Exporter (0) Imprimer
Développer tout

Guide de planification et de déploiement de la stratégie de groupe

Mis à jour: janvier 2009

S'applique à: Windows Server 2008

Vous pouvez utiliser la stratégie de groupe Windows Server 2008 pour gérer les configurations des groupes d’ordinateurs et d’utilisateurs, notamment les options des paramètres de stratégie basés sur le Registre, les paramètres de sécurité, le déploiement de logiciels, les scripts, la redirection de dossiers et les préférences. Les préférences de stratégie de groupe, qui constituent une nouveauté dans Windows Server 2008, forment un ensemble de plus de 20 extensions de stratégie de groupe qui étendent la gamme de paramètres de stratégie configurables au sein d’un objet de stratégie de groupe. Contrairement aux paramètres de stratégie de groupe, les préférences ne sont pas appliquées. Les utilisateurs peuvent modifier les préférences après le déploiement initial. Pour plus d’informations sur les préférences de stratégie de groupe, voir Vue d’ensemble des préférences de stratégie de groupe (éventuellement en anglais).

À l’aide de la stratégie de groupe, vous pouvez réduire sensiblement le coût total de possession d’une organisation. Différents facteurs, tels que le nombre élevé de paramètres de stratégie disponibles, l’interaction entre plusieurs stratégies et les options d’héritage, peuvent rendre complexe la conception de la stratégie de groupe. En planifiant, concevant, testant et déployant attentivement une solution basée sur les besoins métier de votre organisation, vous pouvez fournir le contrôle de gestion, la sécurité et les fonctionnalités normalisés nécessaires à votre organisation.

Vue d’ensemble de la stratégie de groupe

La stratégie de groupe permet de gérer la modification et la configuration des paramètres d’utilisateurs et d’ordinateurs à partir d’Active Directory sur les ordinateurs exécutant Windows Server 2008, Windows Vista, Windows Server 2003 et Windows XP. En plus de définir les configurations des groupes d’utilisateurs et d’ordinateurs, la stratégie de groupe vous permet de gérer les ordinateurs serveurs, en configurant de nombreux paramètres de sécurité et opérationnels propres aux serveurs.

Les paramètres de stratégie de groupe que vous créez se trouvent dans un objet de stratégie de groupe. Pour créer et modifier un objet de stratégie de groupe, utilisez la Console de gestion des stratégies de groupe. En utilisant la Console de gestion des stratégies de groupe pour lier un objet de stratégie de groupe à des unités d’organisation, des domaines et des sites Active Directory sélectionnés, vous appliquez les paramètres de stratégie définis dans l’objet de stratégie de groupe aux utilisateurs et ordinateurs dans ces objets Active Directory. Une unité d’organisation est le conteneur Active Directory de plus bas niveau auquel vous pouvez affecter des paramètres de stratégie de groupe.

Pour prendre les bonnes décisions quant à la conception de la stratégie de groupe, vous devez comprendre clairement les besoins métier et les contrats de niveau de service de votre organisation, ainsi que ses besoins en termes de sécurité, de réseau et de technologies de l’information. En analysant les besoins actuels de votre environnement et de vos utilisateurs, en définissant les objectifs d’entreprise à atteindre à l’aide de la stratégie de groupe et en suivant les indications ci-après pour concevoir une infrastructure de stratégie de groupe, vous pouvez établir l’approche qui répond le mieux aux besoins de votre organisation.

Processus d’implémentation d’une solution de stratégie de groupe

Le processus d’implémentation d’une solution de stratégie de groupe implique la planification, la conception, le déploiement et la gestion de la solution.

Lorsque vous planifiez votre conception de stratégie de groupe, assurez-vous que vous concevez la structure des unités d’organisation de manière à faciliter la gestion de la stratégie de groupe et à respecter les contrats de niveau de service. Établissez des procédures opérationnelles efficaces en vue de l’utilisation des objets de stratégie de groupe. Assurez-vous que vous comprenez les problèmes d’interopérabilité liés à la stratégie de groupe et déterminez s’il convient d’utiliser celle-ci pour le déploiement des logiciels.

Pendant la phase de conception :

  • définissez l’étendue de l’application de la stratégie de groupe ;

  • déterminez les paramètres de stratégie applicables à tous les utilisateurs au sein de l’entreprise ;

  • classez les utilisateurs et les ordinateurs en fonction de leurs rôles et de leurs emplacements ;

  • planifiez les configurations de Bureau en fonction des besoins des utilisateurs et des ordinateurs.

Une conception correctement planifiée assure la réussite du déploiement de la stratégie de groupe.

La phase de déploiement commence par la mise en place d’un environnement de test intermédiaire. Ce processus comprend les opérations suivantes :

  • création des configurations de Bureau standard ;

  • filtrage de l’étendue de l’application des objets de stratégie de groupe ;

  • spécification des exceptions à l’héritage par défaut de la stratégie de groupe ;

  • délégation de l’administration de la stratégie de groupe ;

  • évaluation des paramètres de stratégie efficaces à l’aide de la modélisation de stratégie de groupe ;

  • évaluation des résultats à l’aide des résultats de stratégie de groupe.

La phase intermédiaire est critique. Testez minutieusement votre implémentation de la stratégie de groupe dans un environnement de test avant de la déployer dans votre environnement de production. Une fois les phases intermédiaire et de test terminées, migrez votre objet de stratégie de groupe vers votre environnement de production à l’aide de la Console de gestion des stratégies de groupe. Envisagez une implémentation itérative de la stratégie de groupe : plutôt que de déployer 100 nouveaux paramètres de stratégie de groupe, procédez à la phase intermédiaire, puis déployez uniquement quelques paramètres de stratégie afin de valider le bon fonctionnement de l’infrastructure de stratégie de groupe.

Enfin, en vue de gérer la stratégie de groupe, établissez des procédures de contrôle permettant d’utiliser les objets de stratégie de groupe et de résoudre les problèmes liés à ces derniers à l’aide de la Console de gestion des stratégies de groupe.

noteRemarque
Microsoft Advanced Group Policy Management (AGPM) étend les fonctionnalités de la Console de gestion des stratégies de groupe en offrant une gestion améliorée et un contrôle complet des modifications des objets de stratégie de groupe. Pour plus d’informations sur AGPM, voir le site Web sur le Pack d’optimisation du Bureau Microsoft (MDOP, Microsoft Desktop Optimization Pack) (http://go.microsoft.com/fwlink/?LinkId=100757) (éventuellement en anglais).

Tâches à effectuer avant de concevoir votre solution de stratégie de groupe

Avant de concevoir votre implémentation de stratégie de groupe, vous devez comprendre l’environnement actuel de votre organisation et effectuer des étapes de préparation dans les domaines suivants :

  • Active Directory : assurez-vous que la conception des unités d’organisation Active Directory pour tous les domaines de la forêt prend en charge l’application de la stratégie de groupe. Pour plus d’informations, voir Conception d’une structure d’unités d’organisation prenant en charge la stratégie de groupe plus loin dans ce guide.

  • Mise en réseau : assurez-vous que votre réseau prend en charge les technologies de gestion des changements et des configurations. Par exemple, étant donné que la stratégie de groupe utilise des noms de domaines complets, il est nécessaire que le service DNS (Directory Name Service) s’exécute dans la forêt pour que la stratégie de groupe soit traitée correctement.

  • Sécurité : obtenez la liste des groupes de sécurité actuellement utilisés dans votre domaine. Collaborez étroitement avec les administrateurs de la sécurité lorsque vous déléguez la responsabilité de l’administration des unités d’organisation et que vous créez des conceptions impliquant le filtrage de groupes de sécurité. Pour plus d’informations sur le filtrage des objets de stratégie de groupe, voir « Application d’objets de stratégie de groupe à des groupes sélectionnés (filtrage) » dans la section Définition de l’étendue de l’application de la stratégie de groupe plus loin dans ce guide.

  • Besoins en technologies de l’information : obtenez la liste des propriétaires administratifs et des standards administratifs d’entreprise pour les domaines et les unités d’organisation de votre domaine. Cela vous permettra de développer un plan de délégation efficace et de faire en sorte que la stratégie de groupe soit correctement héritée.

noteRemarque
La stratégie de groupe dépend de la mise en réseau, de la sécurité et d’Active Directory ; par conséquent, il est crucial de comprendre ces technologies. Il est vivement recommandé de se familiariser avec ces concepts avant d’implémenter la stratégie de groupe.

Contraintes administratives liées à la stratégie de groupe

Pour utiliser la stratégie de groupe, votre organisation doit recourir à Active Directory, tandis que les ordinateurs serveurs et de bureau de destination doivent exécuter Windows Server 2008, Windows Vista, Windows Server 2003 ou Windows XP.

Par défaut, seuls les membres des groupes Admins du domaine ou Administrateurs de l’entreprise peuvent créer et lier des objets de stratégie de groupe, mais vous pouvez déléguer cette tâche à d’autres utilisateurs. Pour plus d’informations sur les contraintes administratives liées à la stratégie de groupe, voir Délégation de l’administration de la stratégie de groupe plus loin dans ce guide.

Console de gestion des stratégies de groupe

La Console de gestion des stratégies de groupe permet de gérer de façon unifiée tous les aspects de la stratégie de groupe dans plusieurs forêts au sein d’une organisation. La Console de gestion des stratégies de groupe vous permet de gérer la totalité des objets de stratégie de groupe, des filtres d’infrastructure de gestion Windows (WMI) et des autorisations liées à la stratégie de groupe dans votre réseau. Grâce à son interface qui met à votre disposition la totalité des outils de gestion des stratégies de groupe, la Console de gestion des stratégies de groupe fait office de point d’accès principal à la stratégie de groupe.

La Console de gestion des stratégies de groupe comporte un ensemble d’interfaces scriptables pour la gestion de la stratégie de groupe et d’une interface utilisateur basée sur la console MMC. Les versions 32 et 64 bits de la Console de gestion des stratégies de groupe sont incluses dans Windows Server 2008.

La Console de gestion des stratégies de groupe fournit les fonctionnalités suivantes :

  • Importation et exportation d’objets de stratégie de groupe.

  • Copie et collage d’objets de stratégie de groupe.

  • Sauvegarde et restauration d’objets de stratégie de groupe.

  • Recherche d’objets de stratégie de groupe existants.

  • Fonctionnalités de rapports.

  • Modélisation de stratégie de groupe. Vous permet de simuler des données de jeu de stratégie résultant (RsoP, Resultant Set of Policy) afin de planifier des déploiements de stratégie de groupe avant de les implémenter dans l’environnement de production.

  • Résultats de stratégie de groupe. Vous permettent d’obtenir des données RSoP afin d’afficher l’interaction des objets de stratégie de groupe et de résoudre les problèmes liés aux déploiements de stratégie de groupe.

  • Prise en charge des tables de migration pour faciliter l’importation et la copie d’objets de stratégie de groupe entre domaines et entre forêts. Une table de migration est un fichier qui mappe des références d’utilisateurs, de groupes, d’ordinateurs et de chemins UNC (Universal Naming Convention) dans l’objet de stratégie de groupe source sur de nouvelles valeurs dans l’objet de stratégie de groupe de destination.

  • Création de rapports sur les paramètres d’objets de stratégie de groupe et sur les données RSoP dans des documents HTML que vous pouvez enregistrer et imprimer.

  • Interfaces scriptables autorisant toutes les opérations disponibles dans la Console de gestion des stratégies de groupe. Toutefois, vous ne pouvez pas utiliser des scripts pour modifier des paramètres de stratégie spécifiques dans un objet de stratégie de groupe.

noteRemarque
Windows Server 2008 ne comprend pas les exemples de scripts de la Console de gestion des stratégies de groupe présents dans les versions antérieures de celle-ci. Toutefois, vous pouvez télécharger les exemples de scripts de la Console de gestion des stratégies de groupe pour Windows Server 2008 à partir de la page Exemple de scripts de la Console de gestion des stratégies de groupe (éventuellement en anglais). Pour plus d’informations sur l’utilisation des exemples de scripts de la Console de gestion des stratégies de groupe, voir Utilisation de scripts pour gérer la stratégie de groupe plus loin dans ce guide.

L’utilisation de la Console de gestion des stratégies de groupe facilite sensiblement la gestion du déploiement de la stratégie de groupe et vous permet de tirer pleinement parti de la puissance de la stratégie de groupe grâce à une interface de gestion de stratégie de groupe améliorée et simplifiée.

Conception d’une structure d’unités d’organisation prenant en charge la stratégie de groupe

Dans un environnement Active Directory, vous affectez des paramètres de stratégie de groupe en liant des objets de stratégie de groupe à des sites, des domaines ou des unités d’organisation. En règle générale, étant que vous affectez la plupart des objets de stratégie de groupe au niveau de l’unité d’organisation, assurez-vous que la structure des unités d’organisation prend en charge votre stratégie de gestion de clients basée sur la stratégie de groupe. Vous pouvez également appliquer certains paramètres de stratégie de groupe au niveau du domaine, notamment les stratégies de mot de passe, par exemple. Très peu de paramètres de stratégie sont appliqués au niveau du site. Une structure d’unités d’organisation correctement conçue qui reflète la structure administrative de votre organisation et tire parti de l’héritage des objets de stratégie de groupe simplifie l’application de la stratégie de groupe. Par exemple, une structure d’unités d’organisation correctement conçue peut empêcher la duplication de certains objets de stratégie de groupe, ce qui vous permet d’appliquer ces objets de stratégie de groupe à différentes parties de l’organisation. Dans la mesure du possible, créez des unités d’organisation pour déléguer l’autorité administrative et faciliter l’implémentation de la stratégie de groupe.

La conception des unités d’organisation doit refléter un compromis entre les besoins de délégation de droits administratifs indépendants des besoins de la stratégie de groupe et la nécessité de définir l’étendue de l’application de la stratégie de groupe. Les recommandations suivantes sur la conception des unités d’organisation traitent les problèmes liés à la délégation et à l’étendue :

  • Délégation de l’autorité administrative : Vous pouvez créer des unités d’organisation dans un domaine et déléguer le contrôle administratif d’unités d’organisation spécifiques à des utilisateurs ou à des groupes particuliers. Les besoins en termes de délégation de l’autorité administrative peuvent avoir un impact sur la structure des unités d’organisation.

  • Application de la stratégie de groupe : lorsque vous vous penchez sur la conception d’une structure d’unités d’organisation, concentrez-vous sur les objets à gérer. Vous pouvez créer une structure dont les unités d’organisation sont organisées par stations de travail, serveurs et utilisateurs à proximité du niveau supérieur. Suivant votre modèle administratif, vous pouvez considérer des unités d’organisation géographiques comme des enfants ou des parents des autres unités d’organisation, puis dupliquer la structure pour chaque emplacement afin d’éviter la réplication entre différents sites. Ajoutez des unités d’organisation sous celles-ci uniquement si cela permet de clarifier l’application de la stratégie de groupe ou si vous devez déléguer l’administration sous ces niveaux.

À l’aide d’une structure dans laquelle les unités d’organisation contiennent des objets homogènes, tels que des objets utilisateur ou des objets ordinateur, mais pas les deux types d’objets, vous pouvez facilement désactiver les sections d’un objet de stratégie de groupe qui ne s’appliquent pas à un type d’objet particulier. Cette approche de la conception des unités d’organisation, illustrée dans la figure 1, réduit la complexité et améliore la vitesse d’application de la stratégie de groupe. Gardez à l’esprit que les objets de stratégie de groupe liés aux couches supérieures de la structure des unités d’organisation sont hérités par défaut, ce qui réduit la nécessité de dupliquer des objets de stratégie de groupe ou de lier un objet de stratégie de groupe à plusieurs conteneurs.

Lors de la conception de votre structure Active Directory, les points les plus importants à prendre en compte sont la facilité de l’administration et la délégation.

451a6097-641f-4263-b7ae-063c952da0bb

Application de la stratégie de groupe à de nouveaux comptes d’utilisateurs et d’ordinateurs

Les nouveaux comptes d’utilisateurs et d’ordinateurs sont créés dans les conteneurs CN=Users et CN=Computers par défaut. Il est impossible d’appliquer la stratégie de groupe directement à ces conteneurs, bien qu’ils héritent les objets de stratégie de groupe liés au domaine. Pour appliquer la stratégie de groupe aux conteneurs Users et Computers par défaut, vous devez utiliser les nouveaux outils Redirusr.exe et Redircomp.exe.

Redirusr.exe (pour les comptes d’utilisateurs) et Redircomp.exe (pour les comptes d’ordinateurs) sont deux outils inclus dans Windows Server 2008. Ils vous permettent de modifier l’emplacement par défaut dans lequel sont créés les nouveaux comptes d’utilisateurs et d’ordinateurs, ce qui vous permet d’inclure plus facilement les objets utilisateur et ordinateur nouvellement créés dans l’étendue des objets de stratégie de groupe. Ces outils se trouvent sur des serveurs dotés du rôle de services Active Directory dans %windir%\system32.

En exécutant Redirusr.exe et Redircomp.exe une fois pour chaque domaine, l’administrateur de domaine peut spécifier les unités d’organisation dans lesquelles tous les nouveaux comptes d’utilisateurs et d’ordinateurs sont placés lors de leur création. Cela permet aux administrateurs de gérer ces comptes non attribués à l’aide de la stratégie de groupe en attendant de les affecter à l’unité d’organisation dans laquelle ils seront finalement placés. À l’aide de la stratégie de groupe, vous pouvez limiter les unités d’organisation utilisées pour les nouveaux comptes d’utilisateurs et d’ordinateurs afin de renforcer la sécurité de ces comptes.

Pour plus d’informations sur la redirection des comptes d’utilisateurs et d’ordinateurs, voir l’article 324949, « Redirection des conteneurs Utilisateurs et Ordinateurs dans les domaines Windows Server 2003 », dans la Base de connaissances Microsoft (http://go.microsoft.com/fwlink/?LinkId=100759).

Sites et observations sur la réplication

Lorsque vous déterminez les paramètres de stratégie appropriés, prenez en compte les aspects physiques d’Active Directory, à savoir l’emplacement géographique des sites, le positionnement physique des contrôleurs de domaine et la vitesse de la réplication.

Les objets de stratégie de groupe sont stockés dans Active Directory et dans le dossier Sysvol sur chaque contrôleur de domaine. Ces emplacements possèdent différents mécanismes de réplication. Utilisez l’outil du Kit de ressources techniques Objets de stratégie de groupe (Gpotool.exe) pour diagnostiquer les problèmes liés à la non-réplication supposée d’un objet de stratégie de groupe entre des contrôleurs de domaine.

Pour plus d’informations sur Gpotool.exe, voir le site Aide et support de Microsoft (http://go.microsoft.com/fwlink/?LinkId=109283). Pour télécharger les outils du Kit de ressources techniques Windows Server 2008, voir la page Outils du Kit de ressources techniques Windows Server 2008 sur le Centre de téléchargement Microsoft (http://go.microsoft.com/fwlink/?LinkId=4544) (éventuellement en anglais).

Le positionnement des contrôleurs de domaine est un problème s’il existe des liaisons lentes, généralement vers des clients situés sur des sites distants. Si les vitesses des liaisons réseau entre un client et le contrôleur de domaine d’authentification passent sous le seuil de liaison lente par défaut de 500 kilobits par seconde, seuls les paramètres des modèles d’administration (basés sur le Registre), la nouvelle extension de stratégie sans fil et les paramètres de sécurité sont appliqués par défaut. Tous les autres paramètres de stratégie de groupe ne sont pas appliqués par défaut. Toutefois, vous pouvez modifier ce comportement à l’aide de la stratégie de groupe.

Vous pouvez modifier le seuil de liaison lente à l’aide de la stratégie de détection des liaisons lentes dans la stratégie de groupe pour les aspects utilisateur et ordinateur d’un objet de stratégie de groupe. Au besoin, vous pouvez également définir les extensions de stratégie de groupe à traiter en deçà du seuil de liaison lente. Même dans ce cas, il peut s’avérer préférable de positionner un contrôleur de domaine local à un emplacement distant pour répondre aux besoins de gestion.

Respect des contrats de niveau de service

Certains groupes informatiques utilisent des contrats de niveau de service pour spécifier la façon dont les services doivent fonctionner. Par exemple, un contrat de niveau de service peut stipuler la durée maximale requise pour le démarrage et l’ouverture de session d’un ordinateur, la durée pendant laquelle les utilisateurs peuvent utiliser l’ordinateur une fois la session ouverte, etc. Les contrats de niveau de service définissent souvent des standards en termes de réactivité des services. Par exemple, un contrat de niveau de service peut définir la durée pendant laquelle un utilisateur peut recevoir une nouvelle application ou accéder à une fonctionnalité précédemment désactivée. Les problèmes qui peuvent affecter la réactivité des services sont la topologie des sites et des réplications, le positionnement des contrôleurs de domaine et l’emplacement des administrateurs de la stratégie de groupe.

Pour réduire la durée du traitement d’un objet de stratégie de groupe, envisagez l’utilisation de l’une des stratégies suivantes :

  • Si un objet de stratégie de groupe ne contient que des paramètres de configuration ordinateurs ou de configuration utilisateurs, désactivez la partie du paramètre de stratégie qui ne s’applique pas. Lorsque vous effectuez cette opération, l’ordinateur de destination n’analyse pas les parties d’un objet de stratégie de groupe que vous désactivez, ce qui réduit la durée du traitement. Pour plus d’informations sur la désactivation des parties d’un objet de stratégie de groupe, voir Désactivation des paramètres de configuration utilisateurs ou de configuration ordinateurs dans un objet de stratégie de groupe plus loin dans ce guide.

  • Dans la mesure du possible, combinez des objets de stratégie de groupe de taille réduite en un objet de stratégie de groupe consolidé. Cette opération réduit le nombre d’objets de stratégie de groupe appliqués à un utilisateur ou à un ordinateur. L’application d’un nombre réduit d’objets de stratégie de groupe à un utilisateur ou à un ordinateur peut réduire les temps de démarrage ou d’ouverture de session et facilite la résolution des problèmes liés à la structure des stratégies.

  • Les modifications que vous apportez aux objets de stratégie de groupe sont répliquées sur les contrôleurs de domaine et se traduisent par de nouveaux téléchargements vers les ordinateurs clients ou de destination. Si des objets de stratégie de groupe volumineux ou complexes nécessitent des modifications fréquentes, envisagez de créer un nouvel objet de stratégie de groupe ne contenant que les sections que vous mettez à jour régulièrement. Testez cette approche pour déterminer si les avantages obtenus en réduisant au minimum l’impact sur le réseau et en diminuant la durée de traitement de l’ordinateur de destination compensent le risque de résolution de problèmes accru du fait de la nature plus complexe de la structure des objets de stratégie de groupe.

  • Vous devez implémenter un processus de contrôle des modifications de la stratégie de groupe et consigner toute modification apportée aux objets de stratégie de groupe. Cela facilite la détection et la résolution des problèmes liés aux objets de stratégie de groupe. En outre, cela permet de respecter les contrats de niveau de service impliquant la conservation des journaux. Envisagez d’utiliser AGPM pour implémenter le processus de contrôle des modifications pour les objets de stratégie de groupe et pour gérer ceux-ci.

Définition de vos objectifs de stratégie de groupe

Lorsque vous planifiez le déploiement de la stratégie de groupe, identifiez vos besoins métier spécifiques et la façon dont la stratégie de groupe permet d’y répondre. Vous pouvez ensuite déterminer les paramètres de stratégie et les options de configuration les plus appropriés pour la satisfaction de vos besoins.

Les objectifs pour chaque implémentation de la stratégie de groupe varient suivant l’emplacement des utilisateurs, les besoins en termes de travaux, l’expérience informatique et les besoins de sécurité de l’entreprise. Dans certains cas, vous pouvez supprimer des fonctionnalités des ordinateurs des utilisateurs pour empêcher ceux-ci de modifier les fichiers de configuration système (ce qui pourrait nuire aux performances des ordinateurs) ou supprimer les applications dont les utilisateurs n’ont pas besoin pour leurs travaux. Dans d’autres cas, vous pouvez utiliser la stratégie de groupe pour configurer les options du système d’exploitation, spécifier les paramètres d’Internet Explorer ou établir une stratégie de sécurité.

Le fait de bien comprendre l’environnement actuel de votre organisation et ses contraintes facilite la conception d’un plan répondant au mieux aux besoins de votre organisation. La collecte d’informations sur les types d’utilisateurs, tels que les travailleurs des processus et les travailleurs de l’entrée de données, et sur les configurations d’ordinateurs existantes et planifiées est essentielle. À partir de ces informations, vous pouvez définir vos objectifs de stratégie de groupe.

Évaluation des pratiques existant au sein de l’entreprise

Pour identifier les paramètres de stratégie de groupe à utiliser, commencez par évaluer les pratiques actuellement appliquées dans l’environnement de votre entreprise, notamment des points de vue suivants :

  • besoins des différents types d’utilisateurs ;

  • rôles informatiques actuels, tels que les différentes tâches administratives réparties entre les groupes d’administrateurs ;

  • stratégies de sécurité d’entreprise existantes ;

  • autres besoins de sécurité pour vos ordinateurs serveurs et clients ;

  • modèle de distribution des logiciels ;

  • configuration du réseau ;

  • emplacements et procédures des stockages de données ;

  • gestion actuelle des utilisateurs et des ordinateurs.

Définition des objectifs de stratégie de groupe

Ensuite, dans le cadre de la définition des objectifs de la stratégie de groupe, déterminez :

  • l’objectif de chaque objet de stratégie de groupe ;

  • le propriétaire de chaque objet de stratégie de groupe (la personne qui a demandé le paramètre de stratégie et qui en est responsable) ;

  • le nombre d’objets de stratégie de groupe à utiliser ;

  • le conteneur auquel lier chaque objet de stratégie de groupe (site, domaine ou unité d’organisation) ;

  • les types de paramètres de stratégie contenus dans chaque objet de stratégie de groupe et les paramètres de stratégie appropriés pour les utilisateurs et les ordinateurs ;

  • à quel moment il convient de définir des exceptions à l’ordre de traitement par défaut pour la stratégie de groupe ;

  • à quel moment il convient de définir des options de filtrage pour la stratégie de groupe ;

  • les applications à installer et leurs emplacements ;

  • les partages réseau à utiliser pour la redirection des dossiers ;

  • l’emplacement des scripts d’ouverture de session, de fermeture de session, de démarrage et d’arrêt à exécuter.

Planification de l’administration permanente de la stratégie de groupe

À mesure que vous concevez et implémentez votre solution de stratégie de groupe, il est également important de planifier l’administration permanente de la stratégie de groupe. L’établissement de procédures administratives pour effectuer le suivi et la gestion des objets de stratégie de groupe garantit l’application des modifications de manière ordonnée.

Pour simplifier et ajuster la gestion permanente de la stratégie de groupe, il est recommandé d’effectuer les tâches suivantes :

  • Effectuez toujours une copie intermédiaire des déploiements de stratégie de groupe à l’aide du processus de déploiement préalable suivant :

    • Utilisez la modélisation de stratégie de groupe pour comprendre la façon dont un nouvel objet de stratégie de groupe interagirait avec les objets de stratégie de groupe existants.

    • Déployez les nouveaux objets de stratégie de groupe dans un environnement de test modélisé d’après votre environnement de production.

    • Utilisez les résultats de stratégie de groupe pour déterminer les paramètres d’objets de stratégie de groupe effectivement appliqués dans votre environnement de test.

  • Utilisez la Console de gestion des stratégies de groupe pour effectuer des sauvegardes régulières de vos objets de stratégie de groupe.

  • Utilisez la Console de gestion des stratégies de groupe pour gérer la stratégie de groupe au sein de l’organisation.

  • Ne modifiez pas la stratégie de domaine par défaut ou la stratégie par défaut des contrôleurs de domaine, sauf si cela est nécessaire. À la place, créez un nouvel objet de stratégie de groupe au niveau du domaine et définissez-le de manière à écraser les paramètres de stratégie par défaut.

  • Définissez une convention d’affectation de noms pertinente pour les objets de stratégie de groupe qui identifie clairement l’objectif de chaque objet de stratégie de groupe.

  • Désignez un seul administrateur par objet de stratégie de groupe. Cela empêche le remplacement du travail d’un administrateur par celui d’un autre administrateur.

Windows Server 2008 et la Console de gestion des stratégies de groupe vous permettent de déléguer à différents groupes d’administrateurs l’autorisation de modifier et de lier les objets de stratégie de groupe. Sans la mise en place de procédures adéquates de contrôle des objets de stratégie de groupe, les administrateurs délégués risquent de dupliquer les paramètres des objets de stratégie de groupe ou de créer des objets de stratégie de groupe entrant en conflit avec les paramètres de stratégie définis par un autre administrateur ou ne répondant pas aux standards de l’entreprise. De tels conflits peuvent affecter l’environnement du Bureau des utilisateurs, provoquer un accroissement des appels du support technique et compliquer la résolution des problèmes liés aux objets de stratégie de groupe.

Identification des problèmes d’interopérabilité

Vous devez prendre en compte les problèmes d’interopérabilité éventuels lors de la planification d’une implémentation de stratégie de groupe dans un environnement mixte. Windows Server 2008 et Windows Vista comprennent de nombreux nouveaux paramètres de stratégie de groupe non utilisés sous Windows Server 2003 ou Windows XP. Toutefois, même si les ordinateurs clients et serveurs dans votre organisation exécutent essentiellement Windows Server 2003 ou Windows XP, vous devez utiliser la Console de gestion des stratégies de groupe incluse dans Windows Server 2008, car elle contient les paramètres de stratégie les plus récents. Si vous appliquez un objet de stratégie de groupe avec des paramètres de stratégie plus récents à un système d’exploitation antérieur ne prenant pas en charge les paramètres de stratégie, cela n’engendrera pas de problème.

Les ordinateurs de destination qui exécutent Windows Server 2003 ou Windows XP Professionnel ignorent simplement les paramètres de stratégie pris en charge uniquement dans Windows Server 2008 ou Windows Vista. Pour déterminer les paramètres de stratégie qui s’appliquent aux systèmes d’exploitation, dans la description du paramètre de stratégie, voir les informations Pris en charge sur, qui indiquent les systèmes d’exploitation pouvant lire le paramètre de stratégie.

Détermination du moment auquel les modifications apportées à la stratégie de groupe sont appliquées

Étant donné que les modifications apportées à l’objet de stratégie de groupe doivent d’abord être répliquées sur le contrôleur de domaine approprié, il est possible que les modifications apportées aux paramètres de stratégie de groupe ne soient pas immédiatement disponibles sur les Bureaux des utilisateurs. En outre, les clients utilisent une fréquence d’actualisation de 90 minutes (avec un décalage aléatoire maximal de 30 minutes) pour l’extraction de la stratégie de groupe. Par conséquent, il est rare qu’un paramètre de stratégie de groupe modifié soit appliqué immédiatement. Les composants d’un objet de stratégie de groupe sont stockés dans Active Directory et dans le dossier Sysvol des contrôleurs de domaine. La réplication d’un objet de stratégie de groupe sur les autres contrôleurs de domaine se produit par le biais de deux mécanismes indépendants :

  • Dans Active Directory, la réplication est contrôlée par le système de réplication intégré d’Active Directory. Par défaut, elle dure généralement moins d’une minute entre des contrôleurs de domaine au sein du même site. Ce processus peut être plus lent si votre réseau est plus lent qu’un réseau local.

  • La réplication du dossier Sysvol est contrôlée par le service de réplication de fichiers (FRS) ou par la réplication du système de fichiers DFS (DFSR). Au sein des sites, la réplication FRS se produit toutes les 15 minutes. Si les contrôleurs de domaine se trouvent dans des sites différents, le processus de réplication se produit à des intervalles définis, en fonction de la topologie des sites et de la planification ; l’intervalle le plus petit est 15 minutes.

noteRemarque
S’il est primordial d’appliquer immédiatement une modification à un groupe d’utilisateurs ou d’ordinateurs spécifique dans un site donné, vous pouvez vous connecter au contrôleur de domaine le plus proche de ces objets, puis effectuer la modification de configuration sur ce contrôleur de domaine, afin que ces utilisateurs obtiennent d’abord les paramètres de stratégie mis à jour.

Intervalle d’actualisation de la stratégie

Les principaux mécanismes d’actualisation de la stratégie de groupe sont le démarrage et l’ouverture de session. En outre, la stratégie de groupe est régulièrement actualisée à d’autres intervalles. L’intervalle d’actualisation de la stratégie détermine la rapidité avec laquelle sont appliquées les modifications apportées aux objets de stratégie de groupe. Par défaut, les clients et les serveurs exécutant Windows Server 2008, Windows Vista, Windows Server 2003 et Windows XP vérifient toutes les 90 minutes si des modifications ont été apportées aux objets de stratégie de groupe, en utilisant un décalage aléatoire maximal de 30 minutes.

Les contrôleurs de domaine exécutant Windows Server 2008 ou Windows Server 2003 vérifient toutes les cinq minutes si des modifications ont été apportées aux stratégies ordinateur. Cette fréquence d’interrogation peut être modifiée à l’aide de l’un des paramètres de stratégie suivants : Intervalle d’actualisation de la stratégie de groupe pour les ordinateurs, Intervalle d’actualisation de la stratégie de groupe pour les contrôleurs de domaine ou Intervalle d’actualisation de la stratégie de groupe pour les utilisateurs. Toutefois, il est déconseillé de réduire la fréquence entre les actualisations en raison de l’augmentation potentielle du trafic réseau et de la charge supplémentaire imposée aux contrôleurs de domaine.

Déclenchement d’une actualisation de la stratégie de groupe

Au besoin, vous pouvez déclencher une actualisation de la stratégie de groupe manuellement à partir d’un ordinateur local sans attendre l’actualisation automatique en tâche de fond. Pour ce faire, vous pouvez taper gpupdate depuis la ligne de commande pour actualiser les paramètres de stratégie utilisateur ou ordinateur. Vous ne pouvez pas déclencher une actualisation de la stratégie de groupe à l’aide de la Console de gestion des stratégies de groupe. La commande gpupdate déclenche une actualisation de la stratégie en tâche de fond sur l’ordinateur local à partir duquel la commande est exécutée.

Pour plus d’informations sur la commande gpupdate, voir Modification de l’intervalle d’actualisation de la stratégie de groupe plus loin dans ce guide.

noteRemarque
Certains paramètres de stratégie, tels que la redirection des dossiers et l’affectation des applications, ne prennent effet que si l’utilisateur ferme la session, puis ouvre une nouvelle session. Les applications affectées à un ordinateur ne sont installées que lorsque celui-ci est redémarré.

Identification des problèmes liés à l’installation des logiciels

Bien que vous puissiez utiliser la stratégie de groupe pour installer des applications, notamment dans les organisations de taille petite ou moyenne, vous devez déterminer si cette solution est la mieux adaptée à vos besoins. Lorsque vous utilisez la stratégie de groupe pour installer des applications, les applications affectées ne sont installées ou mises à jour que lorsque l’ordinateur est redémarré ou que l’utilisateur ouvre une session.

L’utilisation de System Center Configuration Manager 2007, anciennement Systems Management Server (SMS), pour le déploiement de logiciels fournit des fonctionnalités au niveau de l’entreprise qui ne sont pas disponibles avec le déploiement de logiciels basé sur la stratégie de groupe, telles que le ciblage basé sur l’inventaire, la création de rapports d’état et la planification. Par conséquent, vous pouvez utiliser la stratégie de groupe pour configurer le Bureau et définir des autorisations d’accès et de sécurité système, mais utilisez Configuration Manager pour distribuer les applications. Cette approche permet de contrôler la bande passante grâce à la possibilité de planifier l’installation des applications en dehors des heures de forte activité.

Votre choix en matière d’outils dépend de vos besoins, de votre environnement et de la nécessité ou non de recourir aux fonctionnalités et à la sécurité supplémentaires fournies par Configuration Manager. Pour plus d’informations sur Configuration Manager, voir System Center Configuration Manager (http://go.microsoft.com/fwlink/?LinkId=109285) (éventuellement en anglais).

Conception de votre modèle de stratégie de groupe

Votre objectif principal est de concevoir la structure des objets de stratégie de groupe en fonction de vos besoins métier. En tenant compte des ordinateurs et des utilisateurs qui se trouvent dans votre organisation, déterminez les paramètres de stratégie à appliquer au sein de celle-ci et les paramètres de stratégie applicables à la totalité des utilisateurs ou des ordinateurs. En outre, déterminez les paramètres de stratégie à utiliser pour configurer les ordinateurs ou les utilisateurs en fonction du type, de la fonction ou du rôle de travail. Ensuite, regroupez ces différents types de paramètres de stratégie en objets de stratégie de groupe et liez-les aux conteneurs Active Directory appropriés.

En outre, gardez à l’esprit le modèle d’héritage de la stratégie de groupe et la façon dont la priorité est déterminée. Par défaut, les options définies dans des objets de stratégie de groupe liés à des niveaux supérieurs d’unités d’organisation, de domaines et de sites Active Directory sont héritées par toutes les unités d’organisation aux niveaux inférieurs. Toutefois, la stratégie héritée peut être écrasée par un objet de stratégie de groupe lié à un niveau inférieur.

Par exemple, vous pouvez utiliser un objet de stratégie de groupe lié à un niveau élevé pour affecter un papier peint de Bureau standard, mais souhaitez qu’une unité d’organisation donnée obtienne un papier peint différent. Pour ce faire, vous pouvez lier un second objet de stratégie de groupe à cette unité d’organisation de niveau inférieur spécifique. Étant donné que les objets de stratégie de groupe de niveau inférieur sont appliqués en dernier, le second objet de stratégie de groupe écrase l’objet de stratégie de groupe au niveau du domaine et fournit cette unité d’organisation de niveau inférieur spécifique avec un ensemble différent de paramètres de stratégie de groupe. Toutefois, vous pouvez modifier ce comportement d’héritage par défaut en utilisant les fonctions Bloquer l’héritage et Appliqué.

Les consignes suivantes permettent d’adapter la conception de la stratégie de groupe aux besoins de votre organisation :

  • Déterminez s’il existe des paramètres de stratégie qui doivent être systématiquement appliqués pour des groupes d’utilisateurs ou d’ordinateurs particuliers. Créez des objets de stratégie de groupe qui contiennent ces paramètres de stratégie, liez-les au site, au domaine ou à l’unité d’organisation approprié, puis associez à ces liens l’état Appliqué. Grâce à cette option, vous appliquez les paramètres de stratégie d’un objet de stratégie de groupe de niveau supérieur et empêchez leur écrasement par les objets de stratégie de groupe situés dans les conteneurs Active Directory de niveau inférieur. Par exemple, si vous définissez un objet de stratégie de groupe spécifique au niveau du domaine et que vous spécifiez qu’il doit être appliqué, les stratégies contenues dans l’objet de stratégie de groupe s’appliquent à toutes les unités d’organisation sous ce domaine ; les objets de stratégie de groupe liés aux unités d’organisation de niveau inférieur ne peuvent pas écraser cette stratégie de groupe de domaine.

noteRemarque
Utilisez les fonctionnalités Appliqué et Bloquer l’héritage avec parcimonie. L’utilisation courante de ces fonctionnalités risque de compliquer la résolution des problèmes liés à la stratégie, car les administrateurs des autres objets de stratégie de groupe ne comprennent pas immédiatement pourquoi certains paramètres de stratégie s’appliquent ou ne s’appliquent pas.

  • Choisissez les paramètres de stratégie applicables à la totalité de l’organisation et envisagez de les lier au domaine. Vous pouvez également utiliser la Console de gestion des stratégies de groupe pour copier des objets de stratégie de groupe ou importer des paramètres de stratégie d’objets de stratégie de groupe, de manière à créer des objets de stratégie de groupe identiques dans différents domaines.

  • Liez les objets de stratégie de groupe à la structure des unités d’organisation (ou au site), puis utilisez des groupes de sécurité pour appliquer de manière sélective ces objets de stratégie de groupe à des utilisateurs ou à des ordinateurs particuliers.

  • Classez les types d’ordinateurs et les rôles ou fonctions de travail des utilisateurs dans votre organisation, regroupez-les en unités d’organisation, créez des objets de stratégie de groupe pour configurer les environnements correspondants en conséquence, puis liez les objets de stratégie de groupe à ces unités d’organisation.

  • Préparez un environnement de copie intermédiaire pour tester votre stratégie de gestion basée sur la stratégie de groupe avant de déployer les objets de stratégie de groupe dans votre environnement de production. Considérez cette phase comme la réalisation d’une copie intermédiaire de votre déploiement. Cette étape est cruciale, car elle vous permet de vous assurer que le déploiement de la stratégie de groupe atteindra vos objectifs de gestion. Ce processus est décrit dans la section Réalisation d’une copie intermédiaire des déploiements de la stratégie de groupe plus loin dans ce guide.

Définition de l’étendue de l’application de la stratégie de groupe

Pour définir l’étendue de l’application des objets de stratégie de groupe, penchez-vous sur les questions suivantes :

  • Où vos objets de stratégie de groupe seront-ils liés ?

  • Quel filtrage de sécurité sur les objets de stratégie de groupe utiliserez-vous ?

    Le filtrage de sécurité vous permet de définir avec précision les utilisateurs et les ordinateurs qui recevront et appliqueront les paramètres de stratégie dans un objet de stratégie de groupe. Le filtrage des groupes de sécurité détermine si l’objet de stratégie de groupe dans son ensemble s’applique aux groupes, utilisateurs ou ordinateurs ; il ne peut pas être utilisé de manière sélective sur différents paramètres de stratégie au sein d’un objet de stratégie de groupe.

  • Quels filtres WMI seront-ils appliqués ?

    Les filtres WMI vous permettent de déterminer dynamiquement l’étendue des objets de stratégie de groupe en fonction des attributs de l’ordinateur cible.

En outre, gardez à l’esprit que, par défaut, les objets de stratégie de groupe sont hérités, cumulatifs et qu’ils ont une incidence sur la totalité des ordinateurs et des utilisateurs dans un conteneur Active Directory et dans ses enfants. Ils sont traités dans l’ordre suivant : stratégie de groupe locale, site, domaine, puis unité d’organisation (le dernier objet de stratégie de groupe traité écrasant les objets de stratégie de groupe antérieurs). La méthode d’héritage par défaut consiste à évaluer la stratégie de groupe, en commençant par le conteneur Active Directory le plus éloigné de l’objet ordinateur ou utilisateur. Le conteneur Active Directory le plus proche de l’ordinateur ou de l’utilisateur écrase la stratégie de groupe définie dans un conteneur Active Directory de niveau supérieur, sauf si vous définissez l’option Appliqué (Ne pas passer outre) pour ce lien d’objet de stratégie de groupe ou si le paramètre de stratégie Bloquer l’héritage a été appliqué au domaine ou à l’unité d’organisation. L’objet de stratégie de groupe local est traité en premier, afin que les paramètres de stratégie des objets de stratégie de groupe liés aux conteneurs Active Directory écrasent les paramètres de stratégie locaux.

Bien que vous puissiez lier plus d’un objet de stratégie de groupe à un conteneur Active Directory, vous devez tenir compte de la priorité de traitement, ce qui constitue un autre problème. Le lien d’objet de stratégie de groupe situé en dernière position dans la liste Liaisons de l’objet de stratégie de groupe (qui apparaît dans l’onglet Objets de stratégie de groupe liés de la Console de gestion des stratégies de groupe) est prioritaire par défaut. Toutefois, si l’option Appliqué est définie pour au moins un lien d’objet de stratégie de groupe, le lien d’objet de stratégie de groupe le plus élevé défini sur Appliqué est prioritaire.

En résumé, l’option Appliqué est une propriété de lien, tandis que l’option Bloquer l’héritage est une propriété de conteneur. L’option Appliqué est prioritaire sur l’option Bloquer l’héritage. En outre, vous pouvez désactiver les paramètres de stratégie sur l’objet de stratégie de groupe proprement dit de quatre autres façons : en désactivant l’objet de stratégie de groupe, ses paramètres ordinateur, ses paramètres utilisateur ou tous ses paramètres.

La Console de gestion des stratégies de groupe simplifie sensiblement ces tâches en vous permettant d’afficher l’héritage des objets de stratégie de groupe pour l’ensemble de votre organisation et de gérer les liens à partir d’une seule console MMC. La figure 2 illustre l’héritage de stratégie de groupe tel qu’il apparaît dans la Console de gestion des stratégies de groupe.

e3115f72-6178-43c4-a324-6fad9692b942
noteRemarque
Pour afficher les détails complets de l’héritage et de la priorité pour les liens d’objets de stratégie de groupe à un domaine, un site ou une unité d’organisation, vous devez disposer d’autorisations de lecture sur le site, le domaine ou l’unité d’organisation contenant les liens des objets de stratégie de groupe, ainsi que sur les objets de stratégie de groupe. Si vous disposez d’un accès en lecture au site, au domaine ou à l’unité d’organisation, mais pas sur l’un des objets de stratégie de groupe liés à cet endroit, il apparaît en tant qu’Objet Stratégie de groupe inaccessible et vous ne pouvez pas lire le nom de cet objet de stratégie de groupe ou d’autres informations le concernant.

Détermination du nombre d’objets de stratégie de groupe requis

Le nombre d’objets de stratégie de groupe requis dépend de votre approche de la conception, de la complexité de l’environnement, de vos objectifs et de l’étendue du projet. Si vous disposez d’une forêt comportant plusieurs domaines ou de plusieurs forêts, il pourra vous sembler que le nombre d’objets de stratégie de groupe requis diffère d’un domaine à l’autre. Les domaines prenant en charge des environnements métier hautement complexes avec une population d’utilisateurs variée requièrent généralement davantage d’objets de stratégie de groupe que les domaines plus petits et plus simples.

La charge de travail des administrateurs de la stratégie de groupe s’accroît à mesure qu’augmente le nombre d’objets de stratégie de groupe nécessaires à la prise en charge d’une organisation. Vous pouvez suivre certaines étapes pour faciliter l’administration de la stratégie de groupe. En général, vous devez regrouper en un seul objet de stratégie de groupe les paramètres de stratégie qui s’appliquent à un ensemble donné d’utilisateurs ou d’ordinateurs et qui sont gérés par un ensemble commun d’administrateurs. En outre, si différents groupes d’utilisateurs ou d’ordinateurs présentent des besoins communs et que seuls quelques groupes nécessitent des modifications incrémentielles, envisagez d’appliquer les besoins communs à tous ces groupes d’utilisateurs ou d’ordinateurs en utilisant un seul objet de stratégie de groupe lié à un niveau élevé dans la structure Active Directory. Ensuite, ajoutez des objets de stratégie de groupe qui appliquent uniquement les modifications incrémentielles à l’unité d’organisation appropriée. Cette approche pouvant parfois s’avérer impossible ou peu pratique, vous pouvez être amené à faire des exceptions à cette consigne. Si tel est le cas, veillez à garder une trace de celles-ci.

noteRemarque
Le traitement des objets de stratégie de groupe sur un utilisateur ou un ordinateur donné n’est possible que si le nombre d’objets de stratégie de groupe est inférieur ou égal à 999. Si cette limite maximale est dépassée, aucun objet de stratégie de groupe n’est traité. Cette limite ne concerne que le nombre d’objets de stratégie de groupe applicables au même moment ; elle ne porte pas sur le nombre d’objets de stratégie de groupe que vous pouvez créer et stocker dans un domaine.

Considérez que le nombre d’objets de stratégie de groupe appliqués à un ordinateur a une incidence sur le temps de démarrage et que le nombre d’objets de stratégie de groupe appliqués à un utilisateur a un impact sur la durée de connexion au réseau. Plus le nombre d’objets de stratégie de groupe liés à un utilisateur est élevé (notamment le nombre de paramètres de stratégie dans ces objets de stratégie de groupe), plus la durée de leur traitement est longue chaque fois qu’un utilisateur ouvre une session. Pendant le processus d’ouverture de session, chaque objet de stratégie de groupe du site, du domaine et de la hiérarchie des unités d’organisation de l’utilisateur est appliqué, sous réserve que celui-ci dispose des autorisations Lire et Appliquer la stratégie de groupe. Dans la Console de gestion des stratégies de groupe, les autorisations Lire et Appliquer la stratégie de groupe sont gérées comme une seule unité appelée « Filtrage de sécurité ».

Si vous utilisez le filtrage de sécurité et que vous supprimez l’autorisation Appliquer la stratégie de groupe pour un utilisateur ou un groupe donné, supprimez également l’autorisation Lire, sauf si cet utilisateur doit disposer d’un accès en lecture. (Si vous utilisez la Console de gestion des stratégies de groupe, vous n’avez pas à vous soucier de cette procédure, car la Console l’effectue automatiquement.) Si l’autorisation Appliquer la stratégie de groupe n’est pas définie, mais que l’autorisation de lecture l’est, l’objet de stratégie de groupe est néanmoins inspecté (bien que non appliqué) par tout utilisateur ou ordinateur se trouvant dans la hiérarchie des unités d’organisation dans laquelle l’objet de stratégie de groupe est lié. Ce processus d’inspection augmente légèrement le temps d’ouverture de session.

Testez systématiquement votre solution de stratégie de groupe dans un environnement de test pour vous assurer que les paramètres de stratégie que vous définissez ne prolongent pas dans des proportions excessives le temps d’affichage de l’écran d’ouverture de session et qu’ils respectent les contrats de niveau de service du Bureau. Pendant cette période intermédiaire, ouvrez une session sous un compte de test afin de mesurer l’effet net de plusieurs objets de stratégie de groupe sur les objets de votre environnement.

Liaison des objets de stratégie de groupe

Pour appliquer les paramètres de stratégie d’un objet de stratégie de groupe à des utilisateurs et à des ordinateurs, vous devez lier l’objet de stratégie de groupe à un site, un domaine ou une unité d’organisation. Vous pouvez ajouter un ou plusieurs liens d’objets de stratégie de groupe à chaque site, domaine ou unité d’organisation à l’aide de la Console de gestion des stratégies de groupe. Gardez à l’esprit que la création et la liaison d’objets de stratégie de groupe constituent un privilège sensible qui ne doit être délégué qu’aux administrateurs approuvés et ayant assimilé la stratégie de groupe.

Liaison d’objets de stratégie de groupe au site

Si vous devez lier une série de paramètres de stratégie, tels que certains paramètres de configuration de proxy ou réseau, à des ordinateurs dans un emplacement physique particulier, il est possible que seuls ces paramètres de stratégie puissent être inclus dans un paramètre de stratégie basé sur le site. Étant donné que les sites et les domaines sont indépendants, il est possible que les ordinateurs dans le site doivent couvrir plusieurs domaines pour que vous puissiez lier l’objet de stratégie de groupe au site. Dans ce cas, assurez-vous que la connectivité est correcte.

Si les paramètres de stratégie ne correspondent pas clairement aux ordinateurs d’un site spécifique, il est préférable d’affecter l’objet de stratégie de groupe au domaine ou à la structure des unités d’organisation, plutôt qu’au site.

Liaison d’objets de stratégie de groupe au domaine

Liez des objets de stratégie de groupe au domaine si vous souhaitez qu’ils s’appliquent à la totalité des utilisateurs et des ordinateurs dans le domaine. Par exemple, les administrateurs de la sécurité implémentent souvent des objets de stratégie de groupe basés sur le domaine pour appliquer des standards d’entreprise. Ils peuvent créer ces objets de stratégie de groupe en activant l’option Appliquer de la Console de gestion des stratégies de groupe afin qu’aucun autre administrateur ne puisse écraser ces paramètres de stratégie.

ImportantImportant
Pour modifier les paramètres de stratégie contenus dans l’objet de stratégie de groupe de la stratégie de domaine par défaut, il est recommandé de créer un nouvel objet de stratégie de groupe, de le lier au domaine et de définir l’option Appliquer. En général, ne modifiez pas l’objet de stratégie de groupe de la stratégie de domaine par défaut ou l’objet de stratégie de groupe de la stratégie par défaut des contrôleurs de domaine.

Comme son nom l’indique, l’objet de stratégie de groupe de la stratégie de domaine par défaut est également lié au domaine. L’objet de stratégie de groupe de la stratégie de domaine par défaut est créé lorsque le premier contrôleur de domaine dans le domaine est installé et que l’administrateur ouvre une session pour la première fois. Cet objet de stratégie de groupe contient les paramètres de stratégie de compte au niveau du domaine (Stratégie de mot de passe, Stratégie de verrouillage du compte et Stratégie Kerberos), qui sont appliqués par les contrôleurs de domaine dans le domaine. Tous les contrôleurs de domaine récupèrent les valeurs de ces paramètres de stratégie de compte de l’objet de stratégie de groupe de la stratégie de domaine par défaut. Pour appliquer des stratégies de comptes à des comptes de domaine, vous devez déployer ces paramètres de stratégie dans un objet de stratégie de groupe lié au domaine. Si vous définissez des paramètres de stratégie de compte à un niveau inférieur, tel qu’une unité d’organisation, les paramètres de stratégie ne concernent que les comptes locaux (comptes non liés à un domaine) sur les ordinateurs dans cette unité d’organisation et les enfants de l’unité d’organisation.

Avant d’apporter des modifications aux objets de stratégie de groupe par défaut, veillez à sauvegarder l’objet de stratégie de groupe à l’aide de la Console de gestion des stratégies de groupe. Si un problème se produit suite à la modification des objets de stratégie de groupe par défaut et que vous ne pouvez pas revenir à l’état antérieur or initial, vous pouvez utiliser l’outil Dcgpofix.exe, comme indiqué dans la section suivante, afin de recréer les stratégies par défaut dans leur état initial. Par ailleurs, si vous utilisez AGPM, un enregistrement de toutes les modifications que vous apportez est conservé, ce qui vous permet de revenir à l’état antérieur ou initial.

Restauration de l’objet de stratégie de groupe de la stratégie de domaine par défaut et de l’objet de stratégie de groupe du contrôleur de domaine par défaut

Dcgpofix.exe est un outil de ligne de commande qui restaure complètement l’objet de stratégie de groupe de la stratégie de domaine par défaut et l’objet de stratégie de groupe du contrôleur de domaine par défaut dans leurs états d’origine, en cas d’urgence lorsque vous ne pouvez pas utiliser la Console de gestion des stratégies de groupe. Dcgpofix.exe est inclus dans Windows Server 2008 et Windows Server 2003, et se trouve dans le dossier C:\Windows\system32\.

Dcgpofix.exe restaure uniquement les paramètres de stratégie qui se trouvent dans les objets de stratégie de groupe par défaut lors de la génération de ceux-ci. Dcgpofix.exe ne restaure pas les autres objets de stratégie de groupe créés par les administrateurs ; il est uniquement conçu pour la récupération en cas d’urgence des objets de stratégie de groupe par défaut.

noteRemarque
Dcgpofix.exe n’enregistre pas les informations créées par le biais des applications, telles que Configuration Manager ou Exchange.

La syntaxe de Dcgpofix.exe est la suivante :

DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]

Le tableau 1 décrit les options de ligne de commande que vous pouvez utiliser à l’aide de l’outil Dcgpofix.exe.

Table 1 : options de ligne de commande de Dcgpofix.exe

Option Description des options

/ignoreschema

Par défaut, la version de Dcgpofix incluse dans Windows Server 2008 ne fonctionne que sur les domaines Windows Server 2008. Cette option passe outre le contrôle du schéma, ce qui lui permet de fonctionner sur des domaines non-Windows Server 2008.

/target: DOMAIN ou

Spécifie que la stratégie de domaine par défaut doit être recréée.

/target: DC ou

Spécifie que la stratégie des contrôleurs de domaine par défaut doit être recréée.

/target: BOTH

Spécifie que la stratégie de domaine par défaut et la stratégie des contrôleurs de domaine par défaut doivent être recréées.

Pour plus d’informations sur Dcgpofix.exe, voir Dcgpofix.exe (http://go.microsoft.com/fwlink/?LinkId=109291) (éventuellement en anglais).

Liaison d’objets de stratégie de groupe à la structure des unités d’organisation

Les objets de stratégie de groupe sont généralement liés à la structure des unités d’organisation, car elle offre une souplesse et une facilité de gestion maximales. Par exemple :

  • Vous pouvez déplacer des utilisateurs et des ordinateurs en direction et hors des unités d’organisation.

  • Au besoin, les unités d’organisation peuvent être réorganisées.

  • Vous pouvez utiliser des groupes plus petits d’utilisateurs qui présentent des contraintes administratives communes.

  • Vous pouvez organiser les utilisateurs et les ordinateurs en fonction des administrateurs qui les gèrent.

L’organisation des objets de stratégie de groupe en objets de stratégie de groupe orientés utilisateurs et orientés ordinateurs peut faciliter la compréhension de votre environnement de stratégie de groupe et simplifier la résolution des problèmes. Toutefois, la séparation des composants utilisateur et ordinateur en objets de stratégie de groupe distincts peut vous amener à utiliser davantage d’objets de stratégie de groupe. Vous pouvez compenser cela en configurant le paramètre État GPO de manière à désactiver les parties des configuration utilisateur ou ordinateur de l’objet de stratégie de groupe qui ne s’appliquent pas et à réduire le temps nécessaire à l’application d’un objet de stratégie de groupe donné.

Modification de l’ordre des liens des objets de stratégie de groupe

Dans chaque site, domaine et unité d’organisation, l’ordre des liens contrôle l’ordre dans lequel les objets de stratégie de groupe sont appliqués. Pour modifier la priorité d’un lien, vous pouvez changer l’ordre des liens, en déplaçant chaque lien vers le haut ou vers le bas dans la liste jusqu’à l’emplacement approprié. Les liens portant les plus petits numéros ont une priorité plus élevée pour un site, un domaine ou une unité d’organisation donnés.

Par exemple, si vous ajoutez six liens d’objets de stratégie de groupe, puis que vous décidez d’accorder au dernier lien ajouté la priorité la plus élevée, vous pouvez ajuster le rang du lien d’objet de stratégie de groupe dans l’ordre des liens, de manière à ce qu'il occupe la position 1. Pour modifier l’ordre des liens des objets de stratégie de groupe pour un site, un domaine ou une unité d’organisation, utilisez la Console de gestion des stratégies de groupe.

Utilisation du filtrage de sécurité pour appliquer des objets de stratégie de groupe à des groupes sélectionnés

Par défaut, un objet de stratégie de groupe concerne la totalité des utilisateurs et des ordinateurs contenus dans le site, le domaine ou l’unité d’organisation liés. Toutefois, vous pouvez utiliser le filtrage de sécurité sur un objet de stratégie de groupe de manière à ce que celui-ci ne s’applique qu’à un utilisateur spécifique, aux membres d’un groupe de sécurité Active Directory ou à un ordinateur en modifiant les autorisations associées à l’objet de stratégie de groupe. En combinant le filtrage de sécurité et le positionnement approprié dans les unités d’organisation, vous pouvez cibler n’importe quel ensemble d’utilisateurs ou d’ordinateurs donné.

Pour qu’un objet de stratégie de groupe s’applique à un utilisateur, à un groupe de sécurité ou à un ordinateur donné, l’utilisateur, le groupe ou l’ordinateur doit disposer des autorisations Lire et Appliquer la stratégie de groupe sur l’objet de stratégie de groupe. Par défaut, pour les utilisateurs authentifiés, ces deux autorisations sont définies sur Autoriser. Elles sont gérées ensemble comme une seule unité à l’aide du filtrage de sécurité dans la Console de gestion des stratégies de groupe.

Pour définir les autorisations pour un objet de stratégie de groupe donné de manière à ce que l’objet ne s’applique qu’à des utilisateurs, des groupes de sécurité ou des ordinateurs spécifiques (plutôt qu’à tous les utilisateurs authentifiés), dans l’arborescence de la Console de gestion des stratégies de groupe, développez Objets de stratégie de groupe dans la forêt et le domaine contenant cet objet de stratégie de groupe. Cliquez sur l’objet de stratégie de groupe et, dans le volet d’informations, sous l’onglet Étendue, sous Filtrage de sécurité, supprimez Utilisateurs authentifiés, cliquez sur Ajouter, puis ajoutez le nouvel utilisateur, le nouveau groupe ou le nouvel ordinateur.

Par exemple, si seul un sous-ensemble d’utilisateurs dans une unité d’organisation doit recevoir un objet de stratégie de groupe, supprimez Utilisateurs authentifiés de Filtrage de sécurité. Ensuite, ajoutez un nouveau groupe de sécurité avec des autorisations Filtrage de sécurité qui contient le sous-ensemble d’utilisateurs devant recevoir l’objet de stratégie de groupe. Seuls les membres de ce groupe qui se trouvent dans le site, le domaine ou l’unité d’organisation où l’objet de stratégie de groupe est lié reçoivent l’objet de stratégie de groupe ; les membres du groupe dans les autres sites, domaines ou unités d’organisation ne le reçoivent pas.

Vous pouvez empêcher l’application de certains paramètres de stratégie de groupe aux membres du groupe Administrateurs. Pour ce faire, vous pouvez effectuer l’une des actions suivantes :

  • Créez une unité d’organisation distincte pour les administrateurs et conservez-la en dehors de la hiérarchie à laquelle vous appliquez la plupart de vos paramètres de gestion. Ainsi, les administrateurs ne reçoivent pas la plupart des paramètres de stratégie que vous fournissez pour les utilisateurs gérés. Si cette unité d’organisation distincte est un enfant direct du domaine, les seuls paramètres de stratégie que les administrateurs peuvent recevoir sont ceux issus des objets de stratégie de groupe liés au domaine ou au site. En règle générale, seuls les paramètres de stratégie génériques et largement applicables sont liés à ce niveau ; par conséquent, il peut être acceptable que des administrateurs reçoivent ces paramètres de stratégie. Si cela ne correspond pas à votre souhait, vous pouvez définir l’option Bloquer l’héritage sur l’unité d’organisation des administrateurs.

  • Faites en sorte que les administrateurs n’utilisent des comptes administratifs distincts que lorsqu’ils effectuent des tâches administratives. Cependant, même quand ils ne réalisent pas de tâches administratives, ils sont toujours gérés.

  • Utilisez le filtrage de sécurité dans la Console de gestion des stratégies de groupe afin que seuls les utilisateurs qui ne sont pas administrateurs reçoivent les paramètres de stratégie.

Application des filtres WMI

Vous pouvez utiliser des filtres WMI pour contrôler l’application des objets de stratégie de groupe. Chaque objet de stratégie de groupe peut être lié à un seul filtre WMI ; toutefois, un filtre WMI donné peut être lié à plusieurs objets de stratégie de groupe. Avant de lier un filtre WMI à un objet de stratégie de groupe, vous devez créer le filtre. Le filtre WMI est évalué sur l’ordinateur de destination pendant le traitement de la stratégie de groupe. L’objet de stratégie de groupe ne s’applique que si le filtre WMI renvoie la valeur True. Sur les ordinateurs Windows 2000, le filtre WMI est ignoré et l’objet de stratégie de groupe est systématiquement appliqué.

noteRemarque
Il est recommandé d’utiliser des filtres WMI essentiellement pour la gestion des exceptions. Ils peuvent fournir une solution puissante pour le ciblage d’objets de stratégie de groupe sur des utilisateurs et des ordinateurs spécifiques, mais comme ils sont évalués chaque fois que la stratégie de groupe est traitée, ils augmentent les temps de démarrage et d’ouverture de session. En outre, il n’existe pas de délai d’expiration pour les filtres WMI. Par conséquent, vous ne devez les utiliser que lorsque cela est nécessaire.

À l’aide de la Console de gestion des stratégies de groupe, vous pouvez effectuer les opérations suivantes pour les filtres WMI : créer et supprimer, lier et délier, copier et coller, importer et exporter, ainsi qu’afficher et modifier des attributs.

Les filtres WMI ne peuvent être utilisés que si au moins un contrôleur de domaine dans le domaine exécute Windows Server 2008 ou Windows Server 2003 ou que vous avez exécuté ADPrep avec l’option /Domainprep dans ce domaine. Sinon, la section Filtrage WMI sous l’onglet Étendue pour les objets de stratégie de groupe et le nœud Filtres WMI sous le domaine sont absents. La figure 3 facilite l’identification des éléments décrits dans cette section.

a69987c9-84ec-4473-9f2c-efe0022d5331

Définition des options de filtrage WMI

WMI expose les données de gestion d’un ordinateur de destination. Les données peuvent inclure l’inventaire matériel et logiciel, des paramètres et des informations de configuration, notamment les données du Registre, les pilotes, le système de fichiers, Active Directory, SNMP, Windows Installer et la mise en réseau. Les administrateurs peuvent créer des filtres WMI, composés d’une ou plusieurs requêtes basées sur ces données, pour déterminer si l’objet de stratégie de groupe est appliqué. Le filtre est évalué sur l’ordinateur de destination. Si le filtre WMI renvoie la valeur True, l’objet de stratégie de groupe est appliqué à cet ordinateur de destination ; si le filtre renvoie la valeur False, l’objet de stratégie de groupe n’est pas appliqué. Sur les cibles clientes ou serveurs Windows 2000, les filtres WMI sont ignorés et l’objet de stratégie de groupe est systématiquement appliqué. En l’absence de tout filtre WMI, l’objet de stratégie de groupe est systématiquement appliqué.

Vous pouvez utiliser des filtres WMI pour cibler des paramètres de stratégie de groupe en fonction de nombreux objets et autres paramètres. Le tableau 2 illustre des critères de requêtes pouvant être spécifiés pour les filtres WMI.

Tableau 2 : exemples de filtres WMI

Données WMI interrogées Exemple de critère de requête

Services

Ordinateurs sur lesquels le service DHCP est en cours d’exécution

Registre

Ordinateurs pour lesquels une entrée ou une clé de Registre spécifiée est peuplée

Journal des événements Windows

Ordinateurs qui ont signalé un événement d’audit au cours des cinq dernières minutes

Version du système d’exploitation

Ordinateurs exécutant Windows Server 2003 et versions ultérieures

Inventaire matériel

Ordinateurs dotés d’un processeur Pentium III

Configuration matérielle

Ordinateurs équipés de cartes réseau au niveau 3

Associations de services

Ordinateurs dont un service est dépendant du service SQL

Un filtre WMI se compose d’une ou de plusieurs requêtes WQL (WMI Query Language). Étant donné que le filtre WMI s’applique à chaque paramètre de stratégie dans l’objet de stratégie de groupe, les administrateurs doivent créer des objets de stratégie de groupe distincts si leurs besoins de filtrage diffèrent d’un paramètre de stratégie à l’autre. Les filtres WMI sont évalués sur l’ordinateur de destination une fois que la liste des objets de stratégie de groupe potentiels a été établie et filtrée en fonction de l’appartenance aux groupes de sécurité.

Bien que vous puissiez effectuer un ciblage limité basé sur l’inventaire pour le déploiement de logiciels en combinant le déploiement de logiciels basé sur la stratégie de groupe et des filtres WMI, cette procédure n’est pas recommandée comme pratique générale pour les raisons suivantes :

  • Chaque objet de stratégie de groupe ne peut posséder qu’un seul filtre WMI. Si les applications présentent des besoins d’inventaire différents, vous devez utiliser plusieurs filtres WMI et, par conséquent, plusieurs objets de stratégie de groupe. L’augmentation du nombre d’objets de stratégie de groupe a un impact sur les temps de démarrage et d’ouverture de session. En outre, elle accroît la surcharge de gestion.

  • Étant donné que l’évaluation des filtres WMI peut prendre beaucoup de temps, ceux-ci peuvent ralentir les phases de démarrage et d’ouverture de session. La durée dépend de la construction de la requête.

Exemples de filtres WMI

Comme indiqué, les filtres WMI sont surtout utiles en tant qu’outils de gestion des exceptions. En utilisant un critère de filtrage particulier, vous pouvez cibler des objets de stratégie de groupe donnés sur des utilisateurs et des ordinateurs spécifiques. La section suivante décrit des filtres WMI qui illustrent cette technique.

Ciblage en fonction du système d’exploitation

Dans cet exemple, un administrateur souhaite déployer une stratégie de suivi d’entreprise, mais souhaite cibler uniquement les ordinateurs Windows Vista. L’administrateur peut créer un filtre WMI tel que le suivant :

Select * from Win32_OperatingSystem where Caption like "%Vista%"

La plupart des filtres WMI utilisent l’espace de noms Root\CimV2, et cette option est peuplée par défaut dans l’interface utilisateur de la Console de gestion des stratégies de groupe.

Étant donné que les filtres WMI sont ignorés sur les ordinateurs Windows 2000, un objet de stratégie de groupe filtré est systématiquement appliqué sur ces ordinateurs. Toutefois, vous pouvez remédier à cela en utilisant deux objets de stratégie de groupe et en accordant à celui qui possède des paramètres Windows 2000 une priorité plus élevée (à l’aide de l’ordre des liens). Ensuite, utilisez un filtre WMI pour cet objet de stratégie de groupe Windows 2000, puis appliquez-le uniquement si le système d’exploitation est Windows 2000, pas Windows Vista ou Windows XP. L’ordinateur Windows 2000 recevra l’objet de stratégie de groupe Windows 2000 et écrasera les paramètres de stratégie dans l’objet de stratégie de groupe Windows Vista ou Windows XP. Le client Windows Vista ou Windows XP recevra tous les paramètres de stratégie présents dans l’objet de stratégie de groupe Windows Vista ou Windows XP.

Ciblage basé sur l’inventaire matériel

Dans cet exemple, un administrateur souhaite distribuer un nouvel outil de gestion de connexions réseau uniquement aux ordinateurs de bureau dotés de modems. L’administrateur peut déployer le package à l’aide du filtre WMI suivant pour cibler ces ordinateurs de bureau :

Select * from Win32_POTSModem Where Name = " MyModem"

Si vous utilisez la stratégie de groupe avec un filtre WMI, gardez à l’esprit que le filtre WMI s’applique à tous les paramètres de stratégie dans l’objet de stratégie de groupe. Si les besoins varient d’un déploiement à l’autre, vous devez utiliser différents objets de stratégie de groupe, chacun doté de son propre filtre WMI.

Ciblage en fonction de la configuration

Dans cet exemple, un administrateur ne souhaite pas appliquer un objet de stratégie de groupe sur les ordinateurs qui prennent en charge la multidiffusion. L’administrateur peut utiliser le filtre suivant pour identifier les ordinateurs qui prennent en charge la multidiffusion :

Select * from Win32_NetworkProtocol where SupportsMulticasting = true

Ciblage en fonction de la quantité d’espace disque et du type de système de fichiers

Dans cet exemple, un administrateur souhaite cibler les ordinateurs qui possèdent plus de 10 mégaoctets (Mo) d’espace disponible sur la partition C, D ou E. Les partitions doivent se trouver sur un ou plusieurs disques fixes locaux et elles doivent exécuter le système de fichiers NTFS. L’administrateur peut utiliser le filtre suivant pour identifier les ordinateurs qui satisfont à ces critères :

SELECT * FROM Win32_LogicalDisk WHERE (Name = " C:"  OR Name = " D:"  OR Name = " E:" ) AND DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = " NTFS"

Dans l’exemple précédent, DriveType = 3 représente un disque local, tandis que les unités FreeSpace sont exprimées en octets (10 Mo = 10 485 760 octets).

Pour créer un filtre WMI

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, cliquez avec le bouton droit sur Filtres WMI dans la forêt et le domaine auxquels vous voulez ajouter un filtre WMI.

  2. Cliquez sur Nouveau.

  3. Dans la boîte de dialogue Nouveau filtre WMI, renseignez les champs Nom et Description pour le filtre à créer.

  4. Cliquez sur Ajouter.

  5. Dans la boîte de dialogue Requête WMI, laissez l’espace de noms par défaut ou spécifiez-en un autre comme suit :

    • Dans la zone Espace de noms, tapez le nom que vous voulez utiliser pour la requête WMI. Le nom par défaut est root\CimV2. Dans la plupart des cas, vous n’avez pas besoin de le modifier.

    • Cliquez sur Parcourir, sélectionnez un espace de noms dans la liste, puis cliquez sur OK.

  6. Saisissez une requête WMI dans la zone Requête, puis cliquez sur OK.

  7. Si vous voulez ajouter des requêtes, répétez les étapes 4 à 6 pour chaque requête supplémentaire.

  8. Une fois que vous avez ajouté toutes les requêtes, cliquez sur Enregistrer.

Le filtre WMI peut désormais être lié.

Utilisation de l’héritage de stratégie de groupe

Il est souvent utile de définir un objet de stratégie de groupe répondant aux standards de l’entreprise. Ici, l’expression « standard d’entreprise » désigne des paramètres de stratégie qui s’appliquent à un large éventail d’utilisateurs dans une organisation. Par exemple, un scénario justifiant la définition d’un objet de stratégie de groupe répondant aux standards de l’entreprise est celui dans lequel un besoin métier pose la condition suivante : « Seuls les utilisateurs bénéficiant d’une autorisation spécifique peuvent accéder à l’invite de commandes ou à l’Éditeur du Registre. » L’héritage de stratégie de groupe vous permet d’appliquer ces standards d’entreprise tout en personnalisant les paramètres de stratégie pour différents groupes d’utilisateurs.

Pour ce faire, vous pouvez définir les paramètres de stratégie Désactiver l’accès à l’invite de commandes et Empêche l’accès aux outils de modifications du Registre dans un objet de stratégie de groupe (tel que l’objet de stratégie de groupe de la stratégie utilisateur standard) lié à une unité d’organisation (telle que l’unité d’organisation des comptes d’utilisateurs). Cette opération permet d’appliquer ces paramètres de stratégie à la totalité des utilisateurs dans cette unité d’organisation. Ensuite, créez un objet de stratégie de groupe, tel qu’un objet de stratégie de groupe de la stratégie des utilisateurs administrateurs, qui autorise explicitement les administrateurs à accéder à l’invite de commandes et aux outils de modification du Registre. Liez l’objet de stratégie de groupe à l’unité d’organisation Administrateurs, de manière à écraser les paramètres de stratégie configurés dans l’objet de stratégie de groupe de la stratégie utilisateur standard. Cette approche est illustrée dans la figure 4.

48d12c74-030c-4728-a511-782c9d7ab5dc

Si un autre groupe d’utilisateurs a besoin d’accéder à l’invite de commandes, mais pas au Registre, vous pouvez créer un autre objet de stratégie de groupe qui les y autorise. L’accès aux outils de modification du Registre est toujours refusé, car le nouvel objet de stratégie de groupe n’écrase pas le paramétrage des outils de Registre effectué dans l’objet de stratégie de groupe de la stratégie utilisateur standard. En règle générale, un objet de stratégie de groupe répondant aux standards de l’entreprise comprend davantage de paramètres de stratégie et d’options de configuration que ceux montrés dans l’illustration précédente. Par exemple, les objets de stratégie de groupe répondant aux standards de l’entreprise sont généralement utilisés pour les tâches suivantes :

  • supprimer la totalité des fonctionnalités potentiellement nuisibles et superflues pour les utilisateurs ;

  • définir les autorisations d’accès, les paramètres de sécurité, ainsi que les autorisations de système de fichiers et de Registre pour les stations de travail et les serveurs membres.

En règle générale, les objets de stratégie de groupe sont affectés à la structure des unités d’organisation plutôt qu’au domaine ou au site. Si vous structurez votre modèle d’unité d’organisation autour des utilisateurs, des stations de travail et des serveurs, il vous sera plus facile d’identifier et de configurer des paramètres de stratégie répondant aux standards de l’entreprise. En outre, vous pouvez désactiver la partie utilisateur ou la partie ordinateur de l’objet de stratégie de groupe qui ne s’applique pas, ce qui facilite la gestion de la stratégie de groupe.

Lorsque vous définissez des valeurs par défaut pour les paramètres de stratégie liés à la sécurité, tels que l’appartenance aux groupes restreints, les autorisations d’accès au système de fichiers et les autorisations d’accès au Registre, il est important de garder à l’esprit que ces paramètres de stratégie fonctionnent selon le principe de la priorité au dernier rédacteur (last-writer-wins principle) et que les paramètres de stratégie ne sont pas fusionnés. L’exemple suivant démontre ce principe.

Exemple : principe de la priorité au dernier rédacteur

Un administrateur crée un objet de stratégie de groupe des stations de travail par défaut qui définit l’appartenance au groupe local des Utilisateurs avec pouvoir comme celle aux groupes du support technique et de l’assistance. Le groupe des activités de banque des entreprises souhaite ajouter le groupe de support des activités de banque des entreprises à cette liste et, à cette fin, crée un nouvel objet de stratégie de groupe des stations de travail par défaut. Sauf si le nouvel objet de stratégie de groupe spécifie que la totalité des trois groupes sont membres des Utilisateurs avec pouvoir, seul le groupe de support des activités de banque des entreprises dispose de droits Utilisateur avec pouvoir sur les stations de travail concernées.

Déploiement de la stratégie de groupe

Avant de déployer la stratégie de groupe, assurez-vous que vous êtes familiarisé avec les procédures impliquant les objets de stratégie de groupe, notamment la création des objets de stratégie de groupe, l’importation des paramètres de stratégie, la sauvegarde et la restauration des objets de stratégie de groupe, la modification et la liaison des objets de stratégie de groupe, la définition d’exceptions à l’héritage par défaut des objets de stratégie de groupe, le filtrage de l’application des objets de stratégie de groupe, la délégation de l’administration, ainsi que l’utilisation de la modélisation de stratégie de groupe à des fins de planification et le recours aux résultats de stratégie de groupe pour évaluer l’application des objets de stratégie de groupe.

Testez toujours complètement vos objets de stratégie de groupe dans un environnement sécurisé avant de procéder au déploiement de production. Plus vous planifiez, concevez et testez les objets de stratégie de groupe avant de les déployer, plus il est facile de créer, d’implémenter et de gérer un déploiement de stratégie de groupe optimal. On ne soulignera jamais assez l’importance des déploiements de test et pilotes dans ce contexte. Vos tests doivent simuler étroitement votre environnement de production.

Une conception n’est complète qu’une fois que vous avez testé et validé toutes ses variations significatives et votre stratégie de déploiement. Vous ne pouvez tester minutieusement votre stratégie d’implémentation d’objets de stratégie de groupe qu’après avoir configuré vos objets de stratégie de groupe à l’aide de paramètres de stratégie spécifiques, tels que les paramètres de sécurité, et d’une gestion appropriée des ordinateurs de bureau et des données. Effectuez cette opération pour chaque groupe d’utilisateurs et d’ordinateurs dans le réseau. Utilisez votre environnement de test pour développer, tester et valider des objets de stratégie de groupe spécifiques. Tirez pleinement parti de l’Assistant Modélisation de la Console de gestion des stratégies de groupe et de l’Assistant Résultats.

En outre, envisagez une implémentation itérative de la stratégie de groupe. En d’autres termes, plutôt que de déployer 100 nouveaux paramètres de stratégie de groupe, procédez à la phase intermédiaire, puis déployez dans un premier temps uniquement quelques paramètres de stratégie afin de valider le bon fonctionnement de l’infrastructure de stratégie de groupe.

Pour plus d’informations sur la réalisation d’une copie intermédiaire de la stratégie de groupe, voir Réalisation d’une copie intermédiaire des déploiements de la stratégie de groupe dans ce guide.

Création et utilisation des objets de stratégie de groupe

Étant donné que les modifications apportées à un objet de stratégie de groupe prennent effet immédiatement, maintenez l’objet de stratégie de groupe non lié à son emplacement de production (site, domaine ou unité d’organisation) jusqu’à ce que vous l’ayez complètement testé dans un environnement de test. Lorsque vous développez l’objet de stratégie de groupe, maintenez-le soit non lié, soit lié à une unité d’organisation de test.

Cette section décrit le processus de création et de déploiement des objets de stratégie de groupe. Pour plus d’informations sur le test des configurations de la stratégie de groupe avant le déploiement, voir Réalisation d’une copie intermédiaire des déploiements de la stratégie de groupe dans ce guide.

Les procédures suivantes expliquent comment créer et modifier des objets de stratégie de groupe à l’aide de la Console de gestion des stratégies de groupe.

Pour créer un objet de stratégie de groupe non lié

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, cliquez avec le bouton droit sur Objets de stratégie de groupe dans la forêt et le domaine dans lesquels vous souhaitez créer un nouvel objet de stratégie de groupe non lié.

  2. Cliquez sur Nouveau.

  3. Dans la boîte de dialogue Nouvel objet GPO, spécifiez un nom pour le nouvel objet de stratégie de groupe, puis cliquez sur OK.

Utilisez la procédure suivante pour modifier un objet de stratégie de groupe.

Pour modifier un objet de stratégie de groupe

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez Objets de stratégie de groupe dans la forêt et le domaine contenant l’objet de stratégie de groupe à modifier.

  2. Cliquez avec le bouton droit sur l’objet de stratégie de groupe à modifier, puis cliquez sur Modifier.

  3. Dans l’arborescence de la console, développez les éléments de manière à accéder à celui qui contient les paramètres de stratégie à modifier. Cliquez sur un élément pour afficher les paramètres de stratégie associés dans le volet d’informations.

  4. Dans le volet d’informations, double-cliquez sur les noms des paramètres de stratégie à modifier. Notez que certains paramètres de stratégie, tels que ceux associés au déploiement d’un nouveau package d’installation de logiciels, utilisent des interfaces utilisateur uniques.

  5. Dans la boîte de dialogue Propriétés, modifiez les paramètres de stratégie selon vos besoins, puis cliquez sur OK.

Pour lier un objet de stratégie de groupe

La principale façon d’appliquer les paramètres de stratégie dans un objet de stratégie de groupe à des utilisateurs et à des ordinateurs consiste à lier l’objet de stratégie de groupe à un conteneur dans Active Directory. Les objets de stratégie de groupe peuvent être liés à trois types de conteneurs dans Active Directory : sites, domaines ou unités d’organisation. Un objet de stratégie de groupe peut être lié à plusieurs conteneurs Active Directory.

Le stockage des objets de stratégie de groupe est géré domaine par domaine. Par exemple, si vous liez un objet de stratégie de groupe à une unité d’organisation, l’objet de stratégie de groupe ne se trouve pas dans cette unité d’organisation en réalité. Un objet de stratégie de groupe est un objet propre à un domaine et pouvant être lié n’importe où dans la forêt. L’interface utilisateur de la Console de gestion des stratégies de groupe facilite la distinction entre les liens et les objets de stratégie de groupe proprement dits.

Dans la Console de gestion des stratégies de groupe, vous pouvez lier un objet de stratégie de groupe existant à des conteneurs Active Directory à l’aide de l’une des deux méthodes suivantes :

  • Cliquez avec le bouton droit sur un élément de site, de domaine ou d’unité d’organisation, puis cliquez sur Lier un objet de stratégie de groupe existant. Cette procédure est équivalente au fait de choisir Ajouter sous l’onglet Stratégie de groupe qui était disponible dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, avant l’installation de la Console de gestion des stratégies de groupe. Cette procédure ne fonctionne que si l’objet de stratégie de groupe existe déjà dans le domaine.

  • Faites glisser un objet de stratégie de groupe depuis la zone située sous l’élément Objets de stratégie de groupe vers l’unité d’organisation à laquelle vous souhaitez lier l’objet de stratégie de groupe. Cette fonctionnalité glisser-déplacer fonctionne uniquement dans le même domaine.

En outre, vous pouvez utiliser la Console de gestion des stratégies de groupe pour simultanément créer un nouvel objet de stratégie de groupe et le lier, comme le décrit la section suivante.

Pour créer et lier un objet de stratégie de groupe

Pour créer un objet de stratégie de groupe et le lier à un site, un domaine ou une unité d’organisation, vous devez créer l’objet de stratégie de groupe dans le domaine, puis le lier.

La procédure suivante est équivalente au fait de cliquer sur Nouveau sous l’onglet Stratégie de groupe disponible dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, avant l’installation de la Console de gestion des stratégies de groupe. Bien que cette opération soit présentée dans la Console de gestion des stratégies de groupe en tant qu’action unique, deux actions ont lieu : un objet de stratégie de groupe est créé dans le domaine, puis le nouvel objet de stratégie de groupe est lié au site, au domaine ou à l’unité d’organisation.

Pour créer un objet de stratégie de groupe et le lier à un site, à un domaine ou à une unité d’organisation

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez Objets de stratégie de groupe dans la forêt et le domaine contenant l’objet de stratégie de groupe à lier.

  2. Cliquez avec le bouton droit sur un domaine ou un élément d’unité d’organisation, puis cliquez sur Créer un objet GPO dans ce domaine, et le lier ici.

  3. Dans la boîte de dialogue Nouvel objet GPO, tapez un nom pour le nouvel objet de stratégie de groupe, puis cliquez sur OK.

Utilisez la procédure suivante pour délier un objet de stratégie de groupe (c’est-à-dire, pour supprimer un lien entre un objet de stratégie de groupe et un site, un domaine ou une unité d’organisation).

Pour supprimer un lien entre un site, un domaine ou une unité d’organisation et un objet de stratégie de groupe

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez Objets de stratégie de groupe dans la forêt et le domaine contenant l’objet de stratégie de groupe à délier.

  2. Cliquez sur l’objet de stratégie de groupe à délier.

  3. Dans le volet d’informations, cliquez sur l’onglet Étendue.

  4. Si le message suivant apparaît, cliquez sur OK pour fermer le message (vous pouvez également indiquer au système de ne plus afficher le message lors de la création et de la liaison d’un nouvel objet de stratégie de groupe) :

    « Vous avez sélectionné un lien vers un objet de stratégie de groupe (GPO). À l’exception des modifications des propriétés du lien, les modifications effectuées ici affectent globalement l’objet GPO et ont un impact sur les autres emplacements auxquels cet objet GPO est lié. »

  5. Dans la section Liens, cliquez avec le bouton droit sur l’objet Active Directory auquel est associé le lien à supprimer, puis cliquez sur Supprimer les liens.

noteRemarque
La suppression d’un lien vers un objet de stratégie de groupe diffère de la suppression d’un objet de stratégie de groupe. Si vous supprimez uniquement un lien vers l’objet de stratégie de groupe, l’objet de stratégie de groupe existe toujours, de même que tous les autres liens existants entre les autres domaines et cet objet de stratégie de groupe. Toutefois, si vous supprimez un objet de stratégie de groupe, vous serez invité à supprimer l’objet de stratégie de groupe et tous les liens vers celui-ci dans le domaine sélectionné. Cette opération ne supprime pas les liens vers l’objet de stratégie de groupe des autres domaines. Veillez à supprimer les liens vers l’objet de stratégie de groupe dans les autres domaines avant de supprimer cet objet de stratégie de groupe de ce domaine.

Désactivation des paramètres de configuration utilisateurs ou de configuration ordinateurs dans un objet de stratégie de groupe

Si vous créez un objet de stratégie de groupe pour définir uniquement des paramètres de stratégie utilisateur, vous pouvez désactiver les paramètres de configuration ordinateurs dans l’objet de stratégie de groupe. Cette opération réduit légèrement le temps de démarrage des ordinateurs, car il n’est pas nécessaire d’évaluer les paramètres de configuration ordinateurs dans l’objet de stratégie de groupe pour déterminer l’existence éventuelle de paramètres de stratégie. Si vous configurez uniquement des paramètres de stratégie ordinateur, désactiver les paramètres de configuration utilisateurs dans l’objet de stratégie de groupe.

La figure 5 permet d’identifier les éléments de la Console de gestion des stratégies de groupe auxquels la procédure suivante fait référence.

3a7b8d0f-aa56-41e4-8294-7d48816627c0

Pour désactiver les paramètres de configuration utilisateurs ou de configuration ordinateurs dans un objet de stratégie de groupe

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez Objets de stratégie de groupe dans la forêt et le domaine contenant les paramètres de stratégie à désactiver.

  2. Cliquez avec le bouton droit sur l’objet de stratégie de groupe qui contient les paramètres de stratégie à désactiver.

  3. Dans la liste État GPO, sélectionnez l’une des options suivantes :

    • Désactiver tous les paramètres

    • Désactiver les paramètres de configuration ordinateurs

    • Activé (par défaut)

    • Désactiver les paramètres de configuration utilisateurs

Observations particulières sur les objets de stratégie de groupe liés à des sites

Les objets de stratégie de groupe liés à des sites peuvent s’avérer utiles pour définir la stratégie relative aux paramètres de proxy, aux imprimantes et aux paramètres liés au réseau. Tout objet de stratégie de groupe lié à un conteneur de site s’applique à tous les ordinateurs dans ce site, quel que soit le domaine dans la forêt auquel l’ordinateur appartient. Ce comportement présente les implications suivantes :

  • Vérifiez que les ordinateurs n’accèdent pas à un objet de stratégie de groupe de site par le biais d’une liaison réseau étendu, car cela engendrerait des problèmes de performances importants.

  • Par défaut, pour gérer des objets de stratégie de groupe de site, vous devez être membre du groupe Administrateurs de l’entreprise ou membre du groupe Admins du domaine dans le domaine racine de la forêt.

  • La réplication Active Directory entre des contrôleurs de domaine dans différents sites se produit moins fréquemment que la réplication entre des contrôleurs de domaine dans le même site et n’a lieu que pendant des périodes planifiées. Entre des sites, la réplication FRS n’est pas déterminée par la planification de la réplication des liens de sites ; cela n’est pas un problème au sein des sites.

    La fréquence et la planification de la réplication du service d’annuaire sont des propriétés des liens de sites qui connectent des sites. Par défaut, la fréquence de la réplication inter-sites est de trois heures. Pour modifier cette fréquence, utilisez la procédure suivante.

    Pour modifier la fréquence de la réplication inter-sites

    1. Ouvrez le composant Sites et services Active Directory.

    2. Dans l’arborescence de la console, développez Sites, Transports inter-sites, IP, puis cliquez sur le dossier de transports inter-sites qui contient le lien de sites pour lequel vous configurez une réplication inter-sites.

    3. Dans le volet d’informations, cliquez avec le bouton droit sur le lien de sites dont vous souhaitez configurer la fréquence de réplication inter-sites, puis cliquez sur Propriétés.

    4. Sous l’onglet Général, dans Réplication toutes les, tapez ou sélectionnez le nombre de minutes entre les réplications.

    5. Cliquez sur OK.

La modification de la planification ou de la fréquence de la réplication peut affecter la stratégie de groupe de manière significative. Par exemple, supposons que la fréquence de la réplication est définie sur trois heures ou sur une durée supérieure et que vous créez un objet de stratégie de groupe, puis que vous le liez à une unité d’organisation dans un domaine englobant plusieurs sites. Il est probable que vous deviez attendre plusieurs heures avant que tous les utilisateurs dans cette unité d’organisation aient reçu l’objet de stratégie de groupe.

Si la plupart des utilisateurs dans une unité d’organisation se trouvent à un emplacement distant et que vous disposez d’un contrôleur de domaine dans ce site, vous pouvez pallier la latence de la réplication inter-sites en réalisant toutes les opérations de stratégie de groupe sur le contrôleur de domaine dans ce site.

Utilisation du traitement en boucle pour configurer les paramètres de stratégie utilisateur

Le paramètre de stratégie Mode de traitement en boucle de la stratégie de groupe utilisateur est une option avancée qui permet d’éviter toute modification de la configuration de l’ordinateur, quelle que soit la personne qui se connecte. Ce paramètre de stratégie est approprié dans certains environnements étroitement gérés comportant des ordinateurs à utilisation spécifique, tels que les salles de classe, les bornes publiques et les zones de réception. Par exemple, vous pouvez activer ce paramètre de stratégie pour un serveur spécifique, tel qu’un serveur Terminal Server. L’activation du paramètre de stratégie de mode de traitement en boucle indique au système d’appliquer les mêmes paramètres de stratégie utilisateur pour tout utilisateur qui se connecte à l’ordinateur, en fonction de celui-ci.

Lorsque vous appliquez des objets de stratégie de groupe à des utilisateurs, normalement le même jeu de paramètres de stratégie utilisateur s’applique à ces utilisateurs lorsqu’ils se connectent à n’importe quel ordinateur. En activant le paramètre de stratégie de traitement en boucle dans un objet de stratégie de groupe, vous pouvez configurer les paramètres de stratégie utilisateur en fonction de l’ordinateur auquel ils se connectent. Ces paramètres de stratégie sont appliqués quel que soit l’utilisateur qui se connecte. Lorsque vous activez le paramètre de stratégie de mode de traitement en boucle, vous devez vérifier que les paramètres de configuration ordinateurs et les paramètres de configuration utilisateurs dans l’objet de stratégie de groupe sont activés.

À l’aide de la Console de gestion des stratégies de groupe, vous pouvez configurer le paramètre de stratégie de traitement en boucle pour modifier l’objet de stratégie de groupe en activant le paramètre de stratégie Mode de traitement en boucle de la stratégie de groupe utilisateur sous Configuration de l’ordinateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe. Deux options sont disponibles :

  • Mode de fusion : dans ce mode, la liste des objets de stratégie de groupe de l’utilisateur est établie pendant le processus d’ouverture de session. Ensuite, la liste des objets de stratégie de groupe de l’ordinateur est établie, puis ajoutée à la fin des objets de stratégie de groupe de l’utilisateur. Par conséquent, les objets de stratégie de groupe de l’ordinateur sont prioritaires sur les objets de stratégie de groupe de l’utilisateur. Si les paramètres de stratégie entrent en conflit, les paramètres de stratégie utilisateur dans les objets de stratégie de groupe de l’ordinateur sont appliqués, plutôt que les paramètres de stratégie normaux de l’utilisateur.

  • Mode de remplacement : dans ce mode, la liste des objets de stratégie de groupe de l’utilisateur n’est pas établie. À la place, seule la liste des objets de stratégie de groupe basés sur l’objet ordinateur est utilisée. Les paramètres de configuration utilisateurs issus de cette liste sont appliqués à l’utilisateur.

Délégation de l’administration de la stratégie de groupe

Votre conception de la stratégie de groupe implique probablement la délégation de certaines tâches administratives de la stratégie de groupe. La détermination du degré de centralisation ou de distribution du contrôle administratif de la stratégie de groupe est l’un des facteurs les plus importants de l’évaluation des besoins de votre organisation. Dans les organisations qui utilisent un modèle d’administration centralisée, un groupe informatique fournit des services, prend des décisions et définit des standards pour l’ensemble de la société. Dans les organisations qui utilisent un modèle d’administration distribuée, chaque division gère son propre groupe informatique.

Vous pouvez déléguer les tâches de stratégie de groupe suivantes :

  • gestion d’objets de stratégie de groupe spécifiques (par exemple, octroi d’un accès en modification ou en lecture à un objet de stratégie de groupe) ;

  • réalisation des tâches de stratégie de groupe suivantes sur des sites, domaines et unités d’organisation :

    • gestion des liens de stratégie de groupe pour un site, un domaine ou une unité d’organisation spécifique ;

    • lancement d’analyses de modélisation de stratégies de groupe pour les objets dans ce conteneur (non applicable aux sites) ;

    • lecture des données du résultat de la stratégie de groupe pour les objets dans ce conteneur (non applicable aux sites) ;

  • création d’objets de stratégie de groupe ;

  • création de filtres WMI ;

  • gestion et modification de filtres WMI spécifiques.

En fonction du modèle administratif de votre organisation, vous devez déterminer les aspects de la gestion de la configuration pouvant être gérés de façon optimale aux niveaux du site, du domaine et de l’unité d’organisation. Vous devez également déterminer la façon dont les responsabilités à chaque niveau de site, de domaine ou d’unité d’organisation peuvent être subdivisées entre les administrateurs ou les groupes administratifs disponibles à chaque niveau.

Pour déterminer s’il convient de déléguer l’autorité au niveau du site, du domaine ou de l’unité d’organisation, gardez à l’esprit les points suivants :

  • L’autorité déléguée au niveau du domaine a une incidence sur tous les objets dans ce domaine, si l’autorisation est définie de manière à être transmise à tous les conteneurs enfants.

  • L’autorité déléguée au niveau de l’unité d’organisation peut avoir une incidence sur cette unité d’organisation uniquement ou sur cette unité d’organisation et ses unités d’organisation enfants.

  • La gestion des autorisations est plus facile et plus efficace si vous affectez le contrôle au niveau d’unité d’organisation le plus élevé possible.

  • L’autorité déléguée au niveau du site est susceptible d’englober plusieurs domaines et peut influer sur les objets situés dans les domaines autres que le domaine contenant l’objet de stratégie de groupe.

Les sections suivantes expliquent comment utiliser la Console de gestion des stratégies de groupe pour réaliser ces tâches de délégation.

Délégation de la gestion d’objets de stratégie de groupe spécifiques

À l’aide de la Console de gestion des stratégies de groupe, vous pouvez facilement accorder des autorisations sur un objet de stratégie de groupe à des utilisateurs supplémentaires. La Console de gestion des stratégies de groupe gère les autorisations au niveau de la tâche. Il existe cinq niveaux d’autorisations possibles sur un objet de stratégie de groupe : Lire, Modifier, Modifier les paramètres, Supprimer, Modifier la sécurité, Lire (à partir du filtrage de sécurité) et Personnaliser. Ces niveaux d’autorisations correspondent à un ensemble fixe d’autorisations de bas niveau. Le tableau 3 indique les autorisations de bas niveau correspondantes pour chaque option.

Tableau 3 : options des autorisations sur les objets de stratégie de groupe et autorisations de bas niveau

Option d’autorisation sur un objet de stratégie de groupe Autorisations de bas niveau

Lire

Autoriser l’accès en lecture sur l’objet de stratégie de groupe.

Lire (à partir du filtrage de sécurité)

Ce paramètre ne peut pas être défini directement, mais il apparaît si l’utilisateur dispose des autorisations Lire et Appliquer la stratégie de groupe sur l’objet de stratégie de groupe, qui sont définies à l’aide du filtrage de sécurité sous l’onglet Étendue de l’objet de stratégie de groupe.

Modifier les paramètres

Autoriser l’accès en lecture, Autoriser l’accès en écriture, Créer des objets enfants, Supprimer des objets enfants.

Modifier les paramètres, supprimer, modifier la sécurité

Autoriser l’accès en lecture, Autoriser l’accès en écriture, Créer des objets enfants, Supprimer des objets enfants, Supprimer, Modifier les autorisations et Modifier le propriétaire. Cette option octroie un contrôle total sur l’objet de stratégie de groupe, sauf que l’autorisation Appliquer la stratégie de groupe n’est pas définie.

Personnaliser

Toutes les autres combinaisons de droits, comme le refus d’autorisations, apparaissent en tant qu’autorisations Personnaliser. Vous ne pouvez pas définir de droits personnalisés en cliquant sur Ajouter. Vous ne pouvez les définir qu’en cliquant sur Avancé, puis en modifiant les droits directement.

Pour accorder des autorisations sur un objet de stratégie de groupe à un utilisateur ou à un groupe, utilisez la procédure suivante.

Pour accorder des autorisations sur un objet de stratégie de groupe à un utilisateur ou à un groupe

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez Objets de stratégie de groupe dans la forêt et le domaine contenant l’objet de stratégie de groupe à modifier.

  2. Cliquez sur l’objet de stratégie de groupe sur lequel vous souhaitez accorder des autorisations.

  3. Dans le volet d’informations, cliquez sur l’onglet Délégation.

  4. Cliquez sur Ajouter.

  5. Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, spécifiez l’utilisateur ou le groupe auquel vous souhaitez accorder des autorisations, puis cliquez sur OK.

  6. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe, sous Autorisations, cliquez sur le niveau d’autorisations à accorder à l’utilisateur ou au groupe, puis cliquez sur OK.

Notez que l’autorisation Appliquer la stratégie de groupe, qui est utilisée pour le filtrage de sécurité, ne peut pas être définie à l’aide de l’onglet Délégation. Étant donné que l’autorisation Appliquer la stratégie de groupe est utilisée pour définir l’étendue de l’objet de stratégie de groupe, cette autorisation est gérée sous l’onglet Étendue de l’objet de stratégie de groupe dans la Console de gestion des stratégies de groupe. Pour accorder à un utilisateur ou groupe l’autorisation Appliquer la stratégie de groupe sur un objet de stratégie de groupe, sous l’onglet Étendue associé à l’objet, cliquez sur Ajouter, puis spécifiez l’utilisateur ou le groupe. Le nom de l’utilisateur ou du groupe apparaît dans la liste Filtrage de sécurité. Lorsque vous accordez à un utilisateur des autorisations Filtrage de sécurité sous l’onglet Étendue, vous définissez en réalité les autorisations Lire et Appliquer la stratégie de groupe.

Le tableau 4 recense les paramètres d’autorisation de sécurité par défaut pour un objet de stratégie de groupe.

Tableau 4 : autorisations de sécurité par défaut sur les objets de stratégie de groupe

Groupe de sécurité Autorisations

Utilisateurs authentifiés

Lire (à partir du filtrage de sécurité)

ENTERPRISE DOMAIN CONTROLLERS

Lire

Admins du domaine, Administrateurs de l’entreprise, Créateur propriétaire, SYSTEM

Modifier les paramètres, supprimer, modifier la sécurité

noteRemarque
Étant donné que les administrateurs font également partie du groupe Utilisateurs authentifiés, l’entrée de contrôle d’accès Appliquer la stratégie de groupe est par défaut définie sur Autoriser pour les administrateurs. Par conséquent, les paramètres de stratégie s’appliquent également à ces derniers s’ils se trouvent dans le conteneur où l’objet de stratégie de groupe est lié.

Délégation des tâches de stratégie de groupe sur les sites, les domaines et les unités d’organisation

Vous pouvez déléguer les trois tâches de stratégie de groupe suivantes (autorisations) dans Active Directory pour un conteneur spécifique :

  • liaison d’objets de stratégie de groupe à un conteneur Active Directory (site, domaine ou unité d’organisation) ;

  • lancement d’une analyse de modélisation de stratégie de groupe pour les objets dans ce conteneur (domaines et unités d’organisation) ;

  • lecture des données des résultats de la stratégie de groupe pour les objets dans ce conteneur (domaines et unités d’organisation).

Pour déléguer une tâche administrative, vous devez accorder l’autorisation correspondant à la tâche sur le conteneur Active Directory approprié à l’aide de la Console de gestion des stratégies de groupe.

Par défaut, les membres du groupe Admins du domaine sont habilités à lier des objets de stratégie de groupe pour les domaines et les unités d’organisation, tandis que les membres des groupes Administrateurs de l’entreprise et Admins du domaine dans le domaine racine de la forêt peuvent gérer les liens vers les sites. Vous pouvez déléguer des autorisations à des groupes et à des utilisateurs supplémentaires à l’aide de la Console de gestion des stratégies de groupe.

Par défaut, l’accès à la modélisation de stratégie de groupe et l’accès à distance aux données des résultats de stratégie de groupe sont limités aux membres des groupes Administrateurs de l’entreprise et Admins du domaine. Vous pouvez déléguer l’accès à ces données aux administrateurs de niveaux inférieurs en définissant les autorisations appropriées dans la Console de gestion des stratégies de groupe.

Les procédures suivantes expliquent comment déléguer des tâches administratives de stratégie de groupe en modifiant les autorisations appropriées sur les conteneurs Active Directory.

Pour déléguer des tâches administratives de stratégie de groupe sur un site, un domaine ou une unité d’organisation

  1. Dans la Console de gestion des stratégies de groupe, cliquez sur le nom du site, du domaine ou de l’unité d’organisation sur lequel vous souhaitez déléguer des tâches administratives de stratégie de groupe.

  2. Dans le volet d’informations associé au site, au domaine ou à l’unité d’organisation, cliquez sur l’onglet Délégation.

  3. Dans la liste Autorisation, cliquez sur l’une des options suivantes : Lier les objets GPO, Lancer des analyses de modélisation de stratégies de groupe ou Lire les données du résultat de la Stratégie de groupe. Notez que seule l’option Lier les objets GPO est disponible pour les sites.

  4. Pour déléguer la tâche à un nouvel utilisateur ou à un nouveau groupe, cliquez sur Ajouter, puis spécifiez l’utilisateur ou le groupe à ajouter.

  5. Pour modifier le paramètre S’applique à associé à une autorisation existante (c’est-à-dire, pour changer le conteneur Active Directory auquel s’applique l’autorisation accordée à un utilisateur ou groupe spécifique), cliquez avec le bouton droit sur l’utilisateur ou sur le groupe dans la liste Groupes et utilisateurs, puis cliquez sur Ce conteneur seulement ou Ce conteneur et ses enfants.

  6. Pour supprimer un groupe ou un utilisateur existant de la liste des groupes ou des utilisateurs ayant obtenu l’autorisation spécifiée, cliquez sur l’utilisateur ou sur le groupe dans la liste Groupes et utilisateurs, puis cliquez sur Supprimer. Notez que vous devez être membre du groupe Admins du domaine pour effectuer cette opération.

  7. Pour ajouter ou supprimer des autorisations personnalisées :

    1. Cliquez sur Avancé sous l’onglet Sécurité.

    2. Sous Groupes ou noms d’utilisateurs, cliquez sur l’utilisateur ou sur le groupe dont vous souhaitez modifier les autorisations.

    3. Sous Autorisations, modifiez les autorisations selon vos besoins, puis cliquez sur OK.

Délégation de la création des objets de stratégie de groupe

La possibilité de créer des objets de stratégie de groupe dans un domaine est une autorisation gérée domaine par domaine. Par défaut, seuls les membres des groupes Admins du domaine, Administrateurs de l’entreprise, Propriétaires créateurs de la stratégie de groupe et SYSTEM peuvent créer de nouveaux objets de stratégie de groupe.

Un membre du groupe Admins du domaine peut déléguer la création d’objets de stratégie de groupe à n’importe quel groupe ou utilisateur. Deux méthodes permettent d’accorder cette autorisation à un groupe ou à un utilisateur et ces deux méthodes accordent des autorisations identiques :

  • Ajouter le groupe ou l’utilisateur au groupe Propriétaires créateurs de la stratégie de groupe. Seule cette méthode était disponible avant l’introduction de la Console de gestion des stratégies de groupe.

  • Utiliser la Console de gestion des stratégies de groupe pour accorder explicitement au groupe ou à l’utilisateur l’autorisation de créer des objets de stratégie de groupe. Pour ce faire, dans l’arborescence de la Console de gestion des stratégies de groupe, cliquez sur Objets de stratégie de groupe, cliquez sur l’onglet Délégation, puis modifiez les autorisations selon vos besoins.

Lorsqu’un membre du groupe Propriétaires créateurs de la stratégie de groupe qui n’est pas administrateur crée un objet de stratégie de groupe, cet utilisateur devient le créateur propriétaire de l’objet de stratégie de groupe et peut modifier les autorisations sur cet objet. Toutefois, les membres du groupe Propriétaires créateurs de la stratégie de groupe ne peuvent pas lier des objets de stratégie de groupe à des conteneurs, sauf s’ils ont obtenu séparément le droit d’effectuer cette opération sur un site, un domaine ou une unité d’organisation spécifique. Le fait d’être membre du groupe Propriétaires créateurs de la stratégie de groupe permet à l’utilisateur qui n’est pas administrateur de ne contrôler totalement que les objets de stratégie de groupe qu’il crée. Les membres du groupe Propriétaires créateurs de la stratégie de groupe ne disposent pas d’autorisations pour les objets de stratégie de groupe qu’ils ne créent pas.

noteRemarque
Lorsqu’un administrateur crée un objet de stratégie de groupe, les membres du groupe Admins du domaine deviennent les créateurs propriétaires de l’objet. Par défaut, les membres du groupe Admins du domaine peuvent modifier tous les objets de stratégie de groupe dans le domaine.

Le droit de lier des objets de stratégie de groupe est délégué indépendamment du droit de créer des objets de stratégie de groupe et du droit de modifier des objets de stratégie de groupe. Pensez à déléguer les deux droits aux groupes qui devront créer et lier des objets de stratégie de groupe. Par défaut, les utilisateurs qui ne sont pas administrateurs de domaine ne peuvent pas gérer des liens, ce qui les empêche d’utiliser la Console de gestion des stratégies de groupe pour créer et lier un objet de stratégie de groupe. Toutefois, les utilisateurs qui ne sont pas administrateurs de domaine peuvent créer un objet de stratégie de groupe non lié s’ils sont membres du groupe Propriétaires créateurs de la stratégie de groupe. Une fois qu’un utilisateur qui n’est pas administrateur de domaine a créé un objet de stratégie de groupe non lié, l’administrateur du domaine, ou toute autre personne ayant obtenu l’autorisation de lier des objets de stratégie de groupe à des conteneurs, peut lier l’objet de stratégie de groupe de manière appropriée.

Étant donné que le groupe Propriétaires créateurs de la stratégie de groupe est un groupe global de domaine, il ne peut pas contenir de membres n’appartenant pas au domaine. Par conséquent, pour déléguer l’autorisation de créer des objets de stratégie de groupe à des utilisateurs n’appartenant pas au domaine, vous devez utiliser la Console de gestion des stratégies de groupe afin d’accorder explicitement à ces utilisateurs les autorisations appropriées.

Pour ce faire, créez un nouveau groupe local de domaine dans le domaine (par exemple, « PCSG—externe »), accordez-lui l’autorisation de créer des objets de stratégie de groupe dans le domaine, puis ajoutez-y des groupes globaux de domaine à partir de domaines externes. Pour les utilisateurs et les groupes dans le domaine, vous devez continuer à utiliser le groupe Propriétaires créateurs de la stratégie de groupe pour accorder l’autorisation de créer des objets de stratégie de groupe.

Délégation de la création des filtres WMI

Vous pouvez déléguer l’un des deux niveaux d’autorisation suivants à un utilisateur ou à un groupe pour la création de filtres WMI :

  • Créateur propriétaire : permet à l’utilisateur ou au groupe de créer de nouveaux filtres WMI dans le domaine, mais n’accorde pas l’autorisation de gérer les filtres WMI créés par les autres utilisateurs.

  • Contrôle total : permet à l’utilisateur ou au groupe de créer des filtres WMI et accorde un contrôle total sur tous les filtres WMI dans le domaine, y compris sur les nouveaux filtres créés après que les utilisateurs ont obtenu cette autorisation.

Vous pouvez déléguer ces autorisations à l’aide de la Console de gestion des stratégies de groupe. Dans l’arborescence de la Console de gestion des stratégies de groupe, cliquez sur Filtres WMI. Dans le volet d’informations, cliquez sur l’onglet Délégation, puis déléguez les autorisations selon vos besoins.

Délégation d’autorisations pour la gestion de filtres WMI spécifiques

Vous pouvez déléguer l’un des deux niveaux d’autorisations suivants à un utilisateur ou à un groupe pour la gestion d’un filtre WMI spécifique :

  • Modifier : permet à l’utilisateur ou au groupe de modifier le filtre WMI sélectionné.

  • Contrôle total : permet à l’utilisateur ou au groupe de modifier les paramètres, supprimer et modifier la sécurité sur le filtre WMI sélectionné.

Vous pouvez déléguer ces autorisations à l’aide de la Console de gestion des stratégies de groupe. Dans l’arborescence de la Console de gestion des stratégies de groupe, cliquez sur le filtre WMI pour lequel vous souhaitez déléguer les autorisations. Dans le volet d’informations, cliquez sur l’onglet Délégation, puis déléguez les autorisations selon vos besoins.

Notez que tous les utilisateurs disposent d’un accès Lire à tous les filtres WMI. La Console de gestion des stratégies de groupe ne permet pas de supprimer cette autorisation. La suppression de l’autorisation Lire entraînerait l’échec du traitement de la stratégie de groupe sur l’ordinateur de destination.

Définition des procédures opérationnelles de la stratégie de groupe

Pour faciliter la gestion future de la stratégie de groupe, vous devez développer des procédures opérationnelles afin que les modifications apportées aux objets de stratégie de groupe soient réalisées de manière autorisée et contrôlée. En particulier, assurez-vous que la totalité des nouveaux objets de stratégie de groupe et des modifications apportées aux objets de stratégie de groupe existants sont correctement testés avant de les déployer dans votre environnement de production. Vous devez également créer des sauvegardes régulières de vos objets de stratégie de groupe.

Dans certaines organisations, différentes équipes peuvent être responsables de la gestion de différents aspects de la stratégie de groupe. Par exemple, une équipe de déploiement de logiciels est généralement concernée par les paramètres de stratégie sous Configuration utilisateur\Stratégies\Paramètres du logiciel\Installation du logiciel et Configuration ordinateur\Stratégies\Paramètres du logiciel\Installation du logiciel. Il est peu probable que les autres paramètres de stratégie, relatifs aux éléments tels que Scripts et Redirection de dossiers, présentent un intérêt pour cette équipe.

Pour atténuer la complexité et réduire au minimum le risque d’erreurs, envisagez de créer des objets de stratégie de groupe distincts pour différents groupes d’administrateurs. Par ailleurs, vous pouvez restreindre l’accès des administrateurs aux parties de la stratégie de groupe qu’ils sont autorisés à modifier. Vous pouvez utiliser le paramètre de stratégie Restreint/Composants logiciels enfichables autorisés\Composants logiciels enfichables d’extension pour restreindre les composants logiciels enfichables accessibles aux administrateurs. Ce paramètre de stratégie est disponible lorsque vous modifiez un objet de stratégie de groupe sous Configuration utilisateur\Stratégies\Modèles d’administration\Composants Windows\Microsoft Management Console.. Le paramètre de stratégie Restreint/Composants logiciels enfichables autorisés\Composants logiciels enfichables d’extension se rapporte à l’interface utilisateur accessible à l’aide de l’éditeur qui accompagne la Console de gestion des stratégies de groupe. Gardez à l’esprit que certaines équipes peuvent avoir besoin d’accéder à plusieurs types de composants logiciels enfichables d’extension.

noteRemarque
Les paramètres de stratégie de la console MMC n’ont une incidence que sur l’interface utilisateur accessible à l’aide de la console MMC ; si la stratégie de groupe est modifiée par programme, n’importe quel paramètre d’objet de stratégie de groupe peut être modifié.

Pour plus d’informations sur ces paramètres de stratégie de groupe ainsi que sur d’autres, double-cliquez sur le paramètre de stratégie de votre choix dans le volet d’informations lorsque vous modifiez un objet de stratégie de groupe, puis cliquez sur l’onglet Expliquer dans la boîte de dialogue Propriétés de la stratégie. Notez que ces informations sont toujours disponibles lorsque vous cliquez sur un paramètre de stratégie si l’option Vue étendue est activée. Par défaut, cette vue est activée.

Spécification d’un contrôleur de domaine pour la modification de la stratégie de groupe

Dans chaque domaine, la Console de gestion des stratégies de groupe utilise le même contrôleur de domaine pour toutes les opérations effectuées dans ce domaine. Celles-ci comprennent toutes les opérations sur les objets de stratégie de groupe qui se trouvent dans ce domaine, ainsi que celles sur tous les autres objets dans ce domaine, tels que les unités d’organisation et les groupes de sécurité.

En outre, la Console de gestion des stratégies de groupe utilise le même contrôleur de domaine pour toutes les opérations sur les sites. Ce contrôleur de domaine permet de lire et d’écrire des informations sur l’existence de liens spécifiques vers des objets de stratégie de groupe sur un site donné, mais les informations relatives aux objets de stratégie de groupe proprement dits proviennent des contrôleurs de domaine des domaines qui hébergent les objets de stratégie de groupe.

Par défaut, lorsque vous ajoutez un nouveau domaine à la console, la Console de gestion des stratégies de groupe utilise le contrôleur de domaine qui contient le rôle de maître d’opérations de l’émulateur du contrôleur de domaine principal (PDC) dans ce domaine pour les opérations effectuées dans celui-ci. Pour la gestion des sites, la Console de gestion des stratégies de groupe utilise par défaut l’émulateur PDC dans le domaine de l’utilisateur.

Le choix des contrôleurs de domaine est important pour les administrateurs afin d’éviter les conflits de réplication. En effet, les données des objets de stratégie de groupe se trouvent à la fois dans Active Directory et dans le dossier Sysvol, qui s’appuient sur des mécanismes de réplication indépendants pour la réplication des données des objets de stratégie de groupe vers les différents contrôleurs de domaine dans le domaine. Si deux administrateurs modifient simultanément le même objet de stratégie de groupe sur différents contrôleurs de domaine, il est possible que les modifications écrites par un administrateur soient remplacées par un autre administrateur, en fonction de la latence de la réplication.

Pour éviter cela, la Console de gestion des stratégies de groupe utilise par défaut l’émulateur PDC dans chaque domaine. Ainsi, tous les administrateurs utilisent le même contrôleur de domaine et les mêmes mécanismes de protection contre les pertes de données. Toutefois, il peut s’avérer inopportun pour un administrateur de modifier des objets de stratégie de groupe à l’aide du contrôleur de domaine principal. Par exemple, si l’administrateur se trouve dans un site distant ou qu’une majorité des utilisateurs ou des ordinateurs ciblés par l’objet de stratégie de groupe se trouve dans un site distant, l’administrateur peut choisir de cibler un contrôleur de domaine à l’emplacement distant. Ainsi, si vous êtes un administrateur situé au Japon et que l’émulateur PDC se trouve à New York, il peut s’avérer peu pratique de recourir à une liaison réseau étendu pour accéder à l’émulateur PDC de New York.

ImportantImportant
Si plusieurs administrateurs gèrent un objet de stratégie de groupe commun, tous les administrateurs doivent utiliser le même contrôleur de domaine lorsqu’ils modifient un objet de stratégie de groupe particulier afin d’éviter les collisions dans le service de réplication de fichiers.

Pour spécifier le contrôleur de domaine à utiliser pour un domaine donné ou pour tous les sites dans une forêt, utilisez la commande Modifier le contrôleur de domaine dans la Console de gestion des stratégies de groupe. Dans les deux cas, les quatre options suivantes sont disponibles :

  • Le contrôleur de domaine avec le jeton de maître d’opérations pour l’émulateur PDC (option par défaut)

  • Tout contrôleur de domaine disponible

  • Tout contrôleur de domaine exécutant Windows Server 2003 ou version ultérieure

  • Ce contrôleur de domaine (dans ce cas, vous devez sélectionner le contrôleur de domaine)

L’option sélectionnée est utilisée chaque fois que vous ouvrez une console enregistrée, jusqu’à ce que vous changiez d’option.

Cette préférence est enregistrée dans le fichier .msc et est utilisée lorsque vous ouvrez ce fichier. En règle générale, il est déconseillé d’utiliser l’option Tout contrôleur de domaine disponible, sauf si vous réalisez des opérations de lecture seule.

Traitement de la stratégie de groupe et liaisons lentes

Parfois, la stratégie de groupe n’est pas appliquée lorsque la vitesse de connexion tombe en deçà de seuils spécifiés. Par conséquent, lorsque votre solution de stratégie de groupe exige l’application de la stratégie via des liaisons lentes ou un accès à distance, vous devez envisager des paramètres de stratégie permettant de détecter les liaisons lentes.

Bien qu’il existe un rapport entre les liaisons lentes et l’accès à distance, le traitement de la stratégie de groupe n’est pas le même dans les deux cas. Le fait qu’un ordinateur soit connecté à un réseau local n’implique pas nécessairement une liaison rapide ; de même, une connexion d’accès à distance n’implique pas une liaison lente. Par défaut, la stratégie de groupe considère tout débit inférieur à 500 kilobits par seconde (Kbits/s) comme une liaison lente. Vous pouvez modifier ce seuil à l’aide de la stratégie de groupe. La section suivante décrit les phases du traitement de la stratégie de groupe et la façon dont la stratégie de groupe dans Windows Server 2008 mesure la vitesse de la liaison.

Phases du traitement de la stratégie de groupe

Le traitement de la stratégie de groupe se déroule en trois phases. Chaque phase du processus comprend un sous-ensemble de scénarios de traitement. Lors du traitement de la stratégie de groupe, le service Stratégie de groupe examine chaque scénario à mesure qu’il parcourt chaque phase. Les phases du traitement de la stratégie de groupe sont les suivantes :

  • Phase de prétraitement : indique l’instance initiale du traitement de la stratégie de groupe et rassemble les informations nécessaires à ce traitement.

  • Phase de traitement : utilise les informations collectées dans la phase de prétraitement pour examiner chaque extension de stratégie de groupe, qui applique des paramètres de stratégie à l’utilisateur ou à l’ordinateur.

  • Phase de post-traitement : marque la fin de l’instance du traitement de la stratégie et indique si l’instance s’est achevée correctement, si son traitement a donné lieu à des avertissements ou si elle a échoué.

Le service Stratégie de groupe ne peut récupérer des informations propres aux ordinateurs et aux utilisateurs que si la communication est réussie avec un contrôleur de domaine. En outre, le service utilise le contrôleur de domaine pour découvrir les objets de stratégie de groupe dans l’étendue de l’ordinateur ou de l’utilisateur.

Procédure suivie par la stratégie de groupe pour mesurer la vitesse de la liaison

Pour la stratégie de groupe dans Windows Server 2008, le processus de détection de liaison lente a été amélioré. En ce qui concerne la stratégie de groupe dans Windows Server 2003, un client recherche son contrôleur de domaine en utilisant le protocole ICMP (Internet Control Message Protocol) pour déterminer la disponibilité du contrôleur de domaine et la vitesse de la liaison entre le client et le contrôleur de domaine. Dans Windows Server 2008, le service Stratégie de groupe détermine la vitesse de la liaison en utilisant le service de connaissance des emplacements réseau (NLA, Network Location Awareness) pour échantillonner le trafic TCP actuel entre le client et le contrôleur de domaine. Cet échantillonnage se produit pendant la phase de prétraitement.

Le service Stratégie de groupe demande au service NLA de démarrer l’échantillonnage de la bande passante TCP sur l’interface réseau qui héberge le contrôleur de domaine peu de temps après que le service Stratégie de groupe a découvert un contrôleur de domaine. Le service Stratégie de groupe poursuit la phase de prétraitement en communiquant avec le contrôleur de domaine pour découvrir le rôle de l’ordinateur actuel (membre ou contrôleur de domaine), l’utilisateur connecté et les objets de stratégie de groupe appartenant à l’étendue de l’ordinateur ou de l’utilisateur. Ensuite, le service Stratégie de groupe demande au service NLA d’arrêter l’échantillonnage du trafic TCP et de fournir, à partir de cet échantillonnage, une estimation de la bande passante entre l’ordinateur et le contrôleur de domaine. Comme indiqué, la stratégie de groupe considère par défaut que la liaison est lente lorsque l’échantillonnage du service NLA est inférieur à 500 Kbits/s.

Vous pouvez utiliser un paramètre de stratégie pour définir une liaison lente à des fins d’application de la stratégie de groupe, comme l’expliquent les sections suivantes.

Spécification de paramètres de stratégie de groupe pour la détection des liaisons lentes

Vous pouvez partiellement déterminer les extensions de stratégie de groupe qui sont traitées via une liaison lente. Par défaut, lorsque le traitement s’effectue via une liaison lente, tous les composants de la stratégie de groupe ne sont pas traités. Le tableau 5 recense les valeurs par défaut pour le traitement de la stratégie de groupe via des liaisons lentes.

Tableau 5 : valeurs par défaut pour le traitement de la stratégie de groupe via des liaisons lentes

Paramètre Valeur par défaut

Sécurité

ACTIVÉ (ne peut pas être désactivé)

Sécurité IP

ACTIVÉ

EFS

ACTIVÉ

Stratégies de restriction logicielle

ACTIVÉ

Sans fil

ACTIVÉ

Modèles d’administration

ACTIVÉ (ne peut pas être désactivé)

Installation de logiciel

DÉSACTIVÉ

Scripts

DÉSACTIVÉ

Redirection de dossiers

DÉSACTIVÉ

Planificateur de paquets QoS

ACTIVÉ

Quota de disque

DÉSACTIVÉ

Mappage des zones Internet Explorer

ACTIVÉ

Maintenance d’IE

ACTIVÉ

Préférences de stratégie de groupe

ACTIVÉ

Recherche Windows

ACTIVÉ

Connexions d’imprimantes déployées

DÉSACTIVÉ

Client de stratégie de groupe 802.3

ACTIVÉ

Fichiers hors connexion Microsoft

ACTIVÉ

Vous pouvez utiliser un paramètre de stratégie de groupe pour définir une liaison lente à des fins d’application et de mise à jour de la stratégie de groupe. La valeur par défaut définit comme liaison lente un débit inférieur à 500 Kbits/s.

Pour spécifier les paramètres de la détection de liaison lente dans la stratégie de groupe pour les ordinateurs, lorsque vous modifiez un objet de stratégie de groupe, utilisez le paramètre de stratégie Détection d’une liaison lente de stratégie de groupe situé dans Configuration de l’ordinateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe. La vitesse de connexion est exprimée en Kbits/s.

Pour configurer ce paramètre de stratégie pour les utilisateurs, utilisez le paramètre de stratégie Détection d’une liaison lente de stratégie de groupe situé dans Configuration utilisateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe.

Pour les profils utilisateur, le paramètre de stratégie Délai d’attente des connexions réseau lentes pour les profils utilisateur se trouve dans le nœud Configuration de l’ordinateur\Stratégies\Modèles d’administration\Système\Profils utilisateur. Ce paramètre de stratégie permet à la stratégie de groupe de vérifier les performances réseau du serveur de fichiers qui héberge le profil utilisateur. Cette étape est nécessaire, car les profils utilisateur peuvent être stockés n’importe où et il est possible que le serveur ne prenne pas IP en charge. Vous devez spécifier les vitesses de connexion en Kbits/s et en millisecondes lorsque vous configurez ce paramètre de stratégie.

ImportantImportant
 

Si le paramètre de stratégie Ne pas détecter les connexions réseau lentes est activé, le paramètre de stratégie Délai d’attente des connexions réseau lentes pour les profils utilisateur est ignoré.

Si le paramètre de stratégie Supprimer les copies mises en cache des profils itinérants est activé, il n’y a pas de copie locale du profil itinérant à charger lorsque le système détecte une connexion lente.

Définition de la stratégie ordinateur pour les extensions côté client pour le traitement via des liaisons lentes

La stratégie de groupe est implémentée dans sa presque totalité sous la forme d’une série d’extensions côté client, telles que la sécurité, les modèles d’administration et la redirection des dossiers. Il existe une stratégie ordinateur qui permet de configurer un comportement de liaison lente pour chaque extension côté client. Vous pouvez utiliser ces paramètres de stratégie pour spécifier le comportement des extensions côté client lors du traitement de la stratégie de groupe. Il existe au maximum trois options pour chaque paramètre de stratégie. L’option Autoriser le traitement sur une connexion réseau lente contrôle le traitement des paramètres de stratégie via des liaisons lentes. Les deux autres options permettent de spécifier que le paramètre de stratégie ne doit pas être traité en tâche de fond ou qu’il doit être mis à jour et réappliqué même si les paramètres de stratégie n’ont pas subi de modification. Pour plus d’informations sur la stratégie pour les extensions côté client, voir Spécification de paramètres de stratégie de groupe pour la détection des liaisons lentes dans ce guide.

Étant donné que certaines extensions déplacent de grandes quantités de données, le traitement via une liaison lente peut affecter les performances. Par défaut, seuls les modèles d’administration et les paramètres de stratégie liés à la sécurité sont traités via une liaison lente.

Vous pouvez configurer les paramètres de traitement de la stratégie de groupe pour les paramètres de stratégie suivants :

  • Installation de logiciel

  • Sécurité IP

  • Récupération EFS

  • Quota de disque

  • Maintenance d’Internet Explorer

  • Scripts

  • Redirection de dossiers

  • Registre

  • Sécurité

  • Câblé

  • Sans fil

  • Préférences de stratégie de groupe

La configuration de ces paramètres de stratégie est décrite dans la section Contrôle des extensions côté client à l’aide de la stratégie de groupe plus loin dans ce guide.

Stratégie de groupe et connexions d’accès à distance

Le traitement de la stratégie de groupe par le biais d’une connexion d’accès à distance diffère du traitement via une liaison lente. La stratégie de groupe est appliquée pendant une connexion d’accès à distance comme suit :

  • Lorsque les utilisateurs cliquent pour sélectionner une option de connexion à distance avant de se connecter à un ordinateur de destination via la connexion à distance, les paramètres de stratégie de groupe utilisateur et ordinateur sont appliqués si l’ordinateur est membre du domaine auquel le serveur d’accès à distance appartient ou qu’il approuve. Toutefois, les paramètres de stratégie ordinateur relatifs à l’installation des logiciels ne sont pas traités, tandis que les scripts de démarrage ordinateur ne sont pas exécutés, car la stratégie ordinateur est normalement traitée avant que ne s’affiche l’écran d’ouverture de session. Cependant, pour une connexion à distance, l’application de la stratégie ordinateur est accomplie en tant qu’actualisation en tâche de fond pendant le processus d’ouverture de session.

  • Lorsque le traitement des informations d’identification mises en cache est terminé et qu’une connexion d’accès à distance est établie, la stratégie de groupe n’est pas appliquée, sauf pendant une actualisation en tâche de fond.

La stratégie de groupe n’est pas appliquée aux ordinateurs membres d’un groupe de travail, car la stratégie ordinateur n’est jamais appliquée aux ordinateurs qui se trouvent dans un groupe de travail.

Contrôle des extensions côté client à l’aide de la stratégie de groupe

Plusieurs composants de stratégie de groupe comprennent des extensions côté client, généralement implémentées sous la forme de fichiers .dll, qui sont responsables du traitement et de l’application des paramètres de stratégie de groupe sur les ordinateurs de destination.

Pour chaque extension côté client, l’ordre de traitement des objets de stratégie de groupe provient d’une liste d’objets de stratégie de groupe, déterminée par le moteur de la stratégie de groupe pendant le traitement. Chaque extension côté client traite la liste d’objets de stratégie de groupe obtenue.

Une stratégie ordinateur permet de contrôler le comportement de chacune des extensions côté client de la stratégie de groupe. Chaque stratégie comprend jusqu’à trois options et certaines comprennent des options de configuration plus spécifiques. Vous pouvez configurer des stratégies ordinateur pour les extensions côté client lorsque vous modifiez un objet de stratégie de groupe ; pour ce faire, ouvrez le dossier Configuration de l’ordinateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe, puis double-cliquez sur la stratégie associée à l’extension appropriée.

Vous pouvez définir les options de stratégie ordinateur suivantes :

  • Autoriser le traitement sur une connexion réseau lente. Étant donné que quelques extensions transfèrent de grandes quantités de données, le traitement via une liaison lente peut réduire les performances. Par défaut, seuls les modèles d’administration et les paramètres de stratégie de sécurité sont traités via une liaison lente. Vous pouvez définir cette stratégie de manière à ce que les autres extensions côté client soient également traitées via une liaison lente. Pour déterminer les caractéristiques d’une liaison lente, utilisez le paramètre de stratégie de détection des liaisons lentes dans la stratégie de groupe. Pour plus d’informations, voir Spécification de paramètres de stratégie de groupe pour la détection des liaisons lentes dans ce guide.

  • Ne pas appliquer lors des traitements en tâche de fond périodiques. Windows applique la stratégie ordinateur au démarrage, puis toutes les 90 minutes. En outre, il applique la stratégie utilisateur lorsque l’utilisateur se connecte à l’ordinateur, puis approximativement toutes les 90 minutes en tâche de fond. L’option Ne pas appliquer lors des traitements en tâche de fond périodiques vous permet d’ignorer ce comportement et d’empêcher l’exécution de la stratégie de groupe en tâche de fond.

noteRemarque
Les extensions Installation de logiciel et Redirection de dossiers traitent la stratégie de groupe uniquement au démarrage et lorsque l’utilisateur se connecte au réseau, en raison des risques liés au traitement de ces stratégies en tâche de fond, alors que les utilisateurs manipulent éventuellement des applications et des fichiers ouverts.

  • Traiter même si les objets de la stratégie de groupe n’ont pas changé. Si les objets de stratégie de groupe sur le serveur ne changent pas, il est généralement inutile de les réappliquer continuellement sur l’ordinateur de destination, sauf pour écraser les modifications locales éventuelles. Étant donné que les utilisateurs qui ont ouvert une session en tant qu’administrateurs locaux peuvent être en mesure de modifier les parties du Registre contenant les paramètres de stratégie de groupe, vous pouvez réappliquer ces paramètres de stratégie selon vos besoins pendant le processus d’ouverture de session ou pendant le traitement périodique en tâche de fond pour rétablir l’ordinateur dans l’état de votre choix.

Par exemple, supposons que la stratégie de groupe définit un ensemble spécifique d’options de sécurité pour un fichier et qu’un utilisateur disposant d’informations d’identification d’administration ouvre une session et modifie ces options de sécurité. Vous pouvez activer l’option Traiter même si les objets de la stratégie de groupe n’ont pas changé afin que les options de sécurité spécifiées dans la stratégie de groupe soient réappliquées lors de la prochaine actualisation de la stratégie. Les mêmes observations valent pour les applications : lorsque cette option est activée, si la stratégie de groupe installe une application, mais que l’utilisateur supprime cette application ou enlève son icône, l’application est republiée la prochaine fois que l’utilisateur se connecte à l’ordinateur.

Par défaut, les paramètres de stratégie de sécurité fournis par la stratégie de groupe sont appliqués toutes les 16 heures (960 minutes), même si aucun objet de stratégie de groupe n’a subi de modification. Il est possible de modifier cette période par défaut à l’aide de l’entrée de Registre MaxNoGPOListChangesInterval dans la sous-clé suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}.

Le type de données de cette entrée est REG_DWORD et la valeur correspond au nombre de minutes.

CautionAttention
Toute modification incorrecte du Registre peut endommager gravement votre système. Avant d’apporter des modifications au Registre, il est conseillé de sauvegarder toutes les données importantes stockées sur l’ordinateur.

Stratégie de groupe et Sysvol

Les informations sur les paramètres de stratégie dans les objets de stratégie de groupe sont stockées à deux emplacements : Active Directory et le dossier Sysvol des contrôleurs de domaine. Le conteneur Active Directory fait office de conteneur de stratégie de groupe, tandis que le dossier Sysvol contient le modèle de stratégie de groupe. Le conteneur de stratégie de groupe contient des attributs qui permettent de déployer les objets de stratégie de groupe vers le domaine, les unités d’organisation et les sites. Le conteneur de stratégie de groupe contient également un chemin d’accès vers le modèle de stratégie de groupe, où sont stockés la plupart des paramètres de stratégie de groupe.

Les Informations stockées dans le modèle de stratégie de groupe comprennent les paramètres de sécurité, les fichiers de scripts et les informations nécessaires au déploiement des applications, des préférences et des paramètres de stratégie de groupe basés sur les modèles d’administration. Les modèles d’administration (fichiers .ADMX) fournissent des informations de paramètres de stratégie de groupe relatives aux éléments qui apparaissent sous Modèles d’administration. Dans la stratégie de groupe pour Windows Server 2008, vous pouvez stocker les modèles d’administration localement ou de façon centralisée, dans le dossier Sysvol. Pour stocker des modèles d’administration de façon centralisée, vous devez créer un dossier PolicyDefinitions dans le partage Sysvol sur un contrôleur de domaine approprié, puis copier dans ce dossier les fichiers de modèles d’administration à appliquer dans le domaine.

note
Les mises à jour de Sysvol sont répliquées vers tous les contrôleurs de domaine dans le domaine, ce qui augmente le trafic réseau et accroît la charge pesant sur les contrôleurs de domaine. Par conséquent, pour réduire au minimum l’impact de cette opération dans votre domaine, il est recommandé de planifier la copie des modèles d’administration dans le dossier Sysvol en dehors des heures de forte activité.

Les fichiers de modèles d’administration dans Windows Server 2008 et Windows Vista sont répartis en fichiers .ADMX (indépendants de la langue) et fichiers .ADML (propres à la langue). Ces deux formats de fichiers remplacent le format de fichier .ADM utilisé dans les versions antérieures de Windows, qui recouraient à un langage de balisage propriétaire. Les fichiers .ADML sont des fichiers de langue ADM basés sur XML et sont stockés dans un dossier propre à la langue. Par exemple, les fichiers .ADML anglais (États-Unis) sont stockés dans un dossier nommé « en-US ». Par défaut, le dossier %Systemroot%\PolicyDefinitions sur un ordinateur local stocke tous les fichiers .ADMX, ainsi que les fichiers .ADML de toutes les langues activées sur l’ordinateur.

Pour télécharger les fichiers de modèles d’administration pour Windows Server 2008, voir Modèles d’administration (ADMX) pour Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=116434) (éventuellement en anglais).

Avantages du stockage des fichiers ADMX dans le dossier Sysvol

La création et l’utilisation d’un magasin central de modèles d’administration présentent deux avantages principaux. Le premier avantage est un emplacement de stockage central répliqué pour les modèles d’administration du domaine. La Console de gestion des stratégies de groupe incluse dans Windows Server 2008 utilise systématiquement un magasin central de modèles d’administration au-dessus des versions locales des modèles d’administration. Cela vous permet de fournir un ensemble de modèles d’administration approuvés pour la totalité du domaine.

L’autre avantage du stockage des modèles d’administration dans le dossier Sysvol est la mise à disposition de modèles d’administration dans de nombreuses langues. Cela est notamment utile dans le cas des environnements qui englobent différents pays ou qui utilisent différentes langues. Par exemple, lorsque les modèles d’administration sont stockés dans le dossier Sysvol, un administrateur d’un domaine peut afficher les paramètres de stratégie des modèles d’administration en anglais, tandis qu’un autre administrateur du même domaine affiche les mêmes paramètres de stratégie en français.

Pour plus d’informations sur la gestion des fichiers ADMX et sur la création d’un magasin central, voir le Guide pas à pas de la gestion des fichiers ADMX de la stratégie de groupe (http://go.microsoft.com/fwlink/?LinkId=75124) (éventuellement en anglais).

Inconvénients du stockage des fichiers ADMX dans le dossier Sysvol

Les avantages de la création et de l’utilisation d’un magasin central de modèles d’administration sont significatifs ; toutefois, ils présentent une légère contrepartie. La Console de gestion des stratégies de groupe lit la totalité des fichiers de modèles d’administration lorsque vous modifiez un objet de stratégie de groupe, le modélisez ou créez un rapport à son sujet. Par conséquent, la Console de gestion des stratégies de groupe doit lire ces fichiers à partir du réseau. Si vous décidez de créer un magasin central de modèles d’administration, vous devez toujours connecter la Console de gestion des stratégies de groupe au contrôleur de domaine le plus proche.

noteRemarque
Le trafic réseau supplémentaire créé à partir du magasin central est limité aux utilisateurs de la Console de gestion des stratégies de groupe. Les clients qui appliquent et traitent la stratégie de groupe ne lisent pas les modèles d’administration.

Mise à jour du dossier Sysvol

Dans la stratégie de groupe pour les versions de Microsoft Windows antérieures à Windows Vista, si vous modifiez les paramètres de stratégie des modèles d’administration sur les ordinateurs locaux, le partage Sysvol sur un contrôleur de domaine dans votre domaine est automatiquement mis à jour avec les nouveaux fichiers ADM. Dans la stratégie de groupe pour Windows Server 2008 et Windows Vista, si vous effectuez la même opération, le partage Sysvol n’est pas automatiquement mis à jour avec les nouveaux fichiers ADMX ou ADML. Cette modification du comportement permet de réduire la charge réseau et les besoins en stockage sur disque et d’empêcher les conflits entre les fichiers ADMX et les fichiers ADML lorsque les modifications apportées aux paramètres de stratégie des modèles d’administration implique différents paramètres régionaux. Pour que toutes les mises à jour locales soient également reflétées dans le dossier Sysvol, vous devez copier manuellement les fichiers ADMX ou ADML mis à jour depuis le dossier PolicyDefinitions sur l’ordinateur local vers le dossier Sysvol\PolicyDefinitions sur le contrôleur de domaine approprié.

Modification de l’intervalle d’actualisation de la stratégie de groupe

Vous pouvez modifier la valeur par défaut de l’intervalle de stratégie d’actualisation à l’aide de l’un des paramètres de stratégie suivants : Intervalle d’actualisation de la stratégie de groupe pour les ordinateurs, Intervalle d’actualisation de la stratégie de groupe pour les contrôleurs de domaine ou Intervalle d’actualisation de la stratégie de groupe pour les utilisateurs. Ces paramètres de stratégie vous permettent de spécifier une fréquence de mise à jour comprise entre 0 et 64 800 minutes (45 jours).

ImportantImportant
Lorsque vous définissez l’intervalle d’actualisation sur 0 minute, l’ordinateur essaie de mettre à jour la stratégie de groupe toutes les sept secondes. Étant donné que les mises à jour de ce type peuvent interférer avec le travail des utilisateurs et accroître le trafic réseau, les intervalles de mise à jour très courts ne sont appropriés que dans les environnements de test.

Pour empêcher la mise à jour de la stratégie de groupe lorsqu’un ordinateur est en cours d’utilisation, vous pouvez activer le paramètre de stratégie Désactiver l’actualisation en tâche de fond des stratégies de groupe. Si vous activez ce paramètre de stratégie, le système ne met à jour les paramètres de la stratégie de groupe qu’une fois que l’utilisateur actuel s’est déconnecté du système.

Intervalle d’actualisation de la stratégie de groupe pour les ordinateurs

Ce paramètre de stratégie spécifie la fréquence à laquelle Windows met à jour la stratégie de groupe pour les ordinateurs en tâche de fond. Il ne spécifie une fréquence de mise à jour en tâche de fond que pour les paramètres de stratégie de groupe ordinateur. Par défaut, Windows met à jour la stratégie de groupe ordinateur en tâche de fond toutes les 90 minutes, avec un décalage aléatoire compris entre 0 et 30 minutes. En plus des mises à jour en tâche de fond, une mise à jour de la stratégie de groupe ordinateur se produit à chaque démarrage du système. Ce paramètre de stratégie est disponible sous Configuration de l’ordinateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe.

Intervalle d’actualisation de la stratégie de groupe pour les contrôleurs de domaine

Ce paramètre de stratégie spécifie la fréquence à laquelle Windows met à jour la stratégie de groupe en tâche de fond sur les contrôleurs de domaine. Par défaut, Windows met à jour la stratégie de groupe sur les contrôleurs de domaine toutes les cinq minutes. Ce paramètre de stratégie est disponible sous Configuration de l’ordinateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe.

Intervalle d’actualisation de la stratégie de groupe pour les utilisateurs

Ce paramètre de stratégie spécifie la fréquence à laquelle Windows met à jour la stratégie de groupe en tâche de fond uniquement pour les paramètres de stratégie de groupe utilisateur. En plus des mises à jour en tâche de fond, une mise à jour de la stratégie de groupe utilisateur se produit chaque fois que les utilisateurs ouvrent une session. Ce paramètre de stratégie est disponible sous Configuration utilisateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe.

Désactiver l’actualisation en tâche de fond des stratégies de groupe

Ce paramètre de stratégie empêche Windows d’appliquer les paramètres de stratégie de groupe lorsque l’ordinateur est en cours d’utilisation. Le paramètre de stratégie s’applique à la stratégie de groupe pour les ordinateurs, les utilisateurs et les contrôleurs de domaine. Ce paramètre de stratégie est disponible sous Configuration de l’ordinateur\Stratégies\Modèles d’administration\Système\Élément de stratégie de groupe.

Exécution d’options de ligne de commande pour actualiser la stratégie

À partir d’un ordinateur donné, vous pouvez actualiser les paramètres de stratégie déployés sur cet ordinateur en utilisant l’outil Gpupdate.exe. Le tableau 6 décrit les paramètres de l’outil Gpupdate.exe. Celui-ci est utilisé dans les environnements Windows Server 2008, Windows Vista, Windows Server 2003 et Windows XP.

L’outil Gpudate.exe utilise la syntaxe suivante :

gpupdate [/target:{computer|user}] [/force] [/wait:valeur] [/logoff] [/boot] [/sync]

Tableau  6 : paramètres de Gpudate.exe

Paramètre Description

/target:{computer|user}

Suivant la cible que vous spécifiez, Gpupdate.exe traite les paramètres de stratégie ordinateur, les paramètres de stratégie utilisateur actuels ou les deux types de paramètres de stratégie. Par défaut, les deux types de paramètres de stratégie sont traités.

/force

Réapplique tous les paramètres de stratégie et ignore les optimisations du traitement. Par défaut, seuls les paramètres de stratégie modifiés sont appliqués.

/wait:valeur

Spécifie, en secondes, le délai au terme duquel le traitement de la stratégie prend fin. La valeur par défaut est 600 secondes. Les valeurs 0 et -1 correspondent respectivement à l’absence d’attente et à une attente permanente.

/logoff

Ferme la session une fois la stratégie actualisée. Cela est nécessaire pour les extensions côté client de la stratégie de groupe qui ne sont pas traitées selon un cycle d’actualisation en tâche de fond, mais qui sont traitées lorsque l’utilisateur ouvre une session, comme la redirection de dossiers et l’installation de logiciels utilisateur. Cette option est sans effet si aucune extension appelée ne requiert que l’utilisateur ferme la session.

/boot

Redémarre l’ordinateur une fois la stratégie actualisée. Cela est nécessaire pour les extensions côté client de la stratégie de groupe qui ne sont pas traitées selon un cycle d’actualisation en tâche de fond, mais qui sont traitées lorsque l’ordinateur démarre, comme l’installation de logiciels ordinateur. Cette option est sans effet si aucune extension appelée ne requiert le redémarrage de l’ordinateur.

/sync

La prochaine application de la stratégie en premier plan sera synchrone. Le traitement de la stratégie de groupe en premier plan se produit au démarrage de l’ordinateur et à l’ouverture de session de l’utilisateur. Vous pouvez spécifier l’application de la stratégie en premier plan pour l’utilisateur et/ou l’ordinateur à l’aide du paramètre /target. Si vous spécifiez ce paramètre, ainsi que les paramètres /force et /wait, les paramètres /force et /wait seront ignorés.

/?

Affiche l’aide à l’invite de commandes.

Utilisation de la modélisation de stratégie de groupe et des résultats de stratégie de groupe pour évaluer les paramètres de stratégie de groupe

Avant de déployer la stratégie de groupe dans un environnement de production, il est primordial de déterminer les effets que peuvent avoir séparément et dans leur ensemble les paramètres de stratégie que vous avez configurés. L’évaluation du déploiement de la stratégie de groupe consiste essentiellement à créer un environnement de copie intermédiaire et à ouvrir une session à l’aide d’un compte de test. C’est la meilleure façon de comprendre l’impact et l’interaction de tous les paramètres d’objets de stratégie de groupe appliqués. Il est important de réaliser une copie intermédiaire du déploiement de la stratégie de groupe pour créer un environnement géré opérationnel. Pour plus d’informations, voir Réalisation d’une copie intermédiaire des déploiements de la stratégie de groupe dans ce guide.

Dans le cas des réseaux Active Directory comportant au moins un contrôleur de domaine Windows Server 2008, vous pouvez utiliser la modélisation de stratégie de groupe disponible dans la Console de gestion des stratégies de groupe pour simuler le déploiement des objets de stratégie de groupe sur n’importe quel ordinateur de destination. La principale façon d’obtenir un aperçu fidèle de l’application des objets de stratégie de groupe consiste à utiliser les résultats de stratégie de groupe dans la Console de gestion des stratégies de groupe.

Utilisation de la modélisation de stratégie de groupe pour simuler le jeu de stratégie résultant

L’Assistant Modélisation de stratégie de groupe disponible dans la Console de gestion des stratégies de groupe calcule l’effet net simulé des objets de stratégie de groupe. La modélisation de stratégie de groupe peut également simuler des facteurs tels que l’appartenance aux groupes de sécurité, l’évaluation des filtres WMI et les effets du déplacement d’objets utilisateur ou ordinateur vers un autre conteneur Active Directory. La simulation est réalisée par un service qui s’exécute sur des contrôleurs de domaine exécutant Windows Server 2008 ou Windows Server 2003. Ces paramètres de stratégie calculés sont indiqués dans un rapport HTML et affichés dans la Console de gestion des stratégies de groupe sous l’onglet Paramètres dans le volet d’informations de la requête sélectionnée. Pour masquer ou développer les paramètres de stratégie sous chaque élément, cliquez sur Masquer ou Afficher tout afin d’afficher tout ou partie des paramètres de stratégie. Pour effectuer la modélisation de stratégie de groupe, vous devez disposer d’au moins un contrôleur de domaine exécutant Windows Server 2008 ou Windows Server 2003 et bénéficier de l’autorisation Lancer des analyses de modélisation de stratégies de groupe sur le domaine ou l’unité d’organisation qui contient les objets sur lesquels vous souhaitez exécuter la requête.

Pour exécuter l’Assistant, dans l’arborescence de la Console de gestion des stratégies de groupe, cliquez avec le bouton droit sur Modélisation de stratégie de groupe (ou sur un conteneur Active Directory), puis cliquez sur Assistant Modélisation de stratégie de groupe. Si vous exécutez l’Assistant à partir d’un conteneur Active Directory, l’Assistant renseigne les champs Conteneur associés à l’utilisateur et à l’ordinateur avec le nom unique LDAP (Lightweight Directory Access Protocol) de ce conteneur.

Une fois que vous avez terminé l’Assistant, les résultats apparaissent comme s’ils provenaient d’un seul objet de stratégie de groupe. En outre, ils sont enregistrés sous la forme d’une requête représentée par un nouvel élément dans la Console de gestion des stratégies de groupe, dans Modélisation de stratégie de groupe. Sous le titre OSG gagnant, l’affichage indique également l’objet de stratégie de groupe responsable de chaque paramètre de stratégie. En outre, vous pouvez afficher des informations plus détaillées sur les priorités (afin, par exemple, de déterminer les objets de stratégie de groupe qui ne sont pas parvenus à définir les paramètres de stratégie) en cliquant avec le bouton droit sur l’élément de requête, puis en cliquant sur Affichage avancé. Lorsque vous effectuez cette opération, le composant logiciel enfichable Jeu de stratégie résultant s’ouvre. Lorsque vous affichez les propriétés des paramètres de stratégie dans le composant Jeu de stratégie résultant, chaque paramètre de stratégie possède un onglet Priorité.

Gardez à l’esprit que la modélisation de stratégie de groupe n’inclut pas l’évaluation des objets de stratégie de groupe locaux. Par conséquent, dans certains cas, vous pouvez noter une différence entre la simulation et les résultats réels. Vous pouvez enregistrer les résultats de la modélisation en cliquant avec le bouton droit sur la requête, puis en cliquant sur Enregistrer le rapport.

noteRemarque
Windows Server 2008 et Windows Vista observent un nouveau paramètre de stratégie : Désactiver le traitement des objets de stratégie de groupe locaux. Celui-ci vous permet de désactiver le traitement de la stratégie de groupe locale. Ce paramètre de stratégie se trouve sous Configuration de l’ordinateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe.

Utilisation des résultats de stratégie de groupe pour simuler le jeu de stratégie résultant

Utilisez l’Assistant Résultats de stratégie de groupe pour déterminer les paramètres de stratégie de groupe appliqués pour un utilisateur ou ordinateur en obtenant les données du jeu de stratégie résultant de l’ordinateur destination. À la différence de la modélisation de stratégie de groupe, les résultats de stratégie de groupe révèlent les paramètres de stratégie de groupe qui ont été effectivement appliqués à l’ordinateur de destination. Celui-ci doit exécuter Windows XP Professionnel ou version ultérieure.

Les paramètres de stratégie sont indiqués dans un rapport HTML et affichés dans la fenêtre du navigateur de la Console de gestion des stratégies de groupe sous les onglets Résumé et Paramètres, dans le volet d’informations associé à la requête sélectionnée. Vous pouvez réduire ou développer les paramètres de stratégie sous chaque élément en cliquant sur Masquer ou Afficher tout afin d’afficher tout ou partie des paramètres de stratégie. Pour accéder à distance aux données des résultats de stratégie de groupe relatives à un utilisateur ou à un ordinateur, vous devez disposer de l’autorisation Accéder à distance aux données des résultats de stratégie de groupe sur le domaine ou l’unité d’organisation qui contient l’utilisateur ou l’ordinateur, ou vous devez être membre d’un groupe Administrateurs local sur l’ordinateur approprié et disposer d’une connectivité réseau à l’ordinateur de destination.

Vous pouvez exécuter l’Assistant en cliquant avec le bouton droit sur l’élément Résultats de stratégie de groupe, puis en cliquant sur Assistant Résultats de stratégie de groupe.

Une fois que vous avez terminé l’Assistant, la Console de gestion des stratégies de groupe crée un rapport qui affiche les données du jeu de stratégie résultant relatives à l’utilisateur et à l’ordinateur que vous avez spécifiés dans l’Assistant. Sous le titre OSG gagnant, l’affichage indique également l’objet de stratégie de groupe responsable de chaque paramètre de stratégie sous l’onglet Paramètres.

Vous pouvez enregistrer les résultats en cliquant avec le bouton droit sur la requête, puis en cliquant sur Enregistrer le rapport.

Utilisation de Gpresult.exe pour évaluer les paramètres de stratégie

Vous pouvez exécuter Gpresult.exe sur l’ordinateur local pour obtenir les mêmes données que celles que vous pouvez obtenir à l’aide de l’Assistant Résultats de stratégie de groupe dans la Console de gestion des stratégies de groupe. Par défaut, Gpresult.exe retourne les paramètres de stratégie en vigueur sur l’ordinateur sur lequel il s’exécute.

Pour Windows Server 2008 et Windows Vista avec Service Pack 1, Gpresult.exe utilise la syntaxe suivante :

gpresult [/s <ordinateur> [/u <domaine>\<utilisateur> /p <mot_de_passe>]] [/scope {user|computer}] [/user <nom_utilisateur_cible>] [/r | /v | /z] [/x | /h <nom_fichier> [/f]]

Le tableau 7 décrit les paramètres de Gpresult.exe.

Table 7 : paramètres de Gpresult.exe

Paramètre Description

/s <ordinateur>

Spécifie le nom ou l’adresse IP d’un ordinateur distant. (N’utilisez pas de barres obliques inverses.) Par défaut, il s’agit de l’ordinateur local.

/u <domaine>\<utilisateur>

Exécute la commande en utilisant les autorisations de compte de l’utilisateur spécifié par <utilisateur> ou <domaine\utilisateur>. Le comportement par défaut consiste à utiliser les autorisations de l’utilisateur actuellement connecté à l’ordinateur qui émet la commande.

/p <mot_de_passe>

Spécifie le mot de passe du compte d’utilisateur spécifié dans le paramètre /u.

/scope {user | computer}

Affiche des résultats relatifs à un utilisateur ou à un ordinateur. Les valeurs valides pour le paramètre /scope sont user ou computer. Si vous omettez le paramètre /scope, Gpresult affiche les paramètres de stratégie utilisateur et ordinateur.

/user <nom_utilisateur_cible>

Spécifie le nom d’utilisateur de l’utilisateur dont les données RSoP doivent être affichées.

/r

Affiche les données de résumé RSoP.

/v

Spécifie que la sortie doit afficher des informations de stratégie détaillées.

/z

Spécifie que la sortie doit afficher toutes les informations disponibles sur la stratégie de groupe. Étant donné que ce paramètre génère davantage d’informations que le paramètre /v, redirigez la sortie vers un fichier texte lorsque vous utilisez ce paramètre (par exemple, gpresult /z >policy.txt).

/x <nom_fichier>

Enregistre le rapport au format XML à l’emplacement et sous le nom de fichier spécifiés par le paramètre <nom_fichier> (valide dans

Windows Server 2008 et Windows Vista SP1).

/h <nom_fichier>

Enregistre le rapport au format HTML à l’emplacement et sous le nom de fichier spécifiés par le paramètre <nom_fichier> (valide dans

Windows Server 2008 et Windows Vista SP1).

/f

Indique à Gpresult d’écraser le nom de fichier spécifié dans le paramètre /x ou /h.

/?

Affiche l’aide à l’invite de commandes.

Pour exécuter Gpresult.exe sur votre ordinateur

  1. Ouvrez une invite de commandes avec élévation de privilèges. Pour ouvrir une invite de commandes avec élévation de privilèges, cliquez sur Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur.

  2. Depuis l’invite de commandes, tapez gpresult /h gpresult.html /f

  3. Depuis l’invite de commandes, tapez Start gpresult.html pour afficher le fichier.

Sauvegarde, restauration, migration et copie d’objets de stratégie de groupe

La Console de gestion des stratégies de groupe fournit des mécanismes permettant de sauvegarder, de restaurer, de migrer et de copier des objets de stratégie de groupe existants. Ces fonctionnalités sont très importantes pour la gestion de vos déploiements de stratégie de groupe en cas d’erreur ou d’urgence. Elles vous évitent de recréer manuellement les objets de stratégie de groupe perdus ou endommagés, puis de répéter les phases de planification, de test et de déploiement. Une partie du plan des opérations de stratégie de groupe permanentes doit inclure des sauvegardes régulières de tous les objets de stratégie de groupe. Indiquez à tous les administrateurs de la stratégie de groupe comment restaurer des objets de stratégie de groupe à l’aide de la Console de gestion des stratégies de groupe.

La Console de gestion des stratégies de groupe permet également de copier et d’importer des objets de stratégie de groupe dans le même domaine ou d’un domaine à un autre. Vous pouvez utiliser la Console de gestion des stratégies de groupe pour migrer un objet de stratégie de groupe existant, par exemple, depuis un domaine existant vers un domaine nouvellement déployé. Vous pouvez copier des objets de stratégie de groupe ou importer des paramètres de stratégie depuis un objet de stratégie de groupe vers un autre. Ces opérations permettent de gagner du temps et d’éviter des désagréments, car vous pouvez de la sorte réutiliser le contenu des objets de stratégie de groupe existants. La copie d’objets de stratégie de groupe vous permet de passer directement de la phase de copie intermédiaire à la production, si vous avez configuré les relations d’approbation adéquates entre les environnements. L’importation d’objets de stratégie de groupe vous permet de transférer des paramètres de stratégie d’un objet de stratégie de groupe sauvegardé vers un objet de stratégie de groupe existant et s’avère particulièrement utile en l’absence de relation d’approbation entre les domaines source et destination. Si vous souhaitez réutiliser des objets de stratégie de groupe existants, vous pouvez recourir à la copie, qui vous permet de déplacer de manière pratique des objets de stratégie de groupe depuis un environnement de production vers un autre.

Utilisation de la Console de gestion des stratégies de groupe pour manipuler des objets de stratégie de groupe

Pour créer des sauvegardes des objets de stratégie de groupe, vous devez disposer au minimum d’un accès en lecture aux objets de stratégie de groupe et d’un accès en écriture au dossier dans lequel les sauvegardes sont stockées. La figure 6 permet d’identifier les éléments auxquels font référence les procédures ci-après.

d70b2aa1-5fd2-410f-afaa-670c89b85c24

Utilisation de la Console de gestion des stratégies de groupe pour sauvegarder des objets de stratégie de groupe et afficher des sauvegardes d’objets de stratégie de groupe

L’opération de sauvegarde permet de sauvegarder un objet de stratégie de groupe de production dans le système de fichiers. L’emplacement de la sauvegarde peut être tout dossier auquel vous disposez d’un accès en écriture. Après avoir sauvegardé des objets de stratégie de groupe, vous devez utiliser la Console de gestion des stratégies de groupe pour afficher et manipuler le contenu de votre dossier de sauvegarde, soit à l’aide de l’interface utilisateur de la Console de gestion des stratégies de groupe, soit par programme en ayant recours à un script. N’interagissez pas avec des objets de stratégie de groupe archivés directement par le biais du système de fichiers. Une fois les objets de stratégie de groupe sauvegardés, utilisez la Console de gestion des stratégies de groupe pour traiter les objets de stratégie de groupe archivés à l’aide des opérations d’importation et de restauration.

noteRemarque
Vous pouvez sauvegarder plusieurs instances du même objet de stratégie de groupe au même emplacement, car la Console de gestion des stratégies de groupe identifie de manière unique chaque instance de sauvegarde et fournit des mécanismes qui vous permettent de sélectionner l’instance de l’objet de stratégie de groupe archivé que vous souhaitez utiliser. Par exemple, vous pouvez choisir de n’afficher que les sauvegardes les plus récentes lorsque vous visualisez le contenu d’un dossier de sauvegarde par le biais de la Console de gestion des stratégies de groupe. Cela peut s’avérer utile lorsque vous effectuez des sauvegardes d’un objet de stratégie de groupe après l’avoir modifié, puis que vous devez restaurer une version antérieure de cet objet de stratégie de groupe.

Pour sauvegarder tous les objets de stratégie de groupe dans un domaine

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez la forêt ou le domaine qui contient les objets de stratégie de groupe à sauvegarder.

  2. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Sauvegarder tout.

  3. Dans la boîte de dialogue Sauvegarde de l’objet GPO, entrez le chemin d’accès de l’emplacement auquel vous souhaitez stocker les sauvegardes des objets de stratégie de groupe. Vous pouvez également cliquer sur Parcourir, rechercher le dossier où vous voulez stocker les sauvegardes des objets de stratégie de groupe, puis cliquer sur OK.

  4. Tapez une description pour les objets de stratégie de groupe à sauvegarder, puis cliquez sur Sauvegarder.

  5. Au terme de l’opération de sauvegarde, un résumé indique le nombre d’objets de stratégie de groupe correctement sauvegardés et ceux éventuellement non sauvegardés.

  6. Cliquez sur OK.

Pour sauvegarder un objet de stratégie de groupe spécifique

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez Objets de stratégie de groupe dans la forêt ou le domaine qui contient l’objet de stratégie de groupe à sauvegarder.

  2. Cliquez avec le bouton droit sur l’objet de stratégie de groupe à sauvegarder, puis cliquez sur Sauvegarder.

  3. Dans la boîte de dialogue Sauvegarde de l’objet GPO, entrez le chemin d’accès de l’emplacement auquel vous souhaitez stocker la sauvegarde de l’objet de stratégie de groupe. Vous pouvez également cliquer sur Parcourir, rechercher le dossier où vous voulez stocker la sauvegarde de l’objet de stratégie de groupe, puis cliquer sur OK.

  4. Tapez une description pour l’objet de stratégie de groupe à sauvegarder, puis cliquez sur Sauvegarder.

  5. Au terme de l’opération de sauvegarde, un résumé indique si la sauvegarde s’est déroulée correctement.

  6. Cliquez sur OK.

Pour afficher la liste des sauvegardes des objets de stratégie de groupe

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez la forêt ou le domaine qui contient les objets de stratégie de groupe à sauvegarder.

  2. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Gérer les sauvegardes.

  3. Dans la boîte de dialogue Gérer les sauvegardes, entrez le chemin d’accès de l’emplacement auquel vous avez stocké les sauvegardes d’objets de stratégie de groupe que vous souhaitez afficher. Vous pouvez également cliquer sur Parcourir, rechercher le dossier contenant les sauvegardes des objets de stratégie de groupe, puis cliquer sur OK.

  4. Pour indiquer au système de n’afficher que la version la plus récente des objets de stratégie de groupe dans la liste Objets GPO sauvegardés, activez la case à cocher N’afficher que la dernière version des objets GPO. Cliquez sur Fermer.

ImportantImportant
Vous devez sécuriser les objets de stratégie de groupe sauvegardés en vous assurant que seuls les administrateurs autorisés disposent des droits d’accès au dossier où vous les enregistrez. Utilisez des autorisations de sécurité sur le système de fichiers là où ils sont sauvegardés.

Utilisation de la Console de gestion des stratégies de groupe pour restaurer des objets de stratégie de groupe

Vous pouvez également restaurer des objets de stratégie de groupe. Cette opération restaure un objet de stratégie de groupe sauvegardé dans le domaine à partir duquel il a été sauvegardé. Vous ne pouvez pas restaurer un objet de stratégie de groupe à partir d’une sauvegarde dans un domaine différent du domaine d’origine de cet objet.

Pour restaurer une version antérieure d’un objet de stratégie de groupe existant

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez Objets de stratégie de groupe dans la forêt ou le domaine qui contient les objets de stratégie de groupe à restaurer.

  2. Cliquez avec le bouton droit sur l’objet de stratégie de groupe à restaurer dans une version antérieure, puis cliquez sur Restaurer à partir d’une sauvegarde.

  3. Lorsque l’Assistant Restauration d’objet de stratégie de groupe s’ouvre, suivez ses instructions, puis cliquez sur Terminer.

  4. Au terme de l’opération de restauration, un résumé indique si la restauration s’est déroulée correctement. Cliquez sur OK.

Pour restaurer un objet de stratégie de groupe supprimé

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez la forêt ou le domaine qui contient l’objet de stratégie de groupe à restaurer.

  2. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Gérer les sauvegardes.

  3. Dans la boîte de dialogue Gérer les sauvegardes, cliquez sur Parcourir, puis recherchez le fichier qui contient vos objets de stratégie de groupe sauvegardés.

  4. Dans la liste Objets GPO sauvegardés, cliquez sur l’objet de stratégie de groupe à restaurer, puis cliquez sur Restaurer.

  5. Lorsque le système vous invite à confirmer l’opération de restauration, cliquez sur OK.

  6. Au terme de l’opération de restauration, un résumé indique si la restauration s’est déroulée correctement. Cliquez sur OK. Cliquez sur Fermer.

Sauvegarde et restauration de données de filtres WMI, de paramètres de stratégie IPsec et de liens vers des unités d’organisation

Les liens vers les filtres WMI et les stratégies IPsec sont stockés dans des objets de stratégie de groupe et sont sauvegardés en tant que composantes d’un objet de stratégie de groupe. Lorsque vous restaurez un objet de stratégie de groupe, ces liens sont conservés si les objets sous-jacents existent toujours dans Active Directory. Toutefois, les liens vers les unités d’organisation ne font pas partie des données de sauvegarde et ne sont pas restaurés lors d’une opération de restauration.

Les paramètres de stratégie stockés en dehors des objets de stratégie de groupe, tels que les données de filtres WMI et les paramètres de stratégie IPsec, ne sont pas sauvegardés ou restaurés pendant ces processus. Pour sauvegarder et restaurer un nombre réduit de filtres WMI, vous pouvez cliquer sur l’élément Filtres WMI dans la Console de gestion des stratégies de groupe ou sur un filtre WMI spécifique sous cet élément, puis utiliser la commande Importer ou Exporter selon le cas. Pour plus d’informations sur l’importation ou l’exportation d’un filtre WMI, voir « Importer un filtre WMI » et « Exporter un filtre WMI » dans l’aide de la Console de gestion des stratégies de groupe. Étant donné que vous ne pouvez importer ou exporter qu’un seul filtre WMI à la fois à l’aide de ces commandes, cette approche n’est recommandée que si vous devez sauvegarder ou restaurer quelques filtres WMI.

Pour sauvegarder et restaurer un nombre plus élevé de filtres WMI, vous pouvez utiliser l’outil de ligne de commande Ldifde, comme indiqué dans la page Web relative à l’importation et à l’exportation de filtres WMI (http://go.microsoft.com/fwlink/?linkid=109519) (éventuellement en anglais).

noteRemarque
Ldifde est un outil de ligne de commande intégré à Windows Server 2008. Il est disponible si le rôle de serveur AD DS ou AD LDS (Active Directory Lightweight Directory Services) est installé. Pour utiliser Ldifde, vous devez exécuter la commande Ldifde à partir d’une invite de commandes avec élévation de privilèges. Pour plus d’informations, voir Ldifde (http://go.microsoft.com/fwlink/?LinkId=110104) (éventuellement en anglais).

L’affectation d’une stratégie IPsec à un objet de stratégie de groupe enregistre un pointeur vers la stratégie IPsec qui se trouve à l’intérieur de l’attribut d’objet de stratégie de groupe ipsecOwnersReference. L’objet de stratégie de groupe proprement dit ne contient qu’une référence de nom unique LDAP vers la stratégie IPsec. La stratégie de groupe est utilisée uniquement pour fournir l’affectation de stratégie au service IPsec de l’ordinateur. Le service IPsec de l’ordinateur récupère ensuite la stratégie IPsec d’Active Directory, gère un cache dynamique de la stratégie localement et le maintient à jour à l’aide d’un intervalle d’interrogation spécifié dans la stratégie IPsec proprement dite.

Pour sauvegarder et restaurer les paramètres de stratégie IPsec, vous devez utiliser les commandes Exporter des stratégies et Importer des stratégies disponibles dans le composant logiciel enfichable Gestion de stratégie de sécurité IP. La commande Exporter des stratégies vous permet d’exporter toutes les stratégies IPsec locales et de les enregistrer dans un fichier portant l’extension .ipsec.

Utilisation de la Console de gestion des stratégies de groupe pour copier des objets de stratégie de groupe et importer des paramètres d’objets de stratégie de groupe

La Console de gestion des stratégies de groupe vous permet de copier des objets de stratégie de groupe, dans le même domaine ou d’un domaine à un autre, et d’importer des paramètres de stratégie de groupe depuis un objet de stratégie de groupe vers un autre. Effectuez ces opérations dans le cadre du processus de copie intermédiaire avant le déploiement dans votre environnement de production. Ces opérations sont également utiles pour la migration d’objets de stratégie de groupe depuis un environnement de production vers un autre.

Bien que la collecte de paramètres de stratégie comportant un objet de stratégie de groupe soit une entité unique du point de vue de la logique, les données relatives à un même objet de stratégie de groupe sont stockées à plusieurs emplacements et sous divers formats. Certaines données se trouvent dans Active Directory, tandis que d’autres sont stockées dans le dossier Sysvol sur des contrôleurs de domaine. Cela signifie que vous ne pouvez pas copier des objets de stratégie de groupe simplement en copiant un dossier depuis un ordinateur vers autre. Toutefois, vous pouvez, par le biais de la Console de gestion des stratégies de groupe, effectuer cette opération en toute sécurité et de façon relativement simple.

Une opération de copie consiste à copier un objet de stratégie de groupe actuel existant vers le domaine de destination désiré. Un nouvel objet de stratégie de groupe est systématiquement créé dans le cadre de ce processus. Le domaine de destination peut être tout domaine approuvé dans lequel vous êtes habilité à créer de nouveaux objets de stratégie de groupe. Ajoutez simplement les forêts et domaines désirés à la Console de gestion des stratégies de groupe, puis utilisez celle-ci pour copier et coller (ou faire glisser et déposer) les objets de stratégie de groupe de votre choix depuis un domaine vers un autre. Pour copier un objet de stratégie de groupe, vous devez disposer de l’autorisation de créer des objets de stratégie de groupe dans le domaine de destination.

Lorsque vous copiez un objet de stratégie de groupe, vous pouvez également copier la liste de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List) sur l’objet, en plus des paramètres de stratégie dans celui-ci. Ainsi, le nouvel objet de stratégie de groupe créé dans le cadre de l’opération de copie possède les mêmes options de délégation et de filtrage de sécurité que l’objet de stratégie de groupe d’origine.

L’importation d’un objet de stratégie de groupe vous permet de transférer des paramètres de stratégie depuis un objet de stratégie de groupe sauvegardé vers un objet de stratégie de groupe existant. L’importation d’un objet de stratégie de groupe transfère uniquement ses paramètres ; elle ne modifie pas le filtrage de sécurité ou les liens existants sur l’objet de stratégie de groupe de destination. L’importation d’un objet de stratégie de groupe est utile pour la migration d’objets de stratégie de groupe dans des environnements non approuvés, car seul l’accès à l’objet de stratégie de groupe sauvegardé est indispensable ; il n’est pas nécessaire que l’objet de stratégie de groupe de production soit accessible. Étant donné qu’une opération d’importation modifie uniquement les paramètres de stratégie, les autorisations de modification sur l’objet de stratégie de groupe de destination ne permettent pas de réaliser cette opération.

Lorsque vous copiez ou importez un objet de stratégie de groupe, vous pouvez spécifier une table de migration si cet objet contient des entités de sécurité ou des chemins d’accès UNC susceptibles de subir une mise à jour lors de leur copie vers le domaine cible. L’éditeur de table de migration vous permet de créer et de modifier des tables de migration. Les tables de migration sont décrites dans la section suivante, Utilisation des tables de migration.

Pour copier un objet de stratégie de groupe

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez Objets de stratégie de groupe dans la forêt et le domaine contenant l’objet de stratégie de groupe à copier.

  2. Cliquez avec le bouton droit sur l’objet de stratégie de groupe à copier, puis cliquez sur Copier.

  3. Effectuez l’une des actions suivantes :

    • Pour placer la copie de l’objet de stratégie de groupe dans le même domaine que l’objet de stratégie de groupe source, cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Coller.

    • Pour placer la copie de l’objet de stratégie de groupe dans un autre domaine (dans la même forêt ou dans une autre), développez le domaine de destination, cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Coller.

    • Si vous effectuez la copie au sein d’un domaine, cliquez sur Utiliser les autorisations par défaut pour les nouveaux objets GPO ou Conserver les autorisations existantes, puis cliquez sur OK.

  4. Si vous effectuez la copie à destination ou à partir d’un autre domaine, suivez les instructions de l’Assistant qui s’ouvre, puis cliquez sur Terminer.

Pour importer des paramètres de stratégie depuis un objet de stratégie de groupe sauvegardé vers un objet de stratégie de groupe

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez Objets de stratégie de groupe dans la forêt et le domaine contenant l’objet de stratégie de groupe vers lequel vous souhaitez importer les paramètres de stratégie.

  2. Cliquez avec le bouton droit sur l’objet de stratégie de groupe vers lequel vous souhaitez importer les paramètres de stratégie, puis cliquez sur Importer les paramètres.

  3. Lorsque l’Assistant Importation des paramètres s’ouvre, suivez ses instructions, puis cliquez sur Terminer.

  4. Au terme de l’opération d’importation, un résumé indique si l’importation s’est déroulée correctement. Cliquez sur OK.

Utilisation des tables de migration

Étant donné que certaines données dans un objet de stratégie de groupe sont propres au domaine et que, de par leur nature, elles risquent de ne pas pouvoir être directement copiées vers un autre domaine, la Console de gestion des stratégies de groupe met à votre disposition des tables de migration. Une table de migration est une table simple qui spécifie un mappage entre une valeur source et une valeur de destination. La figure 7 illustre une table de migration dans l’éditeur de table de migration de la Console de gestion des stratégies de groupe.

1fb8e2c2-970c-4686-9a0a-1d853732dd9c

Une table de migration convertit, pendant l’opération de copie ou d’importation, les références stockées dans un objet de stratégie de groupe en nouvelles références qui seront opérationnelles dans le domaine cible. Vous pouvez utiliser des tables de migration pour mettre à jour des entités de sécurité et des chemins d’accès UNC avec de nouvelles valeurs dans le cadre de l’opération d’importation ou de copie. Les tables de migration portent l’extension de nom de fichier .migtable, mais sont en réalité des fichiers XML. Vous n’avez pas besoin de connaître la syntaxe XML pour créer ou modifier des tables de migration ; l’éditeur de table de migration disponible dans la Console de gestion des stratégies de groupe vous permet de manipuler les tables de migration.

Une table de migration se compose d’une ou de plusieurs entrées de mappage. Chaque entrée de mappage se compose d’un type source, d’une référence source et d’une référence de destination. Si vous spécifiez une table de migration lorsque vous effectuez une opération d’importation ou de copie, chaque référence à l’entrée source est remplacée par l’entrée de destination lorsque les paramètres de stratégie sont écrits dans l’objet de stratégie de groupe de destination. Avant d’utiliser une table de migration, vérifiez que les références de destination spécifiées dans celle-ci existent déjà.

Les éléments suivants peuvent contenir des entités de sécurité et être modifiés à l’aide d’une table de migration :

  • Paramètres de stratégie de sécurité des types suivants :

    • Affectation des droits d’utilisateur

    • Groupes restreints

    • Services système

    • Système de fichiers

    • Registre

  • Paramètres de stratégie avancés de la redirection de dossiers

  • Liste DACL sur les objets de stratégie de groupe, si elle est conservée pendant une opération de copie

  • Liste DACL sur les objets d’installation logicielle, qui n’est conservée que si l’option permettant de copier la liste DACL sur les objets de stratégie de groupe est spécifiée

En outre, les éléments suivants peuvent contenir des chemins d’accès UNC, susceptibles d’être mis à jour avec de nouvelles valeurs dans le cadre de l’opération d’importation ou de copie, car les serveurs dans le domaine d’origine risquent d’être inaccessibles depuis le domaine vers lequel l’objet de stratégie de groupe est migré :

  • Paramètres de stratégie de groupe de la redirection de dossiers

  • Paramètres de stratégie de groupe de l’installation logicielle

  • Références à des scripts (tels que des scripts d’ouverture de session et de démarrage) stockés en dehors de l’objet de stratégie de groupe source. Le script proprement dit n’est pas copié dans le cadre de l’opération de copie ou d’importation de l’objet de stratégie de groupe, sauf s’il est stocké dans l’objet de stratégie de groupe source.

Pour plus d’informations sur l’utilisation des tables de migration, voir Réalisation d’une copie intermédiaire des déploiements de la stratégie de groupe dans ce guide.

Gestion de la stratégie de groupe

Après le déploiement, vous pouvez être amené à effectuer des tâches de maintenance et de modification de routine sur l’implémentation de la stratégie de groupe en fonction de votre organisation et de ses besoins et à mesure que votre expérience de la stratégie de groupe s’accroît. En établissant des procédures de contrôle pour la création, la liaison, la modification, la sauvegarde, la restauration des objets de stratégie de groupe, ainsi pour l’importation de paramètres de stratégie vers ceux-ci, vous pouvez réduire les appels du support technique et de l’assistance engendrés par une planification inadéquate des déploiements de la stratégie de groupe. Vous pouvez également simplifier la résolution des problèmes liés aux objets de stratégie de groupe et favoriser la diminution du coût total de possession des ordinateurs de votre réseau.

En établissant des mécanismes de contrôle des objets de stratégie de groupe, vous pouvez créer des objets de stratégie de groupe qui :

  • respectent les standards de l’entreprise ;

  • garantissent l’absence de conflit entre les paramètres de stratégie et ceux définis par d’autres personnes.

Pour faciliter la résolution des problèmes liés aux objets de stratégie de groupe, vous pouvez utiliser l’Assistant Résultats de stratégie de groupe de la Console de gestion des stratégies de groupe pour identifier les erreurs de déploiement de stratégie de groupe possibles. Pour plus d’informations sur cet outil, voir Utilisation de la modélisation de stratégie de groupe et des résultats de stratégie de groupe pour évaluer les paramètres de stratégie de groupe dans ce guide. Vous pouvez également utiliser l’Assistant Modélisation de stratégie de groupe de la Console de gestion des stratégies de groupe pour évaluer les conséquences des nouveaux paramètres de stratégie de groupe avant de les déployer vers votre environnement de production.

Chaque fois que vous déployez des solutions reposant sur une nouvelle technologie, telle que la mise en réseau sans fil, vous devez réexaminer vos configurations de stratégie de groupe afin de vous assurer de leur compatibilité avec la nouvelle technologie. Pour faciliter la gestion des différentes technologies, la stratégie de groupe met à votre disposition des paramètres de stratégie tels que ceux destinés aux stratégies de réseau sans fil (IEEE 802.11) (situés dans Computer Configuration\Policies\Windows Settings\Security Settings, les services Terminal Server (situés dans Computer Configuration\Policies\Administrative Templates\Windows Components et User Configuration\Policies\Administrative Templates\Windows Components), ainsi que des paramètres de stratégie pour de nombreuses autres technologies.

La modification des paramètres de stratégie de groupe peut avoir des conséquences significatives. Lors des opérations de maintenance de la stratégie de groupe, vous devez prendre toute précaution raisonnable pour tester les modifications proposées et évaluer leurs effets dans un environnement de copie intermédiaire avant le déploiement.

Observations sur l’affectation d’un nouveau nom à un domaine dans le cadre de la stratégie de groupe

Les noms de domaines constituent une composante essentielle du fonctionnement même de l’implémentation d’une stratégie de groupe. Dans la famille Windows Server 2008, vous pouvez renommer un domaine à l’aide des outils d’affectation d’un nouveau nom à un domaine (Rendom.exe et GPfixup.exe) inclus dans Windows Server 2008. Ces outils permettent de renommer un ou plusieurs domaines, ainsi que les partitions d’annuaire d’applications, de façon sécurisée dans une forêt Active Directory.

ImportantImportant
Veillez à sauvegarder tous vos objets de stratégie de groupe à l’aide de la Console de gestion des stratégies de groupe après avoir renommé le domaine. Après l’affectation d’un nouveau nom à un domaine, vous ne pouvez pas restaurer les sauvegardes réalisées avant l’opération.

L’affectation d’un nouveau nom à un ou plusieurs domaines est un processus complexe qui requiert une planification et une compréhension minutieuses des procédures d’affectation d’un nouveau nom à un domaine. Vous devez également modifier tout objet de stratégie de groupe affecté afin qu’il fonctionne correctement. Pour modifier les objets de stratégie de groupe, utilisez l’outil Gpfixup.exe, qui est inclus dans Windows Server 2008. Gpfixup.exe répare les objets de stratégie de groupe et leurs références dans chaque domaine renommé. Il est nécessaire de réparer les objets de stratégie de groupe et les liens de stratégie de groupe après l’affectation d’un nouveau nom à un domaine afin de mettre à jour l’ancien nom de domaine incorporé dans ces objets de stratégie de groupe et dans leurs liens.

ImportantImportant
Pour plus d’informations sur l’affectation d’un nouveau nom à un domaine, voir le site TechCenter de Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=100876) (éventuellement en anglais).

Utilisation de scripts pour gérer la stratégie de groupe

Vous pouvez télécharger des exemples de scripts qui utilisent les interfaces de la Console de gestion des stratégies de groupe et écrire les scripts de nombreuses opérations prises en charge par la Console de gestion des stratégies de groupe. Les exemples de scripts de la Console de gestion des stratégies de groupe constituent la base d’une boîte à outils d’écriture de scripts qui vous permet de résoudre des problèmes administratifs spécifiques. Par exemple, vous pouvez exécuter des requêtes pour rechercher tous les objets de stratégie de groupe d’un domaine dont les noms sont en double ou pour générer la liste de tous les objets de stratégie de groupe d’un domaine dont les paramètres de stratégie sont désactivés ou partiellement désactivés. Les scripts illustrent également des objets et des méthodes de scripts clés afin que vous ayez une vue d’ensemble des nombreuses tâches administratives réalisables à l’aide de la Console de gestion des stratégies de groupe. Pour plus d’informations sur ces scripts, voir Exemples de scripts de la console de stratégie de groupe (http://go.microsoft.com/fwlink/?LinkId=109520) (éventuellement en anglais).

Par défaut, lorsque vous téléchargez les exemples de scripts de la Console de gestion des stratégies de groupe, ils sont installés dans le dossier Program Files\Microsoft Group Policy\GPMC Sample Scripts. Les exemples de scripts affichent la sortie dans la fenêtre de commande et doivent être exécutés à l’aide de Cscript.exe. Si Cscript.exe n’est pas votre langage de script par défaut, vous devez spécifier explicitement Cscript.exe sur la ligne de commande. Par exemple, tapez d: \Program Files\Microsoft Group Policy\GPMC Sample Scripts>cscript ListAllGPOs.wsf. Pour faire de Cscript.exe le langage de script par défaut, tapez cscript //h:cscript sur la ligne de commande.

De nombreux exemples de scripts reposent sur une bibliothèque de fonctions d’assistance courantes contenues dans le fichier Lib_CommonGPMCFunctions.js. Si vous copiez ces scripts à un autre emplacement, vous devez également y copier ce fichier de bibliothèque afin que les exemples de scripts fonctionnent.

Réalisation d’une copie intermédiaire des déploiements de la stratégie de groupe

La stratégie de groupe Windows Server 2008 met à votre disposition des fonctionnalités puissantes pour le déploiement des modifications de configurations dans une organisation. Comme dans le cas de toute autre modification dans l’organisation, les déploiements de la stratégie de groupe et les mises à jour permanentes requièrent une planification et un test minutieux afin de garantir une infrastructure sécurisée et à haut niveau de disponibilité. À l’aide des fonctionnalités incluses dans la Console de gestion des stratégies de groupe, vous pouvez créer un processus de déploiement test/copie intermédiaire/production qui garantit la prévisibilité et la cohérence pendant les déploiements de la stratégie de groupe.

Vue d’ensemble de la copie intermédiaire de la stratégie de groupe

La stratégie de groupe est un outil puissant pour la configuration des systèmes d’exploitation Windows Server 2008, Windows Vista, Windows Server 2003 et Windows XP dans une organisation. Cette possibilité de manipuler les configurations de centaines, voire de milliers, d’ordinateurs nécessite de bonnes pratiques de gestion des modifications afin que les changements apportés à un objet de stratégie de groupe produisent les résultats attendus pour les cibles appropriées (utilisateurs et ordinateurs).

La plupart des organisations mettent en place des processus de gestion des modifications afin que les nouvelles configurations ou les nouveaux déploiements destinés aux environnements de production soient soumis à des tests rigoureux dans un environnement autre qu’un environnement de production avant la phase de déploiement.

Dans de nombreux processus de gestion des modifications, les organisations font la distinction entre un environnement de test, qui permet de tester les modifications, et un environnement de copie intermédiaire, environnement opérationnel ressemblant à l’environnement de production et constituant la dernière étape d’une modification avant son déploiement dans l’environnement de production. Dans cette section, les termes test et copie intermédiaire sont utilisés de manière interchangeable et ne désignent pas des environnements physiques différents. Toutefois, vous pouvez utiliser les techniques décrites dans cette section pour créer des environnements de test et de copie intermédiaire distincts si vos processus de gestion des modifications prévoient le recours à ces environnements.

Il est tout aussi important d’utiliser des processus de gestion des modifications efficaces pour que le déploiement des modifications apportées à la stratégie de groupe soit couronné de succès, car la stratégie de groupe peut concerner tous les aspects allant des paramètres de Registre aux paramètres de sécurité en passant par les logiciels déployés sur un ordinateur. Outre les nombreux paramètres de configuration pris en charge par la stratégie de groupe, les objets de stratégie de groupe peuvent être liés à une série d’étendues différentes et leur effet peut être filtré par utilisateurs, ordinateurs ou groupes de sécurité. La possibilité de réaliser une copie intermédiaire des objets de stratégie de groupe dans un environnement de test, puis de tester leurs différents effets avant de les déployer dans un environnement de production, vous permet de vous assurer de la fiabilité et de la robustesse du fonctionnement de votre infrastructure Windows. La création d’un environnement de copie intermédiaire est essentielle à la réussite de tout déploiement de la stratégie de groupe dans votre infrastructure Active Directory. Plusieurs options sont à votre disposition pour créer un environnement de ce type. Ces options sont activées à l’aide de fonctionnalités de la Console de gestion des stratégies de groupe.

Vous pouvez combiner les fonctionnalités basées sur la Console de gestion des stratégies de groupe et des scripts pour créer un environnement de copie intermédiaire qui simule votre environnement de production. Vous pouvez ensuite utiliser l’environnement de copie intermédiaire pour tester les objets de stratégie de groupe nouveaux ou modifiés. Une fois ces objets de stratégie de groupe validés, vous pouvez utiliser la Console de gestion des stratégies de groupe pour les migrer vers vos domaines de production.

Processus de la réalisation d’une copie intermédiaire de la stratégie de groupe

Le processus de la réalisation d’une copie intermédiaire de la stratégie de groupe implique la création d’un environnement de copie intermédiaire qui simule l’environnement de production, le test des nouveaux paramètres de stratégie de groupe dans l’environnement de copie intermédiaire, puis le déploiement de ces paramètres de stratégie dans l’environnement de production. L’approche de déploiement que vous utilisez dépend de la configuration de votre environnement de copie intermédiaire.

Au départ, l’élaboration d’un environnement de copie intermédiaire pour la stratégie de groupe consiste simplement à identifier le matériel disponible pour la création d’une infrastructure similaire à votre environnement de production, puis à configurer la structure logique appropriée. Vous pouvez ensuite utiliser des outils de la Console de gestion des stratégies de groupe pour importer les paramètres de stratégie de groupe de production vers l’environnement de copie intermédiaire. Une fois que vous avez créé l’environnement, le test de la stratégie de groupe implique l’implémentation des modifications et la mesure de leur effet sur les utilisateurs et les ordinateurs de test qui simulent les utilisateurs et les ordinateurs de production. Après avoir validé vos modifications, vous pouvez de nouveau utiliser des outils de la Console de gestion des stratégies de groupe pour migrer les paramètres de stratégie de groupe modifiés ou nouveaux vers votre environnement de production.

Vous devez gérer la stratégie de groupe et évaluer les modifications en permanence. Par conséquent, vous devez faire en sorte que l’environnement de copie intermédiaire demeure constamment synchronisé avec l’environnement de production. Vous pouvez utiliser les outils de la Console de gestion des stratégies de groupe, tels que les exemples de scripts et les fonctionnalités de sauvegarde, de copie et d’importation, pour gérer l’environnement de copie intermédiaire dans le temps.

noteRemarque
Vous pouvez utiliser la virtualisation basée sur l’hyperviseur Windows Server 2008 pour faciliter la création et le test de nombreux scénarios de stratégie de groupe. À l’aide d’ordinateurs virtuels, vous pouvez créer un environnement autonome et sécurisé dont le fonctionnement ressemble étroitement à celui des serveurs et clients physiques. Pour plus d’informations sur la virtualisation Windows Server 2008, voir Virtualisation et consolidation (http://go.microsoft.com/fwlink/?LinkId=109521) (éventuellement en anglais).

Fonctionnalité de copie intermédiaire et de maintenance du déploiement disponibles dans la Console de gestion des stratégies de groupe

La Console de gestion des stratégies de groupe comprend plusieurs fonctionnalités de copie intermédiaire et de maintenance de la stratégie de groupe :

  • L’Assistant Modélisation de stratégie de groupe pour la planification des déploiements de stratégie de groupe.

  • L’Assistant Résultats de stratégie de groupe pour l’affichage de l’interaction des objets de stratégie de groupe et la résolution des problèmes.

  • La possibilité d’utiliser une interface MMC (Microsoft Management Console) unique, en l’occurrence la Console de gestion des stratégies de groupe, pour gérer la stratégie de groupe dans l’ensemble de votre organisation. Les opérations de gestion comprennent l’importation, l’exportation, la copie, la sauvegarde et la restauration des objets de stratégie de groupe.

Pour la réalisation d’une copie intermédiaire de la stratégie de groupe, les fonctionnalités les plus importantes de la Console de gestion des stratégies de groupe sont la sauvegarde, l’importation, la copie et la migration des tables. Ces fonctionnalités vous permettent de réaliser une copie intermédiaire des objets de stratégie de groupe et de les migrer entre des forêts et des domaines.

Sauvegarde et importation

La Console de gestion des stratégies de groupe permet de sauvegarder un ou plusieurs objets de stratégie de groupe. Vous pouvez ensuite utiliser ces sauvegardes pour restaurer des objets de stratégie de groupe spécifiques dans leur état antérieur (à l’aide de l’opération de restauration) ou vous pouvez importer des paramètres de stratégie vers un objet de stratégie de groupe existant, remplaçant ainsi tous les paramètres de stratégie antérieurs. L’opération de restauration sert uniquement à restaurer un objet de stratégie de groupe dans le domaine à partir duquel il a été sauvegardé.

À l’opposé, l’opération d’importation est utilisée lorsque la sauvegarde a été réalisée à partir de n’importe quel objet de stratégie de groupe dans le même domaine, dans un domaine différent, voire dans une autre forêt non approuvée, telle qu’une forêt de test isolée de la forêt de production. Bien que les deux fonctionnalités de restauration et d’importation s’appliquent à des objets de stratégie de groupe déjà sauvegardés, la restauration offre des fonctionnalités supplémentaires. Les opérations de sauvegarde, d’importation et de copie vous permettent d’effectuer une copie intermédiaire des objets de stratégie de groupe et de les migrer vers votre environnement de production.

La figure 8 illustre l’opération d’importation. Dans ce cas, l’objet de stratégie de groupe X dans une forêt de test contient une série d’entités de sécurité auxquelles a été affecté le droit d’utilisateur d’ouverture d’une session locale. Cet objet de stratégie de groupe est sauvegardé, puis importé dans la forêt de production. Pendant l’opération d’importation, les entités de sécurité d’origine sont mappées sur de nouvelles entités de sécurité existant dans le domaine de production.

3232f3ca-42bf-4dfb-8fee-b2f4de7ed53e

Copie

À l’aide de la fonctionnalité de copie disponible dans la Console de gestion des stratégies de groupe, vous pouvez cliquer avec le bouton droit sur un objet de stratégie de groupe, le copier depuis un domaine, puis le coller dans un nouveau domaine. Dans une opération de copie, lorsque vous copiez un objet de stratégie de groupe dans un nouveau domaine, un nouvel objet de stratégie de groupe est créé. Cette opération diffère de l’opération d’importation, qui efface, puis remplace un objet de stratégie de groupe existant. Toutefois, seuls les paramètres de stratégie de l’objet de stratégie de groupe source sont copiés dans le nouvel objet de stratégie de groupe. Les liaisons d’étendues de gestion, les listes de contrôle d’accès et les liaisons de filtres WMI de l’objet de stratégie de groupe source ne sont pas copiées dans le nouvel objet de stratégie de groupe. Les opérations de copie ne fonctionnent que si le domaine de destination est approuvé par le domaine source. Pour effectuer des opérations de copie, vous devez être membre du groupe Administrateurs local ou utilisateur délégué disposant des droits suivants :

  • droits de lecture sur l’objet de stratégie de groupe source et dans le domaine source ;

  • droit de créer des objets de stratégie de groupe dans le domaine de destination (domaine dans lequel le nouvel objet de stratégie de groupe est copié).

Grâce aux opérations d’importation et de copie, la Console de gestion des stratégies de groupe prend en charge le mappage des entités de sécurité et des chemins d’accès UNC entre les références à ces objets dans l’objet de stratégie de groupe source et celles dans l’objet de stratégie de groupe de destination.

La figure 9 illustre une opération de copie. Dans ce cas, un objet de stratégie de groupe est migré depuis le domaine B vers le domaine C et plusieurs de ses entités de sécurité associées sont mappées sur de nouvelles entités sur le domaine C.

6ec4947c-8963-4733-a35b-95b941edf305

Tables de migration

Les objets de stratégie de groupe peuvent contenir des références aux entités de sécurité et aux chemins d’accès UNC dans le cadre d’un paramètre de stratégie. Par exemple, dans les paramètres de stratégie de sécurité, vous pouvez déterminer les utilisateurs ou les groupes pouvant démarrer et arrêter un service Windows particulier. La figure 10 illustre les paramètres de sécurité applicables au service Affichage des messages. Dans ce cas, ces paramètres de sécurité peuvent être mappés depuis des entités de sécurité dans l’environnement de copie intermédiaire vers des entités de sécurité dans un environnement de production à l’aide de tables de migration.

28811d69-b5a2-490a-a2cd-3ee25bce2929

En outre, un objet de stratégie de groupe possède un descripteur de sécurité qui contient une liste DACL permettant de déterminer les ordinateurs, les utilisateurs ou les groupes pouvant traiter un objet de stratégie de groupe et les utilisateurs pouvant créer et modifier l’objet de stratégie de groupe. Les entités de sécurité incluses dans la liste DACL sur un objet de stratégie de groupe peuvent également être prises en compte lors du déploiement de l’objet de stratégie de groupe depuis un domaine vers un autre.

En outre, les tables de migration prennent en charge le mappage des chemins d’accès UNC, qui peuvent exister dans la stratégie d’installation logicielle, de redirection de dossiers ou de scripts. Pour traiter les différences éventuelles dans ces chemins d’accès entre les environnements de test et de production, vous pouvez utiliser des tables de migration afin de remplacer les noms de serveurs et de partages lorsque vous migrez les paramètres de stratégie de groupe.

Si un objet de stratégie de groupe créé dans un autre domaine ou dans une autre forêt est migré vers votre environnement de production, vous devez modifier les références aux entités de sécurité associées afin qu’elles reflètent les références détectées dans le domaine de production. La Console de gestion des stratégies de groupe met à votre disposition un éditeur de table de migration qui vous permet de créer un fichier de mappage pour les entités de sécurité et les chemins d’accès UNC. L’éditeur de table de migration crée un fichier au format XML portant l’extension .migtable ; ce fichier spécifie les chemins d’accès UNC ou les entités de sécurité source et de destination pour une migration d’objet de stratégie de groupe. Pour plus d’informations sur l’éditeur de table de migration, voir Création de tables de migration plus loin dans ce guide.

Création de l’environnement de copie intermédiaire

La première étape de la réalisation d’une copie intermédiaire et du déploiement de la stratégie de groupe consiste à créer l’environnement de copie intermédiaire. Cette étape implique la création d’une infrastructure de test reflétant l’infrastructure de l’environnement de production et vous permettant de tester les paramètres de stratégie de groupe nouveaux ou modifiés sans porter atteinte aux utilisateurs et ordinateurs de production.

À ce stade, vous devez prendre des décisions quant au positionnement de votre environnement de copie intermédiaire et à ses relations d’approbation avec votre environnement de production. Vous pouvez choisir de créer :

  • un domaine de copie intermédiaire dans la forêt de production ;

  • une forêt de copie intermédiaire sans approbations vers la forêt de production ;

  • une forêt de copie intermédiaire avec approbations vers la forêt de production.

Chaque option présente ses avantages et des inconvénients, décrits dans le tableau 8.

Table 8 : choix d’une approche de copie intermédiaire

Approche Avantages Inconvénients

Domaine de copie intermédiaire dans une forêt de production

  • Peut utiliser l’opération de copie de la Console de gestion des stratégies de groupe pour déplacer des objets de stratégie de groupe entre l’environnement de copie intermédiaire et l’environnement de production.

  • Peut tirer parti des services de l’infrastructure de production existants (par exemple, DNS, DHCP).

  • Peut impliquer l’implémentation d’une configuration matérielle moins lourde qu’un environnement complètement isolé nécessitant une infrastructure de prise en charge.

  • Pus facile à maintenir synchronisé avec l’environnement de production, car tous les paramètres de stratégie et les services se trouvent dans la même forêt.

  • Peut impliquer une utilisation moindre des tables de migration si l’opération de migration s’effectue entre deux domaines dans la forêt de production (par exemple, certaines entités de sécurité peuvent être réutilisées indépendamment du domaine).

  • Risque de ne pas être suffisamment isolé de l’environnement de production afin que le test ne l’affecte pas (par exemple, les objets de stratégie de groupe liés à des sites ne peuvent pas être facilement testés, car les sites couvrent plusieurs domaines au sein d’une forêt. Les entités de sécurité peuvent être réutilisées indépendamment du domaine).

  • Risque de s’avérer restrictif si des modifications apportées à l’environnement sont requises à des fins de test.

Forêt de copie intermédiaire sans approbations vers la forêt de production

  • Complètement isolée de l’environnement de production ; fournit une protection maximale contre les objets de stratégie de groupe de test affectant les ordinateurs et les utilisateurs de production.

  • Aucune superposition de sécurité entre la copie intermédiaire et la production ; les administrateurs dans les forêts de copie intermédiaire et de production doivent avoir accès aux deux forêts.

  • Fournit une certaine souplesse ; les administrateurs peuvent expérimenter librement les paramètres de stratégie et les configurations sans affecter l’environnement de production.

  • Difficile à maintenir synchronisée avec la forêt de production.

  • En l’absence d’approbations, le déplacement de données et de paramètres de stratégie entre les forêts est plus lourd.

  • Des tables de migration sont nécessaires pour le déplacement d’objets de stratégie de groupe contenant des entités de sécurité ou des chemins d’accès UNC depuis l’environnement de copie intermédiaire vers l’environnement de production.

  • Ne peut pas utiliser l’opération de copie de la Console de gestion des stratégies de groupe pour migrer des objets de stratégie de groupe ; doit utiliser l’opération d’importation de la Console de gestion des stratégies de groupe.

Forêt de copie intermédiaire avec approbations vers la forêt de production

  • Peut utiliser l’opération de copie de la Console de gestion des stratégies de groupe pour déplacer des objets de stratégie de groupe entre l’environnement de copie intermédiaire et l’environnement de production.

  • Quelque peu isolée de l’environnement de production.

  • Fournit une certaine souplesse ; les administrateurs peuvent expérimenter librement les paramètres de stratégie et les configurations sans affecter l’environnement de production.

  • Peut ne pas avoir besoin de recourir à des tables de migration pour mapper les chemins d’accès UNC, car tous les chemins d’accès peuvent éventuellement être disponibles par le biais des relations d’approbation actuelles.

  • Difficile à maintenir synchronisée avec la forêt de production.

  • Les approbations entre l’environnement de copie intermédiaire et l’environnement de production permettent aux utilisateurs dans un environnement d’accéder aux ressources situées dans l’autre environnement.

  • Il est nécessaire d’utiliser des tables de migration pour déplacer les objets de stratégie de groupe contenant des entités de sécurité depuis l’environnement de copie intermédiaire vers l’environnement de production.

Tenez compte des avantages et des inconvénients décrits dans le tableau 8 lorsque vous choisissez une approche de copie intermédiaire. Après avoir effectué votre choix, vous êtes en mesure de déterminer la configuration matérielle requise pour l’environnement de copie intermédiaire.

Configuration matérielle requise

Quelle que soit l’approche de copie intermédiaire que vous sélectionnez, il est nécessaire de dédier du matériel supplémentaire à la construction de votre environnement de copie intermédiaire. La quantité de matériel requise dépend des types de tests à réaliser et de la spécificité des besoins des tests de la stratégie de groupe. Par exemple, les environnements de production qui comprennent des ordinateurs connectés à des liaisons réseau lentes peuvent avoir une incidence sur la façon dont Windows applique la stratégie de groupe, car certains paramètres de stratégie de groupe ne sont pas appliqués via les liaisons lentes. Il est important que votre environnement de test reflète cette situation afin que vous obteniez une image précise de l’incidence des modifications apportées à la stratégie de groupe sur votre environnement de production. La Console de gestion des stratégies de groupe peut s’avérer utile dans une situation de ce type, car elle permet de modéliser l’impact du traitement de la stratégie de groupe via des liaisons lentes. Toutefois, si vous ne dédiez pas suffisamment de ressources matérielles système et réseau à l’environnement de copie intermédiaire, celui-ci risque de ne pas refléter complètement votre environnement de production. Votre objectif est de créer un environnement de copie intermédiaire qui reflète les performances et les comportements que connaîtront les ordinateurs et les utilisateurs dans votre environnement de production lorsque la stratégie de groupe appliquera des objets de stratégie de groupe nouveaux ou modifiés.

Préparation de l’environnement de copie intermédiaire

Après avoir choisi une approche de copie intermédiaire et configuré le matériel, installez Windows Server 2008 et Active Directory sur vos serveurs de copie intermédiaire afin de préparer la synchronisation de la configuration des environnements de production et de copie intermédiaire. Dans la plupart des cas, vous devez vérifier que les ordinateurs de l’environnement de copie intermédiaire exécutent les mêmes système d’exploitation, Service Packs et correctifs logiciels que dans votre environnement de production. Cette opération garantit la cohérence des résultats des tests. En outre, vérifiez que l’infrastructure de prise en charge, telle que les service DNS, DFS (Distributed File System) et les services associés, est également configurée comme dans l’environnement de production. En particulier, le service DNS est essentiel au traitement adéquat des objets de stratégie de groupe. Si vous décidez d’utiliser une approche de copie intermédiaire qui prévoit un domaine ou une structure d’unités d’organisation de copie intermédiaire dans votre forêt de production, vous pouvez utiliser votre infrastructure DNS de production existante pour les services de noms.

ImportantImportant
Vous pouvez utiliser la Console de gestion des stratégies de groupe de Windows Server 2008 pour gérer les objets de stratégie de groupe dans les domaines Windows Server 2008, Windows Server 2003 et Windows 2000.

Si vous créez une forêt distincte pour la copie intermédiaire, vous devez résoudre le problème de l’intégration des services de noms. Les services de noms peuvent inclure DNS ou WINS (Windows Internet Name Service), suivant les types d’approbations que vous avez créés. Vous pouvez être amené à créer une infrastructure DNS distincte pour votre environnement de copie intermédiaire. Cela est notamment le cas si vous utilisez un service DNS sécurisé intégré à Active Directory dans votre forêt de production, car les zones sécurisées intégrées à Active Directory ne peuvent pas prendre en charge l’inscription dynamique des clients auprès des forêts étrangères. Si vous envisagez de créer des approbations entre la forêt de copie intermédiaire et la forêt de production, l’infrastructure des services de noms dans chaque forêt doit tenir compte de la présence de l’autre infrastructure. Une fois l’environnement de copie intermédiaire entièrement configuré avec les éléments de base nécessaires au déploiement de la stratégie de groupe, l’étape suivante consiste à synchroniser les environnements de copie intermédiaire et de production.

Synchronisation des environnements de copie intermédiaire et de production

Après avoir créé une infrastructure de copie intermédiaire de base qui reflète votre environnement de production, vous devez vérifier que tous les paramètres de sécurité et d’objet de stratégie de groupe sont identiques entre les deux environnements. La synchronisation requiert également une représentation suffisante des unités d’organisation, des utilisateurs, des ordinateurs et des groupes dans les deux environnements, car vous devez être en mesure de tester les liens d’objets de stratégie de groupe et les effets du filtrage des groupes de sécurité dans des conditions similaires à celles de l’environnement de production.

Tout environnement de test doit refléter l’environnement de production aussi étroitement que possible. Vous pouvez télécharger et exécuter deux exemples de scripts GPMC, CreateXMLFromEnvironment.wsf et CreateEnvironmentFromXML.wsf, qui facilitent la synchronisation initiale et permettent de maintenir l’environnement de test synchronisé avec l’environnement de production dans le temps. Comme indiqué plus haut, les exemples de scripts de la Console de gestion des stratégies de groupe sont installés par défaut dans le dossier Program Files\Microsoft Group Policy\GPMC Sample Scripts.

Le script CreateXMLFromEnvironment.wsf s’exécute par rapport à un domaine de production, stocke toutes les informations relatives aux stratégies dans un fichier au format XML et crée des sauvegardes des objets de stratégie de groupe qu’il trouve dans le domaine de production. Notez que ce script ne fonctionne que par rapport à un seul domaine à la fois ; il ne peut pas être exécuté par rapport à une forêt entière. Le script CreateEnvironmentFromXML.wsf utilise le fichier au format XML et tous les objets de stratégie de groupe de sauvegarde créés par CreateXMLFromEnvironment.wsf pour recréer les objets de stratégie de groupe et les autres objets du domaine de production dans un domaine de copie intermédiaire. Le tableau 9 décrit les objets et les paramètres de stratégie capturés par CreateXMLFromEnvironment.wsf et indique les objets supplémentaires que vous pouvez capturer à l’aide d’options de ligne de commande lors de l’exécution du script.

Tableau 9 : objets capturés par CreateXMLFromEnvironment.wsf

Type d’objet Capturé par le script Options de ligne de commande supplémentaires

La totalité des objets de stratégie de groupe et des paramètres d’objets de stratégie de groupe pour le domaine ou l’unité d’organisation

Oui

Pour capturer les paramètres d’objets de stratégie de groupe, vous devez indiquer le chemin d’accès d’un modèle à l’aide de l’option /TemplatePath afin de spécifier l’emplacement de système de fichiers dans lequel stocker les objets de stratégie de groupe sauvegardés. Si aucun chemin d’accès de modèle n’est spécifié, les objets de stratégie de groupe ne sont pas sauvegardés.

Vous pouvez exclure des autorisations associées aux objets de stratégie de groupe à l’aide de l’option /ExcludePermissions.

Unités d’organisation

Oui

Vous ne pouvez capturer qu’une partie de l’arborescence des unités d’organisation à l’aide de l’option /StartingOU, en indiquant le chemin d’accès de nom unique d’une unité d’organisation.

Liens d’objets de stratégie de groupe et attributs de liens (par exemple, désactivé, blocage de l’héritage)

Oui ; cependant les liens sur les objets de site ne sont pas capturés.

Aucune

Autorisations relatives aux stratégies

Oui

Vous pouvez exclure des autorisations à l’aide de l’option /ExcludePermissions.

Filtres WMI

Oui

Aucune

Utilisateurs

Facultatif

Les comptes d’utilisateurs ne sont capturés que si vous utilisez l’option /IncludeUsers.

Groupes de sécurité

Oui

Par défaut, seuls les groupes de sécurité définis dans les unités d’organisation sont capturés par le script. À l’aide de l’option /IncludeAllGroups, vous pouvez étendre la portée de cette fonctionnalité à tous les groupes du conteneur Utilisateurs et de la racine du domaine.

Ordinateurs

Non

Aucune

Sites

Non

Aucune

Vous devez garder à l’esprit certains points lorsque vous utilisez le script CreateXMLFromEnvironment.wsf. Tout d’abord, si vous utilisez l’option /IncludeUsers pour capturer les objets utilisateur, lorsque ceux-ci sont recréés dans le domaine de copie intermédiaire, vous devez fournir un mot de passe pour chaque utilisateur capturé. Vous pouvez effectuer cette opération en modifiant manuellement le fichier XML obtenu et en ajoutant un mot de passe pour chaque utilisateur.

Sinon, si le fichier XML ne contient pas de mots de passe pour des utilisateurs, le script CreateEnvironmentfromXML.wsf vous invite à fournir un mot de passe. Tous les utilisateurs auxquels aucun mot de passe n’est associé dans le fichier XML sont créés avec ce mot de passe. En outre, notez que le script ne capture pas les ordinateurs. En effet, les objets ordinateur dans Active Directory correspondent à des ressources matérielles physiques, qui peuvent différer entre l’environnement de production et l’environnement de copie intermédiaire. Enfin, le script ne capture ni les sites ni les liens d’objets de stratégie de groupe sur les sites. Étant donné que les sites peuvent englober plusieurs domaines et avoir une incidence sur la réplication Active Directory, il est préférable de recréer ces objets, ainsi que les liens d’objets de stratégie de groupe qu’ils détiennent, manuellement dans votre environnement de copie intermédiaire.

Exemple : création d’un fichier au format XML à partir d’un environnement de production

Supposons que votre domaine de production est nommé Contoso.com. Vous souhaitez exporter des paramètres de stratégie de groupe et des informations connexes pour créer un nouveau domaine de copie intermédiaire en vue de tester des objets de stratégie de groupe. Dans cet exemple, supposons que vous souhaitez capturer les objets de stratégie de groupe à partir de la totalité du domaine et inclure les groupes et les comptes d’utilisateurs. Pour exporter les informations dont vous avez besoin, effectuez les tâches suivantes :

Pour créer un fichier XML à partir d’un environnement de production

  1. Vérifiez que vous bénéficiez de suffisamment d’autorisations sur le domaine de production pour extraire les données nécessaires. Vous devez être habilité à lire tous les objets que vous capturez, notamment les objets de stratégie de groupe, les unités d’organisation, les utilisateurs et les groupes (ainsi que leurs appartenances).

  2. Créez un dossier dans lequel sera stocké le fichier au format XML qui décrit les informations collectées par le script.

  3. Créez un dossier dans lequel seront stockées les sauvegardes des objets de stratégie de groupe extraits par le script.

  4. Exécutez le script CreateXMLFromEnvironment.wsf à partir du dossier d’installation. Vous devez faire précéder le nom du script de la commande cscript si cscript.exe n’est pas votre moteur d’environnement d’exécution de scripts WSH (Windows Script Host) par défaut. Pour cet exemple, tapez la commande suivante depuis la ligne de commande :

    Cscript "%programfiles%\Microsoft Group Policy\GPMC Sample Scripts\CreateXmlFromEnvironment.wsf".\production.xml /Domain:contoso.com /DC:contoso-dc1 /TemplatePath:.\GPObackups /IncludeUsers
    

Cette commande crée le fichier au format XML Production.xml dans le dossier où le script est exécuté. Les objets de stratégie de groupe sauvegardés sont créés dans un sous-dossier du dossier actif appelé GPObackups. Grâce à la barre oblique inverse (\) placée avant les chemins d’accès production.xml et GPObackups, le script utilise un chemin d’accès relatif et crée les dossiers du fichier XML et des objets de stratégie de groupe de sauvegarde dans le répertoire actif à partir duquel le script est exécuté. L’utilisation d’un chemin d’accès relatif facilite la copie du fichier XML et des sauvegardes à différents emplacements à partir desquels ils pourront être restaurés.

Le script démarre la capture au niveau du domaine (Contoso.com). Vous pouvez également exécuter le script au niveau d’une unité d’organisation, auquel cas vous devez utiliser l’option /StartingOU en plus de l’option /Domain. Si vous excluez l’option /Domain, le domaine considéré est le domaine actuel. L’option /DC indique au script d’utiliser le contrôleur de domaine contoso-dc1, tandis que l’option /TemplatePath spécifie que les sauvegardes de tous les objets de stratégie de groupe capturés doivent être stockées dans le dossier GPOBackups. Enfin, grâce à l’option /IncludeUsers, les comptes d’utilisateurs sont également capturés par le script.

CautionAttention
Vous pouvez ouvrir et modifier les fichiers au format XML générés par le script CreateXMLFromEnvironment.wsf dans un éditeur de texte ou tout éditeur XML. Toutefois, gardez à l’esprit que les fichiers au format XML doivent respecter une syntaxe spécifique. Si vous modifiez cette syntaxe, le script CreateEnvironmentFromXML.wsf risque de ne plus pouvoir lire le fichier d’entrée.

Après avoir capturé l’environnement de production en exécutant le script CreateXMLFromEnvironment.wsf, vous devez exécuter le script CreateEnvironmentFromXML.wsf, en utilisant comme paramètre d’entrée le fichier au format .XML généré par CreateXMLFromEnvironment.wsf. Vous devez exécuter le script CreateEnvironmentFromXML.wsf à partir du domaine de copie intermédiaire. Vous pouvez également l’exécuter à partir d’un ordinateur qui ne se trouve pas dans le domaine de copie intermédiaire si vous avez déjà configuré des relations d’approbation avec ce domaine.

Importation des objets de stratégie de groupe de production vers le domaine de copie intermédiaire

Le script CreateEnvironmentFromXML.wsf met à votre disposition une série d’options qui vous permettent de configurer la création des objets de stratégie de groupe dans votre environnement de copie intermédiaire. L’option la plus simple consiste à indiquer au script un fichier au format XML créé à partir du domaine de production et, éventuellement, à diriger l’opération du script vers un contrôleur de domaine dans votre domaine de copie intermédiaire. Le script crée dans le domaine de copie intermédiaire des objets de stratégie de groupe et des objets connexes qui correspondent aux données capturées à partir du domaine de production. Le script met à votre disposition une série d’options de ligne de commande qui vous permettent de modifier ce processus au besoin :

  • Undo. Cette option supprime de l’environnement de copie intermédiaire tous les objets (objets de stratégie de groupe, autorisations d’objets de stratégie de groupe, unités d’organisation, filtres WMI, utilisateurs et groupes) spécifiés par le fichier au format XML. Cette option est utile si vous devez annuler des modifications que vous avez apportées à votre domaine de copie intermédiaire.

  • ExcludePolicy Settings. Cette option crée des objets de stratégie de groupe dans le domaine de destination, mais sans paramètres de stratégie. Utilisez-la lorsque vous ne souhaitez pas importer les paramètres de stratégie contenus dans les objets de stratégie de groupe, mais que vous souhaitez simplement créer des unités d’organisation, des utilisateurs et des groupes d’utilisateurs qui ont pu être capturés.

  • ExcludePermissions. Cette option indique au script d’ignorer les autorisations relatives à la stratégie de groupe contenues dans le fichier au format XML. À la place, lorsque les nouveaux objets de stratégie de groupe et autres objets sont créés dans l’environnement de copie intermédiaire, des autorisations par défaut leur sont associées.

  • MigrationTable. Cette option vous permet de spécifier un fichier .migtable que vous créez à l’aide de l’éditeur de table de migration pour spécifier le mappage entre, d’une part, les entités de sécurité et les chemins d’accès UNC dans vos paramètres d’objets de stratégie de groupe de l’environnement de production et, d’autre part, les entités de sécurité et les chemins d’accès UNC appropriés dans l’environnement de copie intermédiaire.

  • ImportDefaultGPOs. Cette option importe des paramètres de stratégie vers la stratégie de domaine par défaut et la stratégie des contrôleurs de domaine par défaut, si les paramètres de stratégie de ces objets de stratégie de groupe sont spécifiés dans le fichier XML. Si cette option n’est pas spécifiée, ces objets de stratégie de groupe ne sont pas modifiés.

  • CreateUsersEnabled. Cette option crée des comptes d’utilisateurs en leur attribuant l’état activé, plutôt que désactivé.

  • PasswordForUsers. Cette option vous permet de spécifier le mot de passe à utiliser pour les utilisateurs auxquels aucun mot de passe n’est associé dans le fichier XML. Le même mot de passe sera utilisé pour tous les utilisateurs concernés.

  • Q. Cette option exécute le script en mode silencieux si tous les paramètres nécessaires ont été fournis sur la ligne de commande. Si vous ne recourez pas à cette option, le système vous informe que vous ne devez utiliser ce script que pour créer des environnements de copie intermédiaire et, le cas échéant, vous êtes invité à fournir un mot de passe pour tous les utilisateurs auxquels aucun mot de passe n’est associé dans le fichier XML.

Exemple : Peuplement du domaine de copie intermédiaire à partir du fichier au format XML

Supposons que votre environnement de copie intermédiaire est le domaine test.contoso.com et que ce domaine se trouve dans la même forêt que le domaine de production dont la capture est évoquée plus haut dans ce chapitre. Même si le domaine de copie intermédiaire ne se trouve pas dans la même forêt que le domaine de production, les étapes du peuplement du domaine de copie intermédiaire sont les mêmes ; seul peut différer le mappage des entités de sécurité à l’aide des tables de migration.

Pour peupler un environnement de copie intermédiaire à partir d’un fichier XML

  1. Vérifiez que vous exécutez le script CreateEnvironmentFromXML.wsf avec des autorisations suffisantes dans le domaine de copie intermédiaire. Vous devez exécuter le script en tant qu’utilisateur membre du groupe Admins du domaine ou disposer d’un accès équivalent au domaine.

  2. Vérifiez que vous avez accès au fichier au format XML et aux objets de stratégie de groupe de sauvegarde que vous avez créés dans le domaine de production en exécutant CreateXMLFromEnvironment.wsf.

    Lorsque vous exécutez CreateEnvironmentFromXML.wsf, vous ne référencez que le fichier au format XML (pas l’emplacement des objets de stratégie de groupe de sauvegarde) dans les options de ligne de commande. Ce fichier comprend les chemins d’accès des fichiers d’objets de stratégie de groupe de sauvegarde. Par conséquent, lorsque vous indiquez le fichier XML à CreateEnvironmentFromXML.wsf, le script utilise tous les fichiers d’objets de stratégie de groupe de sauvegarde situés dans le dossier spécifié antérieurement lors de l’exécution du script CreateXMLFromEnvironment.wsf. Si vous avez exécuté CreateXMLFromEnvironment.wsf à l’aide de la commande illustrée dans Exemple : création d’un fichier au format XML à partir d’un environnement de production, le fichier XML indique que les sauvegardes se trouvent dans un sous-dossier du dossier actif. Si vous n’avez pas utilisé un chemin d’accès relatif lors de l’exécution de CreateXMLFromEnvironment.wsf, vous disposez de trois méthodes pour faire en sorte que CreateEnvironmentFromXML.wsf trouve les fichiers requis :

    • Copiez l’arborescence du dossier spécifié depuis l’emplacement auquel elle a été créée vers un chemin d’accès identique sur l’ordinateur local à partir duquel vous exécutez CreateEnvironmentFromXML.wsf.

    • Spécifiez un partage réseau plutôt qu’un lecteur local lorsque vous créez le fichier au format XML (le partage doit également être accessible depuis l’emplacement auquel vous exécutez CreateEnvironmentFromXML.wsf).

    • Modifiez le fichier au format XML de manière à ce que les entrées de chemin d’accès pointent vers un autre emplacement pour les fichiers d’objets de stratégie de groupe de sauvegarde.

  3. Exécutez CreateEnvironmentFromXML.wsf à partir du dossier Scripts dans le dossier d’installation de la Console de gestion des stratégies de groupe. Vous devez faire précéder le nom du script de la commande cscript si cscript.exe n’est pas votre moteur d’environnement d’exécution de scripts WSH par défaut. Pour cet exemple, tapez la commande suivante depuis la ligne de commande :

    Cscript CreateEnvironmentFromXml.wsf /xml:c:\staging\production.xml /Domain:test.contoso.com /DC:test-dc1
    

Le script génère un avertissement indiquant qu’il n’est approprié que pour la création d’environnements de copie intermédiaire, puis vous invite à entrer un mot de passe pour les objets utilisateur. Si vous utilisez l’option /Q et que vous fournissez le mot de passe à l’aide de l’option PasswordForUsers lorsque vous exécutez ce script, ces messages n’apparaissent pas. Si vous confirmez que vous souhaitez poursuivre, le script indique le statut à mesure qu’il traite le fichier XML et les objets de stratégie de groupe. À l’aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory et de la Console de gestion des stratégies de groupe, vous pouvez ensuite vérifier que toutes les étapes de la création des utilisateurs, des groupes et des objets de stratégie de groupe se sont correctement déroulées.

Gestion de la synchronisation des environnements de copie intermédiaire et de production

Vous utilisez les scripts CreateXMLFromEnvironment.wsf et CreateEnvironmentFromXML.wsf pour créer un environnement de copie intermédiaire initial à partir de votre environnement de production. La gestion de la stratégie de groupe, y compris le test des objets de stratégie de groupe nouveaux et modifiés, requiert un effort continu. Comment pouvez-vous maintenir votre environnement de copie intermédiaire synchronisé avec l’environnement de production de façon continue ? Ces deux scripts fournissent une méthode de type « tout ou rien » pour peupler les objets de stratégie de groupe : ils ne sont pas suffisamment spécialisés pour capturer et importer uniquement des objets de stratégie de groupe spécifiques.

Les fonctions de sauvegarde et d’importation disponibles dans la Console de gestion des stratégies de groupe vous permettent de synchroniser de façon sélective des objets de stratégie de groupe spécifiques entre l’environnement de production et l’environnement de copie intermédiaire. Vous utilisez la fonctionnalité de sauvegarde pour créer une sauvegarde des paramètres de stratégie et de la sécurité d’un objet de stratégie de groupe de production. Vous pouvez ensuite importer la sauvegarde vers un objet de stratégie de groupe existant dans votre domaine de copie intermédiaire, synchronisant ainsi cet objet avec l’objet de stratégie de groupe de production. Pour plus d’informations sur la sauvegarde et l’importation d’objets de stratégie de groupe, voir Exemples de déploiements.

Test de la stratégie de groupe dans l’environnement de copie intermédiaire

Après avoir créé votre environnement de copie intermédiaire et synchronisé la stratégie de groupe avec votre environnement de production, vous pouvez commencer à tester les modifications planifiées de la stratégie de groupe. Le meilleur mécanisme pour tester la stratégie de groupe consiste à combiner les outils Résultats de stratégie de groupe et Modélisation de stratégie de groupe fournis avec la Console de gestion des stratégies de groupe et à manipuler des comptes d’utilisateurs et d’ordinateurs réels dans l’environnement de test pour traiter les objets de stratégie de groupe réels.

La fonctionnalité Résultats de stratégie de groupe est utile lorsque vous avez appliqué de nouveaux paramètres d’objets de stratégie de groupe à un ordinateur et à un utilisateur et que vous devez vérifier que tous les paramètres de stratégie attendus ont été effectivement appliqués. La modélisation de stratégie de groupe permet de déterminer les effets de la modification de l’emplacement d’un utilisateur ou d’un ordinateur dans l’espace de noms Active Directory et de la modification de l’appartenance d’un utilisateur ou d’un ordinateur à un groupe ou d’observer les effets d’une liaison lente ou d’une stratégie en boucle. La fonctionnalité Modélisation de stratégie de groupe vous permet de tester les effets d’une modification sans apporter réellement celle-ci, tandis que la fonctionnalité Résultats de stratégie de groupe vous montre ce qui s’est effectivement passé. Étant donné que la fonctionnalité Résultats de stratégie de groupe s’exécute sur l’ordinateur de destination, vous devez avoir accès à celui-ci. La modélisation de stratégie de groupe s’exécute sur un contrôleur de domaine ; par conséquent, il est nécessaire qu’au moins un contrôleur de domaine soit disponible pour l’exécution du processus de modélisation. Notez que la modélisation de stratégie de groupe vous permet de modéliser les paramètres de stratégie sur les ordinateurs exécutant Windows Server 2008, Windows Vista, Windows Server 2003 et Windows XP Professionnel. Gardez à l’esprit que la modélisation de stratégie de groupe simule le traitement d’une stratégie, tandis que la fonctionnalité Résultats de stratégie de groupe montre les effets des stratégies réellement traitées.

Réalisation d’un test en ouvrant une session en tant qu’utilisateur de test

La première et meilleure méthode pour tester la stratégie de groupe consiste à apporter les modifications réelles à vos objets de stratégie de groupe du domaine de copie intermédiaire, puis à tester les résultats en se connectant à des stations de travail avec des comptes d’utilisateurs de test pour observer l’effet des modifications. Ainsi, vous pouvez observer l’impact des modifications sur les utilisateurs.

Réalisation d’un test à l’aide de la fonctionnalité Résultats de stratégie de groupe

Si la Console de gestion des stratégies de groupe est installée sur l’ordinateur de test, vous pouvez utiliser l’Assistant Résultats de stratégie de groupe disponible dans la Console pour obtenir des rapports détaillés sur les objets de stratégie de groupe appliqués aux utilisateurs et aux ordinateurs. Sinon, vous pouvez utiliser la version de ligne de commande de la fonctionnalité Résultats de stratégie de groupe pour créer des rapports indiquant les objets de stratégie de groupe qui ont été appliqués à l’utilisateur ou à l’ordinateur. Vous pouvez ensuite apporter les modifications nécessaires dans vos objets de stratégie de groupe de test. Vous utilisez la fonctionnalité Résultats de stratégie de groupe après que la totalité de la stratégie de groupe a été traitée pour un utilisateur et un ordinateur donnés pour déterminer les paramètres de stratégie qui ont été appliqués. Le système rassemble les résultats en interrogeant le jeu de stratégie résultant sur l’ordinateur Windows Server 2008, Windows Vista, Windows Server 2003 ou Windows XP qui a traité la stratégie de groupe. Par conséquent, l’Assistant retourne les paramètres de stratégie qui ont été réellement appliqués, plutôt que des paramètres de stratégie attendus. Cette sortie est la même que celle que vous obtenez en utilisant Gpresult.exe avec le paramètre /h.

Pour plus d’informations sur l’Assistant Résultats de stratégie de groupe, voir Utilisation de la modélisation de stratégie de groupe et des résultats de stratégie de groupe pour évaluer les paramètres de stratégie de groupe dans ce guide.

Réalisation d’un test à l’aide de la modélisation de stratégie de groupe

La seconde méthode pour tester la stratégie de groupe consiste à utiliser l’Assistant Modélisation de stratégie de groupe disponible dans la Console de gestion des stratégies de groupe pour modéliser les modifications de votre environnement avant de les apporter réellement. La modélisation de stratégie de groupe vous permet d’effectuer des tests hypothétiques sur les objets utilisateur et ordinateur avant un déploiement de production pour observer la façon dont les paramètres de stratégie de groupe seraient appliqués si vous effectuiez des modifications telles que le déplacement des objets utilisateur ou ordinateur vers une autre unité d’organisation, la modification de leur appartenance à un groupe de sécurité ou la modification des filtres WMI effectifs. Toutefois, gardez à l’esprit que les résultats obtenus à l’aide de la modélisation de stratégie de groupe sont des paramètres de stratégie simulés, plutôt que réels. Par conséquent, après avoir modélisé le scénario qui satisfait à vos besoins, il est toujours préférable d’utiliser l’Assistant Résultats de stratégie de groupe pour vérifier les paramètres de stratégie attendus.

Étant donné que la modélisation de stratégie de groupe ne vous permet pas de spécifier de modifications proposées pour les paramètres de stratégie dans un objet de stratégie de groupe, vous devez apporter les modifications proposées à vos objets de stratégie de groupe de copie intermédiaire, puis exécuter l’Assistant Modélisation de stratégie de groupe pour une unité d’organisation, un utilisateur ou un ordinateur spécifique afin de déterminer le jeu de stratégie résultant.

La modélisation de stratégie de groupe vous permet également de modéliser le comportement de la stratégie de groupe lorsque vos ordinateurs traitent la stratégie via une liaison réseau lente, ce qui peut déterminer les extensions de stratégie de groupe effectivement traitées. Si un ordinateur se connecte à un contrôleur de domaine via une liaison réseau lente, les extensions de stratégie de groupe telles que l’installation logicielle et la redirection de dossiers ne sont pas traitées.

La Modélisation de stratégie de groupe peut simuler une vitesse de liaison lente et l’utiliser pour déterminer les paramètres de stratégie qui seront effectivement associés à l’utilisateur et à l’ordinateur en cours de modélisation. En outre, la modélisation de stratégie de groupe prend en charge le test des effets du traitement en boucle de la stratégie de groupe. Lorsque le traitement en boucle est activé, les mêmes paramètres de stratégie sont appliqués à un ordinateur quel que soit l’utilisateur qui s’y connecte. Notez que vous devez spécifier votre souhait de modéliser le traitement en boucle dans l’Assistant Modélisation de stratégie de groupe ; le traitement en boucle n’est pas modélisé par défaut.

Vous pouvez spécifier la détection de liaisons lentes et/ou le traitement en boucle lorsque vous utilisez l’Assistant Modélisation de stratégie de groupe. Pour le traitement en boucle, vous pouvez choisir entre le remplacement et la fusion de la stratégie propre à l’utilisateur. Le mode de remplacement remplace tous les paramètres de stratégie normaux d’un utilisateur par ceux définis dans la configuration utilisateur des objets de stratégie de groupe qui s’appliquent à l’objet ordinateur (les paramètres de stratégie en boucle). Le mode de fusion fusionne les paramètres de stratégie normaux de l’utilisateur et les paramètres de stratégie en boucle. Lorsqu’un élément de stratégie dans les paramètres de stratégie normaux de l’utilisateur entre en conflit avec les paramètres de stratégie en boucle, ceux-ci sont appliqués.

noteRemarque
Le processus de modélisation de stratégie de groupe s’exécute sur un contrôleur de domaine. À l’opposé, Gpresults ou l’Assistant Résultats de stratégie de groupe s’exécute sur l’ordinateur Windows Server 2008, Windows Vista, Windows Server 2003 ou Windows XP qui traite la stratégie de groupe. La fonctionnalité Résultats de stratégie de groupe utilise le fournisseur WMI RSoP pour générer les informations relatives au traitement de la stratégie de groupe. Pour leur analyse, la modélisation de stratégie de groupe s’appuie sur le service Fournisseur d’un jeu de stratégie résultant situé sur le contrôleur de domaine Windows Server 2008 ou Windows Server 2003.

Pour plus d’informations sur l’Assistant Modélisation de stratégie de groupe, voir Utilisation de la modélisation de stratégie de groupe et des résultats de stratégie de groupe pour évaluer les paramètres de stratégie de groupe dans ce guide.

Préparation du déploiement vers l’environnement de production

Après avoir minutieusement testé dans l’environnement de copie intermédiaire les modifications que vous avez apportées à la stratégie de groupe, vous êtes presque en mesure de déployer les objets de stratégie de groupe nouveaux ou modifiés dans votre environnement de production. Toutefois, avant d’effectuer cette opération, vous devez déterminer s’il vous sera nécessaire de mapper les entités de sécurité ou les chemins d’accès UNC contenus dans vos objets de stratégie de groupe sur des valeurs différentes dans le cadre de la migration.

Détermination des besoins de mappage pour la migration

Il se peut que votre environnement de copie intermédiaire soit un domaine de test dans une forêt de production, une forêt de test distincte approuvée ou une forêt de test distincte non approuvée. Dans chaque cas, vous devrez probablement créer et utiliser une table de migration lors du déploiement des objets de stratégie de groupe nouveaux ou modifiés dans votre environnement de production. Les tables de migration répondent à trois types différents de besoins de mappage :

  • Vous devez mapper chaque entrée de contrôle d’accès (ACE, Access Control Entry) sur un ou plusieurs objets de stratégie de groupe à différentes entités de sécurité lorsque vous migrez les objets de stratégie de groupe vers l’environnement de production. Les entrées ACE sur un objet de stratégie de groupe décrivent les utilisateurs, les ordinateurs et les groupes d’ordinateurs qui traiteront cet objet de stratégie de groupe, ainsi que les utilisateurs ou groupes d’utilisateurs qui peuvent afficher et modifier les paramètres de stratégie contenus dans l’objet de stratégie de groupe ou supprimer celui-ci.

  • Vous devez mapper les entités de sécurité dans les paramètres de stratégie de sécurité ou de redirection de dossiers définis dans un ou plusieurs objets de stratégie de groupe. En particulier, les stratégies telles que Groupes restreints, Attribution des droits utilisateur, Système de fichiers, Registre ou Services système vous permettent d’indiquer l’utilisateur ou le groupe ayant accès à ces ressources ou pouvant les configurer. L’identificateur de sécurité (SID) de cet utilisateur ou de ce groupe est stocké dans l’objet de stratégie de groupe et doit être modifié afin de refléter les utilisateurs ou les groupes du domaine de production lors de la migration de l’objet de stratégie de groupe.

  • Vous devez mapper les chemins d’accès UNC lorsque vous avez défini des paramètres de stratégie d’installation logicielle, de redirection de dossiers ou de scripts qui font référence à des chemins d’accès UNC. Par exemple, il se peut qu’un objet de stratégie de groupe fasse référence à un script stocké dans un chemin d’accès externe, tel que le partage Netlogon, sur un serveur distant. Il sera peut-être nécessaire de mapper ce chemin d’accès sur un autre chemin d’accès lors de la migration de l’objet de stratégie de groupe. Les chemins d’accès UNC étant généralement propres à un environnement donné, il peut s’avérer nécessaire de les modifier lors de la migration de l’objet de stratégie de groupe vers l’environnement de production.

Si l’une des trois conditions ci-dessus est vérifiée, vous devez créer une table de migration permettant de mapper les valeurs dans vos objets de stratégie de groupe de test sur les valeurs adéquates dans le domaine de production lors de la migration des objets.

Création des tables de migration

Utilisez l’éditeur de table de migration, inclus dans la Console de gestion des stratégies de groupe, pour créer et modifier une table de migration. Cette table est accessible de deux façons :

  • Vous pouvez démarrer l’éditeur de table de migration, puis créer ou modifier une table de migration pendant une opération de copie ou d’importation à l’aide de la Console de gestion des stratégies de groupe. Dans ce cas, l’éditeur de table de migration démarre dans une fenêtre distincte qui vous permet de créer une nouvelle table de migration ou de modifier une table de migration existante.

  • Vous pouvez démarrer l’éditeur de table de migration en mode autonome (indépendamment d’une opération d’importation ou de copie), puis créer ou modifier la table de migration avant la migration des objets de stratégie de groupe vers votre environnement de production.

Vous pouvez également créer des tables de migration à l’aide d’exemples de scripts, comme indiqué plus loin dans cette section.

En créant la table de migration à l’avance, vous pouvez avoir la certitude que les paramètres de migration que vous définissez correspondent exactement à ce que vous souhaitez avant de commencer le déploiement. Par conséquent, lorsque vous êtes prêt à déplacer vos objets de stratégie de groupe de test vers l’environnement de production, vous devez d’abord créer une ou plusieurs tables de migration pour les objets de stratégie de groupe à migrer. Notez qu’une même table de migration peut être utilisée pour plusieurs objets de stratégie de groupe. Vous pouvez recourir à une seule table de migration couvrant chaque combinaison d’entités de sécurité et de chemins d’accès UNC possible pour une migration donnée depuis un domaine de copie intermédiaire vers un domaine de production. Dans ce cas, vous pouvez simplement appliquer la même table de migration à chaque GPO déployé depuis le domaine de copie intermédiaire vers le domaine de production ; les entités et chemins d’accès qui correspondent seront correctement mappés.

Utilisation de l’éditeur de table de migration en mode autonome

Pour démarrer l’éditeur de table de migration en mode autonome, exécutez Mtedit.exe à partir du dossier d’installation de la Console de gestion des stratégies de groupe. L’éditeur de table de migration démarre avec une table de migration vide que vous pouvez peupler manuellement en tapant des entrées dans la grille. Vous pouvez également peupler la table automatiquement à l’aide de l’une des méthodes de peuplement automatique.

Peuplement automatique de la table de migration

La façon la plus simple de démarrer la création d’une table de migration consiste à utiliser l’une des fonctionnalités de peuplement automatique, accessibles à partir du menu Outils de l’éditeur de table de migration. Vous pouvez procéder au peuplement automatique depuis des objets de stratégie de groupe de sauvegarde et des objets de stratégie de groupe actifs. Pour peupler automatiquement une table de migration, utilisez la procédure suivante.

Pour peupler automatiquement une table de migration

  1. Choisissez de peupler automatiquement la table depuis les objets de stratégie de groupe actifs ou les objets de stratégie de groupe de sauvegarde. Lorsque vous êtes prêt à migrer un objet de stratégie de groupe dans votre environnement de copie intermédiaire vers votre environnement de production, vous pouvez utiliser l’option Peupler depuis l’objet GPO par rapport à l’objet de stratégie de groupe actif dans l’environnement de copie intermédiaire pour démarrer la table de migration. Le processus de peuplement automatique de la table depuis un objet de stratégie de groupe de sauvegarde diffère légèrement en ce sens que vous devez indiquer le chemin d’accès de l’objet de stratégie de groupe de sauvegarde. Dans ce cas, s’il existe plus d’un objet de stratégie de groupe sauvegardé, une liste de choix s’affiche. Notez que vous pouvez sélectionner plusieurs objets de stratégie de groupe ou objets de stratégie de groupe de sauvegarde lors du peuplement automatique d’une table de migration unique. Cela vous permet d’utiliser une seule table de migration pour tous les objets de stratégie de groupe dans un domaine.

  2. Indiquez si vous souhaitez inclure les entités de sécurité de la liste DACL sur l’objet de stratégie de groupe. Lorsque vous peuplez automatiquement une table de migration, vous pouvez sélectionner l’option qui permet d’inclure les entités de sécurité de la liste DACL sur l’objet de stratégie de groupe. Si vous sélectionnez cette option, les entités de sécurité de la liste DACL de l’objet de stratégie de groupe sont incluses dans la table avec les entités de sécurité référencées dans les paramètres de l’objet de stratégie de groupe. Les entités de sécurité sources en double ne sont pas répétées dans la table de migration. L’éditeur de table de migration prend en charge une série de types d’objets différents pouvant être mappés, décrits dans le tableau 10.

    Tableau 10 : types d’objets pris en charge dans la table de migration

    Type d’objet Permet de mapper

    Utilisateur

    Comptes d’utilisateurs spécifiques.

    Groupe global de domaine

    Groupes globaux de domaines.

    Groupe local de domaine

    Groupes locaux de domaine.

    Groupe universel

    Groupes universels.

    Ordinateur

    Noms d’ordinateurs. Par exemple, un ordinateur spécifique peut se voir accorder les autorisations Lire
    et Appliquer la stratégie de groupe
    sur un objet de stratégie de groupe.

    Chemin d’accès UNC

    Chemins d’accès UNC utilisé dans la stratégie d’installation logicielle.

    Texte libre ou SID

    Entités de sécurité indéterminées. Par exemple, vous pouvez référencer des entités de sécurité dans un objet de stratégie de groupe par nom plutôt que par SID (en tapant « administrateurs » à la place de « DomaineX\Administrateurs »). Il peut aussi s’avérer impossible de résoudre les entités de sécurité pour déterminer le type.

    Ce type de mappage peut se produire si vous définissez une stratégie de sécurité de groupe restreint et que vous entrez le nom du groupe au lieu de résoudre le nom par rapport à un domaine actif.
    Dans ce cas, le nom du groupe est stocké dans l’objet de stratégie de groupe sous le nom que vous avez spécifié, plutôt que sous son SID correspondant. L’éditeur de table de migration considère ce genre d’entité de sécurité comme étant de type Texte libre ou SID.

    En outre, vous pouvez entrer des SID bruts
    dans l’éditeur de table de migration. Dans ce cas, le type d’objet n’étant pas connu de l’éditeur de table de migration, il doit être spécifié en tant que type Texte libre ou SID.

  3. Modifiez le paramètre Nom de la destination pour chaque entité de sécurité et chemin d’accès UNC. Après avoir peuplé la table de migration, vous pouvez choisir de modifier le champ Nom de la destination pour chaque enregistrement. La valeur par défaut du paramètre Nom de la destination est Identique à la source, ce qui signifie que la même entité de sécurité ou le même chemin d’accès UNC que la source sera utilisé dans l’objet de stratégie de groupe de destination. Dans ce cas, la valeur est copiée sans subir de modification et le mappage n’apporte aucun changement. En règle générale, vous devez modifier ce champ pour une ou plusieurs entrées sources lors de la migration d’un objet de stratégie de groupe depuis un environnement de test vers un environnement de production. Pour modifier le champ de destination, vous pouvez taper une entrée ou bien cliquer avec le bouton droit sur le champ et cliquer sur l’élément de menu approprié.

  4. Les deux éléments de menu disponibles sont Parcourir et Définir la destination. L’élément Parcourir vous permet de sélectionner une entité de sécurité dans n’importe quel domaine approuvé. L’élément Définir la destination vous permet de choisir l’une des trois options suivantes :

    • Aucune destination. Si vous spécifiez Aucune destination, l’entité de sécurité n’est pas incluse dans l’objet de stratégie de groupe de destination lorsque celui-ci est migré. Cette option n’est pas disponible pour les entrées des chemins d’accès UNC.

    • Mapper par nom relatif. Si vous spécifiez Mapper par nom relatif, le nom de l’entité de sécurité est supposé déjà exister dans le domaine de destination et ce nom de destination est utilisé pour le mappage. Par exemple, si le nom source est Admins du domaine pour le domaine test.contoso.com et que vous migrez l’objet de stratégie de groupe vers le domaine contoso.com, le nom Admins du domaine@test.contoso.com est mappé sur Admins du domaine@contoso.com. Le groupe doit déjà exister dans le domaine de destination pour que l’opération d’importation ou de copie soit couronnée de succès. Cette option n’est pas disponible pour les entrées des chemins d’accès UNC.

    • Identique à la source. Si vous spécifiez Identique à la source, la même entité de sécurité est utilisée dans l’objet de stratégie de groupe source et l’objet de stratégie de groupe de destination. Fondamentalement, l’entrée de sécurité est laissée telle quelle. Notez que cette option ne trouve son utilité que si vous effectuez une migration depuis un domaine de test dans la même forêt que le domaine de production ou depuis un domaine de test dans une autre forêt qui approuve la forêt de production. Le mappage d’un nom source ne réussit que si celui-ci peut être résolu par utilisateurs et ordinateurs dans la forêt de production.

    Plusieurs restrictions s’appliquent aux options disponibles pour le nom de destination. Les chemins d’accès UNC prennent uniquement en charge l’option Identique à la source ou vous pouvez entrer manuellement un autre chemin d’accès UNC. Les entités de sécurité désignées comme étant de type Texte libre ou SID ne prennent pas en charge Mapper par nom relatif.

    Il est également important de noter qu’un avertissement apparaît si vous effectuez un mappage depuis un type de groupe vers un autre. Par exemple, si une entité source est un groupe global du domaine et que vous sélectionnez un groupe local du domaine comme destination, le système vous informe que le nom de destination n’est pas du même type que la source. Si vous essayez ensuite de valider le fichier, le processus de validation échoue, mais vous pouvez toujours utiliser la table de migration pour effectuer une migration. Notez que la table de migration ne prend pas en charge le mappage sur un groupe de sécurité prédéfini tel que le groupe Administrateurs.

    Pour supprimer une ligne de l’éditeur de table de migration, cliquez dessus avec le bouton droit afin de la sélectionner, puis cliquez sur Supprimer.

  5. Validez la table de migration. Avant d’enregistrer la table de migration, il est préférable de valider le fichier. Pour ce faire, dans le menu Outils, cliquez sur Valider. Le processus de validation détermine si le format XML du fichier obtenu est valide et vérifie que les noms de destination sont valides du point de vue de la migration. Par exemple, si vous entrez un chemin d’accès UNC inexistant pour la destination, le processus de validation retourne un avertissement. En particulier, le processus de validation :

    • valide l’existence des chemins d’accès UNC et des entités de sécurité de destination ;

    • vérifie que les entrées sources comportant des chemins d’accès UNC n’ont pas de destinations Mapper par nom relatif ou Aucune destination, qui ne sont pas prises en charge ;

    • vérifie que le type de chaque entrée de destination dans la table correspond au type dans Active Directory.

    Si vous entrez des données manuellement, le processus de validation est notamment important pour éviter qu’une erreur d’entrée fasse échouer la migration. Notez qu’une validation du fichier de mappage peut échouer, car l’utilisateur qui modifie le fichier n’est pas en mesure de résoudre les entités de sécurité ou les chemins d’accès UNC spécifiés dans le fichier. Toutefois, cela ne signifie pas que le fichier ne fonctionnera pas comme prévu pendant une migration, sauf si l’utilisateur qui effectue celle-ci ne peut pas résoudre les noms des entités de sécurité et des chemins d’accès UNC. Les messages de validation indiquent s’il existe une erreur de syntaxe dans la table ou si le programme de validation ne peut tout simplement pas résoudre un nom d’entité de sécurité ou un chemin d’accès UNC. En cas d’échec de la résolution d’un nom, vérifiez que vous disposez d’un accès suffisant aux ressources sources et de destination pendant la migration réelle.

  6. Après avoir apporté les modifications de votre choix à la table, enregistrez le fichier .migtable obtenu en cliquant sur Fichier, puis sur Enregistrer.

Saisie manuelle des entrées de la table de migration

Si vous choisissez de ne pas utiliser la fonctionnalité de peuplement automatique ou que vous devez entrer les données manuellement, veillez à adopter les formats adéquats afin que la table de migration soit valide. Le tableau 11 indique le format à utiliser pour chaque type d’objet pris en charge dans la table de migration. Notez que ces formats sont requis à la fois dans le champ source et dans le champ de destination.

Tableau 11 : formats requis pour les objets de migration

Type d’objet Format requis

Utilisateur

a. UPN : utilisateur@suffixe_UPN

b. SAM : nom_domaine_NetBIOS\utilisateur

c. DNS : nom domaine DNS\utilisateur

Par exemple : MonicaB@contoso.com, contoso\MonicaB ou contoso.com\MonicaB.

Groupe global de domaine

a. UPN : groupe@suffixe_UPN

b. SAM : nom_domaine_NetBIOS\groupe

c. DNS : nom_domaine_DNS\groupe

Par exemple : AdminsDomaine@contoso.com, contoso\AdminsDomaine ou Contoso.com\AdminsDomaine.

Groupe local de domaine

a. UPN : groupe@suffixe_UPN

b. SAM : nom_domaine_NetBIOS\groupe

c. DNS : nom_domaine_DNS\groupe

Par exemple : Administrateurs@contoso.com, contoso\Administrateurs ou Contoso.com\Administrateurs.

Groupe universel

a. UPN : groupe@suffixe_UPN

b. SAM : nom_domaine_NetBIOS\groupe

c. DNS : nom_domaine_DNS\groupe

Par exemple : AdministrateursEntreprise@contoso.com, contoso\AdministrateursEntreprise ou contoso.com\AdministrateursEntreprise.

Ordinateur

a. UPN : nom_ordinateur$@suffixe_UPN

b. SAM : nom_domaine_NetBIOS\nom_ordinateur$

c. DNS : nom_domaine_DNS\nom_ordinateur$

Par exemple : serveur1$@contoso.com, contoso\serveur1$ ou contoso.com\serveur1$. La lettre « $ » indique le compte d’ordinateur masqué de l’ordinateur.

Chemin d’accès UNC

\\nom_serveur\nom_partage\. Par exemple : \\serveur1\packages.

Texte libre ou SID

Une chaîne ou la représentation d’un SID sous forme de chaîne. Par exemple: « MonicaB » ou « S-1-5-21-1473733259-1489586486-3363071491-1005 ». Il est impossible de spécifier des SID dans le champ de destination.

Création d’une table de migration à l’aide d’un script

Si vous devez automatiser le processus de création des tables de migration, vous pouvez utiliser l’exemple de script de la Console de gestion des stratégies de groupe CreateMigrationTable.wsf. Vous pouvez également utiliser ce script plutôt que l’éditeur de table de migration pour générer la table de migration initiale, puis utiliser l’éditeur de table de migration pour modifier la table.

Le script CreateMigrationTable.wsf prend en charge le peuplement automatique d’une table de migration en utilisant l’emplacement d’un objet de stratégie de groupe actuel ou de sauvegarde. Vous pouvez également faire en sorte que le script lise les données à partir de tous les objets de stratégie de groupe situés dans un domaine. Dans ce cas, toutes les entités de sécurité possibles détectées dans les objets de stratégie de groupe dans le domaine de copie intermédiaire sont insérées dans la table de migration et cette table de migration unique peut être utilisée pour toute migration d’objets de stratégie de groupe depuis ce domaine de copie intermédiaire vers un domaine de production.

Notez que le script inclut toujours les entités de sécurité qui font partie de la liste DACL sur l’objet de stratégie de groupe, à la différence de l’éditeur de table de migration, qui vous permet de les exclure. En outre, le script met à votre disposition une option qui vous permet de définir le nom de destination sur Mapper par nom relatif, à la place de la valeur par défaut Identique à la source. L’option /MapByName vous permet d’affecter des noms relatifs.

La commande suivante illustre l’utilisation du script. Dans cette commande, un objet de stratégie de groupe nommé Finance OU Desktop Policy se trouve dans un domaine de copie intermédiaire nommé staging.contoso.com. Cette commande peuple automatiquement la table de migration appelée FinanceStaging.migtable depuis l’objet de stratégie de groupe actuel :

Cscript.exe CreateMigrationTable.wsf c:\migtables\FinanceStaging.migtable /GPO: "Finance OU Desktop Policy" /domain:staging.contoso.com

Pour créer une table de migration à partir de la sauvegarde de cet objet de stratégie de groupe plutôt qu’à partir de la copie active, ajoutez simplement l’option /BackupLocation à la syntaxe de la commande, puis indiquez le chemin d’accès d’un dossier contenant la copie de sauvegarde de l’objet de stratégie de groupe. Notez que si vous utilisez l’option /BackupLocation et que le chemin d’accès de ce dossier comprend plus d’un objet de stratégie de groupe de sauvegarde, tous les objets de stratégie de groupe sauvegardés disponibles sont utilisés pour le peuplement de la table de migration.

Préparations finales pour le déploiement

L’étape finale avant le déploiement vers l’environnement de production consiste à sauvegarder les objets de stratégie de groupe de copie intermédiaire. Une sauvegarde est requise si vous effectuez la migration depuis l’environnement de copie intermédiaire vers l’environnement de production en recourant à l’importation d’objets de stratégie de groupe. Cette méthode est requise lorsque votre environnement de copie intermédiaire se trouve dans une forêt séparée de votre domaine de production et non approuvée par celui-ci ou que vous devez mettre à jour un objet de stratégie de groupe existant déjà dans votre environnement de production. Vous pouvez utiliser la Console de gestion des stratégies de groupe pour sauvegarder un ou plusieurs objets de stratégie de groupe ou vous pouvez utiliser l’exemple de script BackupGPO.wsf pour sauvegarder un seul objet de stratégie de groupe ou tous les objets de stratégie de groupe situés dans le domaine de copie intermédiaire. Pour sauvegarder un objet de stratégie de groupe à l’aide de la Console de gestion des stratégies de groupe, dans l’arborescence de celle-ci, cliquez avec le bouton droit sur l’objet de stratégie de groupe à sauvegarder, puis cliquez sur Sauvegarder.

Pour sauvegarder un objet de stratégie de groupe à l’aide de BackupGPO.wsf, exécutez le script à partir du dossier Program Files\Microsoft Group Policy\GPMC Sample Scripts. La syntaxe de ligne de commande suivante sauvegarde l’objet de stratégie de groupe Finance OU Workstation Security Policy situé dans le domaine staging.contoso.com dans le dossier c:\gpobacks :

Cscript.exe backupgpo.wsf "Finance OU Workstation Security Policy" c:\gpobacks /comment:"Sauvegarde avant prod" /domain:staging.contoso.com

La précédente syntaxe comprend un commentaire qui indique l’objectif de la sauvegarde.

Déploiement des objets de stratégie de groupe testés vers l’environnement de production

Après avoir créé votre environnement de copie intermédiaire, l’avoir synchronisé avec l’environnement de production, testé les objets de stratégie de groupe nouveaux et modifiés, puis créé les tables de migration, vous pouvez effectuer le déploiement proprement dit vers l’environnement de production.

Précautions à prendre en vue du déploiement

Pour que vos utilisateurs bénéficient d’un service ininterrompu, il est recommandé d’observer une série de précautions lorsque vous migrez les objets de stratégie de groupe testés vers votre environnement de production. Bien que la migration de nouveaux objets de stratégie de groupe soit généralement un processus rapide qui ne porte pas atteinte aux utilisateurs ou ordinateurs de l’environnement de production, il est prudent de ne procéder à une modification de ce type que lorsque le minimum d’utilisateurs possible sera affecté. En règle générale, il peut s’agir des périodes creuses, lorsque les utilisateurs ne sont pas actifs sur le réseau.

Gardez à l’esprit que lorsqu’un objet de stratégie de groupe est mis à jour, cette opération est d’abord réalisée par rapport au contrôleur de domaine actuellement ciblé par la Console de gestion des stratégies de groupe pour un domaine particulier. Si vous utilisez la Console de gestion des stratégies de groupe pour effectuer la migration, vous pouvez cliquer sur l’élément Domaines dans l’arborescence de la console pour déterminer le contrôleur de domaine en cours d’utilisation pour chaque domaine géré. Pour changer de contrôleur de domaine, dans l’arborescence de la Console de gestion des stratégies de groupe, cliquez avec le bouton droit sur le nom de domaine, cliquez sur Modifier le contrôleur de domaine, puis spécifiez le nouveau contrôleur de domaine avant de migrer vos modifications.

Réplication des objets de stratégie de groupe

Gardez à l’esprit que les modifications apportées aux objets de stratégie de groupe se propagent en fonction de vos topologies de réplication Active Directory et Sysvol ; par conséquent, leur réplication vers tous les emplacements risque de prendre beaucoup de temps dans le cadre d’un déploiement Active Directory à l’échelle mondiale. En outre, n’oubliez pas qu’un objet de stratégie de groupe comprend deux parties : la partie stockée et répliquée dans le cadre d’Active Directory et la partie stockée et répliquée dans le cadre de Sysvol. Étant donné qu’il s’agit de deux objets distincts devant être répliqués sur votre réseau, ils doivent tous deux être synchronisés avant que le nouvel objet de stratégie de groupe ne soit appliqué.

Vous pouvez afficher le statut de la réplication sur un contrôleur de domaine donné à l’aide de la Console de gestion des stratégies de groupe. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez Objets de stratégie de groupe dans la forêt ou le domaine contenant les objets de stratégie de groupe à appliquer, cliquez sur un objet de stratégie de groupe à vérifier, puis cliquez sur l’onglet Détails dans le volet d’informations. Si l’objet de stratégie de groupe est synchronisé sur ce contrôleur de domaine, les numéros de versions Active Directory et Sysvol sont identiques pour les configurations utilisateur et ordinateur. Toutefois, il n’est pas nécessaire que les numéros de versions utilisateur correspondent aux numéros de versions ordinateur.

Contraintes liées à la réalisation du déploiement

La principale contrainte à garder à l’esprit lorsque vous préparez la migration de vos objets de stratégie de groupe testés vers votre environnement de production consiste à déterminer si vous disposez d’autorisations suffisantes sur les objets de stratégie de groupe de destination. En règle générale, vous avez uniquement besoin d’un accès en lecture au domaine source pour accomplir un déploiement. Suivant la configuration de votre environnement de copie intermédiaire, vous pouvez être amené à suivre plusieurs étapes spécifiques avant d’effectuer la migration. Si vous effectuez une opération de copie, vous devez disposer d’autorisations suffisantes pour créer un nouvel objet de stratégie de groupe dans le domaine de destination. Si vous importez un objet de stratégie de groupe de sauvegarde, vous devez être en mesure de lire les fichiers de sauvegarde, où qu’ils se trouvent, et disposer d’autorisations suffisantes pour modifier ensuite un objet de stratégie de groupe existant dans le domaine de destination ciblé par l’opération d’importation. Enfin, vous devez vérifier que la table de migration que vous avez créée pour chaque objet de stratégie de groupe qui en requiert une est stockée à un emplacement auquel vous pouvez accéder pendant la réalisation de la migration. La liste de vérification suivante récapitule les éléments à vérifier avant l’exécution de la migration :

  • Pour une opération de copie : vérifiez que le domaine de destination est approuvé par le domaine source et que vous bénéficiez de l’autorisation de créer des objets de stratégie de groupe sur le domaine de destination. Vous pouvez vérifier que vous disposez de cette autorisation sur un domaine à l’aide de la Console de gestion des stratégies de groupe. Dans l’arborescence de celle-ci, développez Objets de stratégie de groupe dans le domaine de destination, puis cliquez sur l’onglet Délégation pour déterminer les utilisateurs ou groupes pouvant créer de nouveaux objets de stratégie de groupe dans le domaine.

  • Pour une opération d’importation : vérifiez que vous avez accès aux fichiers d’objets de stratégie de groupe de sauvegarde et que vous disposez de l’autorisation de modifier les paramètres sur l’objet de stratégie de groupe de destination.

  • Si vous utilisez une table de migration (.migtable) : vérifiez que vous avez accès au fichier à partir de la Console de gestion des stratégies de groupe.

Exemples de déploiements

Les deux exemples suivants illustrent le déploiement d’objets de stratégie de groupe depuis l’environnement de copie intermédiaire vers l’environnement de production. Dans le premier exemple, le domaine de copie intermédiaire se trouve dans la même forêt que le domaine de production. Dans le second exemple, le domaine de copie intermédiaire se trouve dans une forêt distincte non approuvée par le domaine de production. Si vous utilisez une forêt de copie intermédiaire distincte approuvée par le domaine de production, les étapes sont les mêmes que dans le premier exemple, où le domaine de copie intermédiaire fait partie de la forêt de production.

Réalisation d’une copie intermédiaire dans un domaine de production au sein d’une forêt unique ou à partir d’une forêt de copie intermédiaire approuvée

Lorsque le domaine de copie intermédiaire fait partie de votre forêt de production ou que vous disposez d’une forêt de copie intermédiaire distincte approuvée par votre domaine de production, la méthode de déploiement varie selon que l’objet de stratégie de groupe est nouveau ou modifié. Si l’objet de stratégie de groupe est nouveau et qu’il n’existe pas dans le domaine de production, utilisez la méthode de copie pour déployer le nouvel objet de stratégie de groupe. Si vous déployez une mise à jour vers un objet de stratégie de groupe existant, vous devez utiliser la méthode d’importation pour mettre à jour les paramètres de l’objet de stratégie de groupe de production avec ceux de l’objet de stratégie de groupe de copie intermédiaire de sauvegarde.

Dans cet exemple, vous allez déployer un nouvel objet de stratégie de groupe nommé Stratégie de sécurité des stations de travail de l’unité d’organisation des ventes depuis le domaine de copie intermédiaire vers le domaine de production à l’aide de la Console de gestion des stratégies de groupe. La figure 11 illustre la configuration des domaines de copie intermédiaire et de production et montre la table de migration correspondante.

1b96d2a0-3a40-43f2-a46a-5da3c361412a

Avant de commencer le déploiement, chargez les domaines source et de destination dans la Console de gestion des stratégies de groupe. Si vous effectuez une copie à partir d’une forêt approuvée distincte, ouvrez les deux forêts dans la Console de gestion des stratégies de groupe.

Pour déployer un nouvel objet de stratégie de groupe à l’aide de l’opération de copie

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez Objets de stratégie de groupe dans le domaine de copie intermédiaire.

  2. Cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous envisagez de copier, puis cliquez sur Copier.

  3. Dans l’arborescence de la Console de gestion des stratégies de groupe, cliquez avec le bouton droit sur Objets de stratégie de groupe dans le domaine de production, puis cliquez sur Coller. L’Assistant de copie s’ouvre.

  4. Dans la page d’accueil de l’Assistant de copie, cliquez sur Suivant.

  5. Sélectionnez Préserver ou effectuer la migration des autorisations à partir des objets GPO originaux, puis cliquez sur Suivant.

    Cette option vous permet d’utiliser une table de migration pour mapper la liste DACL sur l’objet de stratégie de groupe de copie intermédiaire aux données correspondantes dans l’environnement de production. Si vous sélectionnez la première option, Utiliser les autorisations par défaut pour les nouveaux objets GPO, cet objet de stratégie de groupe reçoit les autorisations par défaut applicables à tout nouvel objet de stratégie de groupe dans le domaine de production.

  6. Une fois que l’Assistant a analysé l’objet de stratégie de groupe source pour déterminer les besoins de mappage éventuels des entités de sécurité ou des chemins d’accès UNC, cliquez sur Suivant.

  7. Dans la page Migration des références, sélectionnez Utilisant cette table de migration pour les mapper vers de nouvelles valeurs dans des nouveaux objets GPO.

    Cette option vous permet de choisir une table de migration à utiliser dans le cadre du déploiement. Étant donné que vous migrez un nouvel objet de stratégie de groupe depuis l’environnement de copie intermédiaire vers l’environnement de production, vous devez choisir cette option. L’autre option, Effectuant une copie identique à partir de la source, laisse la totalité des entités de sécurité et des chemins d’accès UNC dans le nouvel objet de stratégie de groupe exactement dans la même configuration que dans la source.

  8. Dans la même page, si vous souhaitez que la migration entière échoue si une entité de sécurité ou un chemin d’accès UNC existant dans l’objet de stratégie de groupe source n’est pas présent dans la table de migration, sélectionnez Utiliser exclusivement la table de migration.

    Si vous sélectionnez cette option, l’Assistant essaie de mapper la totalité des entités de sécurité et des chemins d’accès UNC à l’aide de la table de migration que vous spécifiez. Cela vous permet de vous assurer que vous avez pris en compte la totalité des entités de sécurité et des chemins d’accès UNC dans votre table de migration.

  9. Cliquez sur Suivant.

  10. Dans la page de fin de l’Assistant, vérifiez que vous avez spécifié les options de migration adéquates, puis cliquez sur Terminer.

    Une fois que vous avez cliqué sur Terminer, la migration de l’objet de stratégie de groupe de copie intermédiaire commence. Gardez à l’esprit que le nouvel objet de stratégie de groupe est créé dans le domaine de production, mais qu’il n’est pas encore lié à un objet conteneur.

  11. Une fois que l’Assistant a terminé l’opération de copie, cliquez avec le bouton droit sur l’unité d’organisation, le domaine ou le site Active Directory auquel vous souhaitez lier l’objet de stratégie de groupe copié, puis sélectionnez Lier un objet de stratégie de groupe existant.

  12. Dans la boîte de dialogue Sélectionner un objet GPO, sélectionnez l’objet de stratégie de groupe que vous venez de copier.

Une fois que vous avez lié le nouvel objet de stratégie de groupe et que la réplication est terminée, l’objet de stratégie de groupe est actif dans le domaine de production.

Utilisation d’un script pour effectuer un déploiement par copie

Vous pouvez également effectuer un déploiement par copie à l’aide du script CopyGPO.wsf. Ce script copie un objet de stratégie de groupe depuis le domaine de copie intermédiaire vers le domaine de production en une seule commande. Pour effectuer la même opération de copie que celle décrite dans la procédure précédente, utilisez la commande suivante :

Cscript CopyGPO.wsf "Stratégie de sécurité des stations de travail de l’unité d’organisation des ventes" "Stratégie de sécurité des stations de travail de l’unité d’organisation des ventes" /SourceDomain:staging.contoso.com /TargetDomain:contoso.com /SourceDC:staging-dc1 /TargetDC:prod-DC1 /migrationtable:c:\migtables\SalestoProd.migtable /CopyACL

Les deux premiers arguments de cette commande spécifient le même nom pour l’objet de stratégie de groupe source et l’objet de stratégie de groupe cible. Les quatre arguments suivants spécifient les noms des domaine source et cible et un contrôleur de domaine dans chaque domaine. L’argument /migrationtable spécifie la table de migration à utiliser, tandis que l’argument /CopyACL permet de conserver la liste DACL de l’objet de stratégie de groupe source et d’utiliser la table de migration spécifiée pour mapper les listes DACL sources sur les données correspondantes dans le domaine de production.

Déploiement vers un domaine de production depuis une forêt de copie intermédiaire non approuvée

Si vous déployez un objet de stratégie de groupe depuis une forêt de copie intermédiaire non approuvée par la forêt de production, le seul choix pour le déploiement est une opération d’importation. Vous pouvez également utiliser une importation pour déployer une mise à jour vers un objet de stratégie de groupe existant dans le domaine de production, même si une relation d’approbation existe entre les domaines de copie intermédiaire et de production.

Conditions préalables aux opérations d’importation

Avant de réaliser le déploiement décrit dans cet exemple, veillez à effectuer les opérations suivantes :

  • Si vous déployez un nouvel objet de stratégie de groupe à l’aide de la Console de gestion des stratégies de groupe, vous devez créer dans votre domaine de production un nouvel objet de stratégie de groupe vide pouvant faire office de cible pour l’opération d’importation. Gardez à l’esprit que l’opération d’importation à l’aide de la Console de gestion des stratégies de groupe importe les paramètres de stratégie depuis un objet de stratégie de groupe de sauvegarde vers un objet de stratégie de groupe de destination existant. Toutefois, vous pouvez également utiliser le script ImportGPO.wsf pour créer un nouvel objet de stratégie de groupe automatiquement, dans le cadre du processus d’importation.

  • Avant de commencer l’importation, veillez à sauvegarder les objets de stratégie de groupe du domaine de copie intermédiaire que vous envisagez de déployer vers l’environnement de production. Cela est nécessaire, car l’opération d’importation utilise des objets de stratégie de groupe de sauvegarde plutôt que des objets de stratégie de groupe actifs.

  • Si vous utilisez la Console de gestion des stratégies de groupe plutôt qu’un script pour effectuer l’importation, vous pouvez sauvegarder l’objet de stratégie de groupe de production actuel avant d’accomplir l’importation. En cas de problème de déploiement, vous devez toujours sauvegarder un objet de stratégie de groupe de production existant avant de déployer une nouvelle version. Ainsi, vous pouvez effectuer une opération de restauration à partir de la Console de gestion des stratégies de groupe afin de restaurer la version antérieure de l’objet de stratégie de groupe.

Après avoir effectué ces tâches, utilisez la procédure suivante pour déployer un nouvel objet de stratégie de groupe vers l’environnement de production à l’aide de l’opération d’importation.

Pour déployer un nouvel objet de stratégie de groupe vers le domaine de production à l’aide de l’opération d’importation

  1. Dans l’arborescence de la Console de gestion des stratégies de groupe, développez Objets de stratégie de groupe dans le domaine de production.

  2. Cliquez avec le bouton droit sur l’objet de stratégie de groupe à mettre à jour, puis cliquez sur Importer les paramètres. L’Assistant Importation des paramètres s’ouvre.

  3. Dans la page d’accueil, cliquez sur Suivant.

  4. Dans la page Objet de stratégie de groupe de sauvegarde, cliquez sur Sauvegarder pour sauvegarder l’objet de stratégie de groupe de production existant avant d’effectuer l’importation.

  5. Dans la boîte de dialogue Sauvegarde de l’objet GPO, spécifiez l’emplacement auquel la sauvegarde de l’objet de stratégie de groupe doit être stockée, tapez une description pour la sauvegarde, puis cliquez sur Sauvegarder.

  6. Au terme de la sauvegarde de l’objet de stratégie de groupe, un message indique que la sauvegarde s’est déroulée correctement. Cliquez sur OK.

  7. Dans la page Objet de stratégie de groupe de sauvegarde, cliquez sur Suivant.

  8. Dans la page Emplacement de la sauvegarde, spécifiez le dossier qui contient la sauvegarde de l’objet de stratégie de groupe de copie intermédiaire à importer.

    Vous devez avoir accès au dossier dans lequel vous avez sauvegardé vos objets de stratégie de groupe de copie intermédiaire. Si vos sauvegardes ont été effectuées sur un serveur dans votre forêt de copie intermédiaire, vous devrez peut-être mapper un lecteur sur ce dossier à partir de l’ordinateur sur lequel vous exécutez l’opération d’importation, en utilisant les informations d’identification de la forêt de copie intermédiaire.

  9. Cliquez sur Suivant.

  10. Dans la page Objet de stratégie de groupe (GPO) source, cliquez sur l’objet de stratégie de groupe de copie intermédiaire à importer, puis cliquez sur Suivant.

  11. Dans la page Analyse de la sauvegarde, l’Assistant analyse les paramètres de stratégie dans la sauvegarde pour déterminer les références aux entités de sécurité ou chemins d’accès UNC à transférer, puis affiche les résultats de l’analyse.

  12. Cliquez sur Suivant.

  13. Dans la page Migration des références, sélectionnez Utilisant cette table de migration pour les mapper vers de nouvelles valeurs dans des nouveaux objets GPO, puis spécifiez le chemin d’accès de la table de migration que vous avez créée pour cette migration.

    Cette option vous permet de choisir une table de migration à utiliser dans le cadre du déploiement. Étant donné que vous déployez un objet de stratégie de groupe depuis un domaine de copie intermédiaire ne possédant pas de relation d’approbation avec le domaine de production, vous devez utiliser une table de migration pour migrer les informations des entités de sécurité et des chemins d’accès UNC. Sinon, les entités de sécurité et les chemins d’accès UNC référencés dans la forêt non approuvée ne peuvent pas être résolus par le domaine de production.

  14. Dans la même page, si vous souhaitez que la migration entière échoue si une entité de sécurité ou un chemin d’accès UNC existant dans l’objet de stratégie de groupe source n’est pas présent dans la table de migration, sélectionnez Utiliser exclusivement la table de migration.

    Utilisez cette option pour n’importer l’objet de stratégie de groupe que si toutes les entités de sécurité détectées dans la version sauvegardée sont prises en compte dans la table de migration.

  15. Cliquez sur Suivant.

  16. Dans la page de fin de l’Assistant, vérifiez que vous avez spécifié les options de migration adéquates, puis cliquez sur Terminer. Une fois que vous avez cliqué sur Terminer, la migration de l’objet de stratégie de groupe de copie intermédiaire commence. Une fois que l’Assistant a terminé l’opération d’importation, un message indique que l’importation s’est correctement déroulée.

  17. Cliquez sur OK.

Si vous avez créé un nouvel objet de stratégie de groupe de production pour réaliser cette importation, vous devez lier cet objet à l’objet conteneur approprié. Pour ce faire, dans l’arborescence de la Console de gestion des stratégies de groupe, dans le domaine de production, cliquez avec le bouton droit sur l’unité d’organisation, le domaine ou le site Active Directory auquel vous souhaitez lier l’objet de stratégie de groupe importé, cliquez sur Lier un objet de stratégie de groupe existant, spécifiez l’objet de stratégie de groupe à lier, puis cliquez sur OK. Une fois que vous avez lié le nouvel objet de stratégie de groupe et que la réplication est terminée, l’objet de stratégie de groupe est actif dans le domaine de production.

Utilisation d’un script pour effectuer un déploiement par importation

Vous pouvez également effectuer un déploiement par importation à l’aide du script ImportGPO.wsf. Ce script vous permet d’importer un objet de stratégie de groupe de sauvegarde dans votre domaine de production. Si l’objet de stratégie de groupe cible n’existe pas encore, le script vous permet également de créer un nouvel objet de stratégie de groupe destiné à recevoir l’importation dans le cadre du processus. Pour effectuer la même opération d’importation que celle décrite dans la procédure précédente, tapez la commande suivante :

Cscript ImportGPO.wsf c:\gpobacks "Stratégie de sécurité des stations de travail de l’unité d’organisation des ventes" "Stratégie de sécurité des stations de travail de l’unité d’organisation des ventes" /CreateIfNeeded /MigrationTable:c:\migtables\salesprod.migtable /Domain:contoso.com

Le premier argument de cette commande spécifie l’emplacement des fichiers d’objets de stratégie de groupe de sauvegarde. Le deuxième argument spécifie le nom de l’objet de stratégie de groupe sauvegardé à partir duquel effectuer l’importation (vous pouvez à la place indiquer l’ID de sauvegarde, qui est une valeur de GUID 128 bits que génère l’utilitaire de sauvegarde pour identifier la sauvegarde de manière unique). Le troisième argument spécifie le nom de l’objet de stratégie de groupe de destination vers lequel effectuer l’importation. L’argument /CreateIfNeeded indique que si l’objet de stratégie de groupe de destination n’existe pas encore, il doit être créé avant la réalisation de l’importation. L’argument /MigrationTable spécifie le chemin d’accès et le nom du fichier de table de migration. L’argument /Domain fournit le nom DNS du domaine de destination.

Annulation

En cas de problème avec un objet de stratégie de groupe que vous venez de déployer depuis l’environnement de copie intermédiaire vers l’environnement de production, la meilleure façon d’annuler le déploiement consiste à utiliser l’objet de stratégie de groupe de sauvegarde que vous avez créé pour restaurer l’objet de stratégie de groupe d’origine. Vous pouvez également utiliser le script RestoreGPO.wsf pour effectuer le processus de restauration. Dans le cadre du déploiement, il est recommandé de créer un jeu de scripts que vous pouvez utiliser pour annuler automatiquement toutes les modifications à l’aide de RestoreGPO.wsf. Si vous devez effectuer une annulation, le script est opérationnel et son exécution est pratiquement transparente du point de vue de l’utilisateur.

Ressources supplémentaires au sujet de la stratégie de groupe

  • Site Web TechCenter sur la stratégie de groupe (http://go.microsoft.com/fwlink/?LinkId=109523) (éventuellement en anglais)

  • Section « Stratégie de groupe » dans le Centre d’aide et de support pour Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=109524) (éventuellement en anglais).

  • Rubriques d’aide de la Console de gestion des stratégies de groupe détaillant le déploiement de la stratégie de groupe à l’aide de la Console

  • Aide relative à des paramètres de stratégie de groupe spécifiques dans la vue étendue par défaut lorsque les opérations de modification sont effectuées à partir de la Console de gestion des stratégies de groupe (sélectionnez un paramètre de stratégie de groupe pour afficher les informations détaillées le concernant)

  • Liste alphabétique des commandes Windows Server 2008, pour plus d’informations sur les outils de ligne de commande tels que Dcgpofix.exe, Gpupdate.exe et Gpresult.exe (http://go.microsoft.com/fwlink/?LinkId=109525) (éventuellement en anglais)

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2015 Microsoft