Nouveautés au niveau de la stratégie de groupe dans Windows 7 et Windows Server 2008 R2

Suggérer une traduction

Suggestions d'autres utilisateurs :

Aucune autre suggestion.

TechNet Magazine > Accueil > Tous les numéros > 2009 > TechNet Magazine Octobre 2009 > Windows 7 : Nouveautés au niveau de la stratégi...

Affichage du contenu : côte à côte

Ce contenu traduit automatiquement peut être modifié par les membres de la communauté. Nous vous invitons à améliorer la traduction en cliquant sur le lien « Modifier » associé aux phrases ci-dessous.

Windows 7

What’s New in Group Policy for Windows 7 and Windows Server 2008 R2

Jeremy Moskowitz

At a Glance:

Updated RSAT filters
Automated GPO handling with Windows PowerShell
Tabless interface for ADM and ADMX
Built-in Starter GPOs and new policy settings

Contents

Updated Group Policy Core Features
Beyond the Core Features
Learn More

I get e-mail almost every day from people asking me, "What's coming for Group Policy in the new version of Windows?" In this question, I can feel an eagerness to know what the new features and changes will mean for IT professionals.

I know that change can sometimes be stressful, but I can say confidently that the news is all good: Some powerful, neat Group Policy changes are included in Windows 7 and Windows Server 2008 R2, but nothing too radical or different. IT professionals will benefit from some updates, some new features and some user interface tweaks, for example, but without the headaches associated with steep learning curves.

The Group Policy changes can be divided into two broad categories. First are the items the Group Policy team delivers: core functionality, including the Group Policy engine and new and updated features in the Group Policy editing system (Group Policy Management Console, or GPMC, and Group Policy Management Editor, or GPME). Second are items that other teams provide to manage their components using Group Policy: updated policy settings and feature controls inside GPME that we all use to manage the new and updated functions on our target machines. In this article, I cover both kinds of changes.

Updated Group Policy Core Features

For Windows 7 and Windows Server 2008 R2, the Group Policy team has come through with a smorgasbord of features and updates. Here's the nonscientific breakdown of what is delivered in the most recent update of Windows: one big fix, one big update, one big new feature, one big user interface change and one big in-the-box addition.

The Big Fix: Updated Filters

The updated filters in the updated GPMC (available for Windows 7 and Windows Server 2008 R2) are welcome changes. The fixes squash a bug that's been around since Windows Vista shipped. In Figure 1, you can see one of my favorite features that's been available since the updated GPMC, contained within the Remote Server Administration Toolkit (RSAT): the Filter Options dialog box.

Figure 1 Filter Options dialog box. (Click the image for a larger view)

RSAT's job is simple: to let you use a Vista (or later) machine to control various aspects of your network from the machine you use and to provide the tools you need to do so, including the updated GPMC. This updated GPMC has some neat features; one of them is the ability to use filters to define the criteria you want to use to find just the Administrative Templates Group Policy settings you want. The problem was that when Vista and its corresponding RSAT came out, the filters didn't work, a bug that plagued many administrators.

Let me explain the bug in a little more detail. Figure 1 shows the Enable Requirements Filters section of the Filters dialog box. The goal of this section is simple: to help you figure out which Administrative Templates policy settings are valid for specific operating systems.

One mode within Enable Requirements Filters is "Include settings that match all of the selected platforms." The other is "Include settings that match any of the selected platforms. At first glance, the two modes seem very similar. But the difference between "all" and "any" is substantial. Here is what each mode is supposed to do once you select it and specify some criteria:

"Include settings that match all of the selected platforms" should show policy settings that are valid only on the types of machines specified. So if you select Windows XP Service Pack (SP) 2 and Vista, the result should be policy settings that work only on Windows XP SP2 and Vista.
"Include settings that match any of the selected platforms" should show settings that apply to any of the selected operating systems. So if you select both Windows XP SP2 and Vista, all settings that apply to Windows XP SP2 and all settings that apply to Vista should be displayed.

These filters are both as useful as they sound. The only problem is that with the Vista and Windows Server 2008 version of RSAT, neither of them worked properly. If you selected "Include settings that match all of the selected platforms," the result was often a mere fraction of valid settings that were actually applicable to target machines. And if you selected "Include settings that match any of the selected platforms," no results were ever displayed.

According to my friends in the Group Policy team, this fix should be part of the final downloadable version of RSAT for Windows 7 and the in-the-box RSAT for Windows Server 2008 R2.

The Big Update: Deploying Windows PowerShell Scripts to Target Machines

Unless you're living under a rock, you know that Windows PowerShell is gaining popularity with system administrators. But one issue has blocked some administrators from adopting PowerShell. There hasn't been a simple way for them to leverage their newfound PowerShell muscle over an area in which they need the most control: user and computer scripts.

The RSAT in Windows 7 and Windows Server 2008 R2 allows administrators to specify PowerShell scripts as either logon or logoff scripts (for the user) and startup or shutdown scripts (for the computer). Figure 2 shows the Startup Properties dialog box in the GPME, in which the administrator can specify the order in which PowerShell scripts run and also which type of scripts should run first: PowerShell scripts or the non-PowerShell scripts (which are not shown but are located within the Scripts tab in the Startup Properties dialog box).

Figure 2 Windows PowerShell Scripts tab in the Startup Properties dialog box. (Click the image for a larger view)

To use this feature, you need to create or edit your Group Policy Objects (GPOs) from a Windows 7 or Windows Server 2008 R2 machine with the corresponding RSAT tools (which contain an updated GPMC to support this new functionality). In addition, the target machine must be Windows 7 or Windows Server 2008 R2 for the PowerShell scripts to run. Older machines (even with PowerShell loaded) are not valid targets and do not run PowerShell logon, logoff, startup or shutdown scripts. Some third-party solutions that can deploy PowerShell scripts to non-Windows 7 machines are available if you need this capability.

The Big Feature: Manipulating Registry Settings with PowerShell Cmdlets

Lots of system administrators like to automate their world. This a good thing. Indeed, you can think of leveraging Group Policy in your environment as the mass automation of your client machines (so you don't have to run around and push buttons). To take your administration to the next level, you might want to automate the handling of your GPOs themselves.

Some administrators have leveraged the existing Group Policy GPMC sample scripts to automate key Group Policy tasks.

Windows 7 and Windows Server 2008 R2 allow you to use PowerShell to perform many of these functions. What was possible in the GPMC sample scripts is now possible using PowerShell: creating, linking, renaming, backing up, copying and deleting GPOs as well as much more.

The ability to configure the contents of a GPO using a scriptable method, however, is totally new and now available only when you use PowerShell as your scripting method. Before you get too excited, I should mention that not all 39 areas of Group Policy are scriptable. Indeed, only two are: Registry Policy and Registry Preference. Even so, it's a terrific start.

In Figure 3, you can see how I'm using the built-in PowerShell in Windows 7 to first install the Group Policy-specific cmdlets using the cmdlet import-module grouppolicy and then create a new GPO with the new-gpo cmdlet.

Figure 3 Creating a new GPO using Group Policy cmdlets built into Windows 7. (Click the image for a larger view)

The Group Policy team's blog has an array of items regarding Windows PowerShell integration. You can view all of them at one glance by checking out the the Group Policy Team Blog.

The Big User Interface Change: Updated ADM and ADMX User Interface

One of the most striking Group Policy changes is in the Administrative Templates section of the GPME.

A new "tabless" interface, shown in Figure 4, puts all the content you need for creating new or manipulating existing policy settings in a one-stop-shop page.

Figure 4 Windows Firewall: Allow ICMP Exceptions dialog box. (Click the image for a larger view)

Administrators can now configure a policy setting as Not Configured, Enabled or Disabled, make comments about a policy setting, see the Supported On information, view the Help (Explaintext), and manipulate any configurable settings within Options.

The goal of this change is to make the policy-setting experience more intuitive, integrate help and take away all the tabs so administrators don't have to click from place to place anymore.

The Big In-the-Box Addition: Built-in Starter GPOs

The ability to create and use Starter GPOs first became available in the Vista version of the GPMC. The idea behind a Starter GPO is that an administrator can create a starting point for other administrators to use when creating their GPOs. The fundamental architecture and functionality hasn't changed much in this new update, but one new distinction is notable.

Specifically, when you use a Windows 7 or Windows Server 2008 R2 machine to create the Starter GPO's container, the container is automatically populated with some built-in Starter GPOs. These Starter GPOs follow Microsoft best practices and map to the Windows Server 2008 Security Guide. For example, one of these built-in Starter GPOs is for an average Enterprise Client (EC) and another, with a more locked-down approach, is called Specialized Security Limited Functionality (SSLF).

Windows 7 and Windows Server 2008 R2 include Starter GPOs for both the user and computer sides. These Microsoft-created Starter GPOs are also available (in slightly older form) for Vista and Windows XP SP2.

Beyond the Core Features

Now let's talk about some of the areas of additional control you get when you're working with Windows 7 or Windows Server 2008 R2 as a client. And when I say "client" here, I mean "the computer receiving Group Policy directives" (even if it's a Windows Server 2008 R2 machine).

One great addition is about 300 new policy settings, of which 90 or so are meant just for Internet Explorer 8 (which is available for Vista and Windows XP machines). Other changes include new and updated settings management for BitLocker, BitLocker To Go, an updated taskbar, Remote Desktop Services (which used to be called Terminal Services), BranchCache, Windows Remote Management (WinRM) and heaps of other controls. I won't be able to explore all the new controls in this article, but I will give you an up close and personal look at some of my favorites.

Updated Group Policy Preferences for Power Options

One of the key reasons IT geeks fall in love with Group Policy is the amount of control it allows them to exert on desktops. When the main focus of Group Policy is settings delivery, however, these control-freak IT geeks can sometimes have difficulty explaining to managers why Group Policy has value in raw "dollars and sense." In one area of Group Policy, though, real cost savings can be promised (if utilized properly): power settings.

By properly configuring the power settings of desktops and laptops, IT administrators can usually save their companies thousands of dollars annually. Group Policy makes such configuring easy.

Figure 5 shows the power options available in the Windows 7 (and Windows Server 2008 R2) GPMC.

Figure 5 New Power Plan (Windows Vista and later) Properties dialog box. (Click the image for a larger view)

Look closely at the title of the dialog box in Figure 5. You'll notice that it says New Power Plan (Vista and later) Properties. That is to say, these settings are valid for both Vista and Windows 7. Here's the caveat: Windows 7 and Windows Server 2008 R2 client machines will know what to do with these directives right away; Vista will not. Vista will simply ignore the directives (even though the feature is clearly labeled as Windows Vista and later). That's because Vista needs a soon-to-be-released update to the client-side extensions of its underlying Group Policy Preferences. Once available and applied, Vista machines will embrace these newly available directives.

Updated Group Policy Preferences for Scheduled Tasks

Similar to the updated Power Plan settings just mentioned is additional task-scheduling functionality within the GPMC in Windows 7 and Windows Server 2008 R2. Figure 6 shows the new options for scheduling tasks: Scheduled Task (Windows Vista and later) and Immediate Task (Windows Vista and later).

Figure 6 New GPMC task-scheduling options in Windows 7. (Click the image for a larger view)

Like the Power Plan settings, Windows 7 computers are ready to use these settings. Vista machines will need to wait for an update that will allow them to utilize these settings.

Updated Software Restriction Policies: AppLocker

The under-the-hood name for AppLocker is Software Restriction Policies version 2, or SRPv2. In the Group Policy interface (and in the documentation), however, you'll see this new feature called simply AppLocker.

Briefly, the goal of AppLocker is to help modern IT organizations dictate which software should and shouldn't run on their Windows 7 (and later) machines. The original Software Restriction Policies (SRP) did a decent job, but AppLocker takes software restrictions to the next level. One key new AppLocker ability is to allow or restrict software based on the software's publisher. To take advantage of this new feature, the software you want to allow or restrict must be digitally signed (for more information on AppLocker, see Greg Shields' Geek of All Trades column, "AppLocker: IT's First Panacea?").

Then, using the Create Executable Rules Dialog Box, you set up rules for various publishers. For example, you can create a rule specifying that it's OK to run Adobe Reader as long as the version is 9.0 or higher. You can move up the vertical slider to specify that all versions, filenames, and/or products or publishers can be valid on target systems. Or you can be specific with the Use custom values check box.

Learn More

As you can see, Windows 7 and Windows Server 2008 R2 bring a lot of enhancements to Group Policy. From the 300 new policy settings, to the two updated Group Policy Preferences, to the integration of Windows PowerShell—there's a lot to love. To learn more about Group Policy in Windows 7 and Windows Server 2008 R2, you can check out the Group Policy team blog, as well as my blog and training resources at GPanswers.com.

Jeremy Moskowitz is a Group Policy MVP. He runs GPanswers.com, a community forum for Group Policy, and trains hundreds of administrators each year in his Group Policy Master Classes. Jeremy is also founder of PolicyPak Software (PolicyPak.com), which makes an innovative add-on to control third-party applications using Group Policy.

Windows 7

Nouveautés au niveau de la stratégie de groupe dans Windows 7 et Windows Server 2008 R2

Jeremy Moskowitz

Vue d'ensemble :

Filtres RSAT mis à jour
Gestion des GPO automatisée avec Windows PowerShell
Interface sans onglet pour ADM et ADMX
GPO Starter et nouveaux paramètres de stratégie intégrés

Sommaire

Fonctionnalités de base des stratégies de groupe mises à jour
Au-delà des fonctionnalités de base
En savoir plus

Je reçois presque chaque jour des e-mails où l'on me demande : « Que devient la stratégie de groupe dans la nouvelle version de Windows ? ». Dans cette question, je sens toute l'envie de savoir ce que les nouvelles fonctionnalités et les transformations vont signifier pour les informaticiens.

Je sais que le changement peut parfois être stressant, mais je peux dire en toute confiance que les nouvelles sont bonnes : Windows 7 et Windows Server 2008 R2 intègrent certaines modifications puissantes de la stratégie de groupe, mais rien de trop radical ou différent. Les professionnels de l'informatique bénéficieront de certaines mises à jour, certaines nouvelles fonctionnalités et certains ajustements de l'interface utilisateur, par exemple, mais sans les difficultés associées à des courbes d'apprentissage sévères.

Les modifications de la stratégie de groupe peuvent se diviser en deux grandes catégories. Il y a tout d'abord les éléments fournis par l'équipe de la stratégie de groupe : les fonctionnalités de base, y compris le moteur de stratégie de groupe et les fonctionnalités nouvelles et mises à jour du système de modification des stratégies de groupe (console de gestion des stratégies de groupe, ou console GPMC, et éditeur de gestion des stratégies de groupe, ou GPME). Il y a ensuite les éléments fournis par d'autres équipes pour gérer leurs composants à l'aide de la stratégie de groupe : les mises à jour des paramètres de stratégie et des contrôles de fonctionnalités au sein de GPME que nous utilisons tous pour gérer les fonctions nouvelles et mises à jour sur nos ordinateurs cibles. Dans cet article, je traite ces deux types de modifications.

Fonctionnalités de base des stratégies de groupe mises à jour

Pour Windows 7 et Windows Server 2008 R2, l'équipe Stratégie de groupe a fourni un assortiment de fonctionnalités et de mises à jour. Voici la répartition non scientifique de ce que contient la dernière mise à jour de Windows : un correctif important, une mise à jour importante, une nouvelle fonctionnalité importante, une importante modification de l'interface utilisateur et un ajout majeur en standard.

Le correctif important : les filtres mis à jour

Les filtres mis à jour dans la console GPMC mise à jour (disponible pour Windows 7 et Windows Server 2008 R2) sont des modifications bienvenues. Les correctifs écrasent un bogue qui existe depuis la commercialisation de Windows Vista. Dans la figure 1, vous pouvez voir une de mes fonctionnalités préférées, disponible depuis la console GPMC mise à jour, contenue dans l'outil d'administration de serveur distant (RSAT) : la boîte de dialogue Options de filtre.

Figure 1 boîte de dialogue options de filtre. (Cliquez sur l'image pour l'agrandir)

Le travail de RSAT est simple : vous permettre d'utiliser un ordinateur Vista (ou version ultérieure) pour contrôler divers aspects de votre réseau depuis l'ordinateur que vous utilisez et vous fournir les outils dont vous avez besoin pour cela, notamment la console GPMC mise à jour. Cette mise à jour de la console GPMC dispose de fonctionnalités très utiles ; une d'entre elles consiste à utiliser des filtres pour définir les critères à utiliser pour rechercher uniquement les paramètres de stratégie de groupe de modèles d'administration souhaités. Le problème était que lorsque Vista et ses RSAT correspondants sont sortis sur le marché, les filtres n'ont pas fonctionné, un bogue qui a tourmenté beaucoup d'administrateurs.

Je vais expliquer le bogue dans un peu plus de détails. La figure 1 présente la section Activer les filtres de configuration de la boîte de dialogue Filtres. L'objectif de cette section est simple : vous aider à déterminer quels paramètres de stratégie de modèles d'administration sont valides pour des systèmes d'exploitation spécifiques.

Un mode dans Activer les filtres de configuration est « Inclure les paramètres correspondant à toutes les plates-formes sélectionnées ». L'autre est « Inclure les paramètres correspondant aux plates-formes sélectionnées. À première vue, les deux modes semblent très similaires. Mais la différence entre « à toutes »et « aux »est importante. Voici ce que chaque mode est censé faire lorsque vous le sélectionnez et spécifiez certains critères :

"Inclure les paramètres correspondant à toutes les plates-formes sélectionnées" doit afficher les paramètres de stratégie qui sont valides uniquement sur les types d'ordinateurs spécifiés. Par conséquent, si vous sélectionnez Windows XP Service Pack 2 (SP) et Vista, le résultat doit être des paramètres de stratégie qui ne fonctionnent que sur Windows XP SP2 et Vista.
"Inclure les paramètres correspondant aux plates-formes sélectionnées" doit afficher des paramètres qui s'appliquent aux systèmes d'exploitation sélectionnés. Par conséquent, si vous sélectionnez Windows XP SP2 et Vista, tous les paramètres qui s'appliquent à Windows XP SP2 et tous les paramètres qui s'appliquent à Vista doivent s'afficher.

Ces deux filtres sont aussi utiles qu'ils le paraissent. Le seul problème est qu'aucun des deux ne fonctionne correctement avec la version de RSAT de Vista et de Windows Server 2008. Si vous sélectionnez « Inclure les paramètres correspondant à toutes les plates-formes sélectionnées », le résultat est souvent une partie seulement des paramètres valides réellement applicables aux ordinateurs cibles. Et si vous sélectionnez « Inclure les paramètres correspondant aux plates-formes sélectionnées", aucun résultat ne s'affiche jamais.

Selon mes amis de l'équipe Stratégie de groupe, ce correctif devrait faire partie de la version téléchargeable finale de RSAT pour Windows 7 et des outils RSAT intégrés à Windows Server 2008 R2.

La mise à jour importante : déploiement des scripts Windows PowerShell sur les ordinateurs cibles

À moins que vous viviez dans une grotte, vous savez que Windows PowerShell est de plus en plus populaire auprès des administrateurs système. Mais un problème a empêché certains administrateurs d'adopter PowerShell. Ils n'ont pas eu de moyen simple d'exploiter la nouvelle puissance de PowerShell sur une zone dans laquelle ils avaient besoin du contrôle le plus complet : les scripts utilisateur et ordinateur.

RSAT dans Windows 7 et Windows Server 2008 R2 permet aux administrateurs de spécifier des scripts PowerShell en tant que scripts d'ouverture de session ou de fermeture de session (pour l'utilisateur) et scripts de démarrage ou d'arrêt (pour l'ordinateur). La figure 2 affiche la boîte de dialogue Propriétés de démarrage de GPME, dans laquelle l'administrateur peut spécifier l'ordre dans lequel les scripts PowerShell s'exécutent et également, le type de scripts qui doivent s'exécuter en premier : les scripts PowerShell ou les scripts non PowerShell (qui ne sont pas affichés mais sont situés dans l'onglet scripts dans la boîte de dialogue Propriétés de démarrage).

Figure 2 Onglet Scripts Windows PowerShell dans la boîte de dialogue Propriétés de démarrage. (Cliquez sur l'image pour l'agrandir)

Pour utiliser cette fonctionnalité, vous devez créer ou modifier vos objets de stratégie de groupe (GPO) à partir d'un ordinateur Windows 7 ou Windows Server 2008 R2 avec les outils RSAT correspondants (qui contiennent une mise à jour GPMC pour prendre en charge cette nouvelle fonctionnalité). En outre, l'ordinateur cible doit être sous Windows 7 ou Windows Server 2008 R2 pour que les scripts PowerShell s'exécutent. Les ordinateurs plus anciens (même avec PowerShell chargé) ne sont pas des cibles valides et n'exécutent pas les scripts PowerShell d'ouverture de session, de fermeture de session, de démarrage ou d'arrêt. Certaines des solutions tierces qui peuvent déployer des scripts PowerShell sur des ordinateurs non Windows 7 sont disponibles si vous avez besoin de cette fonctionnalité.

La fonctionnalité importante : manipulation des paramètres de Registre avec les applets de commande PowerShell

Beaucoup d'administrateurs système souhaitent automatiser leur monde. C'est une bonne chose. En effet, vous pouvez considérer l'exploitation de la stratégie de groupe dans votre environnement comme l'automatisation en masse de vos ordinateurs clients (pour ne pas avoir à courir et appuyer sur des boutons). Pour tirer votre administration au niveau supérieur, vous pouvez souhaiter automatiser la gestion de vos GPO eux-mêmes.

Certains administrateurs ont exploité les exemples de scripts GPMC de la stratégie de groupe existante pour automatiser les tâches clés de la stratégie de groupe.

Windows 7 et Windows Server 2008 R2 permettent d'utiliser PowerShell pour effectuer un grand nombre de ces fonctions. Ce qui était possible dans les exemples de scripts GPMC est désormais possible en utilisant PowerShell : création, liaison, changement de nom, sauvegarde, copie et suppression de GPO et bien plus encore.

La possibilité de configurer le contenu d'un GPO en utilisant une méthode scriptable, cependant, est totalement nouvelle et maintenant disponible uniquement lorsque vous utilisez PowerShell comme méthode de script. Avant que vous deveniez trop enthousiastes, je dois mentionner que les 39 zones de la stratégie de groupe ne sont pas toutes scriptables. En effet, seules deux le sont : la stratégie de Registre et le choix de Registre. Même dans ce cas, c'est un formidable départ.

Dans la figure 3, vous pouvez voir comment j'utilise Powershell intégré dans Windows 7 pour d'abord installer les applets de commande spécifiques de la stratégie de groupe en utilisant la stratégie de groupe de module d'importation d'applets de commande, puis créer un GPO avec l'applet de commande new-gpo.

Figure 3 Création d'un nouveau GPO à l'aide d'applets de commande de stratégie de groupe intégrés à Windows 7. (Cliquez sur l'image pour l'agrandir)

Le blog de l'équipe Stratégie de groupe a une série d'éléments concernant l'intégration de Windows PowerShell. Vous pouvez tous les afficher en un clin d'œil en consultant le Blog de l'équipe Stratégie de groupe.

La modification d'interface utilisateur importante : interface utilisateur d'ADM et d'ADMX mise à jour

L'une des modifications de la stratégie de groupe la plus importante est dans la section Modèles d'administration de GPME.

Une nouvelle interface «sans onglet», illustrée en Figure 4, met tout le contenu dont vous avez besoin pour la création ou la manipulation de paramètres de stratégie existants dans une page tout en un.

Figure 4 Boîte de dialogue Pare-feu Windows : autoriser les exceptions ICMP. (Cliquez sur l'image pour l'agrandir)

Les administrateurs peuvent désormais configurer un paramètre de stratégie comme Non configuré, Activé ou Désactivé, apporter des commentaires sur un paramètre de stratégie, consulter les informations de prise en charge, afficher l'aide (Explaintext) et manipuler les paramètres configurables dans Options.

Cette modification vise à rendre l'expérience de paramètre de stratégie plus intuitive, à intégrer l'aide et à retirer tous les onglets afin que les administrateurs n'aient plus à cliquer d'un emplacement à l'autre.

L'ajout majeur en standard : des GPO Starter intégrés

La possibilité de créer et d'utiliser des GPO Starter a été introduite dans la version Vista de la console GPMC. L'idée derrière un GPO Starter est qu'un administrateur peut créer un point de départ pour les autres administrateurs lors de la création de leurs GPO. L'architecture et la fonctionnalité fondamentales n'ont pas beaucoup changé dans cette nouvelle mise à jour, mais une nouvelle distinction est notable.

Plus précisément, lorsque vous utilisez un ordinateur Windows 7 ou Windows Server 2008 R2 pour créer un conteneur du GPO Starter, le conteneur est automatiquement rempli avec certains GPO Starter intégrés. Ces GPO Starter suivent les méthodes conseillées de Microsoft et mappent sur le Guide de sécurité Windows Server 2008. Par exemple, un de ces GPO Starter intégrés est pour un Client Entreprise (CE) moyen et un autre, avec une approche plus verrouillée, est appelé Sécurité spécialisée – Fonctionnalité limitée (SSFL).

Windows 7 et Windows Server 2008 R2 incluent des GPO Starter pour les côtés utilisateur et ordinateur. Ces GPO Starter créés par Microsoft sont également disponibles (sous une forme légèrement plus ancienne) pour Vista et Windows XP SP2.

Au-delà des fonctionnalités de base

Maintenant, examinons certaines des zones de contrôle supplémentaires que vous obtenez lorsque vous travaillez avec Windows 7 ou Windows Server 2008 R2 en tant que client. Et lorsque je dis « client », je veux dire « ordinateur qui reçoit des directives de stratégie de groupe » (même si c'est un ordinateur Windows Server 2008 R2).

Un ajout important consiste en 300 nouveaux paramètres de stratégie, dont 90 environ sont destinés uniquement à Internet Explorer 8 (qui est disponible pour les machines Vista et Windows XP). D'autres modifications incluent la gestion de paramètres nouveaux et mis à jour pour BitLocker, BitLocker To Go, une barre des tâches mise à jour, les Services Bureau à distance (auparavant Services Terminal), BranchCache, la gestion à distance Windows (WinRM) et des tas d'autres contrôles. Je ne pourrai pas explorer tous les nouveaux contrôles dans cet article, mais je vais vous donner un aperçu personnel détaillé de certains de mes préférés.

Mise à jour des préférences de stratégie de groupe pour les options d'alimentation

Une des principales raisons pour lesquelles les spécialistes informatiques sont tombés amoureux de la stratégie de groupe est la quantité de contrôle qu'elle leur permet d'exercer sur les ordinateurs de bureau. Lorsque le principal objectif de la stratégie de groupe est la livraison de paramètres, toutefois, ces spécialistes informatiques adeptes du contrôle peuvent parfois avoir des difficultés à expliquer aux responsables pourquoi la stratégie de groupe a une valeur en termes de "dollars et logique" bruts. Dans une zone de la stratégie de groupe, cependant, une réelle économie peut être promise (si elle est utilisée correctement) : les paramètres d'alimentation.

En configurant correctement les paramètres d'alimentation des ordinateurs de bureau et portables, les administrateurs informatiques peuvent souvent faire économiser à leurs sociétés des milliers de dollars par an. La stratégie de groupe rend cette configuration aisée.

La Figure 5 répertorie les options d'alimentation disponibles dans le GPMC de Windows 7 (et Windows Server 2008 R2).

Figure 5 Boîte de dialogue Nouvelles propriétés de Gestion de l'alimentation (Windows Vista et versions ultérieures). (Cliquez sur l'image pour l'agrandir)

Examinez attentivement le titre de la boîte de dialogue dans la Figure 5. Vous remarquerez qu'il dit Nouvelles propriétés de Gestion de l'alimentation (Vista et versions ultérieures). C'est à dire, ces paramètres sont valides pour Vista et Windows 7. Voici l'inconvénient : les ordinateurs clients Windows 7 et Windows Server 2008 R2 savent quoi faire avec ces directives immédiatement ; Vista ne le sait pas. Vista va ignorer simplement les directives (même si la fonctionnalité est clairement étiquetée en tant que Windows Vista et versions ultérieures). C'est parce que Vista nécessite une mise à jour très prochainement disponible des extensions côté client de ses préférences de stratégie de groupe sous-jacentes. Une fois ces directives nouvellement disponibles appliquées, les machines Vista les adopteront.

Mise à jour des préférences de stratégie de groupe pour les tâches planifiées

De façon similaire à la mise à jour des paramètres de Gestion d'alimentation qui vient d'être évoquée, il existe une fonctionnalité supplémentaire de planification des tâches dans la console GPMC dans Windows 7 et Windows Server 2008 R2. La Figure 6 affiche les nouvelles options de planification des tâches : tâche planifiée (Windows Vista et versions ultérieures) et tâche immédiate (Windows Vista et versions ultérieures).

Figure 6 Nouvelles options de planification des tâches de la console GPMC dans Windows 7. (Cliquez sur l'image pour l'agrandir)

Comme les paramètres de Gestion de l'alimentation, les ordinateurs Windows 7 sont prêts à utiliser ces paramètres. Les ordinateurs Vista devront attendre une mise à jour qui leur permettra d'utiliser ces paramètres.

Stratégies de restriction logicielle mise à jour : AppLocker

Le nom sous le capot de AppLocker est Stratégies de restriction logicielle version 2, ou SRPv2. Dans l'interface de stratégie de groupe (et dans la documentation), toutefois, vous verrez cette nouvelle fonctionnalité appelée simplement AppLocker.

En bref, AppLocker vise à aider les organisations informatiques modernes à définir quels logiciels doivent et ne doivent pas s'exécuter sur leurs ordinateurs Windows 7 (et versions ultérieures). Les stratégies de restriction logicielles (SRP) d'origine ont fait un travail correct, mais AppLocker porte les restrictions logicielles au niveau suivant. Une nouvelle capacité clé d'AppLocker consiste à autoriser ou restreindre les logiciels en fonction du fournisseur du logiciel. Pour tirer parti de cette nouvelle fonctionnalité, le logiciel que vous souhaitez autoriser ou restreindre doit être signé numériquement (pour plus d'informations sur AppLocker, consultez l'article de Greg Shields "Geek of All Trades", "AppLocker : IT's First Panacea?").

Ensuite, à l'aide de la boîte de dialogue Créer des règles de l'exécutable, vous définissez des règles pour différents fournisseurs. Par exemple, vous pouvez créer une règle spécifiant qu'il est possible d'exécuter Adobe Reader tant qu'il s'agit de la version 9.0 ou version ultérieure. Vous pouvez déplacer le curseur vertical vers le haut pour spécifier que toutes les versions, noms de fichiers, et/ou produits ou fournisseurs peuvent être valides sur les systèmes cibles. Ou vous pouvez être plus spécifique à l'aide de la case à cocher Utiliser des valeurs personnalisées.

Comme vous pouvez le constater, Windows 7 et Windows Server 2008 R2 apportent de nombreuses améliorations à la stratégie de groupe. Entre les 300 nouveaux paramètres de stratégie, les deux préférences de stratégie de groupe mises à jour et l'intégration de Windows PowerShell, il y beaucoup à aimer. Pour plus d'informations sur la stratégie de groupe dans Windows 7 et Windows Server 2008 R2, vous pouvez consulter le blog de l'équipe Stratégie de groupe, ainsi que mon blog et mes ressources de formation sur GPanswers.com.

Jeremy Moskowitz est MVP de Group Policy. Il dirige GPanswers.com, un forum de communauté pour la stratégie de groupe et forme chaque année des centaines d'administrateurs dans ses cours magistraux sur la stratégie de groupe. Jeremy est également le fondateur de PolicyPak Software (PolicyPak.com), qui édite un module complémentaire innovant pour contrôler les applications tierces à l'aide de la stratégie de groupe.

TechNet Features

Lead the Way with New Cloud Skills
lundi, mai 7

System Center 2012: Private Cloud Ready
lundi, avr. 23

SQL Server 2012: The New World of Data
lundi, avr. 9

Office 365 in the Real World
lundi, mars 26

More TechNet Features

Resources

TechNet Subscriptions

Vous n'êtes pas abonné à Technet ?

Abonnez-vous aujourd'hui et faites partie des premiers à accéder à des milliers de produits Microsoft, tels que :