Guide pas à pas pour Microsoft Advanced Group Policy Management 4.0

Ce guide pas à pas présente des techniques de pointe pour la gestion des stratégies de groupe à l'aide de la Console de gestion des stratégies de groupe (GPMC) et d'Gestion avancée des stratégies de groupe (AGPM). AGPM étend les capacités de la GPMC en offrant les éléments suivants :

• rôles standard pour la délégation d'autorisations de gestion des Objets de stratégie de groupe à plusieurs administrateurs de stratégie de groupe, outre la possibilité de déléguer l'accès à des GPO dans l'environnement de production ;

• archive pour permettre aux administrateurs de stratégie de groupe de créer et modifier des GPO en mode hors connexion avant de les déployer dans un environnement de production ;

• possibilité de restaurer toute version antérieure d'un GPO dans l'archive et de limiter le nombre de versions conservées dans l'archive ;

• fonctionnalité d'archivage et d'extraction permettant aux GPO de veiller à ce que les administrateurs de stratégie de groupe n'écrasent pas involontairement le travail des uns et des autres ;

• possibilité de rechercher des GPO avec des attributs spécifiques et de filtrer la liste des GPO affichés.

Vue d'ensemble d'un scénario d'AGPM

Dans le cadre de ce scénario, vous allez utiliser un compte d'utilisateur distinct pour chaque rôle dans AGPM afin de montrer comment gérer une stratégie de groupe dans un environnement comportant plusieurs administrateurs de stratégie de groupe dont les niveaux d'autorisation diffèrent. Plus précisément, vous allez exécuter les tâches suivantes :

• En utilisant un compte membre du groupe Administrateurs du domaine, installer le serveur AGPM, puis attribuer le rôle Administrateur AGPM à un compte ou un groupe.

• En utilisant des comptes auxquels vous voulez affecter des rôles AGPM, installer le client AGPM.

• En utilisant un compte auquel est attribué le rôle Administrateur AGPM, configurer AGPM et déléguer l'accès aux objets de stratégie de groupe en affectant des rôles à d'autres comptes.

• Depuis un compte auquel est attribué le rôle Éditeur, demander la création d'un nouveau GPO, puis l'approuver en utilisant un compte auquel est attribué le rôle Approbateur. Utiliser le compte Éditeur pour extraire le GPO de l'archive, le modifier, l'archiver, puis demander le déploiement.

• En utilisant un compte auquel est attribué le rôle Approbateur, réviser le GPO, puis le déployer dans votre environnement de production.

• En utilisant un compte auquel est attribué le rôle Éditeur, créer un modèle de GPO et l'utiliser comme point de départ pour créer un nouveau GPO.

• En utilisant un compte auquel est attribué le rôle Approbateur, supprimer et restaurer un GPO.

Configuration requise

Les ordinateurs sur lesquels vous installez AGPM doivent présenter la configuration suivante et vous devez créer des comptes à utiliser dans le cadre de ce scénario.

Dans un environnement mixte comprenant à la fois des systèmes d'exploitation récents et anciens, la fonctionnalité peut comporter quelques limitations, comme l'indique le tableau suivant.

Configuration requise pour le serveur AGPM

Le serveur AGPM 4.0 requiert Windows Server 2008 R2, Windows Server 2008, Windows 7 et l'installation de la GPMC à partir des Outils d’administration de serveur distant (RSAT), ou Windows Vista Service Pack 1 et l'installation de la GPMC à partir des outils RSAT. Les versions 32 bits et 64 bits sont prises en charge.

Avant d'installer le serveur AGPM, vous devez être membre du groupe Administrateurs du domaine et, sauf indication contraire, vous devez disposer des fonctionnalités suivantes de Windows :

• GPMC

  • Windows Server 2008 R2 ou Windows Server 2008: Si la GPMC n'est pas disponible, AGPM l'installe automatiquement.

  • Windows 7 : vous devez installer la GPMC à partir des outils RSAT avant d'installer l'AGPM. Pour plus d'informations, consultez Outils d'administration de serveur distant pour Windows 7 (https://go.microsoft.com/fwlink/?LinkID=131280).

  • Windows Vista Service Pack 1 : vous devez installer la GPMC à partir des outils RSAT avant d'installer l'AGPM. Pour plus d'informations, consultez Outils d'administration de serveur distant pour Windows Vista avec le Service Pack 1 (https://go.microsoft.com/fwlink/?LinkID=116179).

• .NET Framework 3.5 ou versions ultérieures

  • Windows Server 2008 R2 ou Windows 7: Si .NET Framework 3.5 ou une version ultérieure n'est pas disponible, AGPM installe automatiquement .NET Framework 3.5.

  • Windows Server 2008 ou Windows Vista Service Pack 1: Vous devez installer NET Framework 3.5 ou une version ultérieure avant d'installer l'AGPM.

Le serveur AGPM a besoin des fonctionnalités suivantes de Windows. Si elles ne sont pas disponibles, elles sont automatiquement installées :

• Activation de Windows Communication Foundation ; Activation non-HTTP

• Service d'activation des processus Windows

  • Modèle de processus

  • Environnement .NET

  • API de configuration

Configuration requise pour le client AGPM

Le client AGPM 4.0 requiert Windows Server 2008 R2, Windows Server 2008, Windows 7 et l'installation de la GPMC à partir des outils RSAT ou Windows Vista Service Pack 1 et l'installation de la GPMC à partir des outils RSAT. Les versions 32 bits et 64 bits sont prises en charge. Vous pouvez installer le client AGPM sur un ordinateur qui exécute le serveur AGPM.

Le client AGPM a besoin des fonctionnalités suivantes de Windows. Sauf indication contraire, si elles ne sont pas disponibles, elles sont automatiquement installées :

• GPMC

  • Windows Server 2008 R2 ou Windows Server 2008: Si la GPMC n'est pas disponible, AGPM l'installe automatiquement.

  • Windows 7 : vous devez installer la GPMC à partir des outils RSAT avant d'installer l'AGPM. Pour plus d'informations, consultez Outils d'administration de serveur distant pour Windows 7 (https://go.microsoft.com/fwlink/?LinkID=131280).

  • Windows Vista Service Pack 1 : vous devez installer la GPMC à partir des outils RSAT avant d'installer l'AGPM. Pour plus d'informations, consultez Outils d'administration de serveur distant pour Windows Vista avec le Service Pack 1 (https://go.microsoft.com/fwlink/?LinkID=116179).

• .NET Framework 3.0 ou version ultérieure

  • Windows Server 2008 R2 ou Windows 7: Si .NET Framework 3.0 ou une version ultérieure n'est pas disponible, AGPM installe automatiquement .NET Framework 3.5.

  • Windows Server 2008 ou Windows Vista Service Pack 1: Si .NET Framework 3.0 ou une version ultérieure n'est pas disponible, AGPM installe automatiquement .NET Framework 3.0.

Configuration requise pour le scénario

Avant de commencer ce scénario, créez quatre comptes d'utilisateur. Durant le scénario, vous allez affecter l'un des rôles AGPM suivants à chacun de ces comptes : Administrateur AGPM (contrôle total), Approbateur, Éditeur et Réviseur. Ces comptes doivent être en mesure d'envoyer et de recevoir des messages électroniques. Affectez l'autorisation Lier les GPO aux comptes auxquels sont affectés les rôles Administrateur AGPM, Approbateur et (en option) Éditeur.

Procédure d'installation et de configuration d'AGPM

Pour installer et configurer AGPM, vous devez exécuter la procédure suivante.

Étape 1 : Installation du serveur AGPM

Étape 2 : Installation du client AGPM

Étape 3 : Configuration d'une connexion au serveur AGPM

Étape 4 : Configuration d'une notification par courrier électronique

Étape 5 : Délégation d'accès

Étape 1 : Installation du serveur AGPM

Au cours de cette étape, vous allez installer le serveur AGPM sur le serveur membre ou le contrôleur de domaine qui doit exécuter le service AGPM et configurer l'archive. Toutes les opérations d'AGPM sont gérées via ce service Windows et exécutées à l'aide des informations d'identification du service. L'archive gérée par un serveur AGPM peut être hébergée sur ce dernier ou sur un autre situé dans la même forêt.

Installation du serveur AGPM sur l'ordinateur devant héberger le service AGPM

1. Connectez-vous avec un compte membre du groupe Administrateurs du domaine.

2. Démarrez le CD Microsoft Desktop Optimization Pack et suivez les instructions qui s'affichent à l'écran pour sélectionner Serveur Advanced Group Policy Management.

3. Dans la boîte de dialogue Bienvenue, cliquez sur Suivant.

4. Dans la boîte de dialogue Termes du contrat de licence logiciel Microsoft, acceptez les termes, puis cliquez sur Suivant.

5. Dans la boîte de dialogue Chemin de l'application, sélectionnez un emplacement où installer le serveur AGPM. L'ordinateur sur lequel le serveur AGPM est installé hébergera le service AGPM et gérera l'archive. Cliquez sur Suivant.

6. Dans la boîte de dialogue Chemin des archives, sélectionnez un emplacement pour l'archive, relatif au serveur AGPM. Le chemin des archives peut indiquer un dossier sur le serveur AGPM ou ailleurs. Il est cependant recommandé de sélectionner un emplacement offrant un espace suffisant pour stocker tous les GPO et les données d'historique gérés par ce serveur AGPM. Cliquez sur Suivant.

7. Dans la boîte de dialogue Compte de service AGPM, sélectionnez un compte de service sous lequel exécuter le service AGPM, puis cliquez sur Suivant.

   Ce compte doit être membre du groupe Administrateurs du domaine ou, pour une configuration avec des privilèges minimaux, des groupes suivants dans chaque domaine géré par le serveur AGPM :

   • Propriétaires créateurs de la stratégie de groupe

   • Opérateurs de sauvegarde

   En outre, ce compte requiert une autorisation de Contrôle total pour les dossiers suivants :

   • le dossier d'archives AGPM, pour lequel cette autorisation est accordée automatiquement lors de l'installation du serveur AGPM, s'il est installé sur un disque local ;

   • le répertoire temporaire du système local, en général %windir%\temp.

8. Dans la boîte de dialogue Propriétaire d'archives, sélectionnez un compte ou un groupe auquel vous attribuez le rôle Administrateur AGPM (contrôle total). Administrateurs AGPM peut attribuer des rôles et des autorisations AGPM à d'autres administrateurs de stratégie de groupe, si bien que par la suite vous pouvez attribuer le rôle Administrateur AGPM à d'autres administrateurs de stratégie de groupe. Pour ce scénario, sélectionnez le compte à servir dans le rôle Administrateur AGPM. Cliquez sur Suivant.

9. Dans la boîte de dialogue Configuration du port, tapez un port que le service AGPM doit écouter. Ne désactivez pas la case à cocher Ajouter une exception de port au pare-feu sauf si vous configurez manuellement des exceptions de port ou utilisez des règles pour configurer des exceptions de port. Cliquez sur Suivant.

10. Dans la boîte de dialogue Langues, sélectionnez une ou plusieurs langues d'affichage à installer pour le serveur AGPM.

11. Cliquez sur Installer, puis cliquez sur Terminer pour quitter l'Assistant Installation.

    Avertissement

    Ne modifiez pas les paramètres du service AGPM via Outils d'administration et Services dans le système d'exploitation. Cela peut empêcher le démarrage du service AGPM. Pour plus d'informations sur la modification des paramètres pour le service, voir l'Aide sur Advanced Group Policy Management.

Étape 2 : Installation du client AGPM

Chaque administrateur de stratégie de groupe (quiconque créant, modifiant, déployant, contrôlant ou supprimant des objets de stratégie de groupe) doit disposer du client AGPM sur l'ordinateur qu'il utilise pour gérer les objets de stratégie de groupe. Le nœud Contrôle des modifications, qui vous permet d'effectuer de nombreuses tâches de gestion des objets de stratégie de groupe, s'affiche dans la console Gestion de stratégie de groupe uniquement si vous installez le client AGPM. Dans le cadre de scénario, vous allez installer le client AGPM sur au moins un ordinateur. Vous ne devez pas installer le client AGPM sur les ordinateurs des utilisateurs finaux qui n'administrent pas de stratégie de groupe.

Installation du client AGPM sur l'ordinateur d'un administrateur de stratégie de groupe

1. Démarrez le CD Microsoft Desktop Optimization Pack et suivez les instructions qui s'affichent à l'écran pour sélectionner Client Advanced Group Policy Management.

2. Dans la boîte de dialogue Bienvenue, cliquez sur Suivant.

3. Dans la boîte de dialogue Termes du contrat de licence logiciel Microsoft, acceptez les termes, puis cliquez sur Suivant.

4. Dans la boîte de dialogue Chemin de l'application, sélectionnez un emplacement où installer le client AGPM. Cliquez sur Suivant.

5. Dans la boîte de dialogue Serveur AGPM, tapez le nom DNS ou l'adresse IP du serveur AGPM et le port auquel vous souhaitez vous connecter. Le port par défaut pour le service AGPM est 4600. Ne désactivez pas la case à cocher Autoriser Microsoft Management Console via le pare-feu sauf si vous configurez manuellement des exceptions de port ou utilisez des règles pour configurer des exceptions de port. Cliquez sur Suivant.

6. Dans la boîte de dialogue Langues, sélectionnez une ou plusieurs langues d'affichage à installer pour le client AGPM.

7. Cliquez sur Installer, puis cliquez sur Terminer pour quitter l'Assistant Installation.

Étape 3 : Configuration d'une connexion au serveur AGPM

AGPM conserve toutes les versions de chaque Objet de stratégie de groupe contrôlé (c'est-à-dire, chaque GPO pour lequel AGPM effectue un contrôle des modifications) dans une archive centrale. Cela permet aux administrateurs de stratégie de groupe de consulter et de modifier les GPO hors connexion, sans que cela ait un impact immédiat sur la version déployée de chaque GPO.

Au cours de cette étape, vous allez configurer une connexion au serveur AGPM et veiller à ce que tous les administrateurs de stratégie de groupe se connectent au même serveur AGPM (pour plus d'informations sur la configuration de plusieurs serveurs AGPM, voir l'Aide sur Advanced Group Policy Management).

Configuration d'une connexion au serveur AGPM pour tous les administrateurs de stratégie de groupe

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec le compte d'utilisateur sélectionné comme propriétaire d'archives. Cet utilisateur dispose du rôle Administrateur AGPM (contrôle total).

2. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Gestion des stratégies de groupe pour ouvrir la GMPC.

3. Modifiez un objet de stratégie de groupe appliqué à tous les administrateurs de stratégie de groupe.

4. Dans la fenêtre Éditeur de gestion des stratégies de groupe, double-cliquez sur Configuration utilisateur, Stratégies, Modèles d'administration, Composants Windows, puis sur AGPM.

5. Dans le volet d'informations, double-cliquez sur AGPM : Spécifier le serveur AGPM par défaut (tous les domaines).

6. Dans la fenêtre Propriétés, sélectionnez Activé, puis tapez le nom DNS ou l'adresse IP et le port (par exemple, serveur.contoso.com:4600) du serveur hébergeant l'archive. Par défaut, le service AGPM utilise le port 4600.

7. Cliquez sur OK, puis fermez la fenêtre Éditeur de gestion des stratégies de groupe. Une fois la stratégie de groupe mise à jour, la connexion au serveur AGPM est configurée pour chaque administrateur de stratégie de groupe.

Étape 4 : Configuration d'une notification par courrier électronique

En tant qu'Administrateur AGPM (contrôle total), vous désignez les adresses électroniques des Approbateurs et Administrateurs AGPM auxquels un message électronique contenant une demande est envoyé quand un Éditeur essaie de créer, déployer ou supprimer un GPO. Vous déterminez aussi l'alias à partir duquel ces messages sont envoyés.

Configuration d'une notification par courrier électronique pour AGPM

1. Dans le volet d'informations, cliquez sur l'onglet Délégation de domaine.

2. Dans le champ Adresse de messagerie d'expéditeur, tapez l'alias de messagerie pour AGPM à partir duquel les notifications doivent être envoyées.

3. Dans le champ Adresse du destinataire, tapez l'adresse de messagerie du compte d'utilisateur auquel vous comptez attribuer le rôle Approbateur.

4. Dans le champ Serveur SMTP, tapez un nom de serveur de messagerie SMTP valide.

5. Dans les champs Nom d'utilisateur et Mot de passe, tapez les informations d'identification d'un utilisateur ayant accès au service SMTP. Cliquez sur Appliquer.

Étape 5 : Délégation d'accès

En tant qu'Administrateur AGPM (contrôle total), vous déléguez un accès au niveau du domaine aux GPO, en attribuant des rôles au compte de chaque administrateur de stratégie de groupe.

Délégation d'accès à tous les objets de stratégie de groupe dans l'ensemble d'un domaine

1. Sous l'onglet Délégation de domaine, cliquez sur le bouton Ajouter, sélectionnez le compte d'utilisateur de l'administrateur de stratégie de groupe devant servir d'Approbateur, puis cliquez sur OK.

2. Dans la boîte de dialogue Ajouter un groupe ou un utilisateur, sélectionnez le rôle Approbateur pour attribuer ce rôle au compte, puis cliquez sur OK (ce rôle inclut le rôle Réviseur).

3. Cliquez sur le bouton Ajouter, sélectionnez le compte d'utilisateur de l'administrateur de stratégie de groupe devant servir d'Éditeur, puis cliquez sur OK.

4. Dans la boîte de dialogue Ajouter un groupe ou un utilisateur, sélectionnez le rôle Éditeur pour attribuer ce rôle au compte, puis cliquez sur OK (ce rôle inclut le rôle Réviseur).

5. Cliquez sur le bouton Ajouter, sélectionnez le compte d'utilisateur de l'administrateur de stratégie de groupe devant servir de Réviseur, puis cliquez sur OK.

6. Dans la boîte de dialogue Ajouter un groupe ou un utilisateur, sélectionnez le rôle Réviseur pour attribuer uniquement ce rôle au compte.

Procédure de gestion des objets de stratégie de groupe

Pour créer, modifier, réviser et déployer des GPO à l'aide d'AGPM, vous devez exécuter la procédure suivante. En outre, vous allez créer un modèle, supprimer un objet de stratégie de groupe et restaurer un objet de stratégie de groupe supprimé.

Étape 1 : Création d'un objet de stratégie de groupe

Étape 2 : Modification d'un objet de stratégie de groupe

Étape 3 : Révision et déploiement d'un objet de stratégie de groupe

Étape 4 : Utilisation d'un modèle pour créer un objet de stratégie de groupe

Étape 5 : Suppression et restauration d'un objet de stratégie de groupe

Étape 1 : Création d'un objet de stratégie de groupe

Dans un environnement comportant plusieurs administrateurs de stratégie de groupe, ceux auxquels est attribué le rôle Éditeur ont la possibilité de demander la création de GPO. Toutefois, cette demande doit être approuvée par une personne à laquelle est attribué le rôle Approbateur.

Au cours de cette étape, vous allez utiliser un compte auquel est attribué le rôle Éditeur pour demander la création d'un GPO. En utilisant un compte auquel est attribué le rôle Approbateur, vous approuvez cette demande de créer un GPO.

Demande de création d'un GPO géré via AGPM

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec un compte d'utilisateur auquel est attribué le rôle Éditeur dans AGPM.

2. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine dans lesquels vous voulez gérer les objets de stratégie de groupe.

3. Cliquez avec le bouton droit sur le nœud Contrôle des modifications, puis cliquez sur Nouveau GPO contrôlé.

4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe contrôlé :

   1. Pour recevoir une copie de la demande, tapez votre adresse de messagerie dans le champ Cc.

   2. Tapez MonGPO comme nom pour le nouveau GPO.

   3. Tapez un commentaire pour le nouvel objet de stratégie de groupe.

   4. Cliquez sur Créer en ligne pour que le nouveau GPO soit déployé dans l'environnement de production dès son approbation. Cliquez sur Envoyer.

5. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. Le nouveau GPO s'affiche sous l'onglet En attente.

Approbation de la demande en attente pour créer un objet de stratégie de groupe

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec un compte d'utilisateur auquel est attribué le rôle Approbateur dans AGPM.

2. Ouvrez la boîte de réception de messagerie du compte. Vous pouvez constater que vous avez reçu un message électronique de l'alias AGPM contenant la demande de création d'un GPO formulée par l'Éditeur.

3. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine dans lesquels vous voulez gérer les objets de stratégie de groupe.

4. Sous l'onglet Contenu, cliquez sur l'onglet En attente pour afficher les objets de stratégie de groupe en attente.

5. Cliquez avec le bouton droit sur MonGPO, puis cliquez sur Approuver.

6. Cliquez sur Oui pour confirmer l'approbation et déplacer le GPO vers l'onglet Contrôlé.

Étape 2 : Modification d'un objet de stratégie de groupe

Vous pouvez utiliser des objets de stratégie de groupe pour configurer des paramètres d'ordinateur ou d'utilisateur et les déployer pour un grand nombre d'ordinateurs ou d'utilisateurs. Au cours de cette étape, vous allez utiliser un compte auquel est attribué le rôle Éditeur pour extraire un GPO de l'archive, le modifier hors connexion, le contrôler après modification et réarchivage et demander son déploiement dans l'environnement de production. Pour ce scénario, vous configurez un paramètre dans le GPO pour exiger que le mot de passe ait une longueur minimale de huit caractères.

Extraction de l'objet de stratégie de groupe de l'archive pour modification

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec un compte d'utilisateur auquel est attribué le rôle Éditeur dans AGPM.

2. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine dans lesquels vous voulez gérer les objets de stratégie de groupe.

3. Sous l'onglet Contenu du volet d'informations, cliquez sur l'onglet Contrôlé pour afficher les objets de stratégie de groupe contrôlés.

4. Cliquez avec le bouton droit sur MonGPO, puis cliquez sur Extraire.

5. Tapez un commentaire à afficher dans l'historique du GPO pendant son extraction, puis cliquez sur OK.

6. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. Sous l'onglet Contrôlé, l'état de l'objet de stratégie de groupe est identifié comme Extrait.

Modification de l'objet de stratégie de groupe hors connexion et configuration de la longueur minimale du mot de passe

1. Sous l'onglet Contrôlé, cliquez avec le bouton droit sur MonGPO, puis cliquez sur Modifier pour ouvrir la fenêtre Éditeur de gestion des stratégies de groupe et modifier une copie hors connexion du GPO. Pour ce scénario, configurez la longueur minimale du mot de passe :

   1. Sous Configuration ordinateur, double-cliquez sur Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de comptes et Stratégie de mot de passe.

   2. Dans le volet d'informations, double-cliquez sur Longueur minimale du mot de passe.

   3. Dans la fenêtre Propriétés, activez la case à cocher Définir ce paramètre de stratégie, définissez le nombre de caractères sur 8, puis cliquez sur OK.

2. Fermez la fenêtre Éditeur de gestion des stratégies de groupe.

Archivage de l'objet de stratégie de groupe dans l'archive

1. Sous l'onglet Contrôlé, cliquez avec le bouton droit sur MonGPO, puis cliquez sur Archivage.

2. Tapez un commentaire, puis cliquez sur OK.

3. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. Sous l'onglet Contrôlé, l'état de l'objet de stratégie de groupe est identifié comme Archivé.

Demande du déploiement de l'objet de stratégie de groupe dans l'environnement de production

1. Sous l'onglet Contrôlé, cliquez avec le bouton droit sur MonGPO, puis cliquez sur Déployer.

2. Comme ce compte n'a ni le rôle Approbateur, ni le rôle Administrateur AGPM, vous devez envoyer une demande de déploiement. Pour recevoir une copie de la demande, tapez votre adresse de messagerie dans le champ Cc. Tapez un commentaire à afficher dans l'historique du GPO, puis cliquez sur Envoyer.

3. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. MonGPO s'affiche dans la liste des objets de stratégie de groupe sous l'onglet En attente.

Étape 3 : Révision et déploiement d'un objet de stratégie de groupe

Au cours de cette étape, vous allez agir en tant qu'Approbateur, en créant des rapports et en analysant les paramètres et les modifications des paramètres dans l'objet de stratégie de groupe pour déterminer si vous devez les approuver. Après avoir évalué le GPO, vous le déployez dans l'environnement de production et le liez à un domaine ou une unité d'organisation (UO). Le GPO prend effet lors de l'actualisation de la stratégie de groupe pour des ordinateurs de ce domaine ou de cette UO.

Révision des paramètres de l'objet de stratégie de groupe

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec un compte d'utilisateur auquel est attribué le rôle Approbateur dans AGPM (tout administrateur de stratégie de groupe auquel est attribué le rôle Réviseur, qui est inclus dans tous les autres rôles, peut réviser les paramètres d'un GPO).

2. Ouvrez la boîte de réception de messagerie du compte. Vous pouvez constater que vous avez reçu un message électronique de l'alias AGPM contenant une demande de déploiement d'un GPO formulée par l'Éditeur.

3. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine dans lesquels vous voulez gérer les objets de stratégie de groupe.

4. Sous l'onglet Contenu du volet d'informations, cliquez sur l'onglet En attente.

5. Double-cliquez sur MonGPO pour afficher son historique.

6. Révisez les paramètres de la dernière version de MonGPO :

   1. Dans la fenêtre Historique, cliquez avec le bouton droit sur la version du GPO dont l'horodateur est le plus récent, cliquez sur Paramètres, puis sur Rapport HTML pour afficher un résumé des paramètres du GPO.

   2. Dans le navigateur Web, cliquez sur afficher tout pour afficher tous les paramètres du GPO. Fermez le navigateur.

7. Comparez la dernière version de MonGPO à la première version archivée :

   1. Dans la fenêtre Historique, cliquez sur la version de l'objet de stratégie de groupe dont l'horodateur est le plus récent. Appuyez sur CTRL, puis cliquez sur la version la plus ancienne du GPO pour laquelle la Version ordinateur n'est pas *.

   2. Cliquez sur le bouton Différences. La section Stratégies de comptes/Stratégie de mot de passe est mise en surbrillance en vert et précédée de [+]. Cela indique que ce paramètre n'est configuré que dans la dernière version du GPO.

   3. Cliquez sur Stratégies de comptes/Stratégie de mot de passe. Le paramètre Longueur minimale du mot de passe est également mis en surbrillance en vert et précédé de [+], ce qui indique qu'il n'est configuré que dans la dernière version de l'objet de stratégie de groupe.

   4. Fermez le navigateur Web.

Déploiement d'un objet de stratégie de groupe dans l'environnement de production

1. Sous l'onglet En attente, cliquez avec le bouton droit sur MonGPO, puis cliquez sur Approuver.

2. Tapez un commentaire à inclure dans l'historique de l'objet de stratégie de groupe.

3. Cliquez sur Oui. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. L'objet de stratégie de groupe est déployé dans l'environnement de production.

Liaison de l'objet de stratégie de groupe à un domaine ou une unité d'organisation

1. Dans la console de gestion des stratégies de groupe, cliquez avec le bouton droit soit sur le domaine, soit sur l'unité d'organisation (UO) auquel vous souhaitez appliquer le GPO configuré, puis cliquez sur Lier à un GPO existant.

2. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur MonGPO, puis sur OK.

Étape 4 : Utilisation d'un modèle pour créer un objet de stratégie de groupe

Au cours de cette étape, vous allez utiliser un compte auquel est attribué le rôle Éditeur pour créer et utiliser un modèle. Ce modèle est une version statique de GPO utilisable comme point de départ pour la création de GPO. Bien que vous n'ayez pas la possibilité de modifier un modèle, vous pouvez créer un GPO basé sur un modèle. Les modèles sont utiles pour créer rapidement plusieurs GPO comprenant un grand nombre de paramètres de stratégie identiques.

Création d'un modèle basé sur un objet de stratégie de groupe existant

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec un compte d'utilisateur auquel est attribué le rôle Éditeur dans AGPM.

2. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine dans lesquels vous voulez gérer les objets de stratégie de groupe.

3. Sous l'onglet Contenu du volet d'informations, cliquez sur l'onglet Contrôlé.

4. Cliquez avec le bouton droit sur MonGPO, puis cliquez sur Enregistrer comme modèle pour créer un modèle incorporant tous les paramètres actuellement définis dans MonGPO.

5. Tapez MonModèle comme nom du modèle et un commentaire, puis cliquez sur OK.

6. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. Le nouveau modèle s'affiche sous l'onglet Modèles.

Demande de création d'un GPO géré via AGPM

1. Cliquez sur l'onglet Contrôlé.

2. Cliquez avec le bouton droit sur le nœud Contrôle des modifications, puis cliquez sur Nouveau GPO contrôlé.

3. Dans la boîte de dialogue Nouvel objet de stratégie de groupe contrôlé :

   1. Pour recevoir une copie de la demande, tapez votre adresse de messagerie dans le champ Cc.

   2. Tapez MonAutreGPO comme nom pour le nouveau GPO.

   3. Tapez un commentaire pour le nouvel objet de stratégie de groupe.

   4. Cliquez sur Créer en ligne pour que le nouveau GPO soit déployé dans l'environnement de production dès son approbation.

   5. Pour À partir du modèle de GPO, sélectionnez MonModèle. Cliquez sur Envoyer.

4. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. Le nouveau GPO s'affiche sous l'onglet En attente.

Utilisez un compte auquel est attribué le rôle Approbateur pour approuver la demande en attente de création du GPO comme vous l'avez fait à l'Étape 1 : Création d'un objet de stratégie de groupe. MonModèle incorpore tous les paramètres configurés dans MonGPO. Comme MonAutreGPO à été créé à l'aide de MonModèle, il contient d'abord tous les paramètres que MonGPO contenait lors de la création de MonModèle. Vous pouvez confirmer cela en générant un rapport des différences pour comparer MonAutreGPO à MonModèle.

Extraction de l'objet de stratégie de groupe de l'archive pour modification

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec un compte d'utilisateur auquel est attribué le rôle Éditeur dans AGPM.

2. Cliquez avec le bouton droit sur MonAutreGPO, puis cliquez sur Extraire.

3. Tapez un commentaire à afficher dans l'historique du GPO pendant son extraction, puis cliquez sur OK.

4. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. Sous l'onglet Contrôlé, l'état de l'objet de stratégie de groupe est identifié comme Extrait.

Modification de l'objet de stratégie de groupe hors connexion et configuration de la durée de verrouillage de compte

1. Sous l'onglet Contrôlé, cliquez avec le bouton droit sur MonAutreGPO, puis cliquez sur Modifier pour ouvrir la fenêtre Éditeur de gestion des stratégies de groupe et modifier une copie hors connexion du GPO. Pour ce scénario, configurez la longueur minimale du mot de passe :

   1. Sous Configuration ordinateur, double-cliquez sur Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de comptes et Stratégie de verrouillage de compte.

   2. Dans le volet d'informations, double-cliquez sur Durée de verrouillage de compte.

   3. Dans la fenêtre Propriétés, activez la case à cocher Définir ce paramètre de stratégie, définissez la durée sur 30 minutes, puis cliquez sur OK.

2. Fermez la fenêtre Éditeur de gestion des stratégies de groupe.

Placez MonAutreGPO dans l'archive et demandez le déploiement comme vous l'avez fait pour MonGPO à l'Étape 2 : Modification d'un objet de stratégie de groupe. Vous pouvez comparer MonAutreGPO à MonGPO ou à MonModèle à l'aide de rapports des différences. Tout compte incluant le rôle Réviseur (Administrateur AGPM [Contrôle total], Approbateur, Éditeur ou Réviseur) peut générer des rapports.

Comparaison d'un objet de stratégie de groupe à un autre ou à un modèle

1. Pour comparer MonGPO et MonAutreGPO :

   1. Sous l'onglet Contrôlé, cliquez sur MonGPO. Appuyez sur CTRL, puis cliquez sur MonAutreGPO.

   2. Cliquez avec le bouton droit sur MonAutreGPO, pointez sur Différences, puis cliquez sur Rapport HTML.

2. Pour comparer MonAutreGPO et MonModèle :

   1. Sous l'onglet Contrôlé, cliquez sur MonAutreGPO.

   2. Cliquez avec le bouton droit sur MonAutreGPO, pointez sur Différences, puis cliquez sur Modèle.

   3. Sélectionnez MonModèle et Rapport HTML, puis cliquez sur OK.

Étape 5 : Suppression et restauration d'un objet de stratégie de groupe

Au cours de cette étape, vous allez agir comme Approbateur pour supprimer un objet de stratégie de groupe.

Suppression d'un objet de stratégie de groupe

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec un compte d'utilisateur auquel est attribué le rôle Approbateur.

2. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine dans lesquels vous voulez gérer les objets de stratégie de groupe.

3. Sous l'onglet Contenu, cliquez sur l'onglet Contrôlé pour afficher les objets de stratégie de groupe controlés.

4. Cliquez avec le bouton droit sur MonGPO, puis cliquez sur Supprimer. Cliquez sur Supprimer le GPO de l'archive et de la production pour supprimer la version contenue dans l'archive ainsi que celle déployée dans l'environnement de production.

5. Tapez un commentaire à afficher dans la piste d'audit du GPO, puis cliquez sur OK.

6. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. Le GPO est supprimé de l'onglet Contrôlé et affiché sous l'onglet Corbeille où il est possible de le restaurer ou de le détruire.

Il peut arriver que vous réalisiez, après avoir supprimé un GPO, qu'il est encore nécessaire. Au cours de cette étape, vous allez agir comme Approbateur pour restaurer un GPO supprimé.

Restauration d'un GPO supprimé

1. Sous l'onglet Contenu, cliquez sur l'onglet Corbeille pour afficher les objets de stratégie de groupe supprimés.

2. Cliquez avec le bouton droit sur MonGPO, puis cliquez sur Restaurer.

3. Tapez un commentaire à afficher dans l'historique du GPO, puis cliquez sur OK.

4. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. Le GPO est supprimé de l'onglet Corbeille et affiché sous l'onglet Contrôlé.

   Notes

   La restauration d'un objet de stratégie de groupe dans l'archive ne le redéploye pas automatiquement dans l'environnement de production. Pour rétablir le GPO dans l'environnement de production, déployez-le comme à l'Étape 3 : Révision et déploiement d'un objet de stratégie de groupe.

Après avoir modifié et déployé un objet de stratégie de groupe, il se peut que vous réalisiez que de récentes modifications apportées causent un problème. Au cours de cette étape, vous allez agir comme Approbateur pour restaurer une version précédente du GPO. Vous pouvez restaurer toute version figurant dans l'historique de l'objet de stratégie de groupe. Vous pouvez utiliser des commentaires et des étiquettes pour identifier de bonnes versions connues et indiquer quand des modifications spécifiques ont été apportées.

Restauration d'une version précédente d'un GPO

1. Sous l'onglet Contenu, cliquez sur l'onglet Contrôlé pour afficher les objets de stratégie de groupe controlés.

2. Double-cliquez sur MonGPO pour afficher son historique.

3. Cliquez avec le bouton droit sur la version à déployer, cliquez sur Déployer, puis sur Oui.

4. Lorsque la fenêtre Progression indique que l'opération est terminée, cliquez sur Fermer. Dans la fenêtre Historique, cliquez sur Fermer.

   Notes

   Pour vérifier que la version redéployée est la version voulue, examinez un rapport des différences pour les deux versions. Dans la fenêtre Historique de l'objet de stratégie de groupe, sélectionnez les deux versions, cliquez dessus avec le bouton droit, pointez sur Différence, puis cliquez sur Rapport HTML ou Rapport XML.

-----
Vous pouvez en apprendre plus sur MDOP dans la bibliothèque TechNet, rechercher des informations sur le dépannage dans le Wiki TechNet ou nous suivre sur Facebook ouTwitter.
-----