Guide d’accompagnement du réseau de base : déploiement de stratégie de groupe
S’applique à : Windows Server 2012
Il s’agit d’un guide d’accompagnement pour le Windows Server® 2012 Guide du réseau de base, qui est disponible au téléchargement au format Microsoft Office Word dans le Centre de téléchargement Microsoft (https://go.microsoft.com/fwlink/?LinkId=255199) et au format HTML dans la bibliothèque technique Windows Server 2012 (https://technet.microsoft.com/library/hh911995.aspx).
Le Guide du réseau de base Windows Server 2012 fournit des instructions sur la planification et le déploiement des composants centraux requis pour un réseau pleinement fonctionnel et un nouveau domaine Active Directory dans une nouvelle forêt.
Ce guide explique comment créer sur le réseau de base en fournissant des instructions pour déployer des objets de stratégie de groupe (GPO) et en utilisant des groupes d’appartenance au lieu des unités d’organisation (UO) qui forment la hiérarchie d’un domaine Active Directory.
Ce guide contient les sections suivantes.
À propos de ce guide
Spécifications
Ce que ce guide ne contient pas
Vue d’ensemble de la technologie de la stratégie de groupe
Notes
Ce guide est disponible aux emplacements suivants :
- Le Windows Server 2012 Guide d’accompagnement du réseau de base : déploiement de stratégie de groupe au format Word dans le Centre de téléchargement Microsoft.
- Le Windows Server 2012 Core Network Companion Guide: Group Policy Deployment au format HTML dans la bibliothèque technique de Windows Server 2012.
À propos de ce guide
Ce guide fournit des instructions pour le déploiement des paramètres de stratégie de groupe sur un ensemble d’ordinateurs clients ou sur des utilisateurs à l’aide de groupes d’appartenance plutôt que d’emplacement de compte dans la hiérarchie d’UO d’un domaine.
La méthode décrite dans ce guide vous montre comment créer un seul groupe d’appartenance dans lequel vous pouvez ajouter les comptes d’utilisateur ou d’ordinateur devant recevoir une configuration à l’aide des objets de stratégie de groupe. L’appartenance au groupe, plutôt que l’emplacement du compte dans la hiérarchie d’UO, détermine si l’ordinateur reçoit l’un des objets de stratégie de groupe associés au groupe d’appartenance. En outre, des filtres Windows Management Instrumentation (WMI) permettent de garantir que seul l’objet de stratégie de groupe dont les paramètres correspondent à la version de Windows en cours d’exécution sur l’ordinateur est appliqué.
Cette méthode de déploiement de la stratégie de groupe présente deux avantages :
Elle est totalement indépendante de la structure d’unité d’organisation de votre domaine. Appliquer un objet de stratégie de groupe à un ordinateur n’implique plus le déplacement des ordinateurs vers une autre unité d’organisation ou la restructuration de votre hiérarchie d’UO.
Il est très facile d’appliquer ou de cesser d’appliquer les paramètres à un objet de stratégie de groupe. Il suffit de supprimer le compte d’utilisateur ou d’ordinateur du groupe d’appartenance. Cela supprime l’utilisateur ou l’ordinateur de l’étendue de l’objet de stratégie de groupe, sans affecter les autres objets de stratégie de groupe qui s’appliquent à l’utilisateur ou l’ordinateur.
Ce guide s’adresse aux administrateurs système et réseau ayant suivi les instructions fournies dans le Guide de réseau de base pour déployer un réseau de base Windows Server 2012, ou pour ceux qui ont déjà déployé les technologies de base incluses dans le réseau de base, y compris les services de domaine Active Directory (AD DS), le service de noms de domaine (DNS), le protocole DHCP ( Dynamic Host Configuration Protocol), TCP/IP et le service WINS (Windows Internet Name Service) (facultatif).
Il est recommandé de consulter les guides de conception et de déploiement pour chacune des technologies utilisées dans ce scénario de déploiement. Ces guides peuvent vous aider à déterminer si ce scénario de déploiement fournit les services et la configuration dont vous avez besoin pour le réseau de votre organisation.
Spécifications
Avertissement
Nous vous recommandons d’utiliser les méthodes décrites dans ce guide pour les objets de stratégie de groupe devant être déployés sur la majorité des ordinateurs de votre organisation, et uniquement lorsque la hiérarchie d’UO de votre domaine Active Directory ne correspond pas exactement aux besoins de déploiement de ces objets de stratégie de groupe. Lorsque la hiérarchie d’UO le permet, déployez un objet de stratégie de groupe en le liant à l’unité d’organisation du niveau le plus bas, qui contient tous les comptes auxquels s’applique l’objet de stratégie de groupe.
Dans un environnement de grande entreprise avec des centaines ou des milliers d’objets de stratégie de groupe, l’utilisation de cette méthode peut faire que les comptes d’utilisateur ou d’ordinateur deviennent membres d’un nombre excessif de groupes. Cela peut entraîner des problèmes de connectivité réseau lorsque les limites du protocole réseau ont été dépassées. Pour plus d’informations sur les problèmes associés à l’appartenance à un nombre de groupes excessif, consultez les articles suivants de la Base de connaissances Microsoft :
- Nouveautés de l’authentification Kerberos dans Windows Server 2012. Cet article fournit des informations sur les améliorations apportées pour réduire les échecs d’authentification en raison de tickets de service de grande taille, voir https://technet.microsoft.com/library/hh831747.aspx
- Article 327825 « Nouvelle résolution des problèmes d’authentification Kerberos lorsqu’un utilisateur appartient à de nombreux groupes » (https://go.microsoft.com/fwlink/?LinkId=23044)
- Article 263693 « La stratégie de groupe peut ne pas être appliquée aux utilisateurs appartenant à de nombreux groupes » (https://go.microsoft.com/fwlink/?LinkId=126293)
- Article 328889 « Les utilisateurs qui sont membres de plus de 1 015 groupes peuvent échouer à l’authentification d’ouverture de session » (https://go.microsoft.com/fwlink/?LinkId=115213)
Voici la configuration requise pour l’utilisation de la stratégie de groupe :
Pour déployer la stratégie de groupe, vous devez disposer d’un contrôleur de domaine Active Directory hébergeant un domaine et les ordinateurs joints au domaine.
Pour configurer la stratégie de groupe, créez des groupes d’appartenance et attribuez-leur des membres. Vous devez être connecté en tant que membre du groupe Administrateurs du domaine.
Ce que ce guide ne contient pas
Ce guide ne fournit pas d’instructions complètes pour la conception et le déploiement d’une infrastructure de stratégie de groupe à l’aide des services AD DS. Il est recommandé de consulter la documentation concernant les services AD DS et la stratégie de groupe avant de déployer les technologies de ce guide. Pour plus d'informations, voir Ressources supplémentaires.
Vue d’ensemble de la technologie de la stratégie de groupe
La stratégie de groupe est une technologie de gestion qui fournit aux utilisateurs un accès cohérent à leurs applications, aux paramètres de l’application, aux profils utilisateur itinérants et aux données utilisateur, à partir de n’importe quel ordinateur géré, même lorsqu’ils sont déconnectés du réseau. Les paramètres de stratégie de groupe sont contenus dans les objets de stratégie de groupe qui sont liés aux sites, aux domaines ou aux unités d’organisation au sein d’un domaine Active Directory. Les paramètres des objets de stratégie de groupe sont ensuite évalués et appliqués par les ordinateurs et les utilisateurs ciblés. La stratégie de groupe est l’une des principales raisons pour laquelle déployer des services de domaine Active Directory (AD DS), car elle permet de gérer les objets utilisateur et ordinateur.
La plupart des administrateurs associent le déploiement des objets de stratégie de groupe à la hiérarchie d’UO d’un domaine Active Directory. Vous pouvez lier un objet de stratégie de groupe à une unité d’organisation, et n’importe quel ordinateur ou utilisateur de cette unité d’organisation ou l’un de ses descendants, et appliquer la stratégie. Toutefois, un domaine Active Directory ne peut contenir qu’une seule hiérarchie d’unités d’organisation, et les comptes d’utilisateur et d’ordinateur peuvent uniquement être placés dans une seule unité d’organisation. Pour cette raison, il se peut qu’une hiérarchie d’UO soit appropriée pour résoudre un problème et inappropriée pour en résoudre un autre. Par exemple, de nombreuses organisations conçoivent la hiérarchie d’UO pour prendre en charge l’administration déléguée. Les comptes d’ordinateur et d’utilisateur sont placés dans les unités d’organisation disposant d’une équipe informatique en charge de la supervision. En accordant les autorisations administratives de l’équipe informatique au conteneur d’unité d’organisation, celle-ci peut gérer les ordinateurs et les utilisateurs dont les comptes se trouvent dans l’unité d’organisation. Cette même hiérarchie peut s’avérer inefficace pour le déploiement des paramètres de stratégie de groupe qui affectent les ordinateurs dans toute l’organisation, par exemple, lors du déploiement des paramètres Internet Protocol security (IPsec) pour les scénarios d’isolation de serveur et de domaine.
En outre, la configuration d’une version de Windows peut nécessiter l’utilisation d’un paramètre de stratégie différent du paramètre de stratégie utilisé dans une autre version de Windows. Par exemple, les règles IPsec de Windows Server 2012, Windows Server 2008, Windows 8, Windows 7 et Windows Vista sont gérées par une autre partie de l’objet de stratégie de groupe que les règles IPsec pour Windows Server 2003 et les versions antérieures de Windows. Cela signifie que vous pouvez avoir jusqu’à six objets de stratégie de groupe distincts exécutant tous la même fonction (pour Windows Server 2012, Windows Server 2008, Windows Server 2003, Windows 8, Windows 7, et Windows Vista). L’objet de stratégie de groupe de Windows Server 2003 s’applique également aux versions antérieures de Windows.