Administration de Windows
Contrôle étendu avec options de stratégie de groupe
Derek Melber
À une vue d'ensemble :
- Compatibilité de système d'exploitation pour les options de stratégie de groupe
- Et les stratégies. Préférences dans Gestion des différents domaines
- Définir les préférences de le GPME
- Gestion des options de stratégie de groupe
Contenu
Compatibilité GPP
Stratégies et des préférences
Structure GPP et paramètres
Les configurations avancées
Administration GPP
Préférences de stratégie de groupe pour le Rescue
Il somme des
Parmi les nouvelles technologies que Windows Server 2008 et Windows Vista remis, un des plus remarquables est options de stratégie de groupe GPPs, qui maintenant développer considérablement les administrateurs possible avec la stratégie de groupe. Options de stratégie de groupe fournissent plus de 3 000 paramètres dans différentes zones 22 dans un objet stratégie de groupe (GPO) et inclure paramètre lecteur et mappages d'imprimante et contrôler l'appartenance au groupe local. Et la chose très est que vous ne devez installer une nouvelle infrastructure étant donné que la technologie fonctionne avec votre infrastructure Active Directory existante et l'environnement de stratégie de groupe. Vous devez uniquement installer un outil d'administration et le client DLL pour obtenir cette pour fonctionner. Dans cet article, je vais présenter dans Options de stratégie de groupe afin de démontrer leur utilité et facilement comment ils sont à déployer et administrer.
Compatibilité GPP
GPPs peuvent uniquement être administrés que dans un environnement Active Directory qui contient au moins un serveur Windows Server 2008 ou bureau de Windows Vista, car ils sont uniquement ceux qui peut prendre en charge la nouvelle Management console (stratégies de groupe). La console de gestion des stratégies de groupe est requis pour prendre en charge et administrer les paramètres GPP et il lance également le nouveau groupe stratégie de gestion Éditeur (GPME) qui affiche les GPPs peuvent être administrés.
La situation est très différent, toutefois, lorsqu'il s'agit d'appliquer les paramètres qui sont associés avec GPPs ; pour cela, systèmes d'exploitation avant Windows Server 2008 et Windows Vista sont pris en charge ainsi. En particulier, GPPs prennent en charge Windows Server 2003 SP1 et Windows XP Professionnel SP2, ainsi que tous les systèmes d'exploitation fournie après ces. la figure 1 résume les systèmes d'exploitation peut administrer GPPs et qui peuvent s'appliquer GPPs.
| Prise en charge par le système d'exploitation figure 1 |
| Système d'exploitation | Pouvez appliquer des options de stratégie de groupe | Peut gérer les options de stratégie de groupe via GPME |
| Windows 2000 | Non pris en charge | Non pris en charge |
| Windows XP (x 86 et x 64) | Pris en charge avec Service Pack 2 et CSE A l'installation | Non pris en charge |
| Windows Vista (x 86 et x 64) | Pris en charge par le Service Pack 1 et CSE A l'installation | Pris en charge avec SP1 et RSAT installé |
| Windows Server 2003 (x 86 et x 64) | Pris en charge par le Service Pack 1 et CSE A l'installation | Non pris en charge |
| Windows Server 2008 (x 86 et x 64) | Intégré | Intégré |
Stratégies et des préférences
Les termes « stratégies » et « préférences » sont importants pour quant avec les nouvelles capacités de stratégie de groupe. Les définitions de stratégies et des préférences sont basées sur certaines zones de gestion des clés de la stratégie de groupe, notamment mise en œuvre, flexibilité, Registre comportement, ciblage et interface utilisateur. Qui n'est pas une liste exhaustive, mais ce sont les zones qui ont tendance à être plus importantes pour les administrateurs.
Examinons les avantages clés préférences fournir dans ces zones. la figure 2 contient des informations plus sur les différences entre les stratégies et préférences.
| Figure 2 préférences de stratégie de groupe et les stratégies * |
| Gestion des zones | Options de stratégie de groupe | Paramètres de stratégie de groupe |
| Mise en œuvre | Préférences ne sont pas appliquées. Interface utilisateur n'est pas désactivé. Préférences peuvent être actualisés ou appliqués une seule fois. | Les paramètres sont appliqués. Interface utilisateur est désactivé. Paramètres sont actualisés. |
| Flexibilité | Créer facilement des éléments de préférence pour les paramètres du Registre, fichiers, etc.. Importer paramètres de Registre individuels ou des branches de l'intégralité du Registre à partir d'un ordinateur local ou un ordinateur distant. | L'ajout de paramètres de stratégie nécessite la prise en charge de l'application et la création modèles d'administration. Impossible de créer les paramètres de stratégie pour gérer les fichiers, dossiers et ainsi de suite. |
| Stratégie locale | Non disponible dans la stratégie de groupe local. | Disponible dans la stratégie de groupe local. |
| Détection | Prend en charge non groupe applications savoir la stratégie. | Nécessite la stratégie de groupe connaissance applications |
| Emplacement du Registre et comportement | Paramètres d'origine sont remplacées. Suppression de l'élément Préférences ne restaure pas le paramètre d'origine. | Paramètres d'origine ne sont pas modifiés. Stockés dans des branches de stratégie du Registre. Supprimer le restaure les paramètre de stratégie les paramètres d'origine. |
| Le ciblage et filtrage | Le ciblage est précis, avec une interface utilisateur pour chaque type de ciblage d'élément. Prend en charge cible à la préférence de chaque élément au niveau. | Le filtrage est basé sur WMI (Windows Management Instrumentation) et nécessite l'écriture de requêtes WMI. Prend en charge filtrage au niveau objet de stratégie de groupe. |
| Interface utilisateur | Fournit une interface familière, facile à utiliser pour configurer la plupart des paramètres. | Fournit une interface utilisateur de remplacement pour la plupart des paramètres de stratégie. |
| *Table par du « groupe stratégie préférences Overview » par Jerry Honeycutt |
Mise en œuvre GPPs ne sont pas appliquées ; par conséquent initiales configurations peuvent être effectuées mais l'utilisateur final est contrôle.
flexibilité GPPs vous permettent de facilement ajouter toute valeur de Registre, fichier ou dossier à l'objet de stratégie de groupe pour la gestion. En outre, GPPs étant basé sur XML, elles peuvent être copiés et collées dans d'autres objets de stratégie de groupe efficacement.
problème de Registre Toutes les entrées de Registre peuvent être contrôlées même lorsque l'ordinateur cible ou à l'utilisateur n'est plus sous la portée de gestion de l'objet de stratégie de groupe où la valeur du Registre est configurée. Valeurs de Registre peuvent être supprimés ou conservés dans emplacement une fois que l'objet de stratégie de groupe affecte plus l'objet cible.
le ciblage Chaque paramètre GPP fournit plus de 25 différents filtres ciblage pour contrôler si le paramètre affecte l'objet cible. Plage d'adresses IP, Adhésion au groupe de sécurité et correspondance de valeur du Registre des exemples de filtres.
interface utilisateur L'interface utilisateur de GPP est considérablement plus facile et plus convivial que pour les autres paramètres dans l'objet de stratégie de groupe. Dans la plupart des cas, le « interface de configuration réel » est dupliqué dans l'objet Stratégie de groupe, ce qui rend configuration de la valeur simple et familier.
Structure GPP et paramètres
Lorsqu'un objet de stratégie de groupe est ouvert dans le GPME, stratégies et des préférences sont très clairement séparées, comme illustré figure 3 , ce qui facilite la voir quels paramètres compris dans le nouveau domaine GPP. C'est important de noter, comme les préférences se comportent différemment des stratégies. Lorsque vous développez les nœuds préférences sous soit configuration ordinateur (voir figure 4 ) ou Configuration utilisateur (voir figure 5 ), vous trouverez les paramètres de nombreux divisée en deux catégories, paramètres du Panneau de configuration contrôle et les paramètres de Windows.
La figure 3 GPME la sépare les stratégies de préférences
.gif)
La figure 4 options de configuration ordinateur
.gif)
La figure 5 préférences de configuration utilisateur
Les configurations avancées
Vous pouvez contrôler GPPs plus granularly que les autres paramètres dans un objet de stratégie de groupe en utilisant les options disponibles sous l'onglet commun pour chaque option. L'onglet Common inclut des cases à cocher pour les cinq paramètres différents, une option permettant de configurer le ciblage et une zone de texte pour décrire la préférence d'objet de stratégie de groupe pour la documentation et à des fins de dépannage.
Arrêter le traitement des éléments dans cette extension si une erreur se produit Le comportement par défaut de traitement de la stratégie de groupe est sont traitées tous les paramètres, même s'il existe plusieurs paramètres avec le même client côté extensions (CSE) et qu'un de ces paramètres échoue. Si vous souhaitez avoir le traitement des paramètres dans un seul taquet CSE une fois un des paramètres dans ce CSE échoue, activer cette option. Ce paramètre est uniquement l'étendue de l'objet GPO actuel.
Exécution d'enregistré-sur contexte de sécurité d'utilisateur (option de stratégie utilisateur) Lorsque appliquent des paramètres de stratégie de groupe (les stratégies et préférences uniformiser), ils s'appliquent à l'aide le compte système local. Évidemment puisque le compte système local possède uniquement accès aux variables d'environnement système et aux ressources locales, le contexte de l'utilisateur est indisponible. Pour les variables d'environnement utilisateur et les ressources réseau puisse accessibles, cette option peut être activée au processus options de stratégie de groupe avec la session du compte d'utilisateur.
Supprimer cet élément lorsqu'elle est non plus appliquée Paramètres GPP ne sont pas supprimés à partir du Registre lors de l'objet de stratégie de groupe est supprimé de l'utilisateur ou l'ordinateur, ni elles sont supprimées lorsque l'utilisateur ou l'ordinateur est hors de portée de gestion de l'objet de stratégie de groupe. Pour avoir des préférences paramètres supprimés lors de l'objet de stratégie de groupe ne doit plus s'appliquer à l'utilisateur ou objet ordinateur, cette option peuvent être activés (s'il convient de noter que cette option n'est pas disponible pour certaines extensions, telles que celles d'Internet Explorer).
Appliquer une fois et ne pas appliquer de nouveau La stratégie de groupe comporte un intervalle d'actualisation par défaut, qui est environ 90 minutes. Cette actualisation est implémentée afin que nouveaux paramètres peuvent être appliquées et anciens paramètres réappliqués sans l'ordinateur ou utilisateur devoir redémarrer ou re-logon. Si vous configurez le paramètre de GPP doit uniquement s'appliquer une seule fois à l'ordinateur et ne jamais mise à jour, vous pouvez activer ce paramètre. Ceci est un mécanisme excellent pour établir un tableau initial de configurations qui GPP peut affecter tout en autorisant l'utilisateur de créer un environnement personnalisé en modifiant les paramètres après une ouverture de session et pas demandez-leur remplacé.
Si les paramètres relèvent de la configuration utilisateur, GPP applique ces paramètres une fois sur chaque ordinateur l'utilisateur se connecte. Si le paramètre se trouve sous la configuration ordinateur, GPP s'applique le paramètre une fois par ordinateur. Remarque, cependant, que cela est une application de ces paramètres one temps--uniquement. Pour mettre à jour ou réappliquer ces paramètres, vous devez tout d'abord désactivez cette option.
ciblage d'au niveau des éléments Par défaut, tous les utilisateurs et ordinateurs situées sous l'étendue de la gestion de l'objet de stratégie de groupe recevoir les paramètres dans l'objet de stratégie de groupe. Pour que ces paramètres s'appliquent à uniquement un sous-ensemble des utilisateurs par défaut et les ordinateurs, ciblage utilisable. Plus de 25 différents éléments cibles sont disponibles ; ils peuvent les utiliser seul ou avec d'autres éléments. la figure 6 affiche la liste complète des options de ciblage au niveau de l'élément.
La figure 6 au niveau de l'élément cible utilisé pour contrôler dynamiquement paramètres GPP sur objets utilisateur et ordinateur
Description La zone Description vous permet de documents le paramètres, options et les éléments cibles pour chaque paramètre GPP. Ceci est le texte qui sera visible lorsque le paramètre préférence particulier est sélectionné dans la GPME, sans avoir à modifier le GPP définissant elle-même, comme illustré figure 7 .
Administration GPP
Administration de GPPs est identique à celle d'autres paramètres d'objet de stratégie de groupe. La seule catch, comme indiqué précédemment, est qu'ils doivent être administrés d'un ordinateur exécutant Windows Server 2008 ou de Windows Vista SP1.
.gif)
La figure 8 boîte de dialogue Propriétés lecteur nouvelle s'ouvre lorsque vous créez un nouveau paramètre de stratégie de mappage de lecteur
Supposez que vous souhaitez configurer un mappage de lecteur dans la partie de configuration de l'utilisateur de l'objet de stratégie de groupe. Le paramètre de préférence pour cela est situé dans Configuration utilisateur | Preferences | paramètres Windows | mappages de lecteur. En cliquant avec le bouton droit sur le paramètre de lecteur de cartes, vous pouvez sélectionner nouveau, lecteur mapped qui créera une nouvelle stratégie, comme illustré figure 8 . Ici, vous indiquer les informations à mapper le lecteur, tel que l'emplacement, une étiquette pour le lecteur local et une lettre de lecteur.
À ce stade, vous avez le choix pour le mappage du lecteur s'appliquent à chaque utilisateur qui se trouve sous l'étendue de la gestion de l'objet de stratégie de groupe, ou vous pouvez limiter les utilisateurs de recevoir le paramètre de configuration au niveau de l'élément cible. Vous devez configurer au niveau élément cible que les contrôles qui les utilisateurs reçoivent le mappage du lecteur en fonction de l'appartenance à un groupe de sécurité et l'exécution d'une vérification rapide pour vérifier si leur avez un fichier programme spécifique (.exe) qui se trouve sur leur ordinateur. Vous effectuer cette vérification deuxième car le dossier partagé que vous utilisez mappage contient des fichiers qui sont utile uniquement lorsque accessibles avec ce fichier programme.
Pour que ces paramètres de ciblage au niveau de l'élément, cliquez sur l'onglet commun dans la boîte de dialogue Propriétés de lecteur nouveau. Ensuite, cliquez sur la case à cocher à côté de ciblage au niveau de l'élément, puis sur le bouton de ciblage. Cela ouvre la boîte de dialogue ciblage au niveau de l'élément. Cliquez sur la liste déroulante pour cibles puis cliquez sur le groupe de sécurité. Puis, sur Parcourir, qui vous permettent de configurer le groupe approprié, les utilisateurs de ressources humaines dans l'exemple (voir figure 9 ).
Maintenant vous souhaiterez peut-être configurer le chemin d'accès au fichier .exe. Sélectionnez fichier où dans la liste de déroulante cible pour ajouter le critère. Puis tapez chemin le d'accès le fichier, C:\Program Files\ACME\HRBenefits.exe, pour que cet exemple. (Remarque : les mappages de lecteur et imprimantes deux adhérer à actualisation de stratégie de premier plan objet de stratégie de groupe. Pour plus d'informations sur stratégie de premier plan et d'arrière-plan Actualiser, reportez-vous à l'article GPP, Traitement de stratégie de groupe.)
Après cela, la prochaine fois un utilisateur se déconnecte et ensuite réactiver, le lecteur mappé s'affiche, sous réserve qu'il est un membre du groupe de sécurité Ressources humaines et le fichier HRBenefits.exe sur son ordinateur. Si ces critères ne sont pas remplies, la lettre de lecteur n'apparaîtront pas.
La figure 9 au niveau de l'élément options de ciblage peuvent être combinées.
Préférences de stratégie de groupe pour le Rescue
Voici une liste courte de certaines les problèmes que J'AI ont résolu à l'aide de GPPs :
- Corriger l'appartenance au groupe Administrateurs local sur chaque bureau pour inclure les administrateurs de domaine et le compte d'administrateur local, mais ne pas supprimer les membres existants du groupe.
- Garantir que l'utilisateur actuel du bureau ne dispose pas de son compte d'utilisateur situé dans le groupe Administrateurs local.
- Contrôle les options d'alimentation sur chaque ordinateur de bureau d'électricité grande économie.
- Mise à jour de la zone de configuration de service sur chaque serveur qui exécute un service spécifique afin que le mode de démarrage du service soit toujours automatique.
- Mappage imprimantes dynamiquement que lorsque les utilisateurs de portables visitent Branch office 1, ils obtiennent les imprimantes appropriés. De même, lorsqu'ils visitent office la branche 2, ils obtiennent les imprimantes corrects pour ce magasin.
Il somme des
Options de stratégie de groupe sont faciles à gérer et déployer. Puisque la technologie est compatible avec Windows Server 2003 SP1 et Windows XP SP2, presque toutes les sociétés peuvent tirer parti des nouveaux paramètres et la puissance qu'ils amener. Cela réduit la le coût d'implémentation et autorise les administrateurs le contrôle sur le bureau qu'ils souhaitent effectuer efficacement son travail.
Combiner une bonne conception de déploiement de stratégie de groupe avec niveau d'élément cible permet aux administrateurs pour créer des configurations de Bureau et de serveur dynamiques. Avec plus de 25 au niveau de l'élément cible critères disponibles, presque tous les paramètres peuvent être contrôlés pour appliquer uniquement lorsque approprié. Vous trouverez plus d'informations sur la stratégie de groupe dans la Kit de ressources stratégie de groupe et également à la Stratégie de groupe de Windows Server site.
Derek Melber est consultant indépendant, formateur et auteur. Derek evangelizes technologie Microsoft, se concentrant sur Active Directory, stratégie de groupe, sécurité et gestion des postes de travail. Derek régulièrement contribue à compositions en ligne et impression et a écrit plus de 10 livres de technologie, notamment The Microsoft Windows Group Policy Resource Kit (Microsoft Press, 2008). Vous pouvez atteindre Derek à derekm@braincore. NET.