Chapitre 5. Implémentation d`une stratégie de groupe

S44
BTS SRI 2- Salé
S44
BTS SRI 2- Salé
5.2.3. Application des stratégies de groupe lors de connexions réseau lentes
Chapitre 5.
Implémentation d'une stratégie de groupe
5.1. Création et configuration d'objets Stratégie de groupe
5.1.1. Présentation d’une stratégie de groupe
Une stratégie de groupes est un objet Active Directory qui va contenir un ensemble de paramètres. Ces
paramètres vont permettre d’agir sur l’environnement d’un utilisateur ou d’un ordinateur :
• Les paramètres de stratégies de groupe pour les ordinateurs définissent le comportement du système
d’exploitation et d’une partie du bureau, la configuration de la sécurité.
• Les paramètres de stratégies de groupe pour les utilisateurs définissent les options
d’applications affectées et publiées, la configuration des applications.
Une stratégie de groupe peut aussi être appelée GPO (Group Policy Object)
Cet objet va ensuite être lié à un conteneur site, domaine ou unité d’organisation. Cela va
permettre d’appliquer les paramètres de stratégie de groupe aux objets contenu dans ces conteneurs.
5.1.2. Composants d'un objet Stratégie de groupe
Un objet de stratégie de groupe se décompose en deux parties :
•
•
Une partie qui sera stockée dans la base Active Directory. Cet objet va ensuite être lié à des objets de sites,
domaines ou unités d’organisation. Cet objet permet aussi de gérer les versions permettant une réplication
optimisée.
Une partie qui sera stockée dans le répertoire SYSVOL sous la forme d’un répertoire ayant pour nom le SID de
l’objet dans la base Active Directory. Ce répertoire contient l’ensemble des fichiers de scripts, de configuration,
etc. Le dossier SYSVOL est répliqué automatiquement entre tous les contrôleurs de domaine.
5.1.3. Gestion des Stratégies de groupe par un contrôleur de domaine
La modification des paramètres de stratégie de groupe peut se faire sur n’importe quel contrôleur de
domaine, mais pour éviter les conflits un contrôleur de domaine s’occupe de centraliser l’ensemble des
modifications.
Ce contrôleur est par défaut celui ayant le rôle de maître d’opérations Emulateur PDC, mais il est bien
évidemment possible de le changer avec les options suivantes :
•
•
•
•
Le contrôleur de domaine avec le jeton de maître d’opérations pour l’émulateur PDC.
Tout contrôleur de domaine disponible.
Tout contrôleur de domaine exécutant Windows Server 2003 ou version ultérieure.
Ce contrôleur de domaine.
5.1.4. Définition des filtres WMI
Pour appliquer une stratégie de groupe, un fois celle-ci liée à un conteneur, vous avez la possibilité de
créer un script pour définir des conditions d’applications.
Exemple : Vous souhaitez déployer une application sur vos postes clients et cette application occupe 1 Go
sur le disque dur, avec un script WMI vous avez la possibilité de filtrer l’application de cette stratégie en
testant l’espace disque libre sur les stations de travail.
5.2. Configuration des fréquences d'actualisation et des paramètres de S.G
5.2.1. Planification de l’application des stratégies de groupe
Lorsque l’ordinateur démarre :
•
•
Les paramètres de la stratégie de groupe dont l’objet ordinateur dépend sont appliqués.
Les scripts de ces stratégies sont lancés de façons synchrones (les uns après les autres).
L’utilisateur ouvre une session :
•
•
Les paramètres de la stratégie de groupe dont l’objet utilisateur dépend sont appliqués.
Les scripts de ces stratégies sont lancés de façons asynchrones (tous en même temps).
5.2.2. Fréquence d’actualisation des paramètres de stratégie de groupe
Les stratégies sont ensuite rafraîchies toutes les cinq minutes sur les contrôleurs de domaine et toutes les
90 minutes (plus une valeur aléatoire en 0 et 30 minutes) pour tous les ordinateurs membres du domaine.
Professeur : Halima HOUSNY
Page 1 sur 2
Lors de la détection d’une connexion réseau lente (500kb/s par défaut, modifiable par une GPO),
l’ordinateur détermine s’il est nécessaire ou non de mettre à jour les stratégies de groupe. Le
comportement en mode connexion lente peut être défini à l’aide d’une GPO.
5.3. Gestion des objets Stratégie de groupe
En standard, Windows 2003 Server n’offre que très peu de fonction pour la gestion avancée des stratégies
de groupe, pour combler cela, Microsoft a développé un outil gratuit d’administration dédié à la gestion des GPO
(GPMC).
5.3.1. Copie d’une stratégie de groupe
A l’aide de la console de gestion de stratégie de groupe, il est possible de dupliquer une GPO. Elle conservera
tous ces paramètres mais ne sera lié à aucun objet (sites, domaines, unités d’organisations). La
possibilité de copier une stratégie est aussi possible entre différents domaines
5.3.2. Sauvegarde et restauration d’une stratégie de groupe
Une option de sauvegarde des stratégies de groupe est disponible dans l’outil de gestion des stratégies de groupe.
Cette option va vous permettre de sauvegarder sous un fichier GPT (Group Policy Template). Vous aurez ensuite la
possibilité de restaurer cette stratégie de groupe quand vous le souhaitez.
5.3.3. Importation d’une stratégie de groupe
Le principe de l’importation est très proche de la copie de stratégie de groupe avec pour fonctionnalité
supplémentaire de modifier via une table de migration les paramètres (Exemple : Mettre à jour les chemins
réseaux des paramètres de la GPO).
5.4. Délégation du contrôle administratif de la stratégie de groupe
5.4.1 Délégation d’administration des stratégies de groupe
Il y a trois aspects à la délégation d’une stratégie de groupe :
•
•
•
•
Gestion des liaisons à un conteneur (Site, Domaine, Unité d’organisation)
Création d’objets GPO
Modification d’objets GPO
A l’aide de l’assistant délégation de contrôle, il est possible de déléguer la gestion des liaisons à
n’importe quelle personne sur un conteneur.
Par défaut, pour pouvoir créer une GPO, il faut être membre du groupe Admins de domaine et Administrateur
de l’entreprise
Propriétaires créateurs de la stratégie de groupe
Pour pouvoir modifier une GPO, il faut avoir l’accès en lecture/écriture, puis être soit le propriétaire de la
GPO, soit membre des groupes : Admins de domaine et Administrateur de l’entreprise
5.4.2. Délégation d’administration de filtres WMI
Vous pouvez déléguer la gestion des scripts WMI. Les Scripts WMI sont stockés dans le conteneur
nommé WMIScript dans Active Directory. La délégation d’administration sur les scripts WMI est
déterminée par les autorisations sur répertoire.
Exercices
1.
2.
3.
4.
5.
6.
7.
Que contient un objet stratégie de groupe ?
À quel emplacement du système de fichiers est stockée la structure GPT d’un objet stratégie de groupe ?
À quel moment la partie ordinateur des objets stratégies de groupe est-elle appliquée ?
À quel moment la partie utilisateur des objets stratégies de groupe est-elle appliquée ?
Est-il possible de lier le même objet stratégie de groupe à plusieurs sites, domaines ou OUs ?
Est-il possible de lier plusieurs objets stratégies de groupe à un même site, domaine ou OU?
Quel est le contrôleur de domaine qui sera sollicité pour les opérations de création et de modification d’un
objet stratégie de groupe ?
8. Quelle commande permet de forcer le rafraîchissement des stratégies de groupe sur un ordinateur Win2k3
Server?
9. Vous souhaitez mettre en place la délégation des autorisations sur des objets AD tels que les stratégies de
groupe. Quels types de tâches est-il possible de déléguer sur des objets de type stratégie de groupe ?
10. Qu’est-ce qu’un filtre WMI ?
11. Comment sont appliqués les filtres WMI sur les objets stratégies de groupe ?
Professeur : Halima HOUSNY
Page 2 sur 2