Vue d'ensemble technique d'AGPM
Microsoft Gestion avancée des stratégies de groupe (AGPM) est une application de type client/serveur. Le serveur AGPM stocke les Objets de stratégie de groupe hors ligne dans l'archive créée par AGPM sur le système de fichiers du serveur. Les administrateurs de stratégies de groupe utilisent le composant logiciel enfichable AGPM pour la Console de gestion des stratégies de groupe (GPMC) afin de pouvoir manipuler les GPO sur le serveur qui héberge l'archive. Une bonne compréhension d'AGPM et des éléments connexes, de la manière dont ils stockent les GPO sur le système de fichiers et de la manière dont les autorisations contrôlent les actions disponibles pour chaque rôle utilisateur peut aider les administrateurs de stratégies de groupe à utiliser plus efficacement AGPM.
Terminologie
La section suivante explique les termes de base employés dans le contexte d'AGPM.
Client AGPM : ordinateur qui exécute le composant logiciel enfichable AGPM pour la Console de gestion des stratégies de groupe (GPMC), à partir duquel les administrateurs de stratégies de groupe gèrent les GPO.
Composant logiciel enfichable AGPM : composant logiciel d'AGPM installé sur les clients AGPM afin qu'ils puissent générer les GPO.
Serveur AGPM : serveur qui exécute le service AGPM et gère une archive. Chaque serveur AGPM peut gérer une archive seulement, mais un serveur AGPM peut gérer les données d'archive de nombreux domaines dans une même archive. Une archive peut être hébergée sur un ordinateur autre qu'un serveur AGPM.
Service AGPM : composant logiciel d'AGPM qui s'exécute sur un serveur AGPM en tant que service. Le service gère les GPO dans l'archive et dans l'environnement de production de cette forêt.
Archive : dans AGPM, magasin central qui contient les GPO contrôlés gérés par le serveur AGPM associé, en plus de l'historique de chacun de ces GPO. En font partie toutes les versions contrôlées précédentes de chaque GPO. Une archive est constituée d'un fichier d'index d'archive et des données d'archive associées qui peuvent comprendre les données des GPO appartenant à plusieurs domaines. Une archive peut être hébergée sur un ordinateur autre qu'un serveur AGPM.
GPO contrôlé : GPO géré par AGPM. AGPM gère l'historique et les autorisations des GPO contrôlés, qu'il stocke dans l'archive.
GPO non contrôlé : GPO appartenant à l'environnement de production d'un domaine et non géré par AGPM.
Éléments installés, créés et affectés par AGPM
Sur un serveur AGPM, le programme d'installation d'AGPM installe le service AGPM. AGPM ne modifie pas le service d'annuaire ni le schéma Active Directory®. Par défaut, les fichiers programme du serveur AGPM sont installés sous %ProgramFiles%\Microsoft\AGPM\Server. Vous pouvez installer le service AGPM sur un contrôleur de domaine si besoin est. Toutefois, nous vous recommandons de l'installer sur un serveur membre.
Sur un client AGPM, le programme d'installation d'AGPM installe le composant logiciel enfichable AGPM, en ajoutant un dossier Contrôle des modifications à chaque domaine qui s'affiche dans la console GPMC. Par défaut, les fichiers programme du client AGPM sont installés sous %ProgramFiles%\Microsoft\AGPM\Client.
Le tableau 1 décrit les éléments installés ou créés par AGPM ainsi que les éléments du système d'exploitation qui affectent le fonctionnement d'AGPM.
Tableau 1 : Éléments installés, créés ou affectés par AGPM
| Élément | Description |
|---|---|
Service AGPM |
Le service AGPM s'exécute sur le serveur AGPM. Le service gère l'archive, qui contient les GPO hors ligne, ainsi que les GPO contrôlés de l'environnement de production. La configuration par défaut du service AGPM est la suivante :
|
Archive AGPM |
Par défaut, AGPM crée l'archive sous %ProgramData%\Microsoft\AGPM sur le serveur AGPM. L'archive assure le stockage des GPO hors ligne et peut stocker plusieurs versions de chaque GPO. Les modifications apportées par AGPM aux GPO contenus dans l'archive n'affectent pas l'environnement de production tant qu'un Administrateur AGPM ou un Approbateur n'a pas déployé le GPO dans l'environnement de production et ne l'a pas lié à une unité d'organisation. |
Pare-feu Windows |
Pendant l'installation, AGPM active une règle entrante du Pare-feu Windows qui permet au client AGPM de communiquer avec le serveur AGPM. La règle par défaut du Pare-feu Windows est la suivante :
|
Serveur de messagerie |
AGPM utilise le protocole SMTP (Simple Mail Transfer Protocol) pour envoyer les demandes de courrier électronique aux adresses configurées sous l'onglet Délégation de domaine. Par exemple, lorsqu'un éditeur demande la création d'un nouveau GPO, AGPM notifie chaque adresse électronique spécifiée sous l'onglet Délégation de domaine. |
Composant logiciel enfichable AGPM |
Le composant logiciel enfichable AGPM pour la console GPMC s'exécute sur les clients AGPM et est utilisée par les administrateurs de stratégies de groupe pour gérer les GPO. Le composant logiciel enfichable apparaît dans la console GPMC en tant que dossier Contrôle des modifications dans chaque domaine. |
Références supplémentaires
Pour plus d'informations sur les fichiers installés par AGPM, consultez le Guide de planification pour AGPM (page éventuellement en anglais).
Archive
Par défaut, la procédure d'installation du serveur AGPM crée l'archive sur le disque dur local du serveur AGPM à l'emplacement suivant : %ProgramData%\Microsoft\AGPM. Toutefois, vous pouvez changer le chemin d'accès pendant l'installation et même créer l'archive sur un serveur autre que le serveur AGPM.
L'archive comprend un sous-dossier pour chaque version de chaque GPO qu'elle contient. Le nom de chaque sous-dossier est un GUID qui identifie une version du GPO.
Le fichier gpostate.xml enregistre l'état de chaque GPO contenu dans l'archive. Ce fichier est un manifeste qui décrit le contenu de l'archive. Par exemple, un GPO peut avoir de nombreuses versions, chaque version étant contenue dans son propre sous-dossier dans l'archive. Le fichier gpostate.xml indique quels sous-dossiers contiennent les différentes versions d'un même GPO. En outre, les modèles de GPO ont des sous-dossiers dans l'archive, mais gpostate.xml indique qu'il s'agit de modèles et non de GPO contrôlés. De manière similaire, lorsque les administrateurs de stratégies de groupe suppriment des GPO, AGPM modifie leur état dans gpostate.xml pour indiquer qu'ils figurent dans la Corbeille, mais ne supprime pas réellement les sous-dossiers des GPO de l'archive.
Avertissement
Ne modifiez pas manuellement gpostate.xml ou les GPO contenus dans l'archive. Ces informations sont fournies uniquement afin d'améliorer votre compréhension de l'archive AGPM. Utilisez plutôt le composant logiciel enfichable AGPM pour modifier les GPO.
Lorsque AGPM crée l'archive, il accorde le contrôle total au système, aux administrateurs et au compte de service AGPM (spécifié lors de l'installation du serveur AGPM). La modification des autorisations à l'aide de l'interface utilisateur d'AGPM sur le composant logiciel enfichable AGPM ne modifie pas les autorisations sur l'archive, étant donné que le compte de service AGPM effectue toutes les opérations pour le compte de l'utilisateur connecté.
Références supplémentaires
Pour plus d'informations sur la sauvegarde de l'archive, la restauration de l'archive à partir d'une sauvegarde ou le déplacement du serveur AGPM et de l'archive, voir la section « Exécution de tâches d'Administrateur AGPM » du Guide d'utilisation d'AGPM (page éventuellement en anglais).
Rôles et autorisations
Les rôles simplifient la délégation. Au lieu d'attribuer des autorisations détaillées aux administrateurs de stratégies de groupe, les Administrateurs AGPM peuvent attribuer l'un des quatre rôles disponibles aux administrateurs de stratégies de groupe pour leur permettre d'effectuer les tâches en relation avec ce rôle :
Administrateur AGPM: Les administrateurs de stratégies de groupe auxquels le rôle Administrateur AGPM (contrôle total) est attribué peuvent réaliser n'importe quelle tâche dans AGPM. Les Administrateurs AGPM peuvent configurer des options à l'échelle d'un domaine et déléguer des autorisations aux autres administrateurs de stratégies de groupe.
Approbateur : les administrateurs de stratégies de groupe auxquels le rôle Approbateur est attribué peuvent déployer des GPO dans l'environnement de production d'un domaine. Les approbateurs peuvent également créer et supprimer des GPO et approuver ou rejeter les demandes des éditeurs. Les approbateurs peuvent consulter la liste des GPO d'un domaine, afficher les paramètres de stratégie des GPO ou encore créer et afficher des rapports sur les paramètres de stratégie d'un GPO. Ils ne peuvent pas modifier les paramètres de stratégie des GPO, sauf s'ils bénéficient également du rôle d'éditeur.
Éditeur : les administrateurs de stratégies de groupe auxquels le rôle Éditeur est attribué peuvent afficher la liste des GPO d'un domaine, consulter les paramètres de stratégie des GPO, modifier les paramètres de stratégie des GPO ou encore créer et consulter des rapports sur les stratégies de groupe d'un GPO. À moins de disposer également du rôle Approbateur, les éditeurs ne peuvent pas créer, déployer ou supprimer des GPO. En revanche, ils peuvent demander la création, le déploiement ou la suppression de GPO.
Réviseur : les administrateurs de stratégies de groupe auxquels le rôle Réviseur est attribué peuvent consulter la liste des GPO d'un domaine ou encore créer et afficher des rapports sur les paramètres de stratégie d'un GPO. À moins de bénéficier également du rôle d'éditeur, ils ne peuvent pas modifier les paramètres de stratégie d'un GPO.
AGPM accorde aux Administrateurs AGPM la souplesse nécessaire pour configurer les autorisations à un niveau plus détaillé que les rôles à l'aide du composant logiciel enfichable AGPM. Le tableau 2 décrit et présente les autorisations accordées par défaut à chaque rôle.
| Autorisation | Description | Administrateur AGPM | Approbateur | Éditeur | Réviseur |
|---|---|---|---|---|---|
Contrôle total |
Dispose de toutes les autorisations. |
Oui |
|||
Créer un GPO |
Créer des GPO dans un domaine. |
Oui |
Oui |
||
Répertorier le contenu |
Répertorier les GPO d'un domaine. |
Oui |
Oui |
Oui |
Oui |
Lire les paramètres |
Lire les paramètres de stratégie d'un GPO. |
Oui |
Oui |
Oui |
Oui |
Modifier les paramètres |
Modifier les paramètres de stratégie d'un GPO. |
Oui |
Oui |
||
Supprimer un GPO |
Supprimer un GPO. |
Oui |
Oui |
||
Modifier la sécurité |
Déléguer l'accès au niveau d'un domaine, déléguer l'accès à un GPO donné et déléguer l'accès à l'environnement de production. |
Oui |
|||
Déployer un GPO |
Déployer un GPO dans l'environnement de production à partir de l'archive. |
Oui |
Oui |
||
Créer un modèle |
Créer un modèle de GPO dans AGPM. |
Oui |
Oui |
||
Modifier des options |
Configurer la notification par courrier électronique d'AGPM et limiter les versions de GPO stockées dans l'archive. |
Oui |
|||
Exporter le GPO |
Exporter un GPO vers un fichier. |
Oui |
Oui |
||
Importer le GPO |
Importer un GPO à partir d'un fichier. |
Oui |
Oui |
Notes
Les autorisations Exporter le GPO et Importer le GPO ne sont pas disponibles dans AGPM 3.0 ou 2.5.
La possibilité de déléguer l'accès aux GPO dans l'environnement de production d'un domaine et de limiter le nombre de versions de GPO stockées ne sont pas disponibles dans AGPM 2.5.Références supplémentaires
Pour plus d'informations sur les tâches pouvant être réalisées par les administrateurs de stratégies de groupe bénéficiant d'un rôle spécifique ou sur les autorisations requises pour effectuer une tâche donnée, voir le Guide d'utilisation d'AGPM (page éventuellement en anglais).
-----
Vous pouvez en apprendre plus sur MDOP dans la bibliothèque TechNet, rechercher des informations sur le dépannage dans le Wiki TechNet ou nous suivre sur Facebook ouTwitter.
-----