source ne modifie aucunes références et importe les
paramètres tels qu'ils sont définis dans la stratégie de groupe source.
- utiliser cette table de migration pour le mappage
dans l'objet de stratégie de groupe cible v va charger
les paramètres que nous avons renseignés à partir d'une table de migration de
notre choix. Ici, les références contenues dans la stratégie source et qui ne
sont pas mappé dans la table de migration seront copiés tel quel.
- utiliser uniquement la table de migration
nous impose d'utiliser une table pour laquelle tous les paramètres susceptibles
de contenir des références doivent être renseignées. Dans le cas contraire,
l'importation n'aura pas lieu.
Ici nous choisissons donc la table que nous
avons créé précédemment et qui concerne la redirection de dossier.
Pour finir, nous avons droit à un récapitulatif
puis au résultat de notre importation :
Voyons à présent le résultat :
Cette fonctionnalité peut-être utile dans le
cas où les références à modifier sont nombreuses ou si l'importation doit s'appliquer
à une stratégie appartenant à un autre domaine.
Copier une stratégie
: cette option permet de créer une nouvelle stratégie de groupe en la copiant
à partir d'une stratégie existante. Pour ce faire il faut sélectionner la stratégie
que nous voulons copier et donc choisir l'option copier dans le menu contextuel.
Ensuite pour la coller (et ainsi en créer une nouvelle) il faut ouvrir le menu
contextuel du nœud Objet de stratégie de groupe et choisir Coller. Une fenêtre
nous propose de conserver les autorisations présentes ou d'utiliser les autorisations
par défaut :
2.9 Les filtres WMI
WMI (Windows
Management Instrumentation) est une série d'API permettant
d'accéder et de gérer l'environnement d'une station cliente sous Windows : il
permet entre autre de relever des informations sur les services, le matériel,
etc… Et ceci peut être fait sur une station locale ou distante.
Les filtres WMI, nouvelles implémentations de
Windows Server 2003, nous permettent de poser des conditions d'application de
nos stratégies de groupe en fonction de différents éléments de Windows que nous
lui aurons soumis. Nous pouvons par exemple lié un filtre WMI à une stratégie
de groupe qui aura pour but d'installer une application. La condition serait
que la stratégie s'appliquera uniquement si la station cible possède suffisamment
d'espace disque ou de mémoire vive. Notre filtre WMI ira donc chercher ces informations
sur la machine cible et testera l'espace disque ou la capacité de la RAM.
Pour créer un filtre WMI, on peut effectuer
un clic droit sur le nœud Filtres WMI. Nous auront ainsi le choix entre nouveau
et importer.
On peut donner un nom à notre filtre ainsi qu'une
description. Le champ requête affiche le script que nous voulons voir appliqué
à ce filtre. Ce script est écrit en langage WMI Language Query (WQL proche
du langage SQL).
Le bouton Ajouter nous donne la possibilité
de saisir notre requête :
L'espace de nom correspond à
un groupe de classes et d'instances permettant de contrôler les étendues sur
lesquels nous voulons que notre filtre agisse. En cliquant sur le bouton Parcourir,
on peut changer cet espace de nom afin que la requête que nous saisirons plus
tard porte sur une étendue différente. Le champ Requête affichera le script
que nous aurons saisi.
Une fois notre filtre créé,
un nouvel objet apparaît sous le nœud "Filtres WMI". Voici
ses propriétés qui apparaissent dans la fenêtre de droite :
Comme je l'avais indiqué plus
haut, il est possible de lier un filtre WMI à une ou plusieurs stratégies :
cela apparaît donc dans la partie Objet GPO utilisant ce filtre WMI. Par contre
une stratégie de groupe ne peut se voir lier qu'à un seul filtre.
Je ne m'étendrai pas plus sur
le sujet car je sors de mon domaine de connaissance. J'indiquerais simplement
2 outils qui vous permettront d'aller un peu plus loin avec WMI : l'ajout d'une
MMC "Contrôle WMI" et wbemtest (à taper dans Démarrer
=> Exécuter).Pour en finir avec le WMI, il est aussi possible d'importer
ou d'exporter des filtres existants. Ces filtres portent l'extension.mof.
Pour plus d'information sur
le WMI, je vous invite à lire ces pages :http://msdn.microsoft.com/library/default.asp?url=/library/en-us/wmisdk/wmi/computer_system_hardware_classes.asp
 Sommaire
1. Présentation de la console GPMC
2. Gestion des stratégies de groupe
3. RSoP : Resultant Set of Policy (Jeux de Stratégie Résultants)
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Gestion des stratégies de groupe avec GPMC
