Exporter (0) Imprimer
Développer tout
Active Directory et Active Directory Application Mode
Automatisation du déploiement de serveurs avec ADS (Automated Deployment Services)
1ère partie : Installation de Windows Server 2003 en tant que contrôleur de domaine
Développer Réduire

Ensemble des fonctionnalités de stratégie de groupe de Windows Server 2003

Paru le 17-09-2004

Ce guide pas à pas présente la stratégie de groupe et explique comment utiliser le composant logiciel enfichable Stratégie de groupe pour spécifier des paramètres de stratégie pour des groupes d'utilisateurs et d'ordinateurs.

Sur cette page

Introduction
Présentation
Stratégie de groupe et console MMC
Annexe
Autres ressources

Introduction

Guides pas à pas

Les guides pas à pas pour le déploiement de Microsoft Windows Server 2003 fournissent une expérience pratique pour de nombreuses configurations de système d'exploitation courantes. Les guides commencent par établir une infrastructure réseau commune via l'installation de Windows Server 2003, la configuration d'Active Directory®, l'installation d'une station de travail Windows XP Professionnel et l'ajout de cette station de travail à un domaine. Les guides pas à pas ultérieurs partent du principe que vous avez déjà mis en place cette infrastructure réseau commune. Si vous ne souhaitez pas suivre cette infrastructure réseau commune, vous devez apporter les modifications appropriées lors de l'utilisation de ces guides.

La mise en place de l'infrastructure réseau commune nécessite que vous ayez lu et appliqué les guides suivants :

Une fois que vous avez configuré l'infrastructure réseau commune, vous pouvez vous reporter à n'importe quel guide pas à pas supplémentaire. Notez que, dans certains guides pas à pas, d'autres conditions préalables peuvent venir s'ajouter à celles déjà mentionnées pour la mise en place de l'infrastructure réseau commune. Toute condition préalable supplémentaire sera indiquée dans le guide pas à pas correspondant.

Microsoft Virtual PC

Les guides pas à pas pour le déploiement de Windows Server 2003 peuvent être implémentés dans un environnement de laboratoire ou à l'aide de technologies de virtualisation telles que Microsoft Virtual PC 2004 ou Microsoft Virtual Server 2005. La technologie de la machine virtuelle permet aux clients d'exécuter simultanément plusieurs systèmes d'exploitation sur un seul serveur physique. Virtual PC 2004 et Virtual Server 2005 sont conçus pour offrir un meilleur rendement d'exécution en termes de test et développement de logiciels, migration d'applications héritées et scénarios de consolidation de serveur.

Bien que les guides pas à pas de déploiement de Windows Server 2003 supposent que toutes les configurations ont lieu dans un environnement de laboratoire, la plupart des configurations peuvent s'appliquer dans un environnement virtuel sans modification.

L'application des concepts présentés dans ces guides pas à pas dans un environnement virtuel dépasse le cadre de ce document.

Remarques importantes

Les exemples de sociétés, organisations, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et événements décrits ici relèvent de la fiction, et aucun lien avec une société, organisation, produit, nom de domaine, adresse de messagerie, logo, personne, lieu ou événement réel n'en peut être déduit.

Cette infrastructure commune répond à des objectifs d'utilisation sur un réseau privé. Le nom de société fictif et le nom DNS (Domain Name Service) utilisés dans l'infrastructure commune ne sont pas enregistrés et ne peuvent donc pas être utilisés sur Internet. Vous ne devez pas utiliser ce nom sur un réseau public ou sur Internet.

La structure du service Active Directory pour cette infrastructure commune est conçue pour illustrer la gestion des modifications et de la configuration de Windows Server 2003 et son interaction avec Active Directory. Elle n'a pas été conçue comme modèle de configuration d'Active Directory pour une organisation.

Présentation

Les paramètres de stratégie de groupe définissent les différents composants de l'environnement de bureau de l'utilisateur qu'un administrateur système doit gérer, comme les programmes disponibles aux utilisateurs, les programmes apparaissant sur le bureau de l'utilisateur et les options du menu Démarrer. Les paramètres de stratégie de groupe que vous définissez se trouvent dans un objet Stratégie de groupe (GPO, Group Policy Object), lui-même associé aux objets Active Directory sélectionnés (sites, domaines ou unités d'organisation).

La stratégie de groupe s'applique non seulement aux utilisateurs et aux ordinateurs clients mais également aux serveurs membres, aux contrôleurs de domaine et à tout autre ordinateur Microsoft Server 2003 dans les limites de l'étendue de gestion. Par défaut, la stratégie de groupe appliquée à un domaine (c'est-à-dire, appliquée au niveau du domaine situé juste au-dessus de la racine du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory) affecte tous les ordinateurs et utilisateurs du domaine. Utilisateurs et ordinateurs Active Directory fournit également une unité d'organisation Contrôleurs de domaine intégrée. Si vous conservez vos comptes de contrôleur de domaine à cet emplacement, vous pouvez utiliser l'objet GPO Stratégie de contrôleur de domaine par défaut pour gérer certains contrôleurs de domaine séparément d'autres ordinateurs.

Les objets Stratégie de groupe sont liés aux conteneurs Active Directory de sites, domaines et unités d'organisation. L'ordre de priorité par défaut reflète la hiérarchie d'Active Directory : les sites, en premier lieu, puis les domaines et enfin chaque unité d'organisation. Un objet Stratégie de groupe peut être associé à plusieurs conteneurs Active Directory (plusieurs conteneurs peuvent être liés à un même objet Stratégie de groupe).

Un objet Stratégie de groupe peut être utilisé pour filtrer des objets selon leur appartenance au groupe de sécurité, ce qui permet aux administrateurs de gérer des ordinateurs et des utilisateurs de manière centralisée ou non. Pour ce faire, les administrateurs peuvent utiliser un filtrage selon les groupes de sécurité afin de définir l'étendue de gestion de la stratégie de groupe, de sorte que cette dernière puisse être appliquée de façon centralisée au niveau du domaine. Elle peut également être appliquée de façon non centralisée au niveau des unités d'organisation, puis être à nouveau filtrée en fonction des groupes de sécurité. Les administrateurs peuvent utiliser des groupes de sécurité dans la stratégie de groupe pour :

  • Filtrer l'étendue d'un objet Stratégie de groupe, afin de définir les groupes d'utilisateurs et d'ordinateurs affectés par l'objet.

  • Déléguer le contrôle d'un objet Stratégie de groupe. La gestion et la délégation de la stratégie de groupe comportent deux aspects : la gestion des liens de stratégie de groupe et la gestion des personnes autorisées à créer et modifier des objets Stratégie de groupe.

Plusieurs outils d'administration sont disponibles pour gérer les paramètres de stratégie de groupe, notamment :

  • Composant logiciel enfichable Éditeur d'objets de stratégie de groupe de la console MMC (Microsoft Management Console)

    • Composant logiciel enfichable MMC par défaut disponible dans Windows Server 2003, utilisé dans ce guide pas à pas.

  • Console de gestion des stratégies de groupe avec le Service Pack 1

    • La Console de gestion des stratégies de groupe (GPMC, Group Policy Management Console) étend l'Éditeur d'objets de stratégie de groupe par défaut en simplifiant la gestion de la stratégie de groupe, facilitant sa compréhension, son déploiement et sa gestion, ainsi que le dépannage de ses implémentations. Elle permet également d'automatiser les opérations de stratégie de groupe via l'utilisation de scripts. Pour plus d'informations, consultez le Guide pas à pas pour l'utilisation de la Console de gestion des stratégies de groupe.

  • Extensions tierces hébergeant d'autres paramètres de stratégie

La stratégie de groupe inclut des paramètres de stratégie pour la Configuration de l'utilisateur (qui affecte les utilisateurs) et la Configuration de l'ordinateur (qui affecte les ordinateurs).

Avec la stratégie de groupe, vous pouvez procéder aux opérations suivantes :

  • Gérer la stratégie fondée sur le Registre à l'aide des modèles d'administration. La stratégie de groupe crée un fichier contenant les paramètres du Registre enregistrés dans la partie Utilisateur ou Ordinateur local de la base de données du Registre.

  • Attribuer des scripts, tels que le démarrage et l'arrêt de l'ordinateur ou l'ouverture et la fermeture de sessions.

  • Rediriger des dossiers. Vous pouvez rediriger des dossiers, tels que les dossiers Mes documents et Mes images, à partir du dossier Documents and Settings de l'ordinateur local vers des emplacements du réseau.

  • Gérer des applications. Vous pouvez attribuer, publier, mettre à jour ou réparer des applications à l'aide de Installation de logiciels Stratégie de groupe.

  • Spécifier des options de sécurité.

Ce document présente la stratégie de groupe et explique comment utiliser le composant logiciel enfichable Stratégie de groupe pour spécifier des paramètres de stratégie pour des groupes d'utilisateurs et d'ordinateurs.

Conditions préalables

Conditions

Remarque :  Ce document ne décrit pas tous les scénarios de stratégie de groupe possibles. Ces instructions doivent vous permettre d'appréhender le fonctionnement de la stratégie de groupe et de vous faire une idée de la façon dont votre organisation peut les utiliser afin de réduire ses coûts d'administration informatique. D'autres fonctionnalités Windows Server 2003, dont Paramètres de sécurité et Installation et maintenance du logiciel, sont intégrées à la stratégie de groupe. Pour obtenir la liste complète des documents disponibles, consultez le site Web Group Policy in Windows Server 2003 Site en anglais.

Stratégie de groupe et console MMC

La stratégie de groupe est directement intégrée aux outils de gestion Active Directory via le mécanisme d'extension du composant logiciel enfichable MMC. Les composants logiciels enfichables d'Active Directory définissent l'étendue de gestion pour la stratégie de groupe. Généralement, l'accès à la stratégie de groupe s'effectue via le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour définir l'étendue de gestion sur un domaine et des unités d'organisation. Vous pouvez également utiliser le composant logiciel enfichable Sites et services Active Directory pour définir l'étendue de gestion sur un site. Ces deux outils sont accessibles depuis le groupe de programmes Outils d'administration. L'extension du composant logiciel enfichable Stratégie de groupe est activée dans ces deux outils. Vous pouvez également créer une console MMC personnalisée, comme décrit dans la section suivante.

Configuration d'une console personnalisée

Dans ce document, les exemples utilisent la console MMC personnalisée que vous pouvez créer en suivant les procédures indiquées dans cette section. Vous devez créer cette console personnalisée avant d'exécuter les autres procédures de ce document.

Pour configurer une console personnalisée

  1. Ouvrez une session sur HQ-CON-DC-01 en tant que administrateur@contoso.com.

  2. Cliquez sur le bouton Démarrer, puis sur Exécuter. Tapez mmc, puis cliquez sur OK.

  3. Dans la fenêtre Console1, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

  4. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter.

  5. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, dans la zone de liste Composants logiciels enfichables disponibles, cliquez sur Utilisateurs et ordinateurs Active Directory, puis sur Ajouter.

  6. Dans la zone de liste Composants logiciels enfichables disponibles, double-cliquez sur Composant logiciel enfichable Sites et services Active Directory.

  7. Faites défiler la liste vers le bas, puis double-cliquez sur Éditeur d'objets de stratégie de groupe.

  8. Dans la boîte de dialogue Sélection d'un objet de stratégie de groupe, vérifiez que Ordinateur local est sélectionné sous Objet de stratégie de groupe. Cliquez sur Terminer, puis sur Fermer.

  9. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur l'onglet Extensions. Vérifiez que la case à cocher Ajouter toutes les extensions est activée pour chaque extension primaire ajoutée à la console MMC (elles sont activées par défaut). Cliquez sur OK.

Pour enregistrer les modifications apportées à la console

  1. Dans la console MMC, cliquez sur Fichier, puis sur Enregistrer.

  2. Dans la boîte de dialogue Enregistrer sous, dans la zone de texte Nom du fichier, tapez EtapesSG, puis cliquez sur Enregistrer. La console doit s'afficher comme indiqué dans la figure 1.

    Figure 1.  Console MMC de stratégie de groupe

    Figure 1.  Console MMC de stratégie de groupe

Accès à la stratégie de groupe

Vous pouvez utiliser les outils Active Directory appropriés pour accéder à la stratégie de groupe activée pour un site, un domaine ou une unité d'organisation.

Pour ouvrir la stratégie de groupe à partir de Sites et services Active Directory

  1. Dans l'arborescence de la console MMC EtapesSG, cliquez sur le signe plus (+) en regard de Sites et services Active Directory.

  2. Dans l'arborescence de la console, cliquez sur le signe plus (+) en regard de Sites, puis cliquez avec le bouton droit sur Premier-Site-par-défaut.

  3. Cliquez sur Propriétés, puis sur l'onglet Stratégie de groupe.

  4. Cliquez sur Annuler.

Pour ouvrir la stratégie de groupe à partir d'Utilisateurs et ordinateurs Active Directory

  1. Dans l'arborescence de la console MMC EtapesSG, cliquez sur le signe plus (+) en regard d'Utilisateurs et ordinateurs Active Directory.

  2. Dans l'arborescence de la console, cliquez avec le bouton droit sur contoso.com pour accéder à la stratégie de groupe.

  3. Cliquez sur Propriétés, puis sur l'onglet Stratégie de groupe.

  4. Cliquez sur Annuler.

Pour accéder à une stratégie de groupe étendue à un ordinateur spécifique (ou à l'ordinateur local), vous devez charger le composant logiciel enfichable Stratégie de groupe dans l'espace de noms de la console MMC ayant pour cible l'ordinateur spécifique (ou l'ordinateur local). Deux raisons principales expliquent ces différences :

  • Plusieurs objets GPO peuvent être liés à un même site, un même domaine ou une même unité d'organisation. Ces objets GPO doivent être gérés via une page de propriétés intermédiaire.

  • Un objet GPO pour un ordinateur spécifique est stocké sur cet ordinateur et non pas dans Active Directory.

Création d'un objet GPO

Les paramètres de stratégie de groupe sont contenus dans des objets GPO individuellement liés à des objets Active Directory sélectionnés, tels que des sites, des domaines ou des unités d'organisation.

Pour créer un objet GPO et le lier à l'unité d'organisation Siège

  1. Dans la console MMC EtapesSG, développez contoso.com sous Utilisateurs et ordinateurs Active Directory.

  2. Cliquez sur le signe plus (+) en regard de Comptes pour développer l'arborescence.

  3. Cliquez avec le bouton droit sur Siège, puis cliquez sur Propriétés.

  4. Dans la page Propriétés de Siège, cliquez sur l'onglet Stratégie de groupe.

  5. Cliquez sur Nouvelle, tapez Stratégie Siège, puis appuyez sur Entrée. La page Propriétés de Siège s'affiche comme indiqué dans la figure 2.

    Figure 2.  Nouvel objet GPO lié à l'unité d'organisation Siège

    Figure 2.  Nouvel objet GPO lié à l'unité d'organisation Siège

Les étapes précédentes ont montré comment créer et lier automatiquement un objet GPO à un conteneur Active Directory – l'unité d'organisation Siège. Cependant, l'objet GPO n'affectera pas directement les utilisateurs ou les ordinateurs tant que ses différents paramètres n'auront pas été définis. La section suivante montre comment modifier les paramètres de l'objet GPO de la stratégie Siège.

Plusieurs objets GPO peuvent être créés et/ou liés sous tout conteneur Active Directory. Si plusieurs objets GPO sont associés à un conteneur Active Directory, vous devez vérifier que ces objets sont correctement ordonnés. Les objets GPO en tête de la liste, ayant la priorité la plus élevée, sont traités en dernier. (C'est ce qui leur confère une priorité plus élevée.)

Comme tous les objets, les objets GPO disposent de menus contextuels permettant d'afficher leurs propriétés individuelles. Vous pouvez utiliser ces menus contextuels pour accéder aux informations générales les concernant et les modifier. Ces informations comprennent les listes de contrôle d'accès discrétionnaire (DACL, Discretionary Access Control List) et répertorient les autres sites, domaines ou unités d'organisations auxquels est lié l'objet GPO.

Méthode conseillée :  Vous pouvez affiner un objet GPO en définissant les DACL selon l'appartenance des utilisateurs ou des ordinateurs à des groupes de sécurité. Pour plus d'informations sur l'utilisation des DACL, consultez la section Filtrage des groupes de sécurité.

Gestion de la stratégie de groupe

Pour gérer la stratégie de groupe

  • Accédez au menu contextuel d'un site, d'un domaine ou d'une unité d'organisation.

  • Sélectionnez Propriétés, puis cliquez sur l'onglet Stratégie de groupe. La page Propriétés de Stratégie de groupe s'affiche.

    Remarques concernant la page Propriétés de Stratégie de groupe :

    • Cette page affiche tous les objets GPO associés au site, au domaine ou à l'unité d'organisation sélectionné. Les liens sont des objets disposant de menus contextuels auxquels vous pouvez accéder en cliquant avec le bouton droit sur l'objet. (Si vous cliquez avec le bouton droit sur une zone vide, le menu contextuel qui s'affiche permet de créer un lien, d'ajouter un lien ou d'actualiser la liste.)

    • Cette page affiche également une liste d'objets GPO, triés par ordre décroissant de priorité. Vous pouvez modifier l'ordre des objets GPO de la liste en sélectionnant un objet, puis en utilisant les flèches Haut et Bas du clavier.

    • Pour associer (lier) un objet GPO, cliquez sur le bouton Ajouter.

    • Pour modifier un objet GPO dans la liste, sélectionnez-le, puis cliquez sur le bouton Modifier ou double-cliquez sur l'objet de stratégie de groupe. L'Éditeur d'objets de stratégie de groupe démarre, vous permettant de modifier l'objet de stratégie de groupe. Pour plus d'informations sur la modification des objets GPO, consultez la section Modification d'un objet GPO.

    • Pour supprimer de façon permanente un objet GPO de la liste, sélectionnez-le dans la liste, puis cliquez sur le bouton Supprimer. À l'invite, sélectionnez Supprimer la liaison et effacer l'objet de stratégie de groupe de façon permanente. Agissez avec prudence lorsque vous supprimez un objet GPO, puisqu'il peut être lié à un autre site, un autre domaine ou une autre unité d'organisation. Si vous souhaitez uniquement supprimer l'association de l'objet GPO au conteneur actif, sélectionnez l'objet GPO dans la liste des liens, cliquez sur Supprimer, puis, à l'invite, sélectionnez Supprimer la liaison de la liste.

    • Pour déterminer quels autres sites, domaines ou unités d'organisation sont associés à un objet GPO spécifique, cliquez avec le bouton droit sur l'objet, sélectionnez Propriétés dans le menu contextuel, puis cliquez sur l'onglet Liaisons dans la page Propriétés de Objet de stratégie de groupe. Cliquez sur Rechercher maintenant pour obtenir la liste des liens de cet objet GPO.

    • En cliquant avec le bouton droit sur l'objet GPO, vous pouvez définir l'option Ne pas passer outre Cette option empêche que les stratégies de l'objet GPO sélectionné soient écrasées par un autre objet GPO.

      Remarque :  Vous pouvez activer l'option Ne pas passer outre pour plusieurs objets GPO. Tous les objets GPO pour lesquels l'option Ne pas passer outre a été activée seront prioritaires sur les autres objets GPO. Parmi les objets GPO pour lesquels l'option Ne pas passer outre a été activée, les objets GPO ayant la priorité la plus élevée seront appliqués en dernier.

    • En cliquant avec le bouton droit sur l'objet GPO, vous pouvez le définir comme Désactivé, afin de le désactiver sans le supprimer de la liste.

      Remarque :  Vous pouvez également désactiver uniquement la partie Utilisateur ou Ordinateur de l'objet GPO. Pour cela, cliquez avec le bouton droit sur l'objet GPO, cliquez sur Propriétés, puis, sous l'onglet Général, cliquez sur Désactiver les paramètres de configuration de l'ordinateur ou Désactiver les paramètres de configuration de l'utilisateur.

    • Dans la page des propriétés de la stratégie de groupe du conteneur Active Directory, vous pouvez définir Bloquer l'héritage de stratégies afin de passer outre tous les objets GPO de niveau hiérarchique supérieur. Cependant, les objets GPO forcés par activation de l'option Ne pas passer outre ne seront pas bloqués et continueront à être appliqués.

      Remarque :  Les paramètres de stratégie contenus dans l'objet GPO local et n'étant pas spécifiquement remplacés par des paramètres de stratégie basée sur le domaine continuent également à être appliqués. Bloquer l'héritage de stratégies ne supprime en aucun cas la stratégie locale.

Modification d'un objet GPO

Vous pouvez utiliser la console personnalisée EtapesSG créée précédemment pour modifier un objet GPO.

Pour modifier l'objet GPO Stratégie Siège

  1. Dans la console MMC EtapesSG, double-cliquez sur l'objet GPO Stratégie Siège (ou sélectionnez-le, puis cliquez sur Modifier). L'Éditeur d'objets de stratégie de groupe s'affiche pour permettre la modification de Stratégie Siège, comme indiqué dans la figure 3.

    Bb742376.gpfeat03(fr-fr,TechNet.10).gif

    Figure 3.  Stratégie Siège
  2. Fermez l'Éditeur d'objets de stratégie de groupe pour la Stratégie Siège.

Ajout ou recherche d'un objet GPO

Pour ajouter un objet GPO

  1. Dans la page Propriétés de Siège, sous l'onglet Stratégie de groupe, cliquez sur Ajouter. La boîte de dialogue Ajouter une liaison d'objet de stratégie de groupe affiche la liste des objets GPO associés à des domaines/unités d'organisation ou des sites, ou l'ensemble des objets GPO existant au sein de la structure Active Directory. La figure 4 montre cette boîte de dialogue.

    Figure 4.  Boîte de dialogue Ajouter une liaison d'objet de stratégie de groupe

    Figure 4.  Boîte de dialogue Ajouter une liaison d'objet de stratégie de groupe

Passez en revue les composants ci-dessous de la boîte de dialogue Ajouter une liaison d'objet de stratégie de groupe, puis fermez la boîte de dialogue.

  • La liste déroulante Regarder dans vous permet de naviguer dans l'ensemble de la structure Active Directory afin de rechercher un objet GPO. Lorsque vous modifiez la valeur de cette zone, les objets GPO et tous les objets enfants s'affichent dans le volet de résultats.

  • Sous l'onglet Domaines/unités d'organisation, la zone de liste affiche les sous-unités d'organisation et les objets GPO du domaine ou de l'unité d'organisation sélectionné. Pour naviguer dans la hiérarchie, double-cliquez sur une sous-unité d'organisation ou utilisez le bouton de la barre d'outil Dossier parent.

  • L'onglet Sites affiche tous les objets GPO associés au site sélectionné. Utilisez la liste déroulante pour sélectionner un autre site. Les sites ne répondent à aucune hiérarchie.

  • L'onglet Tous affiche la liste de l'ensemble des objets GPO stockés dans le domaine sélectionné. Ceci est particulièrement utile lorsque vous souhaitez sélectionner un objet GPO dont vous connaissez le nom plutôt que l'emplacement auquel il est associé. Il s'agit également du seul emplacement où vous pouvez créer un objet GPO n'étant pas lié à un site, un domaine ou une unité d'organisation.

  • Pour créer un objet GPO non lié sous l'onglet Tous, sélectionnez le bouton de la barre d'outil Créer un nouvel objet Stratégie de groupe ou cliquez avec le bouton droit sur une zone vide, puis cliquez sur Nouveau. Donnez un nom au nouvel objet GPO, appuyez sur Entrée, puis cliquez sur Annuler – ne cliquez pas sur OK. Si vous cliquez sur OK, le nouvel objet GPO sera lié au site, au domaine ou à l'unité d'organisation actif. Le fait de cliquer sur Annuler crée un objet GPO non lié.

  • Pour associer un objet GPO au domaine ou à l'unité d'organisation sélectionné, double-cliquez sur l'objet GPO souhaité.

Remarque :  Plusieurs objets GPO peuvent porter le même nom. Les objets GPO sont, en effet, stockés en tant qu'identificateurs globaux uniques (GUID, Globally Unique IDentifier). Le nom affiché est en fait un nom convivial stocké dans Active Directory.

Stratégies fondées sur le Registre

L'interface utilisateur pour les stratégies fondées sur le Registre est disponible via les fichiers Modèles d'administration (.adm). Ces fichiers décrivent l'interface utilisateur qui s'affiche dans le nœud Modèles d'administration du composant logiciel enfichable Stratégie de groupe. Le format de ces fichiers est compatible avec les fichiers .adm utilisés par l'outil Éditeur de stratégie système (Poledit.exe) dans Microsoft Windows NT® 4.0. Avec Windows Server 2003, les options disponibles dans les stratégies fondées sur le Registre ont été étendues.

Remarque :  Bien qu'il soit possible d'ajouter tout fichier .adm à un objet GPO, si vous utilisez un fichier .adm d'une version antérieure de Windows, les clés de Registre peuvent rester sans effet sur Windows Server 2003.

Par défaut, seuls les paramètres de stratégie définis dans les fichiers .adm chargés existant dans les arborescences approuvées de la stratégie de groupe s'affichent ; ces paramètres sont appelés de véritables stratégies. Cela signifie que le composant logiciel enfichable Stratégie de groupe n'affiche pas les éléments décrits dans le fichier .adm définissant des clés de registre en dehors des arborescences de la stratégie de groupe ; ces éléments sont appelés des préférences de la stratégie de groupe. Les préférences sont signalées par une icône rouge les distinguant des véritables stratégies, signalées par une icône bleue. Les arborescences approuvées de la stratégie de groupe sont les suivantes :

  • \Software\Policies

  • \Software\Microsoft\Windows\CurrentVersion\Policies

Remarque :  L'utilisation de non-stratégies au sein de l'infrastructure de la stratégie de groupe est vivement déconseillée en raison du comportement persistant des paramètres du Registre, mentionné précédemment. Pour définir les stratégies du Registre sur Windows NT 4.0 et les clients Windows 95 et Windows 98, utilisez l'outil Éditeur de stratégie système de Windows NT 4.0, Poledit.exe.

Par défaut, les fichiers conf.adm, inetres.adm, system.adm, wmplayer.adm et wuau.adm sont chargés et disponibles à des fins de configuration, comme indiqué dans la figure 5.

Figure 5.  Configuration utilisateur

Figure 5.  Configuration utilisateur

Les fichiers .adm par défaut offrent les options de configuration suivantes :

  • Conf.adm : paramètres de NetMeeting

  • Inetres.adm : paramètres d'Internet Explorer

  • System.adm : paramètres du système d'exploitation

  • wmplayer.adm : paramètres de Windows Media Player

  • wuau.adm : paramètres de Windows Update

Ajout de modèles d'administration

Les modèles d'administration (fichiers .adm) contiennent une hiérarchie de catégories et sous-catégories définissant la façon dont les options sont organisées dans l'interface utilisateur de la stratégie de groupe.

Pour ajouter un modèle d'administration (fichier .adm)

  1. Dans la page Propriétés de Siège, double-cliquez sur l'objet GPO Stratégie Siège.

  2. Sous Configuration utilisateur ou Configuration ordinateur, cliquez avec le bouton droit sur Modèles d'administration, puis cliquez sur Ajout/Suppression de modèles. La liste des fichiers de modèles actifs du conteneur Active Directory en cours s'affiche.

  3. Cliquez sur Ajouter. Une liste s'affiche répertoriant les fichiers .adm disponibles dans le répertoire %systemroot%\inf de l'ordinateur sur lequel la stratégie de groupe est exécutée. Vous pouvez également choisir un fichier .adm situé à un autre emplacement. Une fois sélectionné, le fichier .adm sera disponible à des fins de configuration au sein de l'objet GPO.

  4. Cliquez sur Annuler, puis sur Fermer. (Aucun modèle d'administration ne sera ajouté au cours de ces exercices.)

Configuration des modèles d'administration

La procédure suivante fournit un exemple simple d'utilisation de modèles d'administration pour supprimer la commande Exécuter du bureau d'un utilisateur. Vous devriez ainsi vous familiariser avec l'ensemble des paramètres disponibles proposés dans les modèles d'administration. D'autres guides pas à pas de cette série utilisent des paramètres disponibles dans les modèles d'administration.

Pour définir les paramètres basés sur le Registre à l'aide de modèles d'administration

  1. Dans l'Éditeur d'objets de stratégie de groupe de l'objet GPO Stratégie Siège, cliquez sur le signe plus (+) en regard de Modèles d'administration dans le nœud Configuration utilisateur.

  2. Cliquez sur Menu Démarrer et Barre des tâches. Notez que le volet d'informations affiche toutes les stratégies comme Non configurée.

  3. Dans le volet droit, double-cliquez sur la stratégie Supprimer le menu Exécuter du menu Démarrer.

  4. Dans la boîte de dialogue Supprimer le menu Exécuter du menu Démarrer, cliquez sur Activée (comme indiqué dans la figure 6). Cliquez sur OK pour terminer.

    Figure 6.  Boîte de dialogue Supprimer le menu Exécuter du menu Démarrer

    Figure 6.  Boîte de dialogue Supprimer le menu Exécuter du menu Démarrer

Remarquez les boutons Stratégie précédente et Stratégie suivante de la boîte de dialogue. Vous pouvez utiliser ces boutons pour naviguer dans le volet d'informations afin de définir l'état des autres stratégies. Vous pouvez également laisser la boîte de dialogue ouverte et cliquer sur une autre stratégie dans le volet d'informations du composant logiciel enfichable Stratégie de groupe. Lorsque le volet d'informations est actif, vous pouvez utiliser les flèches Haut et Bas du clavier, puis appuyer sur Entrée pour naviguer rapidement dans les paramètres (ou les onglets Expliquer) de chaque stratégie du nœud sélectionné.

Remarquez que l'état passe à Activée dans la colonne Paramètres du volet d'informations. La modification est immédiate et est enregistrée dans l'objet GPO. Si vous vous trouvez dans un environnement de contrôleur de domaine répliqué, cette action définit un indicateur déclenchant un cycle de réplication.

Si vous ouvrez une session sur une station de travail du domaine contoso.com en tant qu'utilisateur appartenant à l'unité d'organisation Siège, vous remarquerez que le menu Exécuter a été supprimé.

Remarque :  À ce stade, vous aurez peut-être envie d'essayer les autres stratégies disponibles. Pour obtenir des informations sur chaque stratégie, consultez l'onglet Expliquer.

Déploiement de scripts via des objets GPO

Vous pouvez définir un paramètre d'objet GPO exécutant des scripts lorsque les utilisateurs ouvrent ou ferment une session ou lorsque le système démarre ou s'arrête. Tous les scripts sont compatibles avec l'hôte de script Windows (WSH, Windows Scripting Host). Ils peuvent donc inclure des scripts Java ou Microsoft Visual Basic®, ainsi que des fichiers .bat et .cmd.

Création d'un script d'ouverture de session

Remarque :  Cette procédure utilise le script bienvenue.js décrit en annexe. Créez un dossier Éléments inclus, puis créez le fichier bienvenue.js dans ce dossier en copiant le script présenté en annexe de ce guide.

Pour définir un paramètre de script d'ouverture de session Stratégie de groupe

  1. Fermez l'Éditeur d'objets de stratégie de groupe pour la Stratégie Siège.

  2. Dans la boîte de dialogue Propriétés de Siège, cliquez sur Fermer.

  3. Dans la console EtapesSG, cliquez avec le bouton droit sur le domaine contoso.com, cliquez sur Propriétés, puis sur l'onglet Stratégie de groupe.

  4. Dans la page des propriétés Stratégie de groupe, sélectionnez l'objet GPO Stratégie de domaine par défaut dans la liste Liaisons de l'objet Stratégie de groupe, puis cliquez sur Modifier pour ouvrir le composant logiciel enfichable Éditeur d'objets de stratégie de groupe.

  5. Dans le composant logiciel enfichable Stratégie de groupe, sous Configuration utilisateur, cliquez sur le signe plus (+) en regard de Paramètres Windows, puis sur le nœud Scripts (ouverture/fermeture de session).

  6. Dans le volet d'informations, double-cliquez sur Ouverture de session.

    La boîte de dialogue Propriétés de Ouverture de session affiche la liste des scripts exécutés lorsqu'un utilisateur spécifique ouvre une session. Ces scripts sont triés par ordre d'exécution : le premier script exécuté apparaît en tête de la liste. Vous pouvez en modifier l'ordre en sélectionnant un script, puis en utilisant les flèches Haut et Bas du clavier.

    Pour ajouter un script à la liste, cliquez sur le bouton Ajouter. La boîte de dialogue Ajout d'un Script s'affiche. Cette boîte de dialogue vous permet de spécifier le nom d'un script existant situé dans l'objet GPO actif ou de rechercher un script à un autre emplacement et de le sélectionner pour l'utiliser dans cet objet GPO. Le fichier de script doit être accessible par l'utilisateur à l'ouverture de session, sinon il n'est pas exécuté. Les scripts de l'objet GPO actif sont automatiquement accessibles par l'utilisateur. Pour créer un script, cliquez avec le bouton droit sur une zone vide, cliquez sur Nouveau, puis sélectionnez un nouveau fichier.

    Pour modifier le nom ou les paramètres d'un script de la liste, sélectionnez-le, puis cliquez sur le bouton Modifier. Ce bouton ne permet pas de modifier le script en lui-même. Pour modifier le script, utilisez le bouton Afficher les fichiers. Pour supprimer un script de la liste, sélectionnez-le, puis cliquez sur Supprimer.

    Le bouton Afficher les fichiers affiche les scripts de l'objet GPO dans le format d'affichage de l'Explorateur Windows. Vous pouvez ainsi accéder rapidement à ces fichiers ou à l'emplacement où vous devez copier les fichiers de prise en charge si les fichiers de script le requièrent. Si vous modifiez le nom d'un fichier de script à partir de cet emplacement, vous devez également utiliser le bouton Modifier pour modifier le nom du fichier, sinon le script ne pourra pas être exécuté.

    Remarque :  Si les options d'affichage de ce dossier sont définies sur Masquer les extensions pour les types de fichiers connus, une extension indésirable peut empêcher l'exécution du fichier.

  7. Cliquez sur le bouton Démarrer, sur Tous les programmes, sur Accessoires, puis sur Explorateur Windows. Recherchez le fichier bienvenue2000.js dans le répertoire Éléments inclus, cliquez avec le bouton droit sur ce fichier, puis cliquez sur Copier.

  8. Fermez l'Explorateur Windows.

  9. Dans la boîte de dialogue Propriétés de Ouverture de session, cliquez sur le bouton Afficher les fichiers, puis collez le script bienvenue.js à l'emplacement des fichiers par défaut, comme indiqué dans la figure 7.

    Bb742376.gpfeat07(fr-fr,TechNet.10).gif

    Figure 7.  Script bienvenue.js inclus dans la Stratégie de domaine par défaut
  10. Fermez la fenêtre contenant bienvenue.js.

  11. Dans la boîte de dialogue Propriétés de Ouverture de session, cliquez sur Ajouter.

  12. Dans la boîte de dialogue Ajout d'un Script, cliquez sur Parcourir. Dans la boîte de dialogue Parcourir, double-cliquez sur le fichier bienvenue.js.

  13. Dans la boîte de dialogue Ajout d'un script, cliquez sur OK (aucun paramètre de script n'est nécessaire), puis à nouveau sur OK.

  14. Fermez l'Éditeur d'objets de stratégie de groupe.

  15. Dans la page Propriétés de contoso.com, cliquez sur Annuler.

Ce script devient immédiatement accessible à tout membre de contoso.com puisqu'il a été défini au sein de la Stratégie de domaine par défaut. Vous pouvez ouvrir une session sur une station de travail cliente pour vérifier que le script s'exécute lorsqu'un utilisateur ouvre une session.

Définition d'un script de fermeture de session ou de démarrage ou d'arrêt d'un ordinateur

Vous pouvez utiliser la même procédure que celle décrite dans la section Création d'un script d'ouverture de session pour définir des scripts qui s'exécutent lorsqu'un utilisateur ferme une session ou au démarrage ou à l'arrêt d'un ordinateur. Pour les scripts de fermeture de session, sélectionnez Fermeture de session à l'étape 6 de la section Création d'un script d'ouverture de session. Pour les scripts de démarrage ou d'arrêt d'un ordinateur, utilisez Configuration ordinateurParamètres WindowsScripts (démarrage/arrêt) dans l'Éditeur d'objets de stratégie de groupe.

Remarques sur les scripts

Par défaut, les scripts Stratégie de groupe s'exécutant dans une fenêtre de commande (tels que les fichiers .bat ou .cmd) sont masqués lors de leur exécution, et les scripts classiques (définis dans l'objet utilisateur) sont, par défaut, visibles lors de leur traitement, mais il existe un paramètre de stratégie de groupe permettant de modifier leur visibilité. La stratégie pour les utilisateurs, Exécuter les scripts d'ouverture de session en mode visible ou Exécuter les scripts de fermeture de session en mode visible, est accessible dans le nœud Configuration utilisateur\Modèles d'administration, sous Système\Scripts. La stratégie pour les ordinateurs, Exécuter les scripts de démarrage en mode visible ou Exécuter les scripts d'arrêt en mode visible, est accessible dans le nœud Configuration ordinateur\Modèles d'administration, sous Système\Scripts.

Filtrage des groupes de sécurité

Vous pouvez moduler l'impact de tout objet GPO sur les utilisateurs ou les ordinateurs en stipulant la façon dont il est appliqué aux groupes de sécurité. Utilisez, pour cela, l'onglet Sécurité de la page Propriétés d'un objet GPO afin de définir les DACL. Les DACL s'utilisent principalement pour des raisons de performances, bien que cette fonctionnalité offre une grande flexibilité dans la conception et le déploiement d'objets GPO et des stratégies qu'ils contiennent.

Par défaut, les objets GPO affectent tous les utilisateurs et ordinateurs compris dans le site, le domaine ou l'unité d'organisation qui y est lié. L'utilisation de DACL permet de modifier l'effet d'un objet GPO afin d'exclure ou d'inclure les membres d'un groupe de sécurité.

Pour filtrer l'application d'un objet GPO en fonction de l'appartenance à un groupe de sécurité

  1. Dans la console EtapesSG, sous l'unité d'organisation Comptes, cliquez avec le bouton droit sur l'unité d'organisation Siège, puis cliquez sur Propriétés.

  2. Dans la boîte de dialogue Propriétés de Siège, cliquez sur l'onglet Stratégie de groupe.

  3. Cliquez avec le bouton droit sur l'objet GPO Stratégie Siège dans la liste Liaisons de l'objet Stratégie de groupe, puis sélectionnez Propriétés dans le menu contextuel.

  4. Dans la page Propriétés, cliquez sur l'onglet Sécurité.

  5. Dans la page des propriétés de Sécurité, cliquez sur Ajouter.

  6. Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, tapez Gestion dans la zone Entrez les noms des objets à sélectionner, puis cliquez sur OK.

  7. Sous l'onglet Sécurité de la page Propriétés de Stratégie Siège, sélectionnez le groupe Gestion et consultez ses autorisations.

    Remarque :  Par défaut, seule l'entrée de contrôle d'accès (ACE, Access Control Entry) Lire est définie sur Autoriser pour le groupe Gestion. Cela signifie que cet objet GPO ne s'applique pas aux membres du groupe Gestion à moins qu'ils ne soient également membres d'un autre groupe (par défaut, ils appartiennent également à Utilisateurs authentifiés) pour lequel l'ACE Appliquer la stratégie de groupe est sélectionnée.

    À ce stade, l'objet GPO s'applique à tout le monde dans le groupe Utilisateurs authentifiés, y compris aux membres du groupe de sécurité Gestion, comme indiqué dans la figure 8.

    Figure 8.  Utilisateurs authentifiés

    Figure 8.  Utilisateurs authentifiés

Pour configurer l'objet GPO pour qu'il s'applique uniquement aux membres du groupe Gestion

  1. Activez la case à cocher Autoriser de l'ACE Appliquer la stratégie de groupe pour le groupe Gestion.

  2. Désactivez la case à cocher Autoriser de l'ACE Appliquer la stratégie de groupe pour le groupe Utilisateurs authentifiés.

    Remarque :  En modifiant les ACE appliquées aux différents groupes, les administrateurs peuvent personnaliser l'impact de l'objet GPO sur les utilisateurs ou les ordinateurs concernés. L'ACE Écrire est requise pour pouvoir effectuer des modifications ; les ACE Lire et Appliquer la stratégie de groupe sont requises pour appliquer une stratégie au groupe.

Pour refuser l'application d'un objet GPO aux membres du groupe Gestion

Remarque :  Utilisez l'option Refuser des ACE avec prudence. Un paramètre Refuser appliqué à une ACE pour un groupe est prioritaire sur tout paramètre Autoriser appliqué à une ACE pour un utilisateur ou un ordinateur disposant de cette autorisation en raison de son appartenance à un autre groupe. Pour plus d'informations sur cette interaction, consultez la rubrique Groupe de sécurité de l'aide en ligne de Windows 2000 Server.

  1. Désactivez la case à cocher Autoriser et activez la case à cocher Refuser de l'ACE Appliquer la stratégie de groupe pour le groupe Gestion.

  2. Activez la case à cocher Autoriser de l'ACE Appliquer la stratégie de groupe pour le groupe Utilisateurs authentifiés.

    La figure 9 présente un exemple des paramètres de sécurité permettant à l'objet GPO d'affecter tous ceux, à l'exception des membres du groupe Gestion, auxquels l'autorisation d'objet de stratégie de groupe a été explicitement refusée. Si un membre du groupe Gestion est également membre d'un groupe pour lequel l'ACE Appliquer la stratégie de groupe est explicitement autorisée, le paramètre Refuser devient prioritaire, et l'objet GPO n'affecte pas l'utilisateur.

    Figure 9.  Refus de l'attribution de l'objet GPO en fonction de l'appartenance à un groupe

    Figure 9.  Refus de l'attribution de l'objet GPO en fonction de l'appartenance à un groupe
  3. Cliquez sur OK, puis sur Oui pour valider le message d'avertissement relatif à l'utilisation de Refuser pour les ACL.

  4. Cliquez sur OK pour fermer la page Propriétés de Siège.

Cette procédure peut comporter les variantes suivantes :

  • Ajout d'objets GPO avec différents jeux de stratégies et application de ces objets uniquement à des groupes autres que le groupe Gestion.

  • Création d'un autre groupe comportant des membres de groupes existants, et utilisation de ces groupes comme filtres pour un objet GPO.

Remarque :  Vous pouvez utiliser ces mêmes types d'options de sécurité avec les scripts d'ouverture de session définis dans la section précédente. Vous pouvez définir un script pour qu'il s'exécute uniquement pour les membres d'un groupe particulier ou pour tout le monde à l'exception des membres d'un groupe spécifique.

Le filtrage des groupes de sécurité a deux fonctions : la première est de modifier le groupe affecté par un objet GPO particulier, la seconde de déléguer le groupe d'administrateurs autorisé à modifier le contenu de l'objet GPO en limitant le Contrôle total à un ensemble restreint d'administrateurs (via un groupe). Cette procédure est recommandée car elle limite les risques de modifications simultanées par plusieurs administrateurs.

Héritage de stratégies

En règle générale, la stratégie de groupe se transmet des conteneurs parents aux conteneurs enfants au sein d'un domaine. Elle n'est pas héritée des domaines parents aux domaines enfants. Si vous attribuez un paramètre de stratégie de groupe spécifique à un conteneur parent de haut niveau, ce paramètre s'applique à tous les conteneurs se trouvant sous ce conteneur, ainsi qu'aux objets utilisateur et ordinateur de chaque conteneur. Cependant, si vous spécifiez clairement un paramètre de stratégie de groupe pour un conteneur enfant, il a priorité sur celui du conteneur parent.

Si certains paramètres de stratégie d'une unité d'organisation parent ne sont pas configurés, l'unité d'organisation enfant n'en hérite pas. Les paramètres de stratégie qui étaient désactivés le restent à la suite de l'héritage. De plus, si un même paramètre de stratégie est configuré (activé ou désactivé) pour une unité d'organisation parent, mais pas pour une unité enfant, cette dernière hérite automatiquement du paramètre activé ou désactivé de l'unité parent.

Si un paramètre de stratégie appliqué à une unité d'organisation parent et un paramètre appliqué à une unité enfant sont compatibles, l'unité enfant hérite du paramètre de stratégie parent, mais le paramètre de l'unité enfant est également appliqué.

Si un paramètre de stratégie configuré pour une unité d'organisation parent est incompatible avec le même paramètre configuré pour une unité enfant (il est possible que le paramètre soit activé pour l'un et désactivé pour l'autre), l'unité enfant n'hérite pas du paramètre de stratégie de l'unité parent. C'est le paramètre de stratégie de l'unité d'organisation enfant qui est appliqué.

Blocage de l'héritage et option Ne pas passer outre

L'option Bloquer l'héritage de stratégies bloque les objets GPO situés plus haut dans la hiérarchie Active Directory des sites, des domaines et des unités d'organisation. Elle ne bloque pas les objets GPO pour lesquels l'option Ne pas passer outre est activée L'option Bloquer l'héritage de stratégies n'est définie que sur des sites, des domaines et des unités d'organisation ; elle ne l'est pas sur des objets GPO individuels. Ces paramètres offrent un contrôle total sur les règles d'héritage par défaut.

Dans la section suivante, vous allez définir, dans l'unité d'organisation Comptes, un objet GPO qui s'applique par défaut aux utilisateurs (et ordinateurs) de l'ensemble des objets enfants au sein de cette unité d'organisation. Vous allez ensuite établir un autre objet GPO dans l'unité d'organisation Comptes et activer son option Ne pas passer outre. Ces paramètres s'appliqueront à l'ensemble des objets enfants même s'ils sont en conflit avec d'autres paramètres appliqués via un objet GPO. Vous allez ensuite utiliser la fonction Bloquer l'héritage pour empêcher les stratégies de groupe définies dans un site, un domaine ou une unité d'organisation parent (Comptes, dans ce cas) d'être appliquées à l'unité d'organisation Production.

Pour créer des objets GPO

  1. Dans la console MMC EtapesSG, sous contoso.com, cliquez avec le bouton droit sur l'unité d'organisation Comptes.

  2. Cliquez sur Propriétés, puis sur l'onglet Stratégie de groupe.

  3. Cliquez sur Nouvelle, entrez Stratégies utilisateur par défaut comme nom d'objet GPO, puis appuyez sur Entrée.

  4. Cliquez à nouveau sur Nouvelle, entrez Stratégies utilisateur appliquées comme nom d'objet GPO, puis appuyez sur Entrée.

  5. Cliquez sur l'objet GPO Stratégies utilisateur appliquées, puis sur le bouton Haut pour le placer en haut de la liste.

    Remarque :  L'objet GPO Stratégies utilisateur appliquées aura ainsi la priorité la plus élevée. Notez que cette étape sert uniquement à montrer le fonctionnement du bouton Haut ; un objet GPO appliqué est toujours prioritaire sur un objet non appliqué.

  6. Sélectionnez le paramètre Ne pas passer outre pour l'objet GPO Stratégies utilisateur appliquées en double-cliquant dans la colonne Ne pas passer outre ou en utilisant le bouton Options. La page Propriétés de Comptes doit s'afficher comme indiqué dans la figure 10.

    Figure 10. Stratégies utilisateur appliquées avec option Ne pas passer outre

    Figure 10. Stratégies utilisateur appliquées avec option Ne pas passer outre

Pour activer les paramètres des objets GPO Stratégies utilisateur appliquées et Stratégies utilisateur par défaut

  1. Dans la page Propriétés de Comptes, double-cliquez sur l'objet GPO Stratégies utilisateur appliquées.

  2. Dans l'Éditeur d'objets de stratégie de groupe, sous Configuration utilisateur, développez Modèles d'administration.

  3. Développez Système, puis cliquez sur Options  Ctrl+Alt+ Suppr.

  4. Dans le volet d'informations, double-cliquez sur la stratégie Supprimer le Gestionnaire de tâches. Dans la boîte de dialogue Supprimer le Gestionnaire de tâches, cliquez sur Activé, puis sur OK. Pour plus d'informations sur la stratégie, cliquez sur l'onglet Expliquer. Ce paramètre est à présent Activé, comme indiqué dans la figure 11.

    Figure 11.  Désactivation de l'utilisation du Gestionnaire des tâches

    Figure 11.  Désactivation de l'utilisation du Gestionnaire des tâches
  5. Cliquez sur Fichier, puis sur Quitter pour fermer l'Éditeur d'objets de stratégie de groupe.

  6. Dans la boîte de dialogue Propriétés de Comptes, sous l'onglet Stratégie de groupe, double-cliquez sur l'objet GPO Stratégies utilisateur par défaut dans la liste Liaisons de l'objet Stratégie de groupe.

  7. Dans l'Éditeur d'objets de stratégie de groupe, sous Configuration utilisateur, développez Modèles d'administration, Bureau, puis cliquez sur Active Desktop.

  8. Dans le volet d'informations, double-cliquez sur la stratégie Désactiver Active Desktop.

  9. Cliquez sur Activée, sur OK, puis à nouveau sur OK.

  10. Cliquez sur Fichier, puis sur Quitter pour fermer l'Éditeur d'objets de stratégie de groupe.

Si vous ouvrez une session sur une station de travail cliente en tant qu'utilisateur de l'unité d'organisation Comptes ou d'une unité d'organisation enfant, les objets GPO Stratégies utilisateur par défaut et Stratégies utilisateur appliquées seront appliqués. Le Gestionnaire des tâches et Active Desktop seront désactivés.

Amélioration des performances des objets GPO

Ces objets GPO étant uniquement utilisés pour la configuration utilisateur, la partie ordinateur de l'objet GPO peut être désactivée. La désactivation des paramètres de configuration ordinateur accélère le démarrage de l'ordinateur cible puisque ses objets GPO n'ont pas besoin d'être traités.

S'il n'existe aucun ordinateur dans l'unité d'organisation Comptes ou dans une unité d'organisation enfant, la désactivation de la partie ordinateur de l'objet GPO ne présente aucun avantage immédiat. Cependant, dans la mesure où ces objets GPO peuvent être liés ultérieurement à un autre conteneur pouvant inclure des ordinateurs, il peut être bénéfique de procéder à cette opération.

Pour désactiver la partie ordinateur d'un objet GPO

  1. Dans la boîte de dialogue Propriétés de Comptes, cliquez avec le bouton droit sur l'objet GPO Stratégies utilisateur appliquées, puis sélectionnez Propriétés.

  2. Dans la boîte de dialogue Propriétés de Stratégies utilisateur appliquées, cliquez sur l'onglet Général (par défaut), puis activez la case à cocher Désactiver les paramètres de configuration de l'ordinateur. Dans la boîte de dialogue Confirmez la désactivation, cliquez sur Oui, puis sur OK.

    Notez que la page de propriétés Général comprend deux cases à cocher permettant de désactiver une partie de l'objet GPO.

  3. Répétez les étapes 1 et 2 pour l'objet GPO Stratégies utilisateur par défaut.

Blocage de l'héritage

Vous pouvez bloquer l'héritage de sorte qu'un objet GPO n'hérite pas de la stratégie d'un autre objet GPO de la hiérarchie. L'exemple suivant montre comment bloquer l'héritage afin que seuls les paramètres de Stratégies utilisateur appliquées affectent les utilisateurs de l'unité d'organisation Production.

Pour bloquer l'héritage de la stratégie de groupe pour l'unité d'organisation Production

  1. Dans la boîte de dialogue Propriétés de Comptes, cliquez sur Fermer.

  2. Sous l'unité d'organisation Comptes de la console EtapesSG, cliquez avec le bouton droit sur l'unité d'organisation Production, sélectionnez Propriétés dans le menu contextuel, puis cliquez sur l'onglet Stratégie de groupe.

  3. Activez la case à cocher Bloquer l'héritage de stratégies, puis cliquez sur OK.

Pour vérifier que les paramètres d'héritage sont bloqués, vous pouvez ouvrir une session en tant qu'utilisateur de l'unité d'organisation Production. Notez qu'Active Desktop est disponible mais que le Gestionnaire des tâches est désactivé puisque l'objet GPO de désactivation était défini comme Ne pas passer outre dans l'unité d'organisation parent.

Liaison d'un objet GPO à plusieurs sites, domaines et unités d'organisation

Cette section montre comment lier un objet GPO à plusieurs conteneurs (site, domaine ou unité d'organisation) dans Active Directory. Selon la configuration de l'unité d'organisation, vous pouvez utiliser d'autres méthodes pour obtenir le même effet sur la stratégie de groupe ; vous pouvez, par exemple, utiliser le filtrage des groupes de sécurité ou bloquer l'héritage. Dans certains cas, ces méthodes n'ont toutefois pas l'effet escompté. Lorsqu'il vous faut définir de façon explicite les sites, domaines ou unités d'organisation requérant le même jeu de stratégies, utilisez la méthode ci-dessous.

Pour lier un objet GPO à plusieurs sites, domaines et unités d'organisation

  1. Sous l'unité d'organisation Comptes de la console EtapesSG, cliquez avec le bouton droit sur l'unité d'organisation Siège, sélectionnez Propriétés dans le menu contextuel, puis cliquez sur l'onglet Stratégie de groupe.

  2. Dans la boîte de dialogue Propriétés de Siège, sous l'onglet Stratégie de groupe, cliquez sur Nouvelle pour créer un nouvel objet GPO nommé Stratégies liées.

  3. Sélectionnez l'objet GPO Stratégies liées, puis cliquez sur Modifier.

  4. Dans l'Éditeur d'objets de stratégie de groupe, sous Configuration utilisateur et Modèles d'administration, cliquez sur Panneau de configuration, puis sur Afficher.

  5. Dans le volet d'informations, double-cliquez sur la stratégie Empêcher le changement de papier peint, puis cliquez sur Activée. Cliquez sur OK pour continuer.

  6. Cliquez sur Fichier, puis sur Quitter pour fermer l'Éditeur d'objets de stratégie de groupe.

  7. Dans la page Propriétés de Siège, cliquez sur Fermer.

  8. Sous l'unité d'organisation Comptes de la console EtapesSG, cliquez avec le bouton droit sur l'unité d'organisation Production, cliquez sur Propriétés dans le menu contextuel, puis cliquez sur l'onglet Stratégie de groupe dans la boîte de dialogue Propriétés de Production.

  9. Cliquez sur Ajouter ou cliquez avec le bouton droit sur une zone vide de la liste Liaisons de l'objet Stratégie de groupe, puis sélectionnez Ajouter dans le menu contextuel.

  10. Dans la boîte de dialogue Ajouter une liaison d'objet de stratégie de groupe, cliquez sur la flèche vers le bas de la zone Regarder dans, puis sélectionnez l'unité d'organisation Comptes.contoso.com.

  11. Double-cliquez sur l'unité d'organisation Siège.Comptes.contoso.com de la liste Domaines, unités d'organisation et objets de stratégie de groupe liés.

  12. Cliquez sur l'objet GPO Stratégies liées, puis sur OK.

  13. Cliquez sur OK pour terminer.

Vous disposez à présent d'un objet GPO lié à deux unités d'organisation. Les modifications apportées à cet objet GPO dans l'une des unités d'organisation seront répercutées dans l'autre unité d'organisation.

Traitement en boucle

Le bouclage offre une alternative à la méthode utilisée par défaut pour obtenir la liste classée des objets GPO dont les paramètres de configuration affectent un utilisateur Par défaut, les paramètres d'un utilisateur proviennent d'une liste d'objets GPO qui dépend de l'emplacement de cet utilisateur dans Active Directory. Dans la liste, les objets GPO sont classés selon l'ordre suivant : objets liés au site, objets liés au domaine, puis objets liés à l'unité d'organisation ; leur héritage est déterminé par l'emplacement de l'utilisateur dans Active Directory et dans un ordre spécifié par l'administrateur à chaque niveau.

Le bouclage peut être défini sur Non configuré, Activé ou Désactivé, tout comme n'importe quel paramètre de stratégie de groupe. À l'état Activé, deux paramètres de bouclage sont possibles : Fusionner ou Remplacer.

  • Bouclage avec remplacement  Dans ce cas, la liste des objets GPO de l'utilisateur est entièrement remplacée par la liste des objets GPO de l'ordinateur, déjà disponible et obtenue lors du démarrage de l'ordinateur. Les paramètres Configuration utilisateur de cette liste sont appliqués à l'utilisateur.

  • Bouclage avec fusion  La liste des objets GPO est une concaténation. Les objets GPO par défaut pour les ordinateurs s'ajoutent aux objets GPO par défaut pour les utilisateurs, et les paramètres Configuration utilisateur appliqués à l'utilisateur résultent de cette liste concaténée. Notez que la liste des objets GPO obtenue pour l'ordinateur s'applique en dernier et est donc prioritaire en cas de conflit avec les paramètres de la liste de l'utilisateur.

Pour activer le traitement en boucle

  1. Développez l'unité d'organisation Ressources de la console EtapesSG, cliquez avec le bouton droit sur l'unité d'organisation Ordinateurs de bureau, cliquez sur Propriétés dans le menu contextuel, puis cliquez sur l'onglet Stratégie de groupe dans la boîte de dialogue Propriétés de Ordinateurs de bureau.

  2. Cliquez sur Nouvelle pour créer un objet GPO nommé Stratégies de bouclage.

  3. Sélectionnez l'objet GPO Stratégies de bouclage, puis cliquez sur Modifier.

  4. Dans l'Éditeur d'objets de stratégie de groupe, dans le nœud Configuration ordinateur, développez Modèles d'administration, Système, puis cliquez sur Stratégie de groupe.

  5. Dans le volet d'informations, double-cliquez sur la stratégie Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur.

  6. Dans la boîte de dialogue Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur, cliquez sur Activée, sélectionnez Remplacer (par défaut) dans la liste déroulante Mode, puis cliquez sur OK.

La section suivante définit des paramètres restrictifs pour les environnements Menu Démarrer et Barre des tâches et Bureau de l'utilisateur, pouvant être appliqués dans un scénario Kiosk. Pour faciliter votre navigation, utilisez les boutons Stratégie suivante dans les boîtes de dialogue des stratégies.

Pour définir un environnement Menu Démarrer et Barre des tâches restrictif

  1. Dans l'Éditeur d'objets de stratégie de groupe, dans le nœud Configuration utilisateur, développez Modèles d'administration, puis cliquez sur Menu Démarrer et Barre des tâches.

  2. Dans chacune des boîtes de dialogue de stratégie ci-dessous, définissez l'état de la stratégie comme indiqué dans le tableau.

    Conteneur

    Stratégie

    Paramètre

    Menu Démarrer et Barre des tâches

    Supprimer le dossier des utilisateurs du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer les liens et l'accès à Windows Update

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer le groupe de programmes communs du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer l'icône Mes documents du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer le menu Documents du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer les programmes du menu Paramètres

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer les Connexions réseau du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer le menu Favoris du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer le menu Rechercher du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer le menu Aide du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer le menu Exécuter du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer l'icône Mes images du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer l'icône Ma musique du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer l'icône Favoris réseau du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Ajouter l'option Fermeture de session au menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer la fermeture de session dans le menu Démarrer

    Non configurée

    Menu Démarrer et Barre des tâches

    Supprimer et empêcher l'accès à la commande Arrêter

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer le glisser-déplacer des menus contextuels dans le menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Empêcher la modification des paramètres de la barre des tâches et du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer l'accès aux menus contextuels pour la barre des tâches

    Activée

    Menu Démarrer et Barre des tâches

    Ne pas conserver d'historique des documents récemment ouverts

    Activée

    Menu Démarrer et Barre des tâches

    Effacer l'historique des documents récemment ouverts en quittant

    Activée

    Menu Démarrer et Barre des tâches

    Désactiver les menus personnalisés

    Activée

    Menu Démarrer et Barre des tâches

    Désactiver le suivi utilisateur

    Activée

    Menu Démarrer et Barre des tâches

    Ajouter la case à cocher "Exécuter dans une zone mémoire différente" dans la boîte de dialogue Exécuter

    Non configurée

    Menu Démarrer et Barre des tâches

    Ne pas utiliser la méthode basée sur la recherche pour déterminer les raccourcis du Bureau

    Non configurée

    Menu Démarrer et Barre des tâches

    Ne pas utiliser la méthode basée sur le suivi pour déterminer les raccourcis de l'environnement

    Non configurée

    Menu Démarrer et Barre des tâches

    Griser les raccourcis des programmes Windows Installer non disponibles dans le menu Démarrer

    Non configurée

    Menu Démarrer et Barre des tâches

    Empêcher le groupement des éléments de la Barre des tâches

    Activée

    Menu Démarrer et Barre des tâches

    Désactiver le nettoyage de la zone de notification

    Non configurée

    Menu Démarrer et Barre des tâches

    Verrouiller la Barre des tâches

    Activée

    Menu Démarrer et Barre des tâches

    Forcer le menu Démarrer classique

    Non configurée

    Menu Démarrer et Barre des tâches

    Supprimer les info-bulles sur les éléments du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer la liste de programmes en attente du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer la liste de programmes fréquents du menu Démarrer

    Non configurée

    Menu Démarrer et Barre des tâches

    Supprimer la liste Tous les programmes du menu Démarrer

    Non configurée

    Menu Démarrer et Barre des tâches

    Supprimer le bouton "Retirer" du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer le nom d'utilisateur du menu Démarrer

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer l'horloge de la zone de notification système

    Non configurée

    Menu Démarrer et Barre des tâches

    Masquer la zone de notification

    Non configurée

    Menu Démarrer et Barre des tâches

    Ne pas afficher de barres d'outils personnalisées dans la Barre des tâches

    Activée

    Menu Démarrer et Barre des tâches

    Supprimer Configurer les programmes par défaut du menu Démarrer

    Activée

Pour définir un environnement de bureau restrictif

  1. Dans l'Éditeur d'objets de stratégie de groupe, sous Configuration utilisateur et Modèles d'administration, cliquez sur Bureau.

  2. Dans chacune des boîtes de dialogue de stratégie ci-dessous, définissez l'état de la stratégie comme indiqué dans le tableau.

    Conteneur

    Stratégie

    Paramètre

    Bureau

    Masquer et désactiver tous les éléments du Bureau

    Non configurée

    Bureau

    Supprimer l'icône Mes documents du Bureau

    Activée

    Bureau

    Supprimer l'icône Poste de travail du Bureau

    Activée

    Bureau

    Supprimer l'icône de la Corbeille du Bureau

    Activée

    Bureau

    Supprimer Propriétés du menu contextuel de Mes documents

    Activée

    Bureau

    Supprimer les Propriétés du menu contextuel de Poste de travail

    Activée

    Bureau

    Supprimer les propriétés du menu contextuel de la Corbeille

    Activée

    Bureau

    Cacher l'icône Favoris réseau sur le Bureau

    Activée

    Bureau

    Cacher l'icône Internet Explorer sur le Bureau

    Non configurée

    Bureau

    Ne pas ajouter de partages des documents récemment ouverts dans Favoris réseau

    Activée

    Bureau

    Interdire aux utilisateurs de modifier le chemin d'accès de Mes documents

    Activée

    Bureau

    Empêcher l'ajout, le glisser-déplacer et la fermeture des barres d'outils de la Barre des tâches

    Non configurée

    Bureau

    Empêcher le redimensionnement des barres d'outils du Bureau

    Activée

    Bureau

    Ne pas enregistrer les paramètres en quittant

    Activée

    Bureau

    Supprimer l'Assistant Nettoyage du Bureau

    Activée

  3. Une fois que vous avez fini de paramétrer les stratégies, cliquez sur OK.

  4. Dans l'Éditeur d'objets de stratégie de groupe, accédez au nœud Active Desktop sous Configuration utilisateur\Modèles d'administration\Ordinateurs de bureau, définissez la stratégie Désactiver Active Desktop sur Activée, puis cliquez sur OK.

  5. Dans l'Éditeur d'objets de stratégie de groupe, accédez au nœud Panneau de configuration sous Configuration utilisateur\Modèles d'administration, puis cliquez sur le nœud Ajouter ou supprimer des programmes. Double-cliquez sur la stratégie Désactiver Ajouter ou supprimer des programmes, définissez-la sur Activée, puis cliquez sur OK.

  6. Dans l'Éditeur d'objets de stratégie de groupe, accédez au nœud Panneau de configuration sous Configuration utilisateur\Modèles d'administration, puis cliquez sur le nœud Affichage. Double-cliquez sur la stratégie Supprimer le Panneau de configuration Affichage, définissez-la sur Activée, puis cliquez sur OK.

  7. Dans l'Éditeur d'objets de stratégie de groupe, cliquez sur Fichier, puis sur Quitter.

  8. Dans la boîte de dialogue Propriétés de Ordinateurs de bureau, cliquez sur OK.

Aucune stratégie classique ne s'appliquera aux utilisateurs qui ouvrent une session sur un ordinateur de l'unité d'organisation Ordinateurs de bureau ; seules les stratégies utilisateur définies dans l'objet GPO Stratégies de bouclage s'appliqueront. Vous pouvez utiliser les procédures de la section Filtrage des groupes de sécurité pour limiter ce comportement à des groupes d'ordinateurs spécifiques en créant un groupe de sécurité, puis en lui refusant l'application de l'objet GPO.

Annexe

Exemple de script bienvenue.js

// Script Sample for Windows Scripting Host//
// Define constant values.//
var MB_ICONINFORMATION  = 0x40;
var MB_ICONQUESTION     = 0x20;
var MB_ICONYESNO        = 0x04
var IDYES               = 6;
var IDTIMEOUT           = -1;
var POPUP_WAIT          = 5;
// close popup after 5 seconds.//
// Create ActiveX Controls//
var Shell = WScript.CreateObject("WScript.Shell")
var Env = Shell.Environment("PROCESS")
//// Set greeting message.//
var strTitle = "Sample Login Script";
var strMsg = "Welcome \"" + 
Env("UserName")strMsg += "\" to the \"" +
Env("UserDomain") +
"\" domain\r\n\r\n"Shell.Popup(strMsg, POPUP_WAIT, strTitle, MB_ICONINFORMATION);
//// Launch Internet Explorer if user wants.//
strMsg = "Do you want to visit the Windows Server 2003 web site?";
var strURL;
strURL = "http://www.microsoft.com/windowsserversystem/default.mspx";
var intAnswer = Shell.Popup(strMsg,POPUP_WAIT,strTitle,MB_ICONQUESTION | MB_ICONYESNO );
if (intAnswer == IDYES) {Shell.Run(strURL);}

Autres ressources

Pour plus d'informations, consultez les ressources suivantes :


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft