Vue d'ensemble de la stratégie de groupe pour Office 2010
S’applique à : Office 2010
Dernière rubrique modifiée : 2017-01-17
La stratégie de groupe permet aux administrateurs d’appliquer des configurations ou des paramètres de stratégie aux utilisateurs et aux ordinateurs dans un environnement de service d’annuaire Active Directory. Les administrateurs qui envisagent d’utiliser la stratégie de groupe pour gérer les applications Microsoft Office 2010 peuvent consulter cet article pour obtenir une brève vue d’ensemble des concepts relatifs à la stratégie de groupe. Les réponses du Forum Aux Questions sur la stratégie de groupe et Office 2010 sont disponibles dans FAQ : stratégie de groupe (Office 2010).
Dans cet article :
Stratégie de groupe locale et basée sur Active Directory
Traitement de la stratégie de groupe
Modification de la manière dont la stratégie de groupe traite les objets de stratégie de groupe
Modèles d'administration
Vraies stratégies par rapport aux préférences utilisateurs
Outils de gestion de la stratégie de groupe
Outil de personnalisation Office et stratégie de groupe
Stratégie de groupe locale et basée sur Active Directory
La stratégie de groupe est une infrastructure qui est utilisée pour fournir et appliquer des configurations ou paramètres de stratégie voulus à un ensemble d'utilisateurs et d'ordinateurs cibles dans un environnement de service d'annuaire Active Directory. L'infrastructure de stratégie de groupe se compose d'un moteur de stratégie de groupe et de plusieurs extensions individuelles. Ces extensions sont utilisées pour configurer les paramètres de stratégie de groupe, en modifiant le Registre à l'aide de l'extension Modèles d'administration, ou en définissant des paramètres de stratégie de groupe pour les paramètres de sécurité, installation du logiciel, la redirection de dossiers, Maintenance d'Internet Explorer, paramètres de réseau sans fil et autres domaines.
Chaque installation de la stratégie de groupe se compose de deux extensions :
une extension côté serveur du composant logiciel enfichable MMC (Microsoft Management Console) Éditeur d'objets de stratégie de groupe, utilisée pour définir les paramètres de stratégie appliqués aux ordinateurs clients ;
une extension côté client que le moteur de la stratégie de groupe appelle pour appliquer les paramètres de stratégie.
Les paramètres de stratégie de groupe se trouvent dans des objets de stratégie de groupe qui sont liés à des conteneurs Active Directory sélectionnés : sites, domaines ou unités organisationnelles. Lorsqu'un objet de stratégie de groupe est créé, il est stocké dans le domaine. Lorsque cet objet est lié à un conteneur Active Directory, une unité d'organisation par exemple, le lien est un composant de ce conteneur Active Directory. Ce n'est pas un composant de l'objet de stratégie de groupe. Les paramètres de l'objet de stratégie de groupe sont évalués par les cibles affectées d'après la nature hiérarchique d'Active Directory. Par exemple, vous pouvez créer un objet de stratégie de groupe nommé Paramètres Office 2010 qui contient uniquement les configurations pour les applications Office 2010. Vous pouvez ensuite appliquer cet objet stratégie de groupe à un site spécifique pour que les utilisateurs contenus de ce site de reçoivent les configurations de Office 2010 que vous avez spécifiées dans l'objet stratégie de groupe Paramètres Office 2010.
Chaque ordinateur possède un objet de stratégie de groupe local qui est toujours traité, que l'ordinateur soit membre d'un domaine ou qu'il soit autonome. Cet objet ne peut pas être bloqué par des objets de stratégie de groupe de domaine. Sachez toutefois que les paramètres des objets de stratégie de groupe de domaine sont toujours prioritaires car ils sont traités après l'objet de stratégie de groupe local.
Notes
Windows Vista, Windows Server 2008 et Windows 7 prennent en charge la gestion des objets de stratégie de groupe locaux multiples sur des ordinateurs autonomes. Pour plus d'informations, voir Guide pas à pas pour la gestion des objets de stratégie de groupe locaux multiples (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=182215&clcid=0x40C) (éventuellement en anglais).
Bien que vous puissiez configurer des objets stratégie de groupe locaux sur des ordinateurs individuels, le maximum d'avantages de la stratégie de groupe est obtenu dans un réseau Windows Server 2003 ou Windows Server 2008 disposant d'Active Directory.
Traitement de la stratégie de groupe
La stratégie de groupe pour les ordinateurs est appliquée au démarrage de l'ordinateur. La stratégie de groupe pour les utilisateurs est appliquée lorsque ceux-ci ouvrent une session. Parallèlement au traitement initial de la stratégie de groupe lors du démarrage et de l'ouverture de session, la stratégie de groupe est appliquée par la suite en arrière-plan périodiquement. Pendant une actualisation en arrière-plan, une extension côté client ne réapplique les paramètres de stratégie que s'il détecte qu'une modification s'est produite sur le serveur dans un de ses objets de stratégie de groupe ou de sa liste d'objets de stratégie de groupe. Pour l'installation du logiciel et la redirection de dossiers, le traitement de la stratégie de groupe n'a lieu que lors du démarrage ou de l'ouverture de session de l'utilisateur.
Les paramètres de stratégie de groupe sont traités dans l'ordre suivant :
Objet de stratégie de groupe local Chaque ordinateur dispose d'un objet de stratégie de groupe qui est stocké localement. Cet objet de stratégie de groupe exécute le traitement à la fois pour l'ordinateur et la stratégie de groupe de l'utilisateur.
Site Les objets de stratégie de groupe liés au site auquel appartient l'ordinateur sont traités ensuite. Le traitement s'effectue dans l'ordre spécifié par l'administrateur sur l'onglet Objets de stratégie de groupe liés pour le site dans la console de gestion des stratégies de groupe (GPMC). L'objet stratégie de groupe dont l'ordre des liens est le plus bas est traité en dernier et a la priorité la plus élevée. Pour plus d'informations sur la façon d'utiliser la console de gestion des stratégies de groupe (GPMC), reportez-vous à la section Outils de gestion de la stratégie de groupe plus loin dans cet article.
Domaine Les multiples objets de stratégie de groupe liés aux domaines sont traités dans l'ordre spécifié par l'administrateur, sur Objets de stratégie de groupe liés pour le domaine dans console de gestion des stratégies de groupe (GPMC). L'objet stratégie de groupe dont l'ordre des liens est le plus bas est traité en dernier et a la priorité la plus élevée.
Unités d'organisation Les objets de stratégie de groupe liés à l'unité d'organisation qui est située tout en haut de la hiérarchie Active Directory sont traités en premier, suivis des objets de stratégie de groupe qui sont liés à son unité d'organisation enfant et ainsi de suite. Les objets de stratégie de groupe liés à l'unité d'organisation qui contient l'utilisateur ou l'ordinateur sont traités en dernier.
L'ordre de traitement est soumis aux conditions suivantes :
Filtrage WMI (Windows Management Instrumentation) ou filtrage de sécurité appliqué aux objets de stratégie de groupe.
Tout objet de stratégie de groupe de domaine (GPO non locaux) peut être appliqué à l'aide de l'option Appliquer afin que ses paramètres de stratégie ne puissent pas être remplacés. Comme un objet de stratégie de groupe appliqué est traité en dernier, aucun autre paramètre ne peut écraser les paramètres qu'il contient. S'il existe plusieurs objets de stratégie de groupe appliqués, le même paramètre dans chaque objet de stratégie de groupe peut prendre une valeur différente. Dans ce cas, l'ordre des liens des objets de stratégie de groupe détermine l'objet de stratégie de groupe qui contient les paramètres finaux.
L'héritage de la stratégie de groupe peut être désigné de manière sélective en tant que Bloquer l'héritage au niveau d'un domaine ou d'une unité d'organisation quelconque. Toutefois, étant donné que les objets de stratégie de groupe appliqués le sont toujours et qu'ils ne peuvent pas être bloqués, le blocage de l'héritage n'empêche pas l'application des paramètres de stratégie des objets de stratégie de groupe appliqués.
Héritage de la stratégie
Les paramètres de stratégie en vigueur pour un utilisateur et un ordinateur sont le résultat de la combinaison des objets de stratégie de groupe appliqués à un site, un domaine ou une unité d'organisation. Lorsque plusieurs objets de stratégie de groupe s'appliquent aux utilisateurs et aux ordinateurs de ces conteneurs Active Directory, les paramètres des objets de stratégie de groupe sont agrégés. Par défaut, les paramètres déployés dans les objets de stratégie de groupe liés aux conteneurs de niveau plus élevé (conteneurs parents) dans Active Directory sont transmis aux conteneurs enfants et combinés avec les paramètres déployés dans les objets de stratégie de groupe liés aux conteneurs enfants. Si plusieurs objets de stratégie de groupe tentent de définir un paramètre de stratégie ayant des valeurs en conflit, l'objet de stratégie de groupe présentant la priorité la plus élevée définit le paramètre. Les objets de stratégie de groupe qui sont traités après sont prioritaires sur les objets de stratégie de groupe qui sont traités avant.
Traitement synchrone et asynchrone
Les processus synchrones peuvent se décrire comme une série de processus dans laquelle un processus doit terminer son exécution avant que le suivant ne commence. Les processus asynchrones peuvent s'exécuter en même temps sur des threads différents car leur résultat est indépendant des autres processus. Les administrateurs peuvent utiliser un paramètre de stratégie pour chaque objet de stratégie de groupe afin de modifier le comportement de traitement par défaut et faire en sorte qu'il soit asynchrone au lieu de synchrone.
Dans le processus synchrone, le traitement de la stratégie de groupe complète sur l'ordinateur client doit s'effectuer en 60 minutes, qui correspond à la durée maximale autorisée. Les extensions côté client dont le traitement n'est pas terminé au bout de 60 minutes sont signalées pour s'arrêter. Dans ce cas, il est possible que les paramètres de stratégie associés n'aient pas été complètement appliqués.
Fonctionnalité d'optimisation d'ouverture de session rapide
Par défaut, la fonctionnalité d'optimisation d'ouverture de session rapide est définie pour les membres de domaine et les membres de groupe de travail. Cela se traduit par l'application asynchrone de la stratégie lors du démarrage de l'ordinateur et de l'ouverture de session de l'utilisateur. Cette application de la stratégie est semblable à une actualisation en arrière-plan. Elle peut réduire le temps nécessaire pour faire apparaître la boîte de dialogue d'ouverture de session et pour rendre le bureau disponible pour l'utilisateur.
Les administrateurs peuvent désactiver la fonctionnalité d'optimisation d'ouverture de session rapide à l'aide du paramètre de stratégie Toujours attendre le réseau lors du démarrage de l'ordinateur et de l'ouverture de session, situé sous le nœudConfiguration de l'ordinateur\Modèles d'administration\Système\Ouverture de session de l'Éditeur d'objets de stratégie de groupe.
Traitement des liaisons lentes
Certaines extensions de la stratégie de groupe ne sont pas traitées lorsque la vitesse de connexion tombe en dessous des seuils spécifiés. La valeur par défaut de ce que la stratégie de groupe considère comme une liaison lente correspond à n'importe quelle vitesse inférieure à 500 kilo-bits par seconde (Kbits/s).
Intervalle d'actualisation de la stratégie de groupe
La stratégie de groupe est traitée par défaut toutes les 90 minutes, avec un délai aléatoire allant jusqu'à 30 minutes, soit un intervalle d'actualisation maximal total de 120 minutes.
Concernant les paramètres de sécurité, une fois que vous avez modifié les stratégies associées, ils sont actualisés sur les ordinateurs de l'unité d'organisation à laquelle l'objet de stratégie de groupe est lié :
au démarrage d'un ordinateur,
toutes les 90 minutes sur une station de travail ou un serveur et toutes les 5 minutes sur un contrôleur de domaine.
Par défaut, les paramètres de stratégie de sécurité transmis par la stratégie de groupe sont également appliqués toutes les 16 heures (960 minutes), même si un objet de stratégie de groupe n'a pas été modifié.
Déclenchement d'une actualisation de la stratégie de groupe
Les modifications apportées à l'objet de stratégie de groupe doivent tout d'abord répliquer sur le contrôleur de domaine approprié. Par conséquent, celles apportées aux paramètres de stratégie de groupe peuvent ne pas être immédiatement disponibles sur les ordinateurs de bureau des utilisateurs. Dans certains scénarios, tels que l'application des paramètres de stratégie de sécurité, il peut être nécessaire d'appliquer les paramètres de stratégie immédiatement.
Les administrateurs peuvent déclencher une actualisation de la stratégie manuellement à partir d'un ordinateur local sans attendre l'actualisation automatique en arrière-plan. Pour cela, ils peuvent entrer gpupdate sur la ligne de commande pour actualiser les paramètres de stratégie utilisateur ou ordinateur. Vous ne pouvez pas utiliser la console de gestion des stratégies de groupe pour déclencher une actualisation de la stratégie.
La commande gpupdate déclenche une actualisation de la stratégie en arrière-plan sur l'ordinateur local à partir duquel la commande est exécutée. La commande gpupdate est utilisée dans les environnements Windows Server 2003 et Windows XP.
L'application de la stratégie de groupe ne peut pas être poussée (push) vers des clients à la demande à partir du serveur.
Modification de la manière dont la stratégie de groupe traite les objets de stratégie de groupe
Les liens de l'objet de stratégie de groupe aux sites, domaines et unités d'organisation sont le principal moyen pour spécifier les utilisateurs et les ordinateurs qui doivent recevoir les paramètres d'un objet de stratégie de groupe.
Vous pouvez modifier l'ordre par défaut selon lequel les objets GPO sont traités à l'aide de l'une des méthodes suivantes :
Modifier l'ordre des liens.
Bloquer l'héritage.
Appliquer un lien d'objet de stratégie de groupe.
Désactiver un lien d'objet de stratégie de groupe.
Utiliser le filtrage de sécurité.
Utiliser le filtrage WMI (Windows Management Instrumentation).
Utiliser le traitement en boucle.
Chacune de ces méthodes est décrite dans les sous-sections suivantes.
Modifier l'ordre des liens.
L'ordre des liens des objets de stratégie de groupe dans un site, un domaine ou une unité d'organisation détermine le moment où les liens sont appliqués. Les administrateurs peuvent modifier le niveau de priorité d'un lien en changeant l'ordre des liens, ou bien en déplaçant chaque lien vers le haut ou vers le bas de la liste à l'emplacement approprié. Le lien qui a l'ordre est le plus haut (1 en l'occurrence) possède la priorité la plus élevée pour un site, un domaine ou une unité d'organisation.
Bloquer l'héritage.
L'application du blocage de l'héritage à un domaine ou une unité d'organisation empêche des objets de stratégie de groupe liés à des sites, des domaines ou des unités d'organisation de niveau supérieur d'être automatiquement hérités par le conteneur Active Directory de niveau enfant. Par défaut, les conteneurs de niveau enfant héritent tous les objets de stratégie de groupe du parent. Toutefois, il est parfois utile de bloquer l'héritage.
Appliquer un lien d'objet de stratégie de groupe.
Vous pouvez spécifier que les paramètres d'un lien d'objet de stratégie de groupe sont prioritaires sur les paramètres de n'importe quel objet enfant en affectant à ce lien la valeur Appliqué. Les liens d'objets de stratégie de groupe appliqués ne peuvent pas être bloqués à partir du conteneur parent. Si des objets de stratégie de groupe contiennent des paramètres conflictuels et qui n'ont pas d'application à partir d'un conteneur de niveau supérieur, les paramètres des liens d'objets de stratégie de groupe au conteneur parent de niveau supérieur sont remplacés par les paramètres des objets de stratégie de groupe liés aux unités d'organisation enfant. Grâce à l'application, le lien d'objet de stratégie de groupe parent est toujours prioritaire. Par défaut, les liens d'objets de stratégie de groupe ne sont pas appliqués.
Désactiver un lien d'objet de stratégie de groupe.
Vous pouvez totalement bloquer l'application d'un objet de stratégie de groupe pour un site, un domaine ou une unité d'organisation en désactivant le lien d'objet de stratégie de groupe pour ce domaine, ce site ou cette unité d'organisation. Cela ne désactive pas pour autant l'objet de stratégie de groupe. Si l'objet de stratégie de groupe est lié à d'autres sites, domaines ou unités d'organisation, il continuera de traiter l'objet de stratégie de groupe si leurs liens sont activés.
Utiliser le filtrage de sécurité.
Vous pouvez utiliser le filtrage de sécurité pour spécifier que seules les entités de sécurité situées à l'intérieur du conteneur dans lequel l'objet de stratégie de groupe est lié appliquent l'objet. Les administrateurs peuvent utiliser le filtrage de sécurité pour limiter l'étendue d'un objet de stratégie de groupe afin que celui-ci s'applique uniquement à un groupe, un utilisateur ou un ordinateur unique. Le filtrage de sécurité ne peut pas être utilisé de manière sélective sur différents paramètres dans un objet de stratégie de groupe.
L'objet de stratégie de groupe s'applique à un utilisateur ou à un ordinateur uniquement si l'un ou l'autre détient les autorisations Lire et Appliquer la stratégie de groupe sur l'objet de stratégie de groupe, de manière explicite ou de fait, via l'appartenance aux groupes. Par défaut, les privilèges Lire et Appliquer la stratégie de groupe sur les objets de stratégie de groupe sont autorisés pour le groupe Utilisateurs authentifiés, qui comprend les utilisateurs et les ordinateurs. C'est pour cette raison que tous les utilisateurs authentifiés reçoivent les paramètres d'un nouvel objet de stratégie de groupe lorsque celui-ci est appliqué à une unité d'organisation, un domaine ou un site.
Par défaut, les administrateurs du domaine, les administrateurs de l'entreprise et le système local disposent des autorisations de contrôle total, sans l'entrée de contrôle d'accès Appliquer la stratégie de groupe. Les administrateurs sont également membres des Utilisateurs authentifiés. Cela signifie que, par défaut, ils reçoivent les paramètres de l'objet de stratégie de groupe. Ces autorisations peuvent être modifiées pour limiter l'étendue à un ensemble spécifique d'utilisateurs, de groupes ou d'ordinateurs dans le site, le domaine ou l'unité d'organisation.
La console de gestion des stratégies de groupe (GPMC) gère ces autorisations en tant qu'unité unique et affiche le filtrage de sécurité pour l'objet de stratégie de groupe sous l'onglet Étendue de l'objet de stratégie de groupe. Dans la console GPMC, les groupes, les utilisateurs et les ordinateurs peuvent être ajoutés ou supprimés en tant que filtres de sécurité pour chaque objet de stratégie de groupe.
Utiliser le filtrage WMI
Vous pouvez utiliser le filtrage WMI pour filtrer l'application d'un objet de stratégie de groupe en attachant une requête WQL (WMI Query Language) à un objet de stratégie de groupe. Les requêtes peuvent servir à demander plusieurs éléments dans WMI. Si une requête retourne True pour tous les éléments demandés, l'objet de stratégie de groupe est appliqué à l'utilisateur ou à l'ordinateur cible.
Un objet de stratégie de groupe est lié à un filtre WMI et appliqué sur un ordinateur cible, et le filtre y est ensuite évalué. Si le filtre WMI prend la valeur False, l'objet de stratégie de groupe n'est pas appliqué (sauf si l'ordinateur client exécute Windows 2000. Dans ce cas, le filtre est ignoré et l'objet de stratégie de groupe est toujours appliqué). Si le filtre WMI prend la valeur True, l'objet de stratégie de groupe est appliqué.
Le filtre WMI est un objet distinct de l'objet de stratégie de groupe dans le répertoire. Un filtre WMI doit être lié à un objet de stratégie de groupe pour s'appliquer, alors qu'un filtre WMI et l'objet de stratégie de groupe auquel il est lié doivent se trouver dans le même domaine. Les filtres WMI sont stockés uniquement dans les domaines. Chaque objet de stratégie de groupe ne peut avoir qu'un seul filtre WMI. Le même filtre WMI peut être lié à plusieurs objets de stratégie de groupe.
Notes
WMI (Windows Management Instrumentation) est l'implémentation Microsoft de l'initiative industrielle de gestion de réseau basée sur le Web qui établit des normes d'infrastructure de gestion et permet de combiner des informations provenant de différents systèmes de gestion de matériels et de logiciels. WMI expose des données de configuration matérielle telles que le processeur, la mémoire, l'espace disque et le fabricant, ainsi que des données de configuration logicielle provenant du Registre, des pilotes, du système de fichiers, d'Active Directory, du service Windows Installer, de la configuration de mise en réseau et des données d'application. Les données relatives à un ordinateur cible peuvent être utilisées pour des besoins d'administration, par exemple le filtrage WMI des objets de stratégie de groupe.
Utiliser le traitement en boucle.
Vous pouvez également utiliser la fonctionnalité de traitement par boucle de rappel pour vous assurer que le même jeu de paramètres de stratégie est appliqué à tout utilisateur ouvrant une session sur un ordinateur spécifique.
Le traitement par boucle de rappel est un paramètre de stratégie de groupe avancé qui est utile sur les ordinateurs de certains environnements étroitement gérés, tels que les serveurs, les bornes, les laboratoires, les classes et les zones de réception. Si vous définissez une boucle de rappel, les paramètres de stratégie Configuration de l'utilisateur dans les objets de stratégie de groupe s'appliquant à l'ordinateur s'appliquent à chaque utilisateur qui se connecte à cet ordinateur, et non aux paramètres Configuration de l'utilisateur (mode Remplacer) ou en plus de paramètres (mode Fusion) de l'utilisateur.
Pour définir le traitement par boucle de rappel, vous pouvez utiliser le paramètre de stratégie Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur, qui est accessible sous Configuration de l'ordinateur\Modèles d'administration\Système\Stratégie de groupe dans l'Éditeur d'objets de stratégie de groupe.
Pour utiliser la fonctionnalité de traitement en bouclage, le compte d'utilisateur et le compte d'ordinateur doivent être dans un domaine Windows Server 2003 ou une version ultérieure de Windows. Le traitement en boucle ne fonctionne pas pour les ordinateurs qui sont rattachés à un groupe de travail.
Modèles d'administration
L'extension des modèles d'administration de la stratégie de groupe se compose d'un composant logiciel enfichable MMC côté serveur qui est utilisé pour configurer les paramètres de stratégie et d'une extension côté client qui définit les clés de Registre sur les ordinateurs cibles. La stratégie Modèles d'administration est également appelée « stratégie basée sur le Registre » ou « stratégie de Registre ».
Fichiers de modèles d'administration
Les fichiers des modèles d'administration sont des fichiers Unicode qui se composent d'une hiérarchie de catégories et de sous-catégories définissant la façon dont les options s'affichent par le biais de l'Éditeur d'objets de stratégie de groupe et de la console de gestion des stratégies de groupe. Ils indiquent également les emplacements du Registre qui sont affectés par les configurations de paramètre de stratégie, qui incluent la valeur par défaut (non configurée), activée ou désactivée des valeurs du paramètre de stratégie. Les modèles sont disponibles en trois versions de fichiers : .adm, .admx et .adml. Les fichiers .adm peuvent être utilisés pour les ordinateurs exécutant n'importe quel système d'exploitation Windows. Les fichiers .admx et .adml peuvent être utilisés sur des ordinateurs exécutant au moins Windows Vista ou Windows Server 2008. Les fichiers .adml sont les versions linguistiques spécifiques de fichiers .admx .
La fonctionnalité des fichiers du modèle administratif est limitée. L'objectif des fichiers de modèle .adm, .admx ou .adml est d'activer une interface utilisateur pour configurer les paramètres de stratégie. Les fichiers de modèle s'administration qui ne contiennent pas de paramètres de stratégie. Les paramètres de stratégie sont contenus dans les fichiers Registry.pol qui se trouvent dans le dossier Sysvol sur les contrôleurs de domaine.
Le composant logiciel enfichable Modèles d'administration côté serveur fournit un nœud Modèles d'administration qui s'affiche dans l'Éditeur d'objets de stratégie de groupe sous le nœud Configuration de l'ordinateur et sous le nœudConfiguration de l'utilisateur. Les paramètres situés sous Configuration de l'ordinateur manipulent les paramètres de Registre pour l'ordinateur. Les paramètres situés sous Configuration de l'utilisateur manipulent les paramètres de Registre pour les utilisateurs. Bien que certains paramètres de stratégie nécessitent des éléments d'interface utilisateur simples tels que des zones de texte pour entrer des valeurs, la plupart d'entre eux contiennent uniquement les options suivantes :
Activé La stratégie est appliquée. Certains paramètres de stratégie offrent des options supplémentaires qui définissent le comportement lors de l'activation de la stratégie.
Désactivé Applique le comportement opposé à l'état Appliqué pour la plupart des paramètres de stratégie. Par exemple, si Activé force l'état à Off, Désactivé force l'état de la fonctionnalité On.
Non configuré : la stratégie n'est pas appliquée. C'est la valeur par défaut de la plupart des paramètres.
Les fichiers modèles d'administration sont stockés à des emplacements sur l'ordinateur local, comme indiqué dans le tableau suivant.
| Type de fichier | Dossier |
|---|---|
.adm |
%systemroot%\Inf |
.admx |
%systemroot%\PolicyDefinitions |
.adml |
%systemroot%\PolicyDefinitions\<dossier spécifique à une langue, par exemple, en-us> |
Vous pouvez également stocker et utiliser les fichiers .admx et .adml à partir d'un magasin central dans les dossiers sur le contrôleur de domaine, comme indiqué dans le tableau suivant.
| Type de fichier | Dossier |
|---|---|
.admx |
%systemroot%\sysvol\domain\policies\PolicyDefinitions |
.adml |
%systemroot%\sysvol\domain\policies\PolicyDefinitions\<dossier spécifique à une langue, par exemple, en-us> |
Pour plus d'informations sur le ciblage de l'application des objets de stratégie de groupe, voir « Stratégie de groupe et sysvol » dans Guide de planification et de déploiement de stratégie de groupe (https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x40C) sur le site Web Microsoft TechNet.
Fichiers de modèles d'administration pour Office 2010
Les fichiers de modèle d'administration spécifiques à Office 2010 sont disponibles en tant que téléchargement séparé et vous permettent ce qui suit :
contrôler les points d’entrée à Internet à partir des applications Office 2010 ;
gérer la sécurité dans les applications Office 2010 ;
masquer les paramètres et les options dont les utilisateurs n'ont pas besoin pour effectuer leurs travaux et qui peuvent les déconcentrer ou aboutir à des demandes de support technique superflues ;
créer une configuration standard hautement gérée sur les ordinateurs des utilisateurs.
Pour télécharger les modèles d’administration Office 2010, voir Fichiers de modèles d’administration Office 2010 (ADM, ADMX, ADML) et Outil de personnalisation Office (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=189316\&clcid=0x40C) (éventuellement en anglais).
Les modèles d'administration Office 2010 sont comme indiqué dans le tableau suivant.
| Application | Fichiers de modèles d'administration |
|---|---|
Microsoft Access 2010 |
access14.admx, access14.adml, access14.adm |
Microsoft Excel 2010 |
excel14.admx, excel14.adml, excel14.adm |
Microsoft InfoPath 2010 |
inf14.admx, inf14.adml, inf14.adm |
Microsoft Office 2010 |
office14.admx, office14.adml, office14.adm |
Microsoft OneNote 2010 |
onent14.admx, onent14.adml, onent14.adm |
Microsoft Outlook 2010 |
outlk14.admx, outlk14.adml, outlk14.adm |
Microsoft PowerPoint 2010 |
ppt14.admx, ppt14.adml, ppt14.adm |
Microsoft Project 2010 |
proj14.admx, proj14.adml, proj14.adm |
Microsoft Publisher 2010 |
pub14.admx, pub14.adml, pub14.adm |
Microsoft SharePoint Designer 2010 |
spd14.admx, spd14.adml, spd14.adm |
Microsoft SharePoint Workspace 2010 |
spw14.admx, spw14.adml, spw14.adm |
Microsoft Visio 2010 |
visio14.admx, visio14.adml, visio14.adm |
Microsoft Word 2010 |
word14.admx, word14.adml, word14.adm |
Vraies stratégies et préférences utilisateur
Les paramètres de stratégie de groupe que les administrateurs peuvent gérer entièrement constituent de vraies stratégies. Les paramètres que les utilisateurs peuvent configurer (mais qui peuvent refléter l'état par défaut du système d'exploitation au moment de l'installation) sont appelés préférences. Les vraies stratégies et les préférences contiennent tous des informations qui modifient le Registre sur l'ordinateur des utilisateurs.
Vraies stratégies
Les valeurs de Registre des vraies stratégies sont stockées sous les clés de Registre approuvées de la stratégie de groupe. Les utilisateurs ne peuvent pas modifier ou désactiver les paramètres suivants.
Pour les paramètres de stratégie ordinateur :
HKEY_LOCAL_MACHINE\Software\Policies (emplacement par défaut)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Pour les paramètres de stratégie utilisateur :
HKEY_CURRENT_USER\Software\Policies (emplacement par défaut)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Pour Office 2010, les vraies stratégies sont stockées aux emplacements du Registre suivants.
Pour les paramètres de stratégie ordinateur :
- HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\14.0
Pour les paramètres de stratégie utilisateur :
- HKEY_CURRENT_USER\Software\Policies\ Microsoft\Office\14.0
Préférences
Les préférences sont définies par les utilisateurs ou par le système d'exploitation au moment de l'installation. Les valeurs de Registre qui stockent les préférences se trouvent en dehors des clés approuvées de stratégie de groupe. Les utilisateurs peuvent modifier leurs préférences.
Si vous configurez ainsi les paramètres de préférence à l'aide d'un objet de stratégie de groupe, celui-ci n'est pas soumis à des restrictions de liste de contrôle d'accès. Les utilisateurs peuvent donc modifier ces valeurs dans le Registre. Lorsque l'objet de stratégie de groupe est hors de l'étendue (s'il est non lié, désactivé ou supprimé), ces valeurs ne sont pas supprimées du Registre.
Pour afficher les préférences dans l'Éditeur d'objets de stratégie de groupe, cliquez sur le nœud Modèles d'administration, sur Affichage, sur Filtrage, puis désactivez la case à cocher Afficher uniquement les paramètres de stratégie pouvant être entièrement gérés.
Outils de gestion de la stratégie de groupe
Les administrateurs gèrent la stratégie de groupe à l'aide des outils suivants :
Console de gestion des stratégies de groupe Permet de gérer la plupart des tâches de gestion de stratégie de groupe.
Éditeur d'objets de stratégie de groupe Permet de configurer les paramètres de stratégie dans les objets de stratégie de groupe.
Console de gestion des stratégies de groupe
La console de gestion des stratégies de groupe simplifie l'administration de la stratégie de groupe en fournissant un outil unique de gestion de ses principaux aspects, à savoir la limitation d'étendue, la délégation, le filtrage et la manipulation de l'héritage des objets de stratégie de groupe. Cette console permet aussi de sauvegarder (d'exporter), de restaurer, d'importer et de copier des objets de stratégie de groupe. Les administrateurs peuvent l'utiliser pour prévoir comment les objets de stratégie de groupe vont affecter le réseau et pour déterminer la façon dont ces objets ont modifié des paramètres sur un ordinateur ou pour un utilisateur. La console de gestion des stratégies de groupe est l'outil de gestion par défaut de la plupart des tâches de la stratégie de groupe dans un environnement de domaine.
La console de gestion des stratégies de groupe fournit une vue des objets de stratégie de groupe, des sites, des domaines et des unités d'organisation dans une entreprise et elle peut être utilisée pour gérer des domaines Windows Server 2003 ou Windows 2000. Les administrateurs l'utilisent pour effectuer l'ensemble des tâches de gestion de la stratégie de groupe, à l'exception de la configuration des paramètres de stratégie individuels dans des objets de stratégie de groupe. Cette dernière tâche incombe à l'Éditeur d'objets de stratégie de groupe. La console de gestion des stratégies de groupe appelle l'Éditeur d'objets de stratégie de groupe que vous pouvez utiliser à partir de cette même console.
Les administrateurs utilisent la console de gestion des stratégies de groupe pour créer un objet de stratégie de groupe sans paramètres initiaux. Ils peuvent également créer un objet de stratégie de groupe qu'ils vont lier en même temps à un conteneur Active Directory. Pour configurer des paramètres dans un objet de stratégie de groupe, un administrateur modifie l'objet de stratégie de groupe utilise un éditeur d'objets de stratégie de groupe à partir de la console de gestion des stratégies de groupe. L'Éditeur d'objets de stratégie de groupe s'affiche avec l'objet de stratégie de groupe chargé.
Les administrateurs peuvent utiliser la console de gestion des stratégies de groupe pour lier des objets de stratégie de groupe à des sites, domaines ou unités d'organisation d'Active Directory. Ils doivent lier les objets de stratégie de groupe afin d'appliquer les paramètres aux utilisateurs et aux ordinateurs dans les conteneurs Active Directory.
La console de gestion des stratégies de groupe comprend les fonctionnalités RSoP (Jeu de stratégies résultant pour l'ordinateur) suivantes fournies par Windows :
Modélisation de stratégie de groupe Simule les paramètres de stratégie qui sont appliqués dans des circonstances spécifiées par un administrateur. Les administrateurs peuvent utiliser l'outil Modélisation de stratégie de groupe pour simuler les données RSoP qui seraient appliquées pour une configuration existante, ou ils peuvent analyser les effets de modifications hypothétiques simulées apportées à leur environnement de répertoire.
Résultats de la stratégie de groupe Représente les données de stratégie réelles qui s'appliquent à un ordinateur et à un utilisateur. Les données sont obtenues en interrogeant l'ordinateur cible et en récupérant les données RSoP qui lui ont été appliquées. La fonction des résultats de la stratégie de groupe est fournie par le système d'exploitation client et nécessite Windows XP, Windows Server 2003 ou version ultérieure.
Éditeur d'objets de stratégie de groupe
L'éditeur d'objets de stratégie de groupe est un composant logiciel enfichable MMC utilisé pour configurer les paramètres de stratégie dans les objets de stratégie de groupe. L'éditeur d'objets de stratégie de groupe est contenu dans gpedit.dll et est installé avec les systèmes d'exploitation Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 et Windows 7.
Pour configurer les paramètres de stratégie de groupe d'un ordinateur local qui n'est pas un membre d'un domaine, utilisez l'Éditeur d'objets de stratégie de groupe pour gérer un objet de stratégie de groupe local (ou plusieurs objets de stratégie de groupe sur les ordinateurs exécutant Windows Vista, Windows 7 ou Windows Server 2008). Pour configurer les paramètres de stratégie de groupe dans un environnement de domaine, la console de gestion des stratégies de groupe (qui appelle l'Éditeur d'objets de stratégie de groupe) est l'outil par défaut pour les tâches de gestion de la stratégie de groupe.
L'éditeur d'objets de stratégie de groupe permet aux administrateurs une arborescence hiérarchique pour la configuration des paramètres de stratégie de groupe dans les objets de stratégie de groupe et comprend les deux nœuds principaux suivants :
Configuration utilisateur Contient des paramètres utilisateur qui sont appliqués aux utilisateurs lorsque ceux-ci ouvrent une session et lors d'actualisations en tâche de fond périodiques.
Ordinateur configuration Contient des paramètres appliqués aux ordinateurs lors du démarrage et lors d'actualisations en tâche de fond périodiques.
Ces deux nœuds principaux sont en outre divisés en dossiers qui contiennent les différents types de paramètres de stratégie qui peuvent être définies. Ces dossiers sont les suivants :
Paramètres du logiciel Contient les paramètres d'installation du logiciel.
Paramètres Windows Contient les paramètres de sécurité et les paramètres de stratégie de scripts.
Modèles d'administration Contient des paramètres de stratégie basés sur le Registre
Configuration requise pour la console GPMC et l'éditeur d'objets de stratégie de groupe
L'éditeur d'objets de stratégie de groupe fait partie de la console de gestion des stratégies de groupe et est appelé lorsque vous modifiez un objet de stratégie de groupe. Vous pouvez exécuter la console GPMC sur Windows XP, Windows Server 2003, Windows Vista, Windows 7 et Windows Server 2008. La configuration requise varie en fonction du système d'exploitation Windows comme suit :
La console GPMC fait partie du système d’exploitation Windows Vista. Toutefois, si vous avez installé le Service Pack 1 ou le Service Pack 2 sur Windows Vista, la console GPMC est supprimée. Pour la réinstaller, installez les Outils d’administration de serveur distant pour Windows 7 (https://go.microsoft.com/fwlink/?linkid=181816\&clcid=0x40C).
La console GPMC est incluse avec Windows Server 2008 et versions ultérieures. Toutefois, cette fonctionnalité n'est pas installée avec le système d'exploitation. Utilisez le Gestionnaire de serveur pour installer la console GPMC. Pour des informations sur la façon d'installer la console GPMC, reportez-vous à la section installer la console GPMC (https://go.microsoft.com/fwlink/?linkid=187926\&clcid=0x40C).
Pour installer la console de gestion des stratégies de groupe (GPMC) sur Windows 7, installez les Outils d'administration de serveur distant pour Windows 7 (https://go.microsoft.com/fwlink/?linkid=180743\&clcid=0x40C).
Pour installer la console de gestion des stratégies de groupe sur Windows XP ou Windows Server 2003, installez Console de gestion des stratégies de groupe Service Pack 1 (https://go.microsoft.com/fwlink/?linkid=88316\&clcid=0x40C).
Pour plus d'informations sur l'utilisation de la console GPMC et l'éditeur d'objets de stratégie de groupe, consultez Appliquer des paramètres à l’aide de la stratégie de groupe dans Office 2010.
Outil de personnalisation Office et stratégie de groupe
Les administrateurs peuvent utiliser l'outil de personnalisation Office (OPO) ou de la stratégie de groupe pour personnaliser les configurations des utilisateurs pour les applications Office 2010 :
Outil de personnalisation Office (OCT) Permet de créer un fichier de personnalisation de l'installation (fichier .msp). Les administrateurs peuvent l'utiliser pour personnaliser des fonctionnalités et configurer des paramètres utilisateur. Les utilisateurs peuvent modifier la plupart des paramètres après l'installation. Cela est dû au fait que l'Outil de personnalisation Office configure les paramètres des zones publiquement accessibles du Registre, telles que HKEY_CURRENT_USER/Software/Microsoft/Office/14.0. Cet outil est généralement utilisé dans les organisations qui ne centralisent pas la gestion des configurations de bureau. Pour plus d'informations, voir Outil de personnalisation Office dans Office System 2010.
Stratégie de groupe Permet de configurer les paramètres de stratégie Office 2010 qui sont contenus dans les modèles d'administration. Ces paramètres sont ensuite appliqués par le système d'exploitation. Dans un environnement Active Directory, les administrateurs peuvent appliquer les paramètres de stratégie à des groupes d'utilisateurs et d'ordinateurs dans un site, un domaine ou une unité d'organisation auxquels un objet de stratégie de groupe est lié. Les paramètres des stratégies effectives sont écrits dans les clés de Registre approuvées pour la stratégie, et ils comportent des restrictions de liste de contrôle d'accès qui empêchent les non administrateurs de les modifier. Les administrateurs peuvent utiliser la stratégie de groupe pour créer des configurations de bureau soumises à une gestion intense. Ils peuvent également créer des configurations légèrement gérées pour répondre aux besoins métier et de sécurité de leurs organisations. Pour plus informations sur l'outil OCT, voir Outil de personnalisation Office dans Office System 2010.
See Also
Concepts
Planification d’une stratégie de groupe dans Office 2010
FAQ : stratégie de groupe (Office 2010)
Livre téléchargeable : Stratégie de groupe pour Office 2010
Appliquer des paramètres à l’aide de la stratégie de groupe dans Office 2010
Désactiver des éléments de l’interface utilisateur et des touches de raccourci dans Office 2010
Fichiers de modèles d’administration Office 2010 (ADM, ADMX, ADML) et Outil de personnalisation Office
Security policies and settings in Office 2010
Other Resources
Stratégie de groupe Windows Server
Guide de planification et de déploiement de la stratégie de groupe
Guide de survie de la documentation sur la stratégie de groupe