Guide pas à pas pour Microsoft Advanced Group Policy Management 3.0

Ce guide pas à pas présente des techniques de pointe pour la gestion de stratégies de groupe à l'aide de la console de gestion des stratégies de groupe (GPMC) et de Microsoft Advanced Group Policy Management (AGPM). AGPM étend les capacités de la GPMC en offrant les éléments suivants :

• rôles standard pour la délégation d'autorisations de gestion d'objets de stratégie de groupe à plusieurs administrateurs de stratégie de groupe ainsi que possibilité de déléguer l'accès à des objets de stratégie de groupe dans l'environnement de production ;

• archive pour permettre aux administrateurs de stratégie de groupe de créer et modifier des objets de stratégie de groupe en mode hors connexion avant de les déployer dans un environnement de production ;

• possibilité de restaurer toute version antérieure d'un objet de stratégie de groupe dans l'archive et de limiter le nombre de versions conservées dans l'archive ;

• fonctionnalité d'archivage/extraction permettant aux objets de stratégie de groupe de veiller à ce que les administrateurs de stratégie de groupe n'écrasent pas involontairement le travail les uns des autres.

Vue d'ensemble d'un scénario d'AGPM

Dans le cadre de ce scénario, vous allez utiliser un compte d'utilisateur distinct pour chaque rôle dans AGPM afin de montrer comment gérer une stratégie de groupe dans un environnement comportant plusieurs administrateurs de stratégie de groupe dont les niveaux d'autorisation diffèrent. Plus précisément, vous allez exécuter les tâches suivantes :

• En utilisant un compte membre du groupe Administrateurs du domaine, installez le serveur AGPM, puis attribuez le rôle Administrateur AGPM à un compte ou un groupe.

• En utilisant des comptes auxquels vous voulez affecter des rôles AGPM, installez le client AGPM.

• En utilisant un compte auquel est attribué le rôle Administrateur AGPM, configurez AGPM et déléguez l'accès aux objets de stratégie de groupe en affectant des rôles à d'autres comptes.

• En utilisant un compte auquel est attribué le rôle Éditeur, demandez la création d'un objet de stratégie de groupe que vous pouvez ensuite approuver à l'aide d'un compte auquel est affecté le rôle Approbateur. Avec le compte Éditeur, extrayez l'objet de stratégie de groupe de l'archive, modifiez-le, archivez-le, puis demandez le déploiement.

• En utilisant un compte auquel est attribué le rôle Approbateur, révisez l'objet de stratégie de groupe, puis déployez-le dans votre environnement de production.

• En utilisant un compte auquel est attribué le rôle Éditeur, créez un modèle d'objet de stratégie de groupe et utilisez-le comme point de départ pour créer un nouvel objet de stratégie de groupe.

• En utilisant un compte auquel est attribué le rôle Approbateur, supprimez et restaurez un objet de stratégie de groupe.

Configuration requise

Les ordinateurs sur lesquels vous installez AGPM doivent présenter la configuration suivante et vous devez créer des comptes à utiliser dans le cadre de ce scénario.

Configuration requise pour le serveur AGPM

Le serveur AGPM 3.0 requiert Windows Server 2008 ou Windows Vista avec le Service Pack 1 ainsi que l'installation de la GPMC à partir des outils d'administration de serveur distant (RSAT). Les versions 32 bits et 64 bits sont prises en charge.

Avant d'installer le serveur AGPM, vous devez être membre du groupe Administrateurs du domaine et, sauf indication contraire, vous devez disposer des fonctionnalités suivantes de Windows :

• GPMC

  • Windows Server 2008 : La GPMC est installée automatiquement par l'AGPM si elle n'est pas disponible.

  • Windows Vista : Vous devez installer la GPMC à partir des outils RSAT avant d'installer l'AGPM. Pour plus d'informations, voir https://go.microsoft.com/fwlink/?LinkID=116179.

• .NET Framework 3.5

Le serveur AGPM a besoin des fonctionnalités suivantes de Windows. Si elles ne sont pas disponibles, elles sont automatiquement installées :

• Activation de Windows Communication Foundation ; Activation non-HTTP

• Service d'activation des processus Windows

  • Modèle de processus

  • Environnement .NET

  • API de configuration

Configuration requise pour le client AGPM

Le client AGPM 3.0 requiert Windows Server 2008 ou Windows Vista avec le Service Pack 1 ainsi que l'installation de la GPMC à partir des outils d'administration de serveur distant (RSAT). Les versions 32 bits et 64 bits sont prises en charge. Vous pouvez installer le client AGPM sur un ordinateur exécutant le serveur AGPM.

Le client AGPM a besoin des fonctionnalités suivantes de Windows. Sauf indication contraire, si elles ne sont pas disponibles, elles sont automatiquement installées :

• GPMC

  • Windows Server 2008 : La GPMC est installée automatiquement par l'AGPM si elle n'est pas disponible.

  • Windows Vista : Vous devez installer la GPMC à partir des outils RSAT avant d'installer l'AGPM. Pour plus d'informations, voir https://go.microsoft.com/fwlink/?LinkID=116179.

• .NET Framework 3.0

Configuration requise pour le scénario

Avant de commencer ce scénario, créez quatre comptes d'utilisateur. Durant le scénario, vous allez affecter l'un des rôles AGPM suivants à chacun de ces comptes : Administrateur AGPM (Contrôle total), Approbateur, Éditeur et Réviseur. Ces comptes doivent être en mesure d'envoyer et de recevoir des messages électroniques. Affectez l'autorisation Lier les objets de stratégie de groupe aux comptes auxquels sont affectés les rôles Administrateur (AGPM), Approbateur et Éditeur.

Procédure d'installation et de configuration d'AGPM

Pour installer et configurer AGPM, vous devez exécuter la procédure suivante.

Étape 1 : Installation du serveur AGPM

Étape 2 : Installation du client AGPM

Étape 3 : Configuration d'une connexion au serveur AGPM

Étape 4 : Configuration d'une notification par courrier électronique

Étape 5 : Délégation d'accès

Étape 1 : Installation du serveur AGPM

Au cours de cette étape, vous allez installer le serveur AGPM sur le serveur membre ou le contrôleur de domaine qui doit exécuter le service AGPM et configurer l'archive. Toutes les opérations d'AGPM sont gérées via ce service Windows et exécutées à l'aide des informations d'identification du service. L'archive gérée par un serveur AGPM peut être hébergée sur ce dernier ou sur un autre situé dans la même forêt.

Installation du serveur AGPM sur l'ordinateur devant héberger le service AGPM

1. Connectez-vous avec un compte membre du groupe Administrateurs du domaine.

2. Démarrez le CD Microsoft Desktop Optimization Pack et suivez les instructions qui s'affichent à l'écran pour sélectionner Serveur Advanced Group Policy Management.

3. Dans la boîte de dialogue Bienvenue, cliquez sur Suivant.

4. Dans la boîte de dialogue Termes du contrat de licence logiciel Microsoft, acceptez les termes, puis cliquez sur Suivant.

5. Dans la boîte de dialogue Chemin de l'application, sélectionnez un emplacement où installer le serveur AGPM. L'ordinateur sur lequel le serveur AGPM est installé hébergera le service AGPM et gérera l'archive. Cliquez sur Suivant.

6. Dans la boîte de dialogue Chemin des archives, sélectionnez un emplacement pour l'archive, relatif au serveur AGPM. Le chemin des archives peut indiquer un dossier sur le serveur AGPM ou ailleurs. Il est cependant recommandé de sélectionner un emplacement offrant un espace suffisant pour stocker tous les objets de stratégie de groupe et les données d'historique gérées par ce serveur AGPM. Cliquez sur Suivant.

7. Dans la boîte de dialogue Compte de service AGPM, sélectionnez un compte de service sous lequel exécuter le service AGPM, puis cliquez sur Suivant.

8. Dans la boîte de dialogue Propriétaire d'archive, sélectionnez un compte ou un groupe auquel attribuer initialement le rôle Administrateur AGPM (Contrôle total). Cet administrateur AGPM peut attribuer des rôles et des autorisations AGPM à d'autres administrateurs de stratégie de groupe (y compris le rôle Administrateur AGPM). Pour ce scénario, sélectionnez le compte à servir dans le rôle Administrateur AGPM. Cliquez sur Suivant.

9. Dans la boîte de dialogue Configuration du port, tapez un port que le service AGPM doit écouter. Ne désactivez pas la case à cocher Ajouter une exception de port au pare-feu sauf si vous configurez manuellement des exceptions de port ou utilisez des règles pour configurer des exceptions de port. Cliquez sur Suivant.

10. Dans la boîte de dialogue Langues, sélectionnez une ou plusieurs langues d'affichage à installer pour le serveur AGPM.

11. Cliquez sur Installer, puis cliquez sur Terminer pour quitter l'Assistant Installation.

    Avertissement

    Ne modifiez pas les paramètres du service AGPM via Outils d'administration et Services dans le système d'exploitation. Cela peut empêcher le démarrage du service AGPM. Pour plus d'informations sur la modification des paramètres pour le service, voir l'Aide sur Advanced Group Policy Management.

Étape 2 : Installation du client AGPM

Chaque administrateur de stratégie de groupe (quiconque créant, modifiant, déployant, contrôlant ou supprimant des objets de stratégie de groupe) doit disposer du client AGPM sur l'ordinateur qu'il utilise pour gérer les objets de stratégie de groupe. Dans le cadre de scénario, vous allez installer le client AGPM sur au moins un ordinateur. Vous ne devez pas installer le client AGPM sur les ordinateurs des utilisateurs finaux qui n'administrent pas de stratégie de groupe.

Installation du client AGPM sur l'ordinateur d'un administrateur de stratégie de groupe

1. Démarrez le CD Microsoft Desktop Optimization Pack et suivez les instructions qui s'affichent à l'écran pour sélectionner Client Advanced Group Policy Management.

2. Dans la boîte de dialogue Bienvenue, cliquez sur Suivant.

3. Dans la boîte de dialogue Termes du contrat de licence logiciel Microsoft, acceptez les termes, puis cliquez sur Suivant.

4. Dans la boîte de dialogue Chemin de l'application, sélectionnez un emplacement où installer le client AGPM. Cliquez sur Suivant.

5. Dans la boîte de dialogue Serveur AGPM, tapez le nom complet de l'ordinateur pour le serveur AGPM et le port auquel se connecter. Le port par défaut pour le service AGPM est 4600. Ne désactivez pas la case à cocher Autoriser Microsoft Management Console via le pare-feu sauf si vous configurez manuellement des exceptions de port ou utilisez des règles pour configurer des exceptions de port. Cliquez sur Suivant.

6. Dans la boîte de dialogue Langues, sélectionnez une ou plusieurs langues d'affichage à installer pour le client AGPM.

7. Cliquez sur Installer, puis cliquez sur Terminer pour quitter l'Assistant Installation.

Étape 3 : Configuration d'une connexion au serveur AGPM

AGPM stocke toutes les versions de chaque objet de stratégie de groupe contrôlé (objet de stratégie de groupe pour lequel AGPM effectue un contrôle des modifications) dans une archive centrale de façon à ce que les administrateurs de stratégie de groupe puissent consulter et modifier les objets de stratégie de groupe hors connexion sans que cela ait un impact immédiat sur leur version déployée.

Au cours de cette étape, vous allez configurer une connexion au serveur AGPM et veiller à ce que tous les administrateurs de stratégie de groupe se connectent au même serveur AGPM (pour plus d'informations sur la configuration de plusieurs serveurs AGPM, voir l'Aide sur Advanced Group Policy Management).

Configuration d'une connexion au serveur AGPM pour tous les administrateurs de stratégie de groupe

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec le compte d'utilisateur sélectionné comme propriétaire d'archive. Cet utilisateur a le rôle Administrateur AGPM (Contrôle total).

2. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Gestion de la stratégie de groupe pour ouvrir la GMPC.

3. Modifiez un objet de stratégie de groupe appliqué à tous les administrateurs de stratégie de groupe.

4. Dans la fenêtre Éditeur de gestion des stratégies de groupe, double-cliquez sur Configuration utilisateur, Stratégies, Modèles d'administration, Composants Windows, puis sur AGPM.

5. Dans le volet d'informations, double-cliquez sur AGPM : Spécifier le serveur AGPM par défaut (tous les domaines).

6. Dans la fenêtre Propriétés, sélectionnez Activé, puis tapez le nom complet de l'ordinateur et le port (par exemple, serveur.contoso.com:4600) du serveur hébergeant l'archive. Par défaut, le service AGPM utilise le port 4600.

7. Cliquez sur OK, puis fermez la fenêtre Éditeur de gestion des stratégies de groupe. Une fois la stratégie de groupe mise à jour, la connexion au serveur AGPM est configurée pour chaque administrateur de stratégie de groupe.

Étape 4 : Configuration d'une notification par courrier électronique

En tant qu'Administrateur AGPM (Contrôle total), vous désignez les adresses électroniques des Approbateurs et Administrateurs AGPM auxquels un message électronique contenant une demande est envoyé quand un Éditeur tente de créer, déployer ou supprimer un objet de stratégie de groupe. Vous déterminez aussi l'alias à partir duquel ces messages sont envoyés.

Configuration d'une notification par courrier électronique pour AGPM

1. Dans le volet d'informations, cliquez sur l'onglet Délégation de domaine.

2. Dans le champ Adresse de messagerie d'expéditeur, tapez l'alias de messagerie pour AGPM à partir duquel les notifications doivent être envoyées.

3. Dans le champ Adresse du destinataire, tapez l'adresse de messagerie du compte d'utilisateur auquel vous comptez attribuer le rôle Approbateur.

4. Dans le champ Serveur SMTP, tapez un nom de serveur de messagerie SMTP valide.

5. Dans les champs Nom d'utilisateur et Mot de passe, tapez les informations d'identification d'un utilisateur ayant accès au service SMTP. Cliquez sur Appliquer.

Étape 5 : Délégation d'accès

En tant qu'Administrateur AGPM (Contrôle total), vous déléguez un accès au niveau du domaine aux objets de stratégie de groupe, en attribuant des rôles au compte de chaque administrateur de stratégie de groupe.

Délégation d'accès à tous les objets de stratégie de groupe dans l'ensemble d'un domaine

1. Sous l'onglet Délégation de domaine, cliquez sur le bouton Ajouter, sélectionnez le compte d'utilisateur de l'administrateur de stratégie de groupe devant servir d'Approbateur, puis cliquez sur OK.

2. Dans la boîte de dialogue Ajouter un groupe ou un utilisateur, sélectionnez le rôle Approbateur pour attribuer ce rôle au compte, puis cliquez sur OK (ce rôle inclut le rôle Réviseur).

3. Cliquez sur le bouton Ajouter, sélectionnez le compte d'utilisateur de l'administrateur de stratégie de groupe devant servir d'Éditeur, puis cliquez sur OK.

4. Dans la boîte de dialogue Ajouter un groupe ou un utilisateur, sélectionnez le rôle Éditeur pour attribuer ce rôle au compte, puis cliquez sur OK (ce rôle inclut le rôle Réviseur).

5. Cliquez sur le bouton Ajouter, sélectionnez le compte d'utilisateur de l'administrateur de stratégie de groupe devant servir de Réviseur, puis cliquez sur OK.

6. Dans la boîte de dialogue Ajouter un groupe ou un utilisateur, sélectionnez le rôle Réviseur pour attribuer uniquement ce rôle au compte.

Procédure de gestion des objets de stratégie de groupe

Pour créer, modifier, réviser et déployer des objets de stratégie de groupe à l'aide d'AGPM, vous devez exécuter la procédure suivante. En outre, vous allez créer un modèle, supprimer un objet de stratégie de groupe et restaurer un objet de stratégie de groupe supprimé.

Étape 1 : Création d'un objet de stratégie de groupe

Étape 2 : Modification d'un objet de stratégie de groupe

Étape 3 : Révision et déploiement d'un objet de stratégie de groupe

Étape 4 : Utilisation d'un modèle pour créer un objet de stratégie de groupe

Étape 5 : Suppression et restauration d'un objet de stratégie de groupe

Étape 1 : Création d'un objet de stratégie de groupe

Dans un environnement comportant plusieurs administrateurs de stratégie de groupe, ceux auxquels est attribué le rôle Éditeur ont la possibilité de demander la création d'objets de stratégie de groupe mais une telle demande doit être approuvée par une personne à laquelle est attribué le rôle Approbateur car la création d'un objet de stratégie de groupe a un impact sur l'environnement de production.

Au cours de cette étape, vous allez utiliser un compte auquel est attribué le rôle Éditeur pour demander la création d'un objet de stratégie de groupe. En utilisant un compte auquel est affecté le rôle Approbateur, approuvez cette demande et créez un objet de stratégie de groupe.

Demande de création d'un objet de stratégie de groupe géré via AGPM

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec un compte d'utilisateur auquel a été attribué le rôle Éditeur dans AGPM.

2. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine dans lesquels vous voulez gérer les objets de stratégie de groupe.

3. Cliquez avec le bouton droit sur le nœud Contrôle des modifications, puis cliquez sur Nouvel objet de stratégie de groupe contrôlé.

4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe contrôlé :

   1. Pour recevoir une copie de la demande, tapez votre adresse de messagerie dans le champ Cc.

   2. Tapez MonObjetDeStratégieDeGroupe comme nom pour le nouvel objet de stratégie de groupe.

   3. Tapez un commentaire pour le nouvel objet de stratégie de groupe.

   4. Cliquez sur Créer en ligne pour que le nouvel objet de stratégie de groupe soit déployé dans l'environnement de production dès son approbation. Cliquez sur Envoyer.

5. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. Le nouvel objet de stratégie de groupe s'affiche sous l'onglet En attente.

Approbation de la demande en attente pour créer un objet de stratégie de groupe

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec un compte d'utilisateur auquel a été attribué le rôle Approbateur dans AGPM.

2. Ouvrez la boîte de réception de messagerie du compte. Vous pouvez constater que vous avez reçu un message électronique de l'alias AGPM contenant la demande de création d'un objet de stratégie de groupe formulée par l'Éditeur.

3. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine dans lesquels vous voulez gérer les objets de stratégie de groupe.

4. Sous l'onglet Contenu, cliquez sur l'onglet En attente pour afficher les objets de stratégie de groupe en attente.

5. Cliquez avec le bouton droit sur MonObjetDeStratégieDeGroupe, puis cliquez sur Approuver.

6. Cliquez sur Oui pour confirmer l'approbation de la création de l'objet de stratégie de groupe. L'objet de stratégie de groupe est déplacé vers l'onglet Contrôlé.

Étape 2 : Modification d'un objet de stratégie de groupe

Vous pouvez utiliser des objets de stratégie de groupe pour configurer des paramètres d'ordinateur ou d'utilisateur et les déployer pour un grand nombre d'ordinateurs ou d'utilisateurs. Au cours de cette étape, vous allez utiliser un compte auquel est attribué le rôle Éditeur pour extraire un objet de stratégie de groupe de l'archive, le modifier hors connexion, le contrôler après modification et réarchivage et demander son déploiement dans l'environnement de production. Pour ce scénario, vous configurez un paramètre dans l'objet de stratégie de groupe pour exiger que le mot de passe ait une longueur minimale de huit caractères.

Extraction de l'objet de stratégie de groupe de l'archive pour modification

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec un compte d'utilisateur auquel a été attribué le rôle Éditeur dans AGPM.

2. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine dans lesquels vous voulez gérer les objets de stratégie de groupe.

3. Sous l'onglet Contenu du volet d'informations, cliquez sur l'onglet Contrôlé pour afficher les objets de stratégie de groupe contrôlés.

4. Cliquez avec le bouton droit sur MonObjetDeStratégieDeGroupe, puis cliquez sur Extraire.

5. Tapez un commentaire à afficher dans l'historique de l'objet de stratégie de groupe pendant son extraction, puis cliquez sur OK.

6. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. Sous l'onglet Contrôlé, l'état de l'objet de stratégie de groupe est identifié comme Extrait.

Modification de l'objet de stratégie de groupe hors connexion et configuration de la longueur minimale du mot de passe

1. Sous l'onglet Contrôlé, cliquez avec le bouton droit sur MonObjetDeStratégieDeGroupe, puis cliquez sur Modifier pour ouvrir la fenêtre Éditeur de gestion des stratégies de groupe et apporter des modifications à une copie hors connexion de l'objet de stratégie de groupe. Pour ce scénario, configurez la longueur minimale du mot de passe :

   1. Sous Configuration ordinateur, double-cliquez sur Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de comptes et Stratégie de mot de passe.

   2. Dans le volet d'informations, double-cliquez sur Longueur minimale du mot de passe.

   3. Dans la fenêtre Propriétés, activez la case à cocher Définir ce paramètre de stratégie, définissez le nombre de caractères sur 8, puis cliquez sur OK.

2. Fermez la fenêtre Éditeur de gestion des stratégies de groupe.

Archivage de l'objet de stratégie de groupe dans l'archive

1. Sous l'onglet Contrôlé, cliquez avec le bouton droit sur MonObjetDeStratégieDeGroupe, puis cliquez sur Archivage.

2. Tapez un commentaire, puis cliquez sur OK.

3. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. Sous l'onglet Contrôlé, l'état de l'objet de stratégie de groupe est identifié comme Archivé.

Demande du déploiement de l'objet de stratégie de groupe dans l'environnement de production

1. Sous l'onglet Contrôlé, cliquez avec le bouton droit sur MonObjetDeStratégieDeGroupe, puis cliquez sur Déployer.

2. Comme ce compte n'a ni le rôle Approbateur, ni le rôle Administrateur AGPM, vous devez envoyer une demande de déploiement. Pour recevoir une copie de la demande, tapez votre adresse de messagerie dans le champ Cc. Tapez un commentaire à afficher dans l'historique de l'objet de stratégie de groupe, puis cliquez sur Envoyer.

3. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. MonObjetDeStratégieDeGroupe s'affiche dans la liste des objets de stratégie de groupe sous l'onglet En attente.

Étape 3 : Révision et déploiement d'un objet de stratégie de groupe

Au cours de cette étape, vous allez agir en tant qu'Approbateur, en créant des rapports et en analysant les paramètres et les modifications des paramètres dans l'objet de stratégie de groupe pour déterminer si vous devez les approuver. Après avoir évalué l'objet de stratégie de groupe, vous le déployez dans l'environnement de production et le liez à un domaine ou une unité d'organisation (UO) de façon à ce qu'il prenne effet lors de l'actualisation de la stratégie de groupe pour des ordinateurs de ce domaine ou de cette UO.

Révision des paramètres de l'objet de stratégie de groupe

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec un compte d'utilisateur auquel a été attribué le rôle Approbateur dans AGPM (tout administrateur de stratégie de groupe auquel est attribué le rôle Réviseur, qui est inclus dans tous les autres rôles, peut réviser les paramètres d'un objet de stratégie de groupe).

2. Ouvrez la boîte de réception de messagerie du compte. Vous pouvez constater que vous avez reçu un message électronique de l'alias AGPM contenant une demande de déploiement d'un objet de stratégie de groupe formulée par l'Éditeur.

3. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine dans lesquels vous voulez gérer les objets de stratégie de groupe.

4. Sous l'onglet Contenu du volet d'informations, cliquez sur l'onglet En attente.

5. Double-cliquez sur MonObjetDeStratégieDeGroupe pour afficher son historique.

6. Révisez les paramètres de la dernière version de MonObjetDeStratégieDeGroupe :

   1. Dans la fenêtre Historique, cliquez avec le bouton droit sur la version de l'objet de stratégie de groupe dont l'horodateur est le plus récent, cliquez sur Paramètres, puis sur Rapport HTML pour afficher un résumé des paramètres de l'objet de stratégie de groupe.

   2. Dans le navigateur Web, cliquez sur afficher tout pour afficher tous les paramètres de l'objet de stratégie de groupe. Fermez le navigateur.

7. Comparez la dernière version de MonObjetDeStratégieDeGroupe à la première version archivée :

   1. Dans la fenêtre Historique, cliquez sur la version de l'objet de stratégie de groupe dont l'horodateur est le plus récent. Appuyez sur CTRL, puis cliquez sur la version la plus ancienne de l'objet de stratégie de groupe pour laquelle la Version ordinateur n'est pas *.

   2. Cliquez sur le bouton Différences. La section Stratégies de comptes/Stratégie de mot de passe est mise en surbrillance en vert et précédée de [+], ce qui indique que ce paramètre n'est configuré que dans la dernière version de l'objet de stratégie de groupe.

   3. Cliquez sur Stratégies de comptes/Stratégie de mot de passe. Le paramètre Longueur minimale du mot de passe est également mis en surbrillance en vert et précédé de [+], ce qui indique qu'il n'est configuré que dans la dernière version de l'objet de stratégie de groupe.

   4. Fermez le navigateur Web.

Déploiement d'un objet de stratégie de groupe dans l'environnement de production

1. Sous l'onglet En attente, cliquez avec le bouton droit sur MonObjetDeStratégieDeGroupe, puis cliquez sur Approuver.

2. Tapez un commentaire à inclure dans l'historique de l'objet de stratégie de groupe.

3. Cliquez sur Oui. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. L'objet de stratégie de groupe est déployé dans l'environnement de production.

Liaison de l'objet de stratégie de groupe à un domaine ou une unité d'organisation

1. Dans la console de gestion des stratégies de groupe, cliquez avec le bouton droit sur le domaine ou l'UO auxquels appliquer l'objet de stratégie de groupe configuré, puis cliquez sur Lier à un objet de stratégie de groupe existant.

2. Dans la boîte de dialogue Sélectionner objet de stratégie de groupe, cliquez sur MonObjetDeStratégieDeGroupe, puis sur OK.

Étape 4 : Utilisation d'un modèle pour créer un objet de stratégie de groupe

Au cours de cette étape, vous allez utiliser un compte auquel est attribué le rôle Éditeur pour créer un modèle (version modifiable, statique d'un objet de stratégie de groupe à utiliser comme point de départ pout la création d'objets de stratégie de groupe), puis créer un objet de stratégie de groupe basé sur ce modèle. Des modèles sont utiles pour créer rapidement plusieurs objets de stratégie de groupe incluant un grand nombre de paramètres identiques.

Création d'un modèle basé sur un objet de stratégie de groupe existant

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec un compte d'utilisateur auquel a été attribué le rôle Éditeur dans AGPM.

2. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine dans lesquels vous voulez gérer les objets de stratégie de groupe.

3. Sous l'onglet Contenu du volet d'informations, cliquez sur l'onglet Contrôlé.

4. Cliquez avec le bouton droit sur MonObjetDeStratégieDeGroupe, puis cliquez sur Enregistrer comme modèle pour créer un modèle incorporant tous les paramètres actuellement définis dans MonObjetDeStratégieDeGroupe.

5. Tapez MonModèle comme nom de modèle ainsi qu'un commentaire, puis cliquez sur OK.

6. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. Le nouveau modèle s'affiche sous l'onglet Modèles.

Demande de création d'un objet de stratégie de groupe géré via AGPM

1. Cliquez sur l'onglet Contrôlé.

2. Cliquez avec le bouton droit sur le nœud Contrôle des modifications, puis cliquez sur Nouvel objet de stratégie de groupe contrôlé.

3. Dans la boîte de dialogue Nouvel objet de stratégie de groupe contrôlé :

   1. Pour recevoir une copie de la demande, tapez votre adresse de messagerie dans le champ Cc.

   2. Tapez MonAutreObjetDeStratégieDeGroupe comme nom pour le nouvel objet de stratégie de groupe.

   3. Tapez un commentaire pour le nouvel objet de stratégie de groupe.

   4. Cliquez sur Créer en ligne pour que le nouvel objet de stratégie de groupe soit déployé dans l'environnement de production dès son approbation.

   5. Pour À partir du modèle d'objet de stratégie de groupe, sélectionnez MonModèle. Cliquez sur Envoyer.

4. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. Le nouvel objet de stratégie de groupe s'affiche sous l'onglet En attente.

Utilisez un compte auquel a été attribué le rôle Approbateur pour approuver la demande en attente de création de l'objet de stratégie de groupe comme vous l'avez fait à l'Étape 1 : Création d'un objet de stratégie de groupe. MonModèle incorpore tous les paramètres configurés dans MonObjetDeStratégieDeGroupe. Comme MonAutreObjetDeStratégieDeGroupe à été créé à l'aide de MonModèle, il contient initialement tous les paramètres que MonObjetDeStratégieDeGroupe contenait lors de la création de MonModèle. Vous pouvez confirmer cela en générant un rapport des différences pour comparer MonAutreObjetDeStratégieDeGroupe à MonModèle.

Extraction de l'objet de stratégie de groupe de l'archive pour modification

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec un compte d'utilisateur auquel a été attribué le rôle Éditeur dans AGPM.

2. Cliquez avec le bouton droit sur MonAutreObjetDeStratégieDeGroupe, puis cliquez sur Extraire.

3. Tapez un commentaire à afficher dans l'historique de l'objet de stratégie de groupe pendant son extraction, puis cliquez sur OK.

4. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. Sous l'onglet Contrôlé, l'état de l'objet de stratégie de groupe est identifié comme Extrait.

Modification de l'objet de stratégie de groupe hors connexion et configuration de la durée de verrouillage de compte

1. Sous l'onglet Contrôlé, cliquez avec le bouton droit sur MonAutreObjetDeStratégieDeGroupe, puis cliquez sur Modifier pour ouvrir la fenêtre Éditeur de gestion des stratégies de groupe et apporter des modifications à une copie hors connexion de l'objet de stratégie de groupe. Pour ce scénario, configurez la longueur minimale du mot de passe :

   1. Sous Configuration ordinateur, double-cliquez sur Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de comptes et Stratégie de verrouillage de compte.

   2. Dans le volet d'informations, double-cliquez sur Durée de verrouillage de compte.

   3. Dans la fenêtre Propriétés, activez la case à cocher Définir ce paramètre de stratégie, définissez la durée sur 30 minutes, puis cliquez sur OK.

2. Fermez la fenêtre Éditeur de gestion des stratégies de groupe.

Placez MonAutreObjetDeStratégieDeGroupe dans l'archive et demandez le déploiement comme vous l'avez fait pour MonObjetDeStratégieDeGroupe à l'Étape 2 : Modification d'un objet de stratégie de groupe. Vous pouvez comparer MonAutreObjetDeStratégieDeGroupe à MonObjetDeStratégieDeGroupe ou à MonModèle à l'aide de rapports des différences. Tout compte incluant le rôle Réviseur (Administrateur AGPM [Contrôle total], Approbateur, Éditeur ou Réviseur) peut générer des rapports.

Comparaison d'un objet de stratégie de groupe à un autre ou à un modèle

1. Pour comparer MonObjetDeStratégieDeGroupe et MonAutreObjetDeStratégieDeGroupe :

   1. Sous l'onglet Contrôlé, cliquez sur MonObjetDeStratégieDeGroupe. Appuyez sur CTRL, puis cliquez sur MonAutreObjetDeStratégieDeGroupe.

   2. Cliquez avec le bouton droit sur MonAutreObjetDeStratégieDeGroupe, pointez sur Différences, puis cliquez sur Rapport HTML.

2. Pour comparer MonAutreObjetDeStratégieDeGroupe et MonModèle :

   1. Sous l'onglet Contrôlé, cliquez sur MonAutreObjetDeStratégieDeGroupe.

   2. Cliquez avec le bouton droit sur MonAutreObjetDeStratégieDeGroupe, pointez sur Différences, puis cliquez sur Modèle.

   3. Sélectionnez MonModèle et Rapport HTML, puis cliquez sur OK.

Étape 5 : Suppression et restauration d'un objet de stratégie de groupe

Au cours de cette étape, vous allez agir comme Approbateur pour supprimer un objet de stratégie de groupe.

Suppression d'un objet de stratégie de groupe

1. Sur un ordinateur sur lequel vous avez installé le client AGPM, ouvrez une session avec un compte d'utilisateur auquel a été attribué le rôle Approbateur.

2. Dans l'arborescence de la Console de gestion des stratégies de groupe, cliquez sur Contrôle des modifications dans la forêt et le domaine dans lesquels vous voulez gérer les objets de stratégie de groupe.

3. Sous l'onglet Contenu, cliquez sur l'onglet Contrôlé pour afficher les objets de stratégie de groupe controlés.

4. Cliquez avec le bouton droit sur MonObjetDeStratégieDeGroupe, puis cliquez sur Supprimer. Cliquez sur Supprimer l'objet de stratégie de groupe de l'archive et de la production pour supprimer la version contenue dans l'archive ainsi que celle déployée dans l'environnement de production.

5. Tapez un commentaire à afficher dans la piste d'audit de l'objet de stratégie de groupe, puis cliquez sur OK.

6. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. L'objet de stratégie de groupe est supprimé de l'onglet Contrôlé et affiché sous l'onglet Corbeille où il est possible de le restaurer ou de le détruire.

Il peut arriver que vous réalisiez, après voir supprimé un objet de stratégie de groupe, qu'il est encore nécessaire. Au cours de cette étape, vous allez agir comme Approbateur pour restaurer un objet de stratégie de groupe supprimé.

Restauration d'un objet de stratégie de groupe supprimé

1. Sous l'onglet Contenu, cliquez sur l'onglet Corbeille pour afficher les objets de stratégie de groupe supprimés.

2. Cliquez avec le bouton droit sur MonObjetDeStratégieDeGroupe, puis cliquez sur Restaurer.

3. Tapez un commentaire à afficher dans l'historique de l'objet de stratégie de groupe, puis cliquez sur OK.

4. Lorsque la fenêtre Progression d'AGPM indique que l'opération est terminée, cliquez sur Fermer. L'objet de stratégie de groupe est supprimé de l'onglet Corbeille et affiché sous l'onglet Contrôlé.

   Notes

   La restauration d'un objet de stratégie de groupe dans l'archive ne le redéploye pas automatiquement dans l'environnement de production. Pour rétablir l'objet de stratégie de groupe dans l'environnement de production, déployez-le comme à l'Étape 3 : Révision et déploiement d'un objet de stratégie de groupe.

Après avoir modifié et déployé un objet de stratégie de groupe, il se peut que vous réalisiez que de récentes modifications apportées causent un problème. Au cours de cette étape, vous allez agir comme Approbateur pour restaurer une version précédente de l'objet de stratégie de groupe. Vous pouvez restaurer toute version figurant dans l'historique de l'objet de stratégie de groupe. Vous pouvez utiliser des commentaires et des étiquettes pour identifier de bonnes versions connues et indiquer quand des modifications spécifiques ont été apportées.

Restauration d'une version précédente d'un objet de stratégie de groupe

1. Sous l'onglet Contenu, cliquez sur l'onglet Contrôlé pour afficher les objets de stratégie de groupe controlés.

2. Double-cliquez sur MonObjetDeStratégieDeGroupe pour afficher son historique.

3. Cliquez avec le bouton droit sur la version à déployer, cliquez sur Déployer, puis sur Oui.

4. Lorsque la fenêtre Progression indique que l'opération est terminée, cliquez sur Fermer. Dans la fenêtre Historique, cliquez sur Fermer.

   Notes

   Pour vérifier que la version redéployée est la version voulue, examinez un rapport des différences pour les deux versions. Dans la fenêtre Historique de l'objet de stratégie de groupe, sélectionnez les deux versions, cliquez dessus avec le bouton droit, pointez sur Différence, puis cliquez sur Rapport HTML ou Rapport XML.

-----
Vous pouvez en apprendre plus sur MDOP dans la bibliothèque TechNet, rechercher des informations sur le dépannage dans le Wiki TechNet ou nous suivre sur Facebook ouTwitter.
-----