Chat : Mise en oeuvre et gestion des stratégies de groupe
Paru le 18 mai 2005
Par Vincent de Mellon
Compte rendu du chat sur la mise en œuvre et la gestion de stratégie de groupe
.gif)
Sur cette page
.gif){kind=icon} |
Q : comment activons-nous une stratégie de sécurité créée sur Windows 2003 serveur? J’en ai créé une mais elle ne s'applique pas sur les postes clients! Comment cela se fait il? |
|
Q : Les stratégies de groupe s’appliquent-elle en mode terminal serveur? |
|
Q : N'est pas gênant que les GPO soient sur un Windows 2000 Server et les serveurs TS sur 2003? |
|
Q : Pourrait t-on avoir un rappel sur la priorité d’application des stratégies de groupe (GPO) ? |
|
Q : Existe-t-il un outil mieux adapté que GPMC et les scripts qu il contient dans son dossier d'installation pour faire des sauvegardes des stratégies de groupes? |
|
Q : Peut on appliquer des modèles (templates) à n'importe qu'elle version de Windows 2000 et ultérieure ainsi que des versions de service pack |
|
Q : comment sauvegarder et restaurer une stratégie de groupe ? |
|
Q : Bonjour, je voudrais savoir, concrètement, comment on déploie SUS avec les stratégies de sécurité. |
|
Q: Si je veux faire une installation par GPO,qu'appelle t-on une installation administrative via msiexec? |
|
Q : Est-il possible de remettre les stratégies par défaut suivant l'OS et le SP |
|
Q : Je voudrais avoir un petit rappel : gpedit.msc prime sur secpol.msc c'est ça? |
|
Q : Il y a t'il des incidences à appliquer des stratégies dans des langues différents à l'OS (templates EN sur OS FR) ? Même question pour les ADM |
|
Q : Une machine, localement, peut elle se protéger de l'application des stratégies. Du type interdire à l'administrateur du domaine de se connecter à l'ordinateur via le réseau ou autres ? |
|
Q : A part Rsop quelles sont les nouveautés des GPO sous Windows 2003 serveur |
Q : comment activons-nous une stratégie de sécurité créée sur Windows 2003 serveur? J’en ai créé une mais elle ne s'applique pas sur les postes clients! Comment cela se fait il?
R : Pour qu'une stratégie de groupe s'applique sur un client, il faut la définir au niveau de l'annuaire Active Directory. En créant cette stratégie au niveau du domaine ou d’une unité d’organisation, elle s'applique pour l'ensemble des objets machines et utilisateurs du domaine ou de l’unité d’organisation. Plusieurs outils sont disponibles pour diagnostiquer les problèmes d’application de stratégies (gpresult.exe, jeu de stratégie résultant..), pour plus de détails se rapporter à l’article https://support.microsoft.com/default.aspx?scid=kb;en-us;250842
.gif){kind=icon}
Haut de page
Q : Les stratégies de groupe s’appliquent-elle en mode terminal serveur?
R : Oui, les stratégies de groupes sont également valables sur les sessions Terminal Server. Les serveurs Microsoft Windows Server 2003 Terminal Services et les serveurs Terminal Services Microsoft Windows 2000 qui sont installés pour prendre en charge les utilisateurs en mode Serveur d'applications et qui se trouvent dans un domaine Active Directory, implémente les objets Stratégie de groupe (GPO) pour contrôler l'environnement d'utilisateur.
Haut de page
Q : N'est pas gênant que les GPO soient sur un Windows 2000 Server et les serveurs TS sur 2003?
R : Non, le domaine et les serveurs Terminal Services peuvent être en Windows 2000 ou en 2003 pour plus de détails se rapporter à l’article https://support.microsoft.com/default.aspx?scid=kb;en-us;260370
Haut de page
Q : Pourrait t-on avoir un rappel sur la priorité d’application des stratégies de groupe (GPO) ?
R: L'ordre d'application des stratégies sur une machine est : stratégie système NT4 (Ntconfig.pol s'il existe) puis les stratégies Locales puis celles créées au niveau du Site, du Domain et de l’OU avec la possibilité de disposer de plusieurs stratégies à chaque niveau.
Haut de page
Q : Existe-t-il un outil mieux adapté que GPMC et les scripts qu il contient dans son dossier d'installation pour faire des sauvegardes des stratégies de groupes?
R : Mieux adapté (je ne sais pas) mais il y a des outils tierces, citons l'outil de la société Full Armor qui permet de gérer les stratégies cf http://www.fullarmor.com/product/index.htm
Haut de page
Q : Peut on appliquer des modèles (templates) à n'importe qu'elle version de Windows 2000 et ultérieure ainsi que des versions de service pack
R : Les modèle sont normalement compatible, ensuite la fonctionnalité est prise ou non en compte par le système. Pour plus de détails, se rapporter aux articles suivants : https://support.microsoft.com/default.aspx?scid=kb;en-us;228460 et https://www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp
Haut de page
Q : comment sauvegarder et restaurer une stratégie de groupe ?
R : Pour sauvegarder et restaurer les stratégies de groupe, Microsoft met à disposition gratuitement l’outil Console de gestion des stratégies de groupe Service Pack 1(GPMC) disponible sur https://www.microsoft.com/downloads/details.aspx?displaylang=fr\&FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887
Haut de page
Q : Bonjour, je voudrais savoir, concrètement, comment on déploie SUS avec les stratégies de sécurité.
R : La réponse est décrite en détail dans le livre blanc sur SUS disponible sur https://www.microsoft.com/windowsserversystem/updateservices/techinfo/previous/susoverview.mspx (page 11). Le déploiement des paramètres SUS sur le client se fait soit en utilisant la stratégie de groupe du domaine soit en créant une nouvelle stratégie de groupe soit au niveau du domaine soit sur une OU (ensuite il faut créer les machines dans l'OU)
Haut de page
Q: Si je veux faire une installation par GPO,qu'appelle t-on une installation administrative via msiexec?
R : L'installation administrative est la possibilité de disposer dans un emplacement réseau de l'ensemble des sources décompressées d'un produit, ensuite le client Windows Installer utilise ces sources pour installer l'application sur le poste, l'intérêt est qu'il est possible alors de patcher directement l’installation administrative et ensuite de forcer la mise à jour de l'application sur le client. Pour plus de détails, cf https://support.microsoft.com/default.aspx?scid=kb;en-us;282477
Haut de page
Q : Est-il possible de remettre les stratégies par défaut suivant l'OS et le SP
R : Il existe plusieurs méthodes décrites cf https://support.microsoft.com/default.aspx?scid=kb;en-us;267553 , mais aussi https://support.microsoft.com/default.aspx?scid=kb;en-us;833783 , https://support.microsoft.com/default.aspx?scid=kb;en-us;226243
Haut de page
Q : Je voudrais avoir un petit rappel : gpedit.msc prime sur secpol.msc c'est ça?
R : Gpedit.msc affiche l'ensemble des stratégies de groupe locale sur le poste, secpol.msc uniquement les paramètres liés la sécurité (un sous ensemble des informations affichées par gpedit.msc : stratégie ordinateur local - configuration ordinateur - paramètres Windows - paramètres de sécurité). Mais ce sont les mêmes
Haut de page
Q : Il y a t'il des incidences à appliquer des stratégies dans des langues différents à l'OS (templates EN sur OS FR) ? Même question pour les ADM
R : De mémoire non cela ne pose a priori plus de problème à partir de Windows 2000 (bien sur si les clés de registre positionnées sont les mêmes pour les 2 versions de langue
Haut de page
Q : Une machine, localement, peut elle se protéger de l'application des stratégies. Du type interdire à l'administrateur du domaine de se connecter à l'ordinateur via le réseau ou autres ?
R : Non, ce n'est pas possible d’interdire l’application des stratégies de groupe sur un poste de travail
Haut de page
Q : A part Rsop quelles sont les nouveautés des GPO sous Windows 2003 serveur
R : Filtrage WMI, les stratégies de restriction logicielle et plus de 200 nouveaux paramètres, informations disponibles sur cf https://www.microsoft.com/windowsserver2003/techinfo/overview/gpintro.mspx
Haut de page