Exporter (0) Imprimer
Développer tout

Déploiement d'une stratégie de groupe à l'aide de Windows Vista

S'applique à: Windows Server 2008,Windows Vista

Avec l'arrivée de Windows® Vista™, vous pouvez désormais utiliser une stratégie de groupe pour gérer de manière centralisée un plus grand nombre de comportements de fonctionnalités et de composants par rapport à ce que vous pouviez effectuer sur Microsoft® Windows Server™ 2003. Le nombre de paramètres de stratégies de groupe est passé d'environ 1 800 dans Windows Server 2003 Service Pack 1 à environ 2 500 dans Windows Vista et Windows Server® 2008. Plus de 700 nouvelles stratégies sont ainsi mises à disposition et vous permettent de gérer des bureaux, la sécurité et tous les autres aspects liés à l'exécution du réseau. Ce document permet de distinguer les nouvelles fonctionnalités et les fonctionnalités mises à jour disponibles dans Windows Vista ; en outre, il fournit un nombre de recommandations quant au déploiement des stratégies de groupe.

Présentation de la stratégie de groupe

La stratégie de groupe permet de travailler de manière plus efficace car elle rend possible la gestion centralisée du bureau. Ce mode de gestion permet de réduire le coût total d'exploitation (TCO, total cost of ownership). La mesure du TCO dans un environnement informatique distribué révèle que la perte de productivité de l'utilisateur final constitue l'un des principaux coûts. Les éléments qui contribuent à la perte de productivité de l'utilisateur final sont les suivants :

  • Erreur de l'utilisateur : Par exemple, modification de fichiers système, aboutissant à l'incapacité de fonctionnement des ordinateurs.

  • Complexité : Applications et fonctionnalités non essentielles sur le bureau, pouvant désorienter certains utilisateurs ou nécessitant une formation supplémentaire.

  • Applications non approuvées : Applications fournies par e-mail, téléchargées ou transférées à partir de supports amovibles susceptibles de perturber le réseau d'entreprise.

La stratégie de groupe permet de réduire les pertes de productivité car elle permet de définir les paramètres de stratégie ainsi que les actions autorisées aux niveaux utilisateur et ordinateur. La combinaison des paramètres de stratégie permet de créer des bureaux spécifiques à la charge de travail et au niveau d'expérience d'un utilisateur.

La stratégie de groupe s'applique non seulement aux utilisateurs et aux ordinateurs clients, mais également aux serveurs membres, aux contrôleurs de domaine et à tous les autres ordinateurs Microsoft Windows concernés par la gestion. Par défaut, la stratégie de groupe appliquée à un domaine (c'est-à-dire appliquée au niveau du domaine, situé juste au-dessus de la racine du composant logiciel Utilisateurs et ordinateurs Active Directory) concerne tous les ordinateurs et utilisateurs du domaine.

Le composant Utilisateurs et ordinateurs Active Directory fournit également une unité d'organisation intégrée de type Contrôleurs de domaine. Si vous conservez vos comptes de contrôleur de domaine à cet emplacement, vous pouvez utiliser l'objet GPO « Stratégie Contrôleurs de domaine par défaut » pour gérer certains contrôleurs de domaine séparément des autres ordinateurs. Développée à partir de Windows Server 2003 et Windows XP, la stratégie de groupe couvre un plus grand nombre de paramètres et d'extensions de stratégie, améliore la fiabilité et les connaissances sur le réseau et facilite l'administration.

Définition de la stratégie de groupe

Utilisez la stratégie de groupe pour définir des configurations spécifiques aux groupes d'utilisateurs et d'ordinateurs, en créant des paramètres de stratégie de groupe. Vous pouvez définir ces paramètres avec l'Editeur d'objets de stratégie de groupe (officiellement connu sous le nom de GPedit) et les insérer dans un objet GPO (Group Policy Object), lui-même associé aux conteneurs Active Directory, tels que les sites, les domaines ou les unités d'organisation. Les paramètres de stratégie de groupe s'appliquent ainsi aux utilisateurs et ordinateurs des conteneurs Active Directory. Vous pouvez configurer l'environnement de travail des utilisateurs une fois et vous baser ensuite sur le système pour appliquer les stratégies telles que définies.

Avec cette approche, la stratégie de groupe applique des paramètres de stratégie aux utilisateurs et aux ordinateurs des conteneurs Active Directory. Vous pouvez configurer l'environnement de travail de l'utilisateur une fois et vous baser ensuite sur Windows Vista pour appliquer les paramètres de stratégie que vous avez définis.

Fonctions de la stratégie de groupe

Créez des paramètres de stratégie spécifiques permettant de déterminer le comportement de Windows et de protéger les utilisateurs et les ordinateurs. Les sections suivantes décrivent les fonctions clés de la stratégie de groupe.

Paramètres de stratégie basés sur le Registre

L'implémentation des paramètres de stratégie basés sur le Registre constitue la forme la plus courante de configuration de stratégie dans Windows. Vous pouvez définir des paramètres de stratégie basés sur le Registre pour les applications et Windows à l'aide de GPEdit. Par exemple, vous pouvez activer un paramètre de stratégie qui ajoute la commande Exécuter au menu Démarrer pour tous les utilisateurs concernés dans Windows Vista.

Paramètres de sécurité

La stratégie de groupe fournit des fonctions permettant de définir des options de sécurité pour les ordinateurs et les utilisateurs dans le cadre du GPO. Vous pouvez spécifier des paramètres de sécurité pour l'ordinateur local, le domaine et le réseau. Pour une protection accrue, vous pouvez appliquer des stratégies de restriction logicielle qui empêchent des utilisateurs d'exécuter des fichiers basés sur le chemin d'accès, la zone URL, le hachage ou les critères d'édition. Vous pouvez restreindre l'application de ce niveau de sécurité par défaut à des logiciels spécifiques en créant des règles.

Paramètres de stratégie de restrictions logicielles

Pour une protection contre les virus, les applications non désirées et les attaques contre les ordinateurs exécutant Windows XP et Windows Server 2003, la stratégie de groupe inclut de nouveaux paramètres de stratégie de restrictions logicielles. Vous pouvez désormais utiliser des paramètres de stratégie pour identifier le logiciel s'exécutant dans un domaine et contrôler sa capacité d'exécution.

Distribution de logiciel

Grâce à la stratégie de groupe, vous pouvez gérer l'installation, les mises à jour et la suppression d'une application de manière centralisée. Puisque les organisations peuvent déployer et gérer des configurations de bureau personnalisées, ils investissent moins dans la prise en charge des utilisateurs individuels. Vous pouvez attribuer un logiciel à des utilisateurs ou ordinateurs (distribution de logiciel obligatoire) ou publier un logiciel pour des utilisateurs (permettant éventuellement aux utilisateurs d'installer le logiciel via l'option Ajouter ou supprimer des programmes dans le Panneau de configuration). Les utilisateurs disposent de la flexibilité nécessaire pour exécuter leurs travaux sans avoir à configurer leur système.

Vous pouvez utiliser la stratégie de groupe pour déployer des packages approuvés. Par exemple, dans un environnement de bureau nécessitant une gestion importante dans lequel les utilisateurs ne sont pas autorisés à installer des applications, le service de Windows Installer effectue une installation au nom de l'utilisateur. En outre, pour les stations de travail à gestion importante, Windows Installer s'intègre avec les paramètres de stratégie de restriction logicielle, implémentés à l'aide de la stratégie de groupe pour limiter les nouvelles installations à une liste de logiciels approuvés.

Scripts d'ordinateur et d'utilisateur

Vous pouvez utiliser des scripts pour automatiser des tâches au démarrage et à l'arrêt d'un ordinateur, ainsi que lors de la connexion et de la déconnexion d'un utilisateur. Tous les languages pris en charge par Windows Script Host peuvent être utilisés, notamment les fichiers de commandes de type VBScript, JavaScript, PERL et MS-DOS® (.bat et .cmd).

Redirection de dossiers

La redirection de dossiers vous permet de réacheminer des dossiers utilisateur importants, tels que les dossiers Documents et Users, vers un emplacement du serveur. La redirection de dossiers permet de gérer de manière centralisée, de sauvegarder et de restaurer facilement les dossiers à la place des utilisateurs.

Maintenance d'Internet Explorer

Vous pouvez gérer et personnaliser la configuration de Microsoft Internet Explorer sur les ordinateurs prenant en charge la stratégie de groupe. GPEdit inclut le nœud Maintenance d'Internet Explorer, que vous utilisez pour éditer des zones de sécurité, des paramètres de confidentialité, ainsi que d'autres paramètres d'Internet Explorer sur un ordinateur exécutant Windows 2000 et les versions ultérieures.

Nouveautés dans la stratégie de groupe Windows Vista

Sous Windows Vista, les modifications apportées à la stratégie de groupe améliorent de façon significative la capacité à planifier, organiser, déployer, gérer, résoudre et signaler des implémentations de stratégie de groupe. Cette section décrit quelques unes des nouvelles fonctionnalités majeures de la stratégie de groupe.

Intégration de la console de gestion des stratégies de groupe

La console de gestion des stratégies de groupe (GPMC, Group Policy Management Console) est un composant logiciel enfichable MMC (Microsoft Management Console) scriptable, qui permet de gérer la stratégie de groupe sur l’ensemble de l’entreprise de façon centralisée. A l'origine, la console GPMC a été fournie séparément en tant que composant de téléchargement de Microsoft Windows® XP et Windows Server 2003. Désormais, elle est directement intégrée au système d'exploitation et devient l'outil standard pour la gestion des stratégies de groupe avec l'éditeur d'objet de stratégie de groupe.

Déploiement des paramètres de gestion d'alimentation

La stratégie de groupe est activée pour tous les paramètres de gestion de l'alimentation, offrant ainsi un potentiel d'économies importantes. Le contrôle des paramètres d'alimentation via la stratégie de groupe permet aux organisations de réduire considérablement les dépenses. Vous pouvez modifier des paramètres d'alimentation spécifiques via les paramètres de stratégie de groupe individuels ou créer un mode de gestion d'alimentation personnalisé pouvant être déployé à l'aide d'une stratégie de groupe.

Restriction de l'accès aux périphériques

Vous pouvez limiter, de manière centralisée, l'installation des périphériques sur des ordinateurs dans l'organisation. Vous pouvez désormais créer des paramètres de stratégie pour contrôler l'accès aux périphériques tels que les lecteurs USB, lecteurs CD-RW, lecteurs DVD-RW et autres supports amovibles.

Améliorations au niveau des paramètres de sécurité

Les paramètres du pare-feu Windows et de la stratégie de groupe IPsec sont combinés dans le Pare-feu Windows avec fonctions avancées de sécurité pour vous permettre de tirer parti des avantages de ces deux technologies. De plus, grâce à cette combinaison, vous n'avez plus besoin de créer et de tenir à jour des fonctions en double. Certains scénarios pris en charge par les paramètres combinés du pare-feu Windows et de la stratégie de groupe IPsec sont des communications de serveur à serveur sécurisées sur Internet. Elles limitent l'accès aux ressources de domaine basées sur des relations de confiance ou sur l'intégrité de l'ordinateur et protègent la communication de données d'un serveur spécifique afin de se conformer aux exigences réglementaires en matière de confidentialité et de sécurité des données.

Gestion étendue des paramètres d'Internet Explorer

Vous pouvez ouvrir et modifier des paramètres de stratégie de groupe d'Internet Explorer sans risquer de modifier involontairement l'état du paramètre de stratégie selon la configuration de la station de travail d'administration. Cette modification remplace le comportement antérieur selon lequel certains paramètres de stratégie d'Internet Explorer étaient modifiés en fonction des paramètres de stratégie activés sur la station de travail d'administration utilisée pour afficher les paramètres.

Attribution des imprimantes en fonction de leur emplacement

L'attribution d'imprimantes en fonction de leur emplacement dans l'organisation ou de leur emplacement géographique est une nouvelle fonctionnalité de Windows Vista. Lorsque des utilisateurs mobiles se déplacent, la stratégie de groupe peut adapter leurs imprimantes au nouvel emplacement. Les utilisateurs mobiles qui reviennent ensuite voient leurs imprimantes par défaut habituelles.

Délégation de l'installation de pilote d'imprimante aux utilisateurs

Vous pouvez désormais déléguer aux utilisateurs l'installation des pilotes d'imprimante à l'aide de la stratégie de groupe. Cette fonction permet d'assurer la sécurité en limitant la distribution d'informations d'identification d'administration.

Récapitulatif des paramètres de stratégie de groupe, nouveaux et étendus

Pour consulter un tableau récapitulatif des nouvelles catégories ou des catégories étendues de paramètres de stratégie de groupe, voir http://go.microsoft.com/fwlink/?LinkId=54020.

Etendue des outils de stratégie de groupe

Editeur d'objets de stratégie de groupe (GPEdit)

L'éditeur d'objets de stratégie de groupe est un composant logiciel enfichable de la console de gestion de Microsoft (MMC, Microsoft Management Group) servant à la configuration et la modification des paramètres de la stratégie de groupe dans un objet Stratégie de groupe (GPO, Group Policy Object) unique.

Chaque système d'exploitation Windows Vista dispose d'un ou de plusieurs objets Stratégie de groupe locale (LGPO, Local Group Policy object). Les paramètres de stratégie sont appliqués manuellement au LGPO à l'aide de GPEdit ou via des scripts. Les LGPO contiennent moins de paramètres de stratégie que les GPO basés sur le domaine, en particulier dans le cas des paramètres de sécurité. Les LGPO ne prennent pas en charge la redirection de dossiers, les services d'installation à distance ou l'installation logicielle de stratégie de groupe dans le cadre de leur configuration en tant qu'ordinateurs client autonomes, mais vous pouvez les utiliser pour implémenter un environnement d'exploitation sécurisé sur de tels ordinateurs.

Les administrateurs doivent également être en mesure de modifier rapidement les paramètres de stratégie de groupe de plusieurs utilisateurs et ordinateurs dans un environnement de réseau. GPEdit fournit une arborescence hiérarchique pour la configuration des paramètres de stratégie de groupe dans un GPO. Ainsi, le GPO peut être lié aux sites, domaines et unités d'organisation contenant des objets d'utilisateur ou d'ordinateur. Voir Figure 1.

GPEdit se compose de deux sections principales : Configuration utilisateur, qui conserve les paramètres applicables aux utilisateurs (lors de la connexion et l'actualisation périodique en arrière-plan) ; configuration ordinateur, qui conserve les paramètres applicables aux ordinateurs (au démarrage et lors de l'actualisation périodique en arrière-plan). Ces sections se subdivisent en différents types de stratégies que vous pouvez configurer, notamment les modèles d'administration, la sécurité, ou la redirection de dossiers.

Pour travailler de manière efficace, vous devez obtenir un accès immédiat aux informations sur la fonction et l'objectif des paramètres de stratégie individuels. Pour les paramètres de stratégie des modèles d'administration, GPEdit fournit des informations sur chaque paramètre de stratégie directement dans l'affichage Web de la console. Ces informations sont appelées Texte d'explication. Le texte d'explication affiche les paramètres requis pour le système d'exploitation, définit le paramètre de stratégie et inclut les détails spécifiques du résultat de l'activation, de la désactivation ou de la non-configuration du paramètre de stratégie.

Console de gestion des stratégies de groupe

La console de gestion des stratégies de groupe (GPMC, Group Policy Management Console) est un outil d'administration intégré facilitant la gestion de la stratégie de groupe. La console GPMC est incluse dans le système d'exploitation Windows Vista.

Group Policy Management Console

La console GPMC intègre la fonctionnalité existante de stratégie de groupe des pages de propriétés au niveau des outils d'administration Active Directory dans une console unique et unifiée dédiée aux tâches de gestion des stratégies de groupe. Elle étend également les fonctions de gestion. Vous utilisez toujours des outils d'administration Active Directory mais la console GPMC remplace la fonctionnalité de gestion des stratégies de groupe de ces outils par ses propres fonctionnalités. Voir Figure 2.

noteRemarques
La console GPMC est disponible en deux versions.

  1. GPMC (version 1.0) est disponible pour téléchargement depuis 2003 et est conçue pour configurer la stratégie de groupe dans un environnement Windows Server 2003 et Windows XP.

  2. GPMC (version 2.0) est intégrée dans Windows Vista et est conçue pour configurer la stratégie de groupe dans tous les environnements Windows.

ImportantImportant
Il est recommandé de ne pas utiliser ou télécharger l'ancienne version de la console GPMC (v 1.0) dans Windows Vista car elle n'est pas compatible.

Gestion de bureaux dans un environnement mixte

Gestion des stratégies de groupe sous Vista

Microsoft Windows Vista introduit un nouveau format de définition des paramètres de stratégie basés sur le Registre. Les paramètres de stratégie basés sur le Registre (situés sous la catégorie Modèles d'administration dans GPEdit) sont définis à l'aide d'un format de fichier XML standard : les fichiers ADMX. Ces nouveaux fichiers remplacent les fichiers ADM, qui utilisaient leur propre langage de balisage. Un des principaux avantages des fichiers ADMX repose sur la prise en charge d'environnements multilingues, qu'il est difficile d'implémenter avec les fichiers ADM. Les outils de stratégie de groupe (GPEdit et la console GPMC) ne subissent aucune modification, hormis leur capacité à lire les nouveaux fichiers ADMX. Dans la plupart cas, vous ne remarquerez pas la présence de fichiers ADMX dans vos tâches quotidiennes d'administration de stratégie de groupe.

Certains cas nécessitent une compréhension de la structure des fichiers ADMX ainsi que la connaissance du lieu de stockage. Les outils de stratégie de groupe intégrés dans Windows Vista ou Windows Server 2008 reconnaissent à la fois les fichiers ADMX et ADM. Les outils de stratégie de groupe intégrés dans Windows Server 2003 et dans les versions antérieures de Windows reconnaissent uniquement les fichiers ADM.

Contrairement aux fichiers ADM, les fichiers ADMX ne sont pas stockés dans des objets GPO séparés. Pour les entreprises basées sur des domaines, vous pouvez éventuellement créer un magasin central de fichiers ADMX, accessible à tout utilisateur disposant des droits de création ou d'édition de GPO. Les outils de stratégie de groupe reconnaissent toujours les fichiers ADM personnalisés associés à des GPO existants, mais ignorent tout fichier ADM remplacé par des fichiers ADMX : System.adm, Inetres.adm, Conf.adm, Wmplayer.adm et Wuau.adm.

GPEdit lit et affiche automatiquement les paramètres de stratégie de modèles d'administration basés sur des fichiers ADMX stockés localement ou dans le magasin central et optionnel de fichiers ADMX. GPEdit affiche automatiquement les paramètres de stratégie de modèles d'administration définis dans des fichiers ADM personnalisés stockés dans le GPO. Vous pouvez toujours ajouter ou supprimer des fichiers ADM personnalisés à un GPO avec l'option de menu Ajouter/Supprimer de modèles. Tous les paramètres de stratégie de groupe actuellement dans des fichiers ADM fournis par Windows Server 2003, Windows XP et Windows 2000 sont également disponibles dans Windows Vista et dans les fichiers ADMX Windows Server 2008.

Implication des fichiers ADMX dans un environnement de bureau mixte

Si vous êtes administrateur d'une organisation disposant d'un environnement de bureau mixte qui exécute Windows Vista, Windows XP et Windows 2000, vous devez tenir compte des nouveaux paramètres de stratégie de groupe. Les paramètres de stratégie de groupe de Windows Vista s'appliquent uniquement à Windows Vista et non aux versions antérieures de Windows.

  • Vous pouvez gérer les nouveaux paramètres de stratégie de Windows Vista ou de Windows Server 2008 à partir des ordinateurs d'administration basés sur Windows Vista ou Windows Server 2008 qui exécutent GPEdit ou la console GPMC. Ces paramètres de stratégie sont définis uniquement dans les fichiers ADMX et ne sont pas présents sur les versions Windows Server 2003, Windows XP ou Windows 2000 de ces outils. Un administrateur doit utiliser GPEdit à partir d'un ordinateur d'administration fonctionnant sous Windows Vista ou Windows Server 2008 pour configurer les nouveaux paramètres de stratégie de groupe de Windows Vista.

  • Sous Windows Server 2003, Windows XP ou Windows 2000, l'éditeur d'objets de stratégie de groupe (GPEdit) n'affiche pas correctement les nouveaux paramètres de stratégie de modèle d'administration de Windows Vista, activés ou non dans un GPO. Au lieu de cela, les valeurs de Registre associées à ces paramètres de stratégie sont affichées sous le menu Autres paramètres du Registre de GPEdit.

  • Vous pouvez utiliser la version Windows Vista de GPEdit et de la console GPMC pour gérer tous les systèmes d'exploitation prenant en charge la stratégie de groupe (Windows Vista, Windows Server 2008, Windows Server 2003, Windows XP et Windows 2000).

  • Les paramètres de stratégie de modèle d'administration existant actuellement dans les fichiers ADM de Windows Server 2003, Windows XP et Windows 2000 peuvent être configurés à partir de tous les systèmes d'exploitation qui prennent en charge la stratégie de groupe (Windows Vista, Windows Server 2003, Windows XP et Windows 2000).

  • La version Windows Vista de GPEdit et de la console GPMC prend en charge l'interopérabilité avec les versions de ces outils sous Windows Server 2003 et Windows XP. Par exemple, les fichiers ADM personnalisés stockés dans des GPO vont être consommés par GPEdit et la console GPMC sous Windows Vista, Windows Server 2008, Windows Server 2003 et Windows XP. Voir Tableau 1.

La version Windows Vista de GPEdit prend en charge l'interopérabilité avec les versions de GPEdit sous Windows Server 2000. Par exemple, les fichiers ADM personnalisés stockés dans des GPO sont utilisés par GPEdit sous Windows Vista, Windows Server 2008 et Windows 2000 (la console GPMC ne s'exécute pas sous Windows 2000).

Dans les systèmes d'exploitation antérieurs, chaque fois que vous deviez créer un objet de stratégie de groupe (GPO), tous les fichiers ADM étaient stockés dans le GPO. Le coût de stockage avoisinait environ 4 Mo par objet de stratégie de groupe. Le trafic de réplication augmentait lors d'opérations nécessitant une modification des objets de stratégie de groupe, notamment la modification d'autorisations relatives à des objets de stratégie de groupe lors de la mise à niveau d'un domaine Windows 2000 vers un domaine Windows Server 2003. Dans ce cas, tous les fichiers ADM des objets de stratégie de groupe ont été immédiatement répliqués, ce qui peut avoir une incidence sur les performances et la disponibilité de la bande passante réseau.

Ce processus a été remplacé dans Windows Vista et Windows Server 2008 par un magasin central dans Sysvol, comprenant la nouvelle version de fichiers ADM, nommés fichiers ADMX. A la différence des versions antérieures de Windows, les GPO créés à l'aide de Windows Vista ne contiennent pas tous des fichiers ADMX. Cette modification implique une réplication de données moins importante en raison de l'efficacité accrue du service de réplication DFS.

Tant que tous les administrateurs de la stratégie de groupe utilisent le client Windows Vista, les nouveaux GPO ne contiennent pas de fichier ADM ou ADMX. Ainsi, cela permet d'économiser environ 4 Mo de mémoire par objet de stratégie de groupe. Une fois que l'entreprise a effectué la mise à jour en vue d'utiliser le nouveau service DFS, les informations figurant dans l'objet de stratégie de groupe sont répliquées à l'aide du service de réplication DFS qui réplique uniquement les différences dans l'objet de stratégie de groupe. Ces deux modifications permettent de réduire de façon conséquente la quantité de stockage et de bande passante réseau nécessaire lorsqu'un administrateur de stratégie de groupe modifie un objet de stratégie de groupe.

Tableau 1 : Comportement de la console GPMC de Windows Vista et de la console GPMC par téléchargement

Comportement Console GPMC de Windows Vista Console GPMC par téléchargement

Gestion de Windows Server 2003, Windows XP et Windows 2000

Oui

Oui

Gestion de Windows Vista et Windows Server 2008

Oui

Non

Prise en charge multilingue

Oui

Non

Lecture de fichiers ADM personnalisés

Oui

Oui

Emplacement par défaut des fichiers

Local

Objet de stratégie de groupe

Utilisation du magasin central

Oui

Non

Absence de fichiers dupliqués dans le GPO (répertoire SYSVOL lourd)

Oui

Non

Option d'ajout de fichiers spécifiques au GPO (Ajouter/Supprimer des modèles)

Fichiers ADM uniquement

Fichiers ADM uniquement

Comparaison de fichiers

Numéro de la version

Horodatage

Meilleures pratiques

Méthode recommandée de déploiement

Windows Vista intègre plus de 800 nouveaux paramètres de stratégie de groupe à l'environnement Windows. Cette section fournit les renseignements nécessaires pour appliquer les paramètres de stratégie de groupe de Windows XP à Windows Vista, en expliquant des concepts d'administration de base et en spécifiant les recommandations concernant l'administration de la stratégie de sécurité.

 

Méthode recommandée de déploiement
  1. Mettez à niveau les stations de travail des administrateurs de stratégie de groupe vers Windows Vista. Désormais, toute gestion de stratégie de groupe est effectuée à partir d'ordinateurs exécutant Windows Vista.                                                                                                              

  2. (Facultatif) Créez un magasin central sur SYSVOL pour chaque contrôleur principal de domaine (PDC, Primary Domain Controller) Active Directory, dans lequel les administrateurs exécutant Windows Vista gèrent la stratégie de groupe. Remplissez le magasin central de chaque PDC avec des fichiers ADMX/ADML de la station de travail Windows Vista de l'administrateur de stratégie de groupe. Lisez le Guide pas à pas de la gestion des fichiers ADMX de stratégie de groupe à l'adresse suivante : http://go.microsoft.com/fwlink/?LinkId=75124.

  3. Créez de nouveaux GPO (ou mettez à jour les GPO existants) pour inclure les nouveaux paramètres de stratégie de groupe de Windows Vista que vous souhaitez utiliser.

    Remarque   Vous avez la possibilité de lier ces GPO à l'unité d'organisation contenant les nouvelles stations de travail appartenant à un domaine Windows Vista.

    Remarque   Dans de rares cas, vous pouvez être amené à développer le schéma AD pour adapter les nouveaux paramètres.

  4. Déployez les stations de travail Windows Vista selon le projet de déploiement.

    Remarque   Les nouveaux GPO ou les GPO mis à jour s'appliquent aux stations de travail de Windows Vista si nécessaire.                                                                                                         

Créer un magasin central

Le magasin central est une structure de dossier créée dans le répertoire SYSVOL sur les contrôleurs de chaque domaine. Vous ne devez créer le magasin central qu'une seule fois sur un contrôleur de domaine unique pour chaque domaine de votre organisation. Le service de réplication de fichiers réplique ensuite le magasin central sur tous les contrôleurs de domaine. Il est recommandé de créer le magasin central sur le contrôleur de domaine qui a le rôle FSMO d'émulateur de contrôleur principal de domaine, car la console GPMC et l'éditeur d'objets de stratégie de groupe (GPEdit) se connectent au contrôleur de domaine par défaut.

Le magasin central comprend un dossier de niveau racine contenant tous les fichiers ADMX non-spécifiques à une langue, ainsi que des sous-dossiers contenant les fichiers de ressource ADMX spécifiques à une langue.

noteRemarques
Lorsqu'il n'existe aucun magasin central, GPEdit lit les versions locales des fichiers ADMX utilisés par le GPO local sur l'ordinateur d'administration fonctionnant sous Windows Vista. Pour effectuer cette procédure, vous devez faire partie du groupe d'administrateurs de domaine d'Active Directory.

Pour créer un magasin central
  1. Créez le dossier racine du magasin central %systemroot%\sysvol\domain\policies\PolicyDefinitions sur le contrôleur de domaine.

  2. Créez un sous-dossier de %systemroot%\sysvol\domain\policies\PolicyDefinitions pour chaque langue utilisée par les administrateurs de stratégie de groupe. Chaque sous-dossier est nommé selon le nom de langue/culture de type ISO approprié. Pour plus d'informations sur la liste des noms de langue/culture de type ISO, voir Locale Identifiers. Par exemple, pour créer un sous-dossier pour l'anglais américain, procédez comme suit : %systemroot%\sysvol\domain\policies\PolicyDefinitions\EN-US.

Alimenter le magasin central avec des fichiers ADMX

Sous Windows Vista, il n'existe aucune interface utilisateur permettant d'alimenter le magasin central. La procédure suivante montre comment remplir le magasin central en utilisant la syntaxe de ligne de commande du contrôleur de domaine.

Pour alimenter le magasin central
  1. Ouvrez une fenêtre de commande : Cliquez sur Démarrer, Exécuter, tapez cmd, puis appuyez sur Entrée.

  2. Pour copier tous les fichiers ADMX non-spécifiques à une langue (.admx) de la station de travail d'administration Windows Vista vers le magasin central du contrôleur de domaine à l'aide de la commande de copie, tapez :

    copy %systemroot%\PolicyDefinitions\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\

  3. Pour copier tous les fichiers de ressources ADMX spécifiques à une langue (.adml) de la station de travail d'administration Windows Vista vers le magasin central du contrôleur de domaine à l'aide de la commande de copie, tapez :

    copy %systemroot%\PolicyDefinitions\[MUIculture]\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\[MUIculture]\

Par exemple, pour copier tous les fichiers .adml en anglais américain, tapez la syntaxe suivante :

copy %systemroot%\PolicyDefinitions\EN-US\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\EN-US\

Explorer view of Central Store

Télécharger de nouveaux schémas

Windows Vista prend en charge les améliorations pouvant être configurées via les paramètres de stratégie de groupe qui sont pris en charge par des contrôleurs de domaine exécutant Windows Server 2008. Pour prendre en charge ces améliorations dans un environnement de service Active Directory comprenant des contrôleurs de domaine qui exécutent Windows Server 2003 ou Windows Server 2003 R2, vous devez étendre le schéma Active Directory. Pour plus d'informations sur les améliorations apportées par les extensions de schéma Active Directory aux stratégies de groupe sans fil et câblées de Windows Vista , voir http://go.microsoft.com/fwlink/?LinkId=70195.

noteRemarques
L'extension du schéma est nécessaire seulement si vous avez besoin des améliorations de stratégie de groupe sans fil et câblées ou des améliorations de stratégie de groupe BitLocker.

Pour plus d'informations sur les modifications de schéma BitLocker, consultez le document Configuration d’Active Directory pour sauvegarder les informations de récupération de BitLocker et de TPM dans le kit de déploiement d'Active Directory.

Recommandations supplémentaires

Avant de commencer le déploiement des paramètres de stratégie de groupe Windows Vista, n'oubliez pas de lire les indications et les documents de Windows Vista car ils fournissent une base de connaissances solide sur les paramètres de stratégie de groupe.

  • Utilisation de la console GPMC pour sauvegarder et restaurer des objets de stratégie de groupe de domaine

    Les sauvegardes enregistrées avec la console GMPC de Windows Vista (version 2.0) ne sont pas compatibles avec la version téléchargée de la console GPMC (version 1.0). En outre, la version téléchargée de la console GMPC ne sauvegarde pas tous les paramètres de stratégie de groupe de Windows Vista inclus dans un objet de stratégie de groupe. Pour obtenir de meilleurs résultats, utilisez la console GMPC de Windows Vista (version 2.0) pour sauvegarder et restaurer tous les objets de stratégie de groupe.

  • Guides pas à pas de Windows Vista pour les professionnels de l'informatique

    Les guides pas à pas permettent aux professionnels de l'informatique de déployer Windows Vista ou de migrer vers Windows Vista. Ces guides fournissent également des informations détaillées sur le contrôle de l'installation des périphériques à l'aide de la fonction DMI (Device Management and Installation) et sur la gestion des fichiers ADMX.

  • Laboratoires virtuels TechNet pour les paramètres de stratégie de groupe Windows Vista

    Ces laboratoires sont destinés aux professionnels de l'informatique chargés de la gestion des stations de travail Windows Vista dans un domaine Active Directory. Ces laboratoires explorent les nouveaux paramètres et les paramètres étendus de la stratégie de groupe.

  • Scénarios courants de la stratégie de groupe

    Ce package inclut une série d'objets GPO illustrant quelques scénarios courants impliquant des ordinateurs de bureau. Il peut s'agir de scénarios partiellement gérés, mobiles et en mode plein écran, ainsi que d'autres scénarios.

Scripts GPMC

La console GPMC inclut un ensemble d'interfaces de scripts permettant d'automatiser plusieurs tâches courantes de gestion de GPO. En utilisant les interfaces de scripts, vous pouvez gérer l'environnement de stratégie de groupe, notamment la génération de rapports sur les paramètres des objets de stratégie de groupe (GPO), la création et la copie de GPO, ainsi que la recherche de GPO non liés. Windows Vista n'inclut aucun script. Pour plus d'informations sur les scripts GPMC, voir http://go.microsoft.com/fwlink/?LinkId=81507 (éventuellement en anglais).

Problèmes multilingues

Dans Windows Vista, les paramètres du modèle d'administration se divisent en ressources non-spécifiques à une langue (fichiers .admx) et spécifiques à une langue (fichiers .adml), disponibles pour tous les administrateurs de stratégie de groupe. Ces fichiers permettent aux outils de stratégie de groupe d'ajuster leur interface utilisateur selon la langue configurée par l'administrateur. Vous pouvez ajouter une nouvelle langue à l'ensemble des définitions de stratégie en garantissant que le fichier de ressources spécifiques à cette langue est disponible.

Par exemple, un administrateur de stratégie de groupe crée un GPO à partir d'une station de travail d'administration Windows Vista configurée en anglais. Il enregistre l'objet de stratégie de groupe et le relie au domaine déployé au-delà des frontières géographiques. L'un de ses collègues, basé à Paris, parcourt le même domaine en utilisant la console de gestion des stratégies de groupe et sélectionne l'objet de stratégie de groupe créé en anglais. Il peut afficher et modifier les paramètres de la stratégie en français. L'administrateur initial de la stratégie de groupe qui a créé le GPO voit toujours les paramètres dans sa langue d'origine (anglais), ainsi que les modifications apportées par l'administrateur français.

Modifications de la stratégie de groupe résultant de la migration et de la mise à niveau vers Windows Vista

Après migration ou mise à niveau vers Windows Vista, la stratégie de groupe est appliquée de nouveau comme dans une nouvelle installation. Pour les clients d'un domaine Windows, la stratégie de groupe est appliquée comme si l'ordinateur venait d'accéder au domaine ou comme si l'utilisateur se connectait pour la première fois. Chaque extension migre ses paramètres de stratégie ou affecte ces paramètres lors de la première application de la stratégie de groupe dans le domaine. Après la mise à niveau, le moteur de stratégie de groupe va traiter les paramètres de stratégie (comme c'est le cas lors d'une nouvelle installation), régénérer toutes les données RSoP et configurer toutes les valeurs mises en cache. Le tableau suivant fournit des détails sur la mise à niveau ou la migration spécifique à chaque composant.

 

Composant Comportement de mise à niveau Comportement de migration

Moteur de stratégie de groupe

Les clés et les valeurs de préférence du moteur principal de la stratégie de groupe (telles que la vitesse de liaison) sont migrées.

Pas de migration.

Jeu de stratégie résultant (RSoP)

Après la mise à niveau, aucune migration de données RSoP n'est requise étant donné que tous les paramètres de stratégie vont être de nouveau appliqués lors du premier redémarrage.

Pas de migration.

Objet de stratégie de groupe local (LGPO)

  • Le LGPO est migré.

  • Les objets de stratégie de groupe locaux multiples (MLGPO, Multiple Local Group Policy Objects) du groupe sont migrés.

  • Les objets MLGPO de l'utilisateur sont migrés.

    Remarque   Les données du MLGPO sont migrées lors de la mise à niveau des différentes unités de stockage (SKU, Stock Keeping Unit) de Windows Vista.

  • Le LGPO est migré.

  • Les objets de stratégie de groupe locaux multiples (MLGPO, Multiple Local Group Policy Objects) du groupe sont migrés.

Extensions côté client

Les extensions côté client permettent de conserver les données d'inscription sur le Registre. Les clés de Registre d'extension se situent dans

HKLM\Software\

Microsoft\Windows NT\

CurrentVersion\Winlogon\

GPExtensions

Remarque   Chaque extension côté client met à niveau les informations la concernant.

Pas de migration.

Modèles d'administration (ADM)

  • Les fichiers ADM envoyés au préalable sont remplacés par les fichiers ADMX.

  • Les fichiers ADM personnalisés ne subissent aucune modification pendant la mise à niveau.

Pas de migration.

Paramètres de stratégie basés sur le Registre

  • Tous les paramètres de stratégie ainsi que les valeurs appartenant à la clé de Registre Software\Policy sont migrés.

  • Les paramètres de préférence ne sont pas migrés.

  • Lors du premier redémarrage après l'ouverture de session, tous les paramètres de stratégie sont de nouveau appliqués à partir du domaine.

Pas de migration.

Installation de logiciel

  • Toutes les applications installées à l'aide des stratégies de groupe sont automatiquement migrées.

  • Tous les fichiers sous %windir%\system32 \appmgmt sont automatiquement migrés.

  • Toutes les clés et les valeurs sont migrées sous :

    • HKLM|HKCU Software \Microsoft\Windows \CurrentVersion\ Group Policy\Appmgmt

    • Valeur 'appmgmtdebuglevel' sous HKLM\Software\ Microsoft\Windows NT \CurrentVersion\ Diagnostics

Pas de migration.

Console GPMC et Editeur d'objet stratégie de groupe (GPEdit)

  • Les versions précédentes de la console GPMC sont supprimées.

    • Le fichier des scripts, incluant les scripts de la version précédente de la console GPMC, est conservé après la mise à niveau.

  • Les données de configuration de la console GPMC suivantes vont être migrées :

    • informations stockées directement dans le fichier de console (msc) (tels que le dernier domaine ou la dernière forêt ayant fait l'objet d'une connexion)

    • clés de Registre et les préférences contenues dans l'outil (emplacement des fichiers de sauvegarde, options de fichier ADM, etc.).

  • Pour GPEdit, toutes les clés de préférence, comme le nom de l'objet de stratégie de groupe par défaut, sont migrées.

Pas de migration.

noteRemarques
Pour consulter la liste des clés de Registre déplacées au cours de la migration, voir Annexe B.

Vérification des paramètres de stratégie de groupe - Jeu de stratégie résultant (RSoP)

Toutes les informations relatives au traitement des stratégies de groupe sont collectées et stockées dans une base de données du gestionnaire CIMOM (Common Information Model Object Manager) sur l'ordinateur local. Ces informations, comme la liste, le contenu et la journalisation des détails du traitement de chaque stratégie de groupe, sont accessibles aux outils disposant de l'Infrastructure WMI (Windows Management Instrumentation).

En mode journalisation (résultat de la stratégie de groupe), le jeu de stratégie résultant (RSoP) envoie une requête à la base de données CIMOM de l'ordinateur de destination, reçoit les informations relatives aux stratégies et affiche ces dernières dans la console GPMC. En mode planification (Modélisation de stratégie de groupe), le RSoP simule l'application des stratégies sur un contrôleur de domaine à l'aide du Service d'accès de données de la stratégie de groupe (GPDAS, Group Policy Directory Access Service). A son tour, le GPDAS simule l'application des objets de stratégie de groupe et les transmet aux extensions virtuelles côté client du même contrôleur de domaine. Les résultats de cette simulation sont stockés dans une base de données CIMOM locale du contrôleur de domaine avant d'être renvoyés et affichés dans la console GPMC.

Affichage du jeu de stratégie résultant (RSoP) à l'aide de la console GPMC

Un administrateur utilise la console GPMC afin de gérer les stratégies de groupe dans un environnement Active Directory. La console GPMC fournit à l'administrateur une vue persistante de l'environnement de stratégies de groupe du réseau, notamment les objets GPO, les liens GPO, les sites, les domaines ainsi que les unités d'organisation (OU, Organizational Unit) dans la forêt sélectionnée. Avec la console GPMC, il peut désormais effectuer toutes les tâches administratives qui auparavant n'étaient disponibles que sous l'onglet Stratégie de groupe des outils d'administration Active Directory.

Par ailleurs, la console GPMC peut servir d'outil de génération de données RSoP. Ces données permettent de prévoir l'effet cumulatif des objets GPO sur le réseau ou transfèrent celui-ci vers un utilisateur ou un ordinateur particulier. En outre, les opérations d'administration sur les objets GPO, telles que la sauvegarde, la restauration, la copie d'un objet GPO ou même la migration de celui-ci vers une autre forêt, sont désormais possibles avec la console GPMC. A l'aide des scripts WMI, il est aussi possible de lire ou de créer des rapports HTML ou XML des paramètres des objets GPO.

Toutefois, la console GPMC présente certaines limites : elle ne peut pas récupérer le RSoP des objets de stratégie de groupe locaux multiples (MLGPO) ; par ailleurs, elle ne peut pas afficher dans ses rapports le pare-feu Windows avec les paramètres de sécurité avancés.

Vérification des paramètres de stratégie réels

Le composant logiciel enfichable Jeu de stratégie résultant (RSoP) est un outil MMC (Microsoft Management Console). Il permet aux administrateurs de signaler et de planifier les effets cumulatifs des objets de stratégies de groupe. Cependant, une majeure partie de sa fonctionnalité a été intégrée dans la console GPMC, ce qui simplifie considérablement la tâche de l'administrateur réseau. Le composant logiciel enfichable Jeu de stratégie résultant (RSoP) a aussi ses limites : il ne signale pas tous les paramètres (par exemple, la plupart des nouveaux paramètres de Windows Vista) et ne peut pas récupérer le RSoP d'un ordinateur distant. Son utilisation n'est pas conseillée même s'il est disponible sous Windows Vista en vue de collecter des données RSoP pour les extensions de stratégie de groupe tierces.

La fonction de reporting de la console GMPC est l'outil recommandé pour déterminer si les stratégies s'appliquent à un utilisateur ou à un ordinateur. Cependant, cette fonction GPMC n'est pas compatible avec les objets de stratégie de groupe locaux multiples (MLGPO). Bien qu'il soit impossible d'utiliser la création d'états GPMC pour les objets MLGPO, vous pouvez consulter ces informations dans le journal opérationnel de la stratégie de groupe.

Utilisation des paramètres de Windows Vista

Les scripts de stratégie de groupe risquent de ne pas aboutir en raison du contrôle de compte d'utilisateur.

L'objectif principal du contrôle de compte d'utilisateur est de réduire la surface d'exposition aux attaques du système d'exploitation. Le contrôle de compte d'utilisateur nécessite que tous les utilisateurs exécutent le mode utilisateur standard. Cette mesure diminue le risque d'apporter des modifications qui pourraient déstabiliser les ordinateurs des utilisateurs ou qui pourraient exposer le réseau à des virus par le biais des logiciels malveillants non détectés ayant infecté leurs ordinateurs.

Avec le contrôle de compte d'utilisateur, vous pouvez exécuter presque toutes les applications, composants et processus avec des privilèges limités. Toutefois, vous disposez d'un « potentiel d'élévation » pour les tâches d'administration et les fonctions applicatives spécifiques. Ceci est possible grâce à l'utilisation de deux jetons d'accès par utilisateur : ces jetons permettent un accès limité et élevé. Ils identifient l'utilisateur, les groupes d'utilisateurs ainsi que les privilèges d'utilisateur. Ils servent également à contrôler l'accès aux objets sécurisables et à évaluer la capacité de l'utilisateur à exécuter différentes opérations liées au système de l'ordinateur local.

Un jeton élevé autorise l'accès à tous les privilèges administratifs pour un administrateur local. Le contrôle de compte d'utilisateur rend obligatoire l'utilisation du jeton élevé lors d'une tentative d'exécution d'une tâche effectuée uniquement par le système ou d'une tâche administrative. Un jeton limité donne accès à tous les privilèges administratifs qui sont toutefois désactivés. Cela permet à Windows d'identifier l'administrateur et un utilisateur normal, avec l'option d'élever leurs privilèges.

Tous les utilisateurs sous Windows Vista utilisent, par défaut, leurs jetons complets pour contrôler les paramètres de stratégie de groupe et les scripts d'ouverture de session. Cependant, ils se servent de leurs jetons limités pour charger le bureau ainsi que tous les processus ultérieurs. Les jetons non administratifs limités et élevés sont quasiment identiques en termes de privilèges et de groupes. Il est donc possible de visualiser le contenu des processus lancés avec un jeton non administratif limité à parti d'un processus lancé avec un jeton non administratif élevé. Cette option est autorisée par Windows car l'application de visualisation n'exige aucune élévation pour visualiser le processus lancé avec le jeton élevé.

Windows traite le journal local de l'administrateur de la même façon. Les stratégies de groupe et les scripts d'ouverture de session lancent les processus à l'aide du jeton utilisateur élevé, tandis que le bureau et tous les processus ultérieurs utilisent le jeton limité. Toutefois, il y a une différence entre les privilèges du jeton utilisateur limité et ceux du jeton utilisateur élevé. C'est pourquoi, Windows restreint les processus lancés avec un jeton limité afin de permettre le partage d'informations avec les processus lancés avec le jeton élevé.

Le contrôle de compte d'utilisateur risque de rendre impossible l'affichage et le fonctionnement corrects des scripts d'ouverture de session des stratégies de groupe. Par exemple, un environnement de domaine contient un objet de stratégies de groupe avec un script d'ouverture de session permettant de mapper des lecteurs réseau. Un utilisateur non administratif se connecte à ce domaine depuis un ordinateur Windows Vista. Après le chargement du bureau, l'utilisateur non administratif démarre Windows Explorer. Il peut ainsi visualiser les lecteurs réseau mappés. Dans le même environnement, un administrateur se connecte au même domaine depuis un ordinateur Windows Vista. Après le chargement du bureau, l'administrateur démarre Windows Explorer. Toutefois, il ne voit pas ses lecteurs réseau mappés.

Lorsque l'administrateur se connecte, Windows traite les scripts d'ouverture de session à l'aide du jeton élevé. Le script fonctionne normalement et mappe le lecteur réseau. Seulement, Windows bloque la vue des lecteurs réseau mappés étant donné que le bureau utilise le jeton limité alors que les lecteurs ont été mappés avec le jeton élevé.

Pour résoudre ce problème, il est conseillé aux administrateurs de mapper les lecteurs réseau avec le jeton utilisateur limité. Ceci peut se faire à l'aide du script launchapp.wsf décrit dans l'Annexe A, qui planifie les commandes à l'aide du Planificateur de tâches. Ce dernier lance le script sous le jeton administratif complet. Ainsi, Windows Explorer, les autres processus de jeton limité et le processus de jeton élevé peuvent visualiser les lecteurs réseau mappés.

Pour configurer launchapp.wsf afin de différer l'exécution d'un script d'ouverture de session
  1. Copiez le script de connexion et le script launchapp.wsf dans un partage réseau.

  2. Démarrez la console de gestion des stratégies de groupe (GPMC). Dans la console GPMC, cliquez avec le bouton droit sur l'objet GPO que vous voulez modifier. Ensuite, cliquez sur Modifier.

  3. Dans le nœud Configuration utilisateur, développez Paramètres Windows, puis cliquez sur Scripts.

  4. Cliquez avec le bouton droit sur Connexion, puis cliquez sur Propriétés.

  5. Dans la boîte de dialogue Propriétés de Ouverture de session, cliquez sur Ajouter.

  6. Dans la zone Nom du script, tapez launchapp.wsf

  7. Dans la zone Paramètres de script, tapez le chemin d'accès et le nom complets de logon.bat

Configuring launchapp.wsf

Impossible d'arrêter le service Stratégie de groupe

Sous Windows Vista, les stratégies de groupe sont déplacées du processus Winlogon et fonctionnent comme un service à part. Le client des stratégies de groupe est responsable de l'application des paramètres configurés par les administrateurs pour l'ordinateur et les utilisateurs par le biais du composant Stratégie de groupe. Les options de démarrage, d'arrêt, de pause et de reprise du client des stratégies de groupe ne sont pas disponibles dans la liste des composants logiciels enfichables. Ceci est lié au fait que si le service client est arrêté ou désactivé, il est impossible d'appliquer les paramètres. Par conséquent, les stratégies de groupe ne peuvent pas gérer les composants. En outre, tous les composants ou applications qui dépendent du composant Stratégie de groupe risquent d'être arrêtés ou désactivés.

Paramètres de stratégie nécessitant un redémarrage ou une ouverture de session

Dans cette section, les paramètres de stratégie de groupe basés sur le Registre requièrent soit un redémarrage, soit une ouverture de session lorsqu'ils sont activés. Les éléments de la liste à puces comportent le nom des paramètres de stratégie de groupe ainsi que leurs fonctions.

Ouverture de session
  • Ne pas autoriser les animations de fenêtres : cette stratégie vérifie l'apparence des animations de fenêtre comme celles qui s'affichent lorsque les fenêtres sont restaurées, réduites ou agrandies.

  • Ne pas autoriser la composition du bureau : cette stratégie vérifie la façon dont certains graphiques sont rendus et facilite les autres fonctionnalités, y compris la rotation, la rotation 3D et les miniatures de la barre des tâches.

  • Ne pas autoriser l'invocation de Flip3D : cette stratégie désactive le changeur de fenêtre 3D.

  • Spécifier une couleur par défaut : cette stratégie vérifie la couleur par défaut des filets de bordure lorsque l'utilisateur ne définit aucune couleur.

  • Ne pas autoriser les modifications de couleur : cette stratégie vérifie la possibilité de changer la couleur des filets de bordure.

  • Messages d'état détaillés ou normaux : cette stratégie dirige le système vers l'affichage des messages d'état très détaillés.

  • Définir l'action à entreprendre à l'expiration des horaires d'accès : cette stratégie détermine les opérations à effectuer lorsque le délai d'ouverture de session de l'utilisateur expire.

  • Définir l'action à entreprendre à l'expiration des horaires d'accès : cette stratégie détermine les opérations à effectuer lorsque le délai d'ouverture de session de l'utilisateur expire. Il peut s'agir du verrouillage de la station de travail, de la fermeture de session de l'utilisateur ou de la déconnexion totale.

  • Indiquer les indisponibilités du serveur d'accès à l'ouverture de session utilisateur : cette stratégie indique si l'utilisateur doit être informé en cas d'inaccessibilité du serveur lors de l'ouverture de session, alors que l'utilisateur a ouvert sa session avec des informations de compte précédemment enregistrées.

  • Interface utilisateur personnalisée : cette stratégie définit une interface utilisateur alternative.

Redémarrage
  • Désactiver la saisie tactile du Tablet PC : cette stratégie désactive la saisie tactile, qui permet aux utilisateurs d’interagir avec leur ordinateur à l’aide de leurs doigts..

  • Désactiver Windows Defender : cette stratégie désactive la protection en temps réel de Windows Defender et aucune analyse n’est plus planifiée.

  • Désactiver l'interface d'arrêt à distance héritée : cette stratégie contrôle l'interface d'arrêt à distance héritée (appelée canal). Le canal à distance est nécessaire à l'arrêt du système sous Windows Server 2003 ou Windows XP.

Interopérabilité et redirection de fichiers

Windows Vista présente beaucoup d'avantages lorsqu'il est associé à des profils utilisateurs itinérants et à la redirection de fichiers. La redirection des données utilisateur vers un emplacement réseau central réduit la taille du profil utilisateur, rend les données utilisateur disponibles immédiatement et augmente la performance d'ouverture et de fermeture de session en transférant moins de données. La combinaison de la redirection de fichiers avec des profils utilisateur itinérants permet de partager des données itinérantes entre des ordinateurs Windows Vista et Windows XP.

Les ordinateurs Windows Vista ne peuvent pas lire les profils utilisateur itinérants créés depuis Windows XP. Cela constitue un problème pour les utilisateurs qui disposent de profils utilisateur itinérants mais qui doivent parcourir à la fois les ordinateurs Windows Vista et Windows XP. La fonction de redirection de fichiers de Windows Vista apporte une solution à ce problème.

Elle vous permet de rediriger tous les fichiers connus disponibles sur un profil utilisateur de Windows Vista. Vous pouvez ainsi partager un dossier dans votre profil utilisateur Windows XP avec un autre dans votre profil utilisateur Windows Vista. Vous pouvez, par exemple partager le dossier Favoris entre Windows Vista et Windows XP. Vous redirigez le dossier Favoris dans Windows Vista, à l'emplacement où il est synchronisé par Windows XP dans le profil utilisateur itinérant.

Utilisez le scénario 3 du livre blanc ci-après pour créer une ou plusieurs stratégies de redirection de dossiers. Les utilisateurs peuvent ainsi partager des données utilisateur itinérantes avec Windows Vista et Windows XP. Le chemin d'accès de partage mentionné dans le livre blanc est celui du dossier utilisateur itinérant.

Pour plus d'informations, voir : http://go.microsoft.com/fwlink/?LinkId=73921.

Protection de l'accès réseau et connaissance de l'emplacement réseau

La protection d'accès réseau (NAP, Network Access Protection) est une plateforme d'application des stratégies de Windows Vista, Windows Server 2008 (actuellement en test bêta) et Windows XP. Elle permet de mieux protéger vos actifs réseau en faisant appliquer la conformité ainsi que les exigences d'intégrité du système (par exemple, en faisant en sorte que le client puisse bénéficier du plus récent système d'exploitation avec des mises à jour d'antivirus installées). Grâce à la protection d'accès réseau, vous pouvez créer des stratégies de contrôle d'intégrité personnalisées pour valider l'intégrité des ordinateurs avant d'autoriser l'accès ou la communication, pour mettre à jour automatiquement les ordinateurs conformes et assurer une conformité continue. Si nécessaire, vous pouvez également confiner à un réseau limité des ordinateurs non conformes jusqu'à ce qu'ils deviennent conformes.

Lorsqu'un ordinateur client tente d'accéder au réseau, il doit afficher l'état d'intégrité de son système. S'il ne parvient pas à prouver sa conformité à la stratégie de contrôle d'intégrité du système, son accès au réseau sera restreint à un segment de réseau limité contenant des ressources de serveur, de sorte que le problème de conformité puisse être résolu. Une fois les mises à jour installées, l'ordinateur client demande à accéder de nouveau au réseau. S'il s'avère compatible, il peut disposer d'un accès illimité.

Rappelez-vous que la protection NAP en elle-même ne constitue pas une solution en termes de sécurité. En effet, ce système de protection a été conçu pour empêcher les ordinateurs disposant de configurations non sécurisées, de se connecter à un réseau - et non pour protéger les réseaux contre des utilisateurs mal intentionnés en possession d'informations d'identification valides et possédant des ordinateurs conformes aux exigences actuelles d'intégrité.

Dans le cas de l'ordinateur client, la fonctionnalité de connaissance des emplacements réseau (NLA, Network Location Awareness) permet au système de recevoir des notifications lorsque la connexion au contrôleur de domaine est établie. Par ailleurs, le service Stratégie de groupe décide d'appliquer ou non des paramètres de stratégie pour cet événement. La fonction NLA ne reconnaît pas la transition entre un environnement en quarantaine (également appelé environnement NAP) et un environnement d'entreprise. Par conséquent, une fois que l'ordinateur n'est plus en quarantaine, la fonction NLA ne va plus fournir de stratégie de groupe comportant des notifications réseau.

Etant donné que la fonction de connaissance des emplacements réseau ne fournit pas de notifications en vue de l'établissement d'une connectivité réseau après une mise en quarantaine, vous pouvez adopter la solution suivante. Le composant NAP enregistre un événement dans les fichiers journaux. L'administrateur doit écrire un script permettant de localiser l'événement. Ce script fait appel à la commande gpupdate afin de s'assurer que la stratégie de groupe est actualisée au cours d'une connexion VPN établie.

Avec la fonctionnalité NLA, Windows Vista réagit mieux aux modifications apportées au niveau du réseau. De plus, la durée d'actualisation de la stratégie de groupe, qui pouvait durer jusqu'à 90 minutes, est réduite. Si le précédent cycle d'application des paramètres de stratégie a été ignoré (ou a échoué), la stratégie de groupe fait une nouvelle tentative lorsque la connexion réseau avec le contrôleur de domaine est disponible. Il s'agit là d'une amélioration majeure par rapport aux versions antérieures de la stratégie de groupe, car désormais cette dernière ne dépend plus du protocole ICMP (Internet Control Message Protocol).

Gestion des fonctionnalités de Windows Vista à l'aide de la stratégie de groupe

Windows Vista dispose d'une nouvelle gamme de fonctionnalités pouvant être gérées à l'aide de la stratégie de groupe, notamment la gestion de l'alimentation, l'installation de périphériques ainsi que les paramètres de sécurité. Voici une liste de guides pas à pas permettant de configurer ces fonctionnalités.

Liste de paramètres de stratégie

La feuille de calcul en référence dans le lien ci-après répertorie les paramètres de stratégie de l'ordinateur ainsi que les configurations utilisateur définies dans les fichiers modèles d'administration (admx/adml) livrés avec Windows Vista RC1. Les paramètres de stratégie contenus dans cette feuille de calcul couvrent Windows Vista RC1, Microsoft Windows Server 2003, Windows XP Professionnel et Windows 2000. Ces fichiers servent à présenter des paramètres de stratégie lorsque vous éditez des objets de stratégie de groupe (GPO) à l'aide de l'éditeur d'objets de stratégie de groupe (également appelé GPEdit).

http://go.microsoft.com/fwlink/?linkid=54020

Résolution des problèmes liés à la stratégie de groupe

Afin de résoudre les problèmes liés à la stratégie de groupe, vous devez comprendre les interactions entre la stratégie de groupe et les technologies prises en charge (telles que le service d'annuaire Microsoft® Active Directory® et le service de réplication de fichiers [FRS]). Vous devez également prendre connaissance de la façon dont les objets de stratégie de groupe sont eux-mêmes gérés, déployés et appliqués. De ce fait, vous pouvez utiliser des outils spécifiques pour identifier les problèmes et les résoudre.

L'infrastructure de la stratégie de groupe a été modifiée de façon considérable dans Windows Vista. Le traitement de la stratégie de groupe n'est plus disponible dans le cadre du processus Winlogon mais il est hébergé en tant que service à part entière. De plus, le moteur de stratégie de groupe ne repose plus sur la journalisation des traces disponible dans le fichier userenv.dll. Il n'existe plus de fichier journal userenv.log.

La majorité des opérations de dépannage de la stratégie de groupe des anciennes versions de Windows reposaient sur l'activation de la journalisation dans le composant userenv.dll. Cela permettait de créer un fichier journal appelé userenv.log dans le dossier %WINDIR%\Debug\Usermode. Ce fichier journal contenait des déclarations de suivi de fonctions accompagnées de données. De plus, les fonctions de chargement et de déchargement de profil se partageaient ce fichier journal, ce qui le rendait parfois difficile à analyser. Ce fichier journal, utilisé conjointement avec la console de gestion Microsoft du jeu de stratégie résultant (RSoP MMC) était le principal moyen de diagnostiquer et de résoudre des problèmes liés à la stratégie de groupe.

Dans Windows Vista, la stratégie de groupe est traitée comme composant à part entière avec un nouveau service Stratégie de groupe, c'est-à-dire un service autonome exécuté dans le cadre du processus Svchost pour la lecture et l'application de la stratégie de groupe. Le nouveau service inclut des changements avec les rapports d'événements. Les messages d'événements de la stratégie de groupe, qui apparaissaient auparavant dans le journal de l'application, figurent désormais dans le journal système. L'Observateur d'événements répertorie ces nouveaux messages avec une source d'événement Microsoft-Windows-GroupPolicy. Le journal opérationnel de la stratégie de groupe remplace l'ancienne journalisation userenv. Le journal opérationnel des événements fournit des messages d'événement optimisés spécifiques au traitement de la stratégie de groupe.

Pour obtenir des conseils supplémentaires sur le dépannage, consultez le Guide de résolution des problèmes liés à la stratégie de groupe dans Windows Vista sur le site :

http://go.microsoft.com/fwlink/?LinkId=74139

Liens connexes

Annexe A : Launchapp.wsf

<job>

<script language="VBScript">

'---------------------------------------------------------

' Cet exemple lance l'application par un utilisateur interactif.

'---------------------------------------------------------

' Constante définissant un déclencheur d'enregistrement.

const TriggerTypeRegistration = 7

' Constante définissant une action exécutable.

const ActionTypeExecutable = 0

' Constante définissant l'indicateur dans RegisterTaskDefinition.

const FlagTaskCreate = 2

' Constante définissant une action exécutable.

const LogonTypeInteractive = 3

If WScript.Arguments.Length <> 1 Then

WScript.Echo "Usage: cscript launchapp.wsf <AppPath>"

WScript.Quit

End If

strAppPath = WScript.Arguments(0)

'********************************************************

' Créer l'objet TaskService.

'********************************************************

Set service = CreateObject("Schedule.Service")

call service.Connect()

strTaskName = "Launch App As Interactive User"

'********************************************************

' Extraire un dossier dans lequel créer une définition de tâche.

'********************************************************

Dim rootFolder

Set rootFolder = service.GetFolder("\")

'Supprimer la tâche si elle existe déjà

On Error Resume Next

call rootFolder.DeleteTask(strTaskName, 0)

Err.Clear

'********************************************************

' Créer la nouvelle tâche

'********************************************************

Dim taskDefinition

Set taskDefinition = service.NewTask(0)

'********************************************************

' Créer un déclencheur d'enregistrement.

'********************************************************

Dim triggers

Set triggers = taskDefinition.Triggers

Dim trigger

Set trigger = triggers.Create(TriggerTypeRegistration)

'***********************************************************

' Créer l'action que la tâche doit exécuter.

'***********************************************************

' Ajouter une action à la tâche. L'action exécute l'élément app.

Dim Action

Set Action = taskDefinition.Actions.Create( ActionTypeExecutable )

Action.Path = strAppPath

WScript.Echo "Task definition created. About to submit the task..."

'***********************************************************

' Enregistrer (créer) la tâche.

'***********************************************************

call rootFolder.RegisterTaskDefinition( _

strTaskName, taskDefinition, FlagTaskCreate, _

,, LogonTypeInteractive)

WScript.Echo "Task submitted."

</script>

</job>

Appendix B: Liste des clés de Registre, de valeurs et de fichiers déplacés par la migration

Une fois migrée vers Windows Vista, la stratégie de groupe est de nouveau appliquée de la même façon que lors d'une nouvelle installation. Dans le cas de clients d'un domaine Windows, la stratégie de groupe est appliquée comme si l'ordinateur venait de rejoindre le domaine ; cela s'applique également aux extensions côté client. Chaque extension va migrer ou appliquer ses paramètres lors de la première application de la stratégie de groupe dans le domaine. Après la mise à niveau, le moteur de stratégie de groupe va traiter les paramètres de stratégie (comme c'est le cas lors d'une nouvelle installation), régénérer toutes les données RSoP et configurer toutes les valeurs mises en cache. La liste suivante contient les clés de Registre migrées par Windows Vista.

GPedit

            <pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Editor\* [*]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GPEditDebugLevel]</pattern>

GPBase

            <pattern type="File">%windir%\system32\GroupPolicy\*[*]</pattern>

            <pattern type="File">%windir%\system32\GroupPolicyUsers\*[*]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideStartupScripts]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideShutdownScripts]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RunStartupScriptSync]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GpNetworkStartTimeoutPolicyValue]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DenyUsersFromMachGP]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DisableBkGndGroupPolicy]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [SyncForegroundPolicy]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DisableLGPOProcessing]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DenyRsopToInteractiveUser]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RSoPGarbageCollectionInterval]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GroupPolicyMinTransferRate]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [WaitForNetwork]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [UserenvDebugLevel]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RsopDebugLevel]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gpsvcDebugLevel]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [RunDiagnosticLoggingGlobal]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [RunDiagnosticLoggingGroupPolicy]</pattern>

            <pattern type="Registry">HKLM\Software\Policies\* [*]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\* [*]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideLogonScripts]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideLogoffScripts]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RunLogonScriptSync]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GroupPolicyMinTransferRate]</pattern>

            <pattern type="Registry">HKCU\Software\Policies\* [*]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\* [*]</pattern>

GPMC

            <pattern type="Registry">HKCU\Software\Microsoft\Group Policy Management Console\* [*]</pattern>

          <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gpmgmttracelevel]</pattern>

          <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gprsoptracelevel]</pattern>

Installation de logiciel

           <pattern type="File">%windir%\system32\appmgmt\*[*]</pattern>

    <pattern type="Registry">HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\Appmgmt\* [*]</pattern>

           <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [appmgmtdebuglevel]</pattern>

           <pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\Appmgmt\* [*]</pattern>

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft