• Article

Stratégie de groupe

Plongeon dans la gestion de stratégie de groupe avancée

Derek Melber

 

Vue d'ensemble:

  • Installation et architecture AGPM
  • Modification hors connexion des GPO
  • Gestion des modifications avec AGPM
  • Récupération après incident

Microsoft vient d'acquérir DesktopStandard, l'entreprise qui a créé AGPM (Advanced Group Policy Management), un produit permettant la gestion complète des objets de stratégie de groupe.À mon avis, toute entreprise qui utilise Active Directory devrait également utiliser cet outil.

AGPM offre la modification hors connexion des objets de stratégie de groupe (GPO), la gestion des modifications, un flux de travail de stratégies de mise à jour, la délégation, et bien plus encore.Dans cet article, j'examinerai de près le fonctionnement de l'outil et vous donnerai une vue détaillée de ce produit unique extrêmement utile.

Commençons tout d'abord par quelques informations contextuelles.Au départ, AGPM était connu sous le nom de GPOVault.Après avoir acquis DesktopStandard, Microsoft l'a renommé AGPM et l'a ajouté au package MDOP (Microsoft® Desktop Optimization Pack).Á l'heure actuelle, vous ne pouvez obtenir MDOP que si vos licences de poste de travail Windows Vista® sont couvertes par Microsoft Software Assurance.

D'après ce que je connais des outils inclus, je pense que MDOP est de loin l'une des offres Microsoft les plus impressionnantes de ces dernières années.MDOP est proposé avec cinq outils différents, chacun impressionnant individuellement. Ensemble, ils constituent un jeu d'outils aussi remarquable que précieux.Pour plus d'informations sur MDOP, consultez le site Web de MDOP :windowsvista.com/optimizeddesktop.

Installation et architecture AGPM

L'installation d'AGPM a été conçue pour être très simple et légère : elle consiste en un composant serveur et un composant client (administratif).Le composant serveur doit être installé sur un serveur membre du domaine ; il ne modifie pas Active Directory®, le schéma ou aucun autre service d'annuaire.AGPM peut être installé sur un contrôleur de domaine si la situation l'exige.

L'installation serveur installe un service nécessitant un compte de service basé sur le domaine à partir duquel AGPM accède aux objets de stratégie de groupe de production actifs pour le compte de l'utilisateur.L'installation nécessite également un administrateur AGPM qui contrôlera tous les paramètres au sein d'AGPM, tels que la délégation et la gestion GPO initiale.

Le client doit être installé sur un ordinateur exécutant Windows Vista sur lequel les fonctions administratives normales ont déjà lieu, probablement sur le poste de travail des administrateurs du réseau et d'Active Directory.Il suffit à présent au client de pointer les paramètres AGPM sur le serveur AGPM et la connexion à l'archive est établie.Le client AGPM utilise l'interface de la Console de gestion des stratégies de groupe (GPMC) et s'affiche en tant que nœud Contrôle des modifications, comme illustré à la figure 1.

Figure 1 AGPM est entièrement intégré à la console GPMC pour une plus grande facilité d'utilisation

Figure 1** AGPM est entièrement intégré à la console GPMC pour une plus grande facilité d'utilisation **(Cliquer sur l'image pour l'agrandir)

Les fichiers auxquels le client AGPM accédera sont stockés dans un format de fichier de base sur le serveur AGPM.Il s'agit de la méthode la plus simple pour stocker ces fichiers, et elle permet également de sauvegarder la totalité de l'archive AGPM.La plupart des fonctions AGPM utilisent les API de GPMC, ce qui permet là aussi une intégration et une utilisation transparentes du produit.AGPM n'utilise pas de base de données ; il stocke les GPO dans un dossier unique et un manifeste contrôle la corrélation de tous les GPO avec le GPO parent dans l'archive.Ainsi, tous les GPO disposent d'un GUID unique, mais lorsqu'un GPO est mis en production, le bon GUID lui est associé au déploiement.

Modification hors connexion d'AGPM

La fonctionnalité la plus la plus simple d'AGPM est celle qui permet de modifier les GPO hors connexion, loin de l'environnement de production.Tout le monde sait que la modification des GPO à l'aide de la console GPMC par défaut peut pousser des paramètres errants immédiatement dans l'environnement de production, ce qui risque d'entraîner des résultats désastreux.

APGM gère la modification des GPO hors connexion en les « contrôlant ».Un GPO contrôlé, comme illustré à la figure 2, est un GPO qui peut être modifié hors connexion sans causer d'intrusion dans l'environnement de production.

Figure 2 Les GPO contrôlés sont stockés dans l'archive AGPM et peuvent être modifiés hors connexion

Figure 2** Les GPO contrôlés sont stockés dans l'archive AGPM et peuvent être modifiés hors connexion **(Cliquer sur l'image pour l'agrandir)

Le contrôle d'un GPO est très simple.Les GPO non contrôlés, comme illustré à la figure 3, énumèrent tous les GPO qui ne sont pas encore associés à l'archive AGPM.Si vous cliquez avec le bouton droit sur un GPO, un menu comprenant l'option Contrôle apparaît.Si vous sélectionnez cette option, vous copiez le GPO à partir de l'emplacement de production (le volume système ou SYSVOL, partage sur le contrôleur de domaine) et vous le placez dans l'archive AGPM.Vous pouvez contrôler plusieurs GPO ; il vous suffit de maintenir la touche Maj ou Ctrl enfoncée lorsque vous sélectionnez les GPO pour obtenir la liste des GPO que vous souhaitez contrôler, et de cliquer ensuite avec le bouton droit pour accéder à l'option de menu Contrôle.Vous continuez de modifier les GPO contrôlés à l'aide de l’Éditeur d'objets de stratégie de groupe (GPOE).Il s'agit là tout simplement d'une autre façon dont AGPM a été entièrement intégré à la console GPMC.

Figure 3 Les GPO non contrôlés sont placés dans l'archive en sélectionnant l'option de menu Contrôle

Figure 3** Les GPO non contrôlés sont placés dans l'archive en sélectionnant l'option de menu Contrôle **(Cliquer sur l'image pour l'agrandir)

Délégation d'Administration AGPM

Voyons comment AGPM traite la délégation en examinant tout d'abord la façon dont vous pouvez déléguer l'administration GPO à l'aide de la console GPMC.La console GPMC comporte cinq tâches de délégation différentes que vous pouvez attribuer à un utilisateur :Créer un GPO, Lier un GPO, Modifier un GPO, Gérer un GPO et Lire un GPO.

Ces délégations sont toutes complétées dans l'interface GPMC.Elles sont toutes contrôlées par les utilisateurs et groupes figurants sur les onglets Délégation associés aux différents nœuds de la console GPMC.Les délégations qui nous intéressent sont celles qui permettent de créer de nouveaux GPO et de modifier et gérer les GPO existants.

La création de GPO dans la console GPMC est contrôlée par l'onglet Délégation associé au nœud Objets de stratégie de groupe, comme illustré à la figure 4.Une fois AGPM installé, vous pourrez supprimer tous les utilisateurs et groupes de la liste de ceux qui y ont accès pour créer des GPO.(Il n'est pas nécessaire de supprimer le système, les ordinateurs ou les groupes d'ordinateurs de l'onglet Délégation pour créer des GPO).La création de GPO sera maintenant gérée par le compte de service contrôlant le service AGPM.Ce compte sera autorisé à créer des GPO au profit de tous les utilisateurs et groupes qui bénéficient des délégations Création de GPO et Déploiement dans AGPM.

Figure 4 La création de GPO est contrôlée par la liste de comptes sur l'onglet Délégation du nœud Objets de stratégie de groupe de la console GPMC

Figure 4** La création de GPO est contrôlée par la liste de comptes sur l'onglet Délégation du nœud Objets de stratégie de groupe de la console GPMC **(Cliquer sur l'image pour l'agrandir)

Cette nouvelle capacité de création de GPO vous permet de séparer les tâches et de protéger le réseau de production.Dans l'idéal, les GPO sont créés, configurés et vérifiés avant d'être déployés dans l'environnement de production à partir de l'environnement AGPM.Les configurations errantes ne devraient ainsi pas être transférées comme elles le sont de nos jours sans AGPM.

Le scénario est le même pour la délégation liée à la modification ou gestion des GPO.Au sein de la console GPMC, ces délégations sont configurées sur l'onglet Délégation associé à chaque GPO, comme illustré à la figure 5.

Figure 5 La modification et la gestion des GPO sont associées à chaque GPO de façon individuelle

Figure 5** La modification et la gestion des GPO sont associées à chaque GPO de façon individuelle **(Cliquer sur l'image pour l'agrandir)

Une fois AGPM installé, ces délégations doivent être supprimées de chaque GPO figurant sous le nœud Objets de stratégie de groupe.Vous empêcherez ainsi les administrateurs de modifier les GPO en dehors d'AGPM.En deux mots, cette opération a pour effet de diriger toute l'administration des GPO vers AGPM, où des tâches telles que les modifications hors connexion, la gestion des modifications et la récupération après incident peuvent être effectuées.

L'opération visant à empêcher les utilisateurs et des groupes de modifier les GPO en dehors d'AGPM est un processus manuel.L'installation et la configuration d'AGPM n'empêchent pas un utilisateur ou groupe de modifier les GPO dans l'environnement de production.Dans la mesure où le compte de service contrôlant le service AGPM effectuera ces tâches au profit des utilisateurs qui modifient les GPO de production depuis AGPM, il n'est pas nécessaire que des utilisateurs ou groupes d'utilisateurs figurent sur l'onglet Délégation de chaque GPO.(L'ordinateur et les groupes d'ordinateurs ne doivent pas être supprimés de ces onglets de délégation.)

Une fois toutes les délégations liées à la modification d'un GPO dans GPMC supprimées, les administrateurs ne pourront plus modifier un GPO à partir de la console GPMC, comme illustré à la figure 6.

Figure 6 Les administrations ne peuvent pas modifier les GPO depuis la console GPMC une fois qu'ils ne disposent plus de la délégation pour cette action.

Figure 6** Les administrations ne peuvent pas modifier les GPO depuis la console GPMC une fois qu'ils ne disposent plus de la délégation pour cette action. **(Cliquer sur l'image pour l'agrandir)

Pour finaliser la configuration, les administrateurs qui ont besoin de modifier des GPO doivent être ajoutés aux Listes de contrôle d'accès appropriées dans AGPM.Si un administrateur a besoin de modifier tous les GPO qui se trouvent dans l'archive, son compte utilisateur doit être ajouté à un groupe disposant du droit de modification au niveau du domaine dans AGPM, comme illustré à la figure 7.Dans le cas où un administrateur doit être limité à la modification de quelques GPO seulement dans l'archive AGPM, cette configuration doit avoir lieu au niveau de chaque GPO (voir la figure 8).

Figure 7 L'onglet Délégation de domaine permet de configurer la modification de tous les GPO de l'archive

Figure 7** L'onglet Délégation de domaine permet de configurer la modification de tous les GPO de l'archive **(Cliquer sur l'image pour l'agrandir)

Figure 8 La modification d'un GPO individuels doit être configurée dans la Liste de contrôle d'accès de ce GPO

Figure 8** La modification d'un GPO individuels doit être configurée dans la Liste de contrôle d'accès de ce GPO **(Cliquer sur l'image pour l'agrandir)

Gestion des modifications de GPO d'AGPM

L'un des avantages formidables d'AGPM réside dans sa capacité à effectuer le suivi de toutes les modifications qui sont apportées aux GPO dans l'archive.Comme ce processus est automatisé, il n'a pas besoin d'être installé, configuré ou géré.Le suivi de toutes les modifications a lieu en arrière-plan lorsque les GPO sont gérés par l'interface du client AGPM.

Il s'agit d'une amélioration extrêmement importante de la façon dont la console GPMC par défaut traite la gestion des GPO.Dans la console GPMC par défaut, il n'existe pas de fonctionnalité, automatisée ou intégrée, permettant d'effectuer le suivi des modifications de GPO.Les administrateurs de la stratégie de groupe ont souvent regretté cette lacune. Ce problème a maintenant été résolu.

La fonctionnalité de gestion des modifications d'AGPM effectue le suivi de toutes les modifications essentielles qui pourraient être apportées à un GPO.Outre les modifications apportées au GPO, le système de gestion des modifications sera également utile dans des situations d'audit ou de vérification administrative.Le système de gestion des modifications contrôle, suit et décrit les détails suivants pour chaque GPO modifié :date et heure de modification du GPO, utilisateur ayant effectué les modifications, paramètres du GPO d'origine et modifications des paramètres du GPO.

Puisque le suivi de toutes les modifications est transparent, il est important de savoir quelles actions déclenchent le suivi automatisé.Dans l'interface du client AGPM, vous pouvez cliquer avec le bouton droit sur un GPO sous l'onglet Contrôlé, puis sélectionner l'option de menu Extraire, comme illustré à la figure 9.

Figure 9 L'extraction d'un GPO déclenche le processus automatisé servant à effectuer le suivi des modifications

Figure 9** L'extraction d'un GPO déclenche le processus automatisé servant à effectuer le suivi des modifications **(Cliquer sur l'image pour l'agrandir)

Vous devez suivre cette procédure pour modifier le GPO, chose que j'aborderai dans la section suivante.Même si un GPO est extrait puis réintégré sans avoir subi de modifications, une archive de cette action sera créée.Vu que les GPO sont intégrés à l'entreprise, l'outil effectue le suivi de l'éventualité même d'une modification.

La procédure d'extraction est forcée dans AGPM parce qu'il doit y avoir un mécanisme qui fait remonter les modifications des GPO à l'administrateur spécifique qui les a effectuées.Deux administrateurs ne peuvent pas extraire un même GPO en même temps.Si un administrateur extrait le GPO et ne le réintègre pas par la suite, un mécanisme incorporé permet à l'administrateur AGPM à le remettre en place.

Modification de GPO d'AGPM

Tant que le client AGPM est installé, vous pouvez accéder à l'archive AGPM.Une fois la délégation de modification ou le Contrôle total accordé au sein de l'outil AGPM, vous pourrez modifier les GPO stockés.Une fois un GPO extrait, vous pouvez le modifier en cliquant dessus avec le bouton droit et en sélectionnant l'option de menu Modifier.Remarque :Si vous ne pouvez modifier que certains GPO dans l'archive AGPM, il est possible que vous n'ayez obtenu des fonctions déléguées que sur certains GPO et non sur tous les GPO de l'archive).

Avec DesktopStandard, Microsoft a également acquis PolicyMaker, désormais appelé Préférences de stratégie de groupe.Cette série de fonctionnalités de stratégie de groupe sera incluse dans la console GPMC qui accompagnera Windows Server® 2008. Les Préférences de stratégie de groupe permettent à l'administrateur de configurer des applications ou des composants Windows qui ne peuvent pas être configurés par le biais de la Stratégie de groupe et de les appliquer à certains utilisateurs ou ordinateurs conformément à un jeu extrêmement riche de règles de ciblage.Les Préférences de Stratégie de groupe sont entièrement intégrées à GPMC et AGPM dans Windows Server 2008.

Déploiement de GPO d'AGPM

AGPM a été conçu avec l'efficacité et le flux de travail à l'esprit.Étant donné que la gestion de GPO est désormais plus stable et mieux contrôlée avec AGPM, il est judicieux d'avoir des administrateurs qui peuvent modifier un GPO mais n'ont pas l'autorisation de le déployer dans l'environnement de production.Dans AGPM, cette opération est contrôlée de façon très efficace avec l'interface, les boîtes de dialogue et les mécanismes de travail.Par exemple, si un administrateur disposant de droits de modification uniquement essaie de déployer un GPO, il sera bloqué par le système.L'administrateur verra ensuite s'afficher une boîte de dialogue lui permettant de communiquer avec un administrateur qui a lui le droit d'effectuer des déploiements.Cette fonctionnalité de flux de travail enverra un message électronique aux destinataires Á :et CC :et placera le GPO dans un état unique.Cet état unique se trouve sous l'onglet En attente, dans l'interface AGPM.Le GPO est indiqué comme étant « En attente de déploiement », ce qui donne aux administrateurs une vue d'ensemble rapide de l'état de chaque GPO ayant subi des modifications.

Pour déployer un GPO en attente, un administrateur AGPM possédant l'autorisation de déploiement peut tout simplement cliquer avec le bouton droit sur le GPO et sélectionner l'option Approuver.Si le GPO doit être déployé et figure dans l'onglet Contrôlé plutôt que l'onglet En attente, l'administrateur en question n'a plus qu'à cliquer avec le bouton droit sur le GPO et sélectionner Déployer.Puisque cette autorisation déléguée est déjà accordée, le GPO sera déployé immédiatement dans l'environnement de production.

Rapport et comparaisons des paramètres GPO d'AGPM

L'interface de la console GPMC comprend une boîte de dialogue Paramètres extrêmement riche à laquelle vous pouvez accéder par le biais d'un onglet du même nom.Cette boîte de dialogue offre une vue complète de tous les paramètres qui ont été configurés dans le GPO, et vous aide ainsi à les retrouver aisément parmi les quelques 3 000 paramètres de stratégie de groupe existants.

Puisque AGPM fournit une archive des GPO modifiés, l'onglet Paramètres de la console GPMC ne vous permettra pas de voir les paramètres qui ont été configurés dans les GPO modifiés.Au lieu de cela, l'interface AGPM propose une solution alternative ainsi que de nombreuses autres fonctionnalités.

Pour voir les paramètres d'un GPO, il est conseillé de consulter la liste historique de toutes les modifications en premier lieu.Pour accéder à cette liste, double-cliquez sur n'importe quel GPO dans l'onglet Contrôlé d'AGPM.Depuis cette interface, vous pouvez cliquer avec le bouton droit sur n'importe quelle version de GPO et sélectionner Rapport sur les paramètres.Vous créez ainsi un rapport sur tous les paramètres qui sont configurés dans cette version du GPO.Le rapport est un fichier HTML convivial qui peut également être créé au format XML.

Cette fonctionnalité est certes très pratique, mais la possibilité de comparer deux versions du même GPO est encore plus pratique.Grâce à cette fonctionnalité, vous pouvez voir ce qui a changé d'une version à l'autre ou comparer deux versions complètement différentes de même GPO.(Cette fonctionnalité est également très utile dans le cas d'un GPO en attente de déploiement puisqu'elle vous permet de voir les différences entre le GPO en attente et le GPO de production).Pour voir ce rapport, vous devez mettre en surbrillance deux GPO différents dans la vue de l’historique et cliquer ensuite avec le bouton droit sur l'un d'eux.

Les couleurs employées dans le rapport sur les différences sont extrêmement utiles, surtout lorsque vous voulez vérifier ce qui a changé dans un GPO en attente avant de le déployer.Les paramètres mis en surbrillance en rouge ont été supprimés du GPO de production et ne sont plus disponibles dans le GPO en attente.Les paramètres bleus ont été modifiés et les paramètres verts représentent les nouvelles modifications qui existent dans le GPO en attente mais pas dans le GPO de production.

Cette fonctionnalité d'AGPM peut vous éviter de passer d'innombrables heures à comparer manuellement des paramètres de GPO.Elle représente également une façon idéale de documenter progressivement les GPO, chaque version pouvant être répertoriée et imprimée.

Récupération après incident de GPO d'AGPM

Une seule modification apportée à un GPO peut créer des ravages sur un ou plusieurs ordinateurs de votre réseau.Avec la console GPMC par défaut, ce type de configuration errante peut être corrigé si les bonnes mesures manuelles ont été prises pour effectuer des copies de sauvegarde du GPO avant et après que les modifications ont été effectuées sur le GPO de production.Si aucune sauvegarde n'a été faite, l'opération de récupération après incident ne sera pas de tout repos.

AGPM vous permet d'effectuer cette opération en toute facilité.Puisqu'il existe des sauvegardes complètes de tous les GPO dans l'historique des GPO, vous pouvez ouvrir l'historique du GPO en question et sélectionner la version du GPO que vous souhaitez redéployer.

Avec AGPM, votre gestion de stratégie de groupe devient une opération tout à fait transparente.Pendant des années, les administrateurs ont souhaité avoir la possibilité de contrôler et de gérer les GPO hors connexion.AGPM leur offre désormais cette possibilité avec grâce et élégance.AGPM fournit également une solution de gestion des modifications très robuste qui non seulement suit les éléments clés d'un GPO modifié, mais propose également des options de comparaison et de récupération de GPO très conviviales.Le modèle de délégation intégré à AGPM vous permet de diriger tous les administrateurs vers AGPM pour toutes les modifications de GPO, ce qui garantit des sauvegardes automatisées de ces modifications et évite tout accident avec les GPO de production.Ce service comporte tellement de fonctionnalités qu'il est impossible de les aborder toutes dans cet article, mais le manuel d'AGMP vous propose de nombreuses informations sur les modèles, la récupération de liens/nœuds, la configuration SMTP, et bien plus encore.

Derek Melber est consultant, formateur et auteur indépendant.Il enseigne et promeut la technologie Microsoft, se concentrant en particulier sur Active Directory, la stratégie de groupe, la sécurité et la gestion des postes de travail.Derek contribue régulièrement à des publications en ligne et imprimées, et a publié plus de 10 livres informatiques, notamment Microsoft Windows Group Policy Guide (Microsoft Press, 2005).Vous pouvez le contacter à l'adresse derekm@braincore.net.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.