Le principe d’héritage garantit l’application de la Stratégie de groupe à tout objet ordinateur et utilisateur d’un domaine, d’un site ou d’une OU. La plupart des stra-tégies ont trois options de configuration : Non configurée, Activée et Désactivée. L’état par défaut de la plupart des paramètres de stratégie est Non configurée. Si une stratégie est activée, cela signifie qu’elle est mise en œuvre et qu’elle s’applique soit à tous les utilisateurs et ordinateurs assujettis directement à cette stratégie, soit par le biais de l’héritage. Si une stratégie est désactivée, cela signifie qu’elle n’est pas mise en œuvre et qu’elle ne s’applique pas aux utilisateurs et aux ordinateurs assu-jettis directement à cette stratégie, ni par le biais de l’héritage.
Il existe quatre manières de changer le mode de fonctionnement de l’héritage : ■ Changer l’ordre de lien et la priorité ;
■ Annuler l’héritage (tant qu’il n’y a pas de mise en application) ; ■ Bloquer l’héritage (pour le contrer totalement) ;
■ Mettre en application un héritage (pour remplacer et éviter l’annulation ou le blocage).
L’ordre d’héritage de la Stratégie de groupe part du niveau du site au niveau du domaine puis à chaque niveau d’OU imbriquée. Souvenez-vous que :
■ Lorsque plusieurs objets de stratégie sont liés à un niveau particulier, l’ordre de liaison détermine l’ordre d’application des paramètres de
straté-gie. Les objets de stratégie liés s’appliquent toujours selon leur ordre de liaison. Les objets situés au rang inférieur sont traités en premier lieu, puis suivent les objets situés au rang supérieur. L’objet de stratégie traité en der-nier est prioritaire ; par conséquent, tous les paramètres de stratégie confi-gurés dans cet objet de stratégie sont définitifs et ils annulent ceux des autres objets de stratégie (sauf si vous bloquez l’héritage ou mettez en application un autre héritage).
■ Lorsque plusieurs objets de stratégie peuvent être hérités d’un niveau supé-rieur, l’ordre de priorité montre exactement comment les objets de stratégie sont traités. À l’instar de l’ordre de liaison, les objets de stratégie de rang inférieur sont traités avant ceux du rang supérieur. L’objet de stratégie traité en dernier est prioritaire ; par conséquent, tous les paramètres de stratégie configurés dans cet objet de stratégie sont définitifs et ils annulent ceux des autres objets de stratégie (sauf si vous bloquez l’héritage ou mettez en application un autre héritage).
Lorsque plusieurs objets de stratégie sont liés à un niveau supérieur, il est possible de changer l’ordre de liaison (et ainsi l’ordre de priorité) des objets de stratégie liés en procédant comme suit :
1. Dans la console Gestion de stratégie de groupe, sélectionnez le conteneur du site, du domaine ou de l’OU à exploiter.
2. Dans le volet de droite, l’onglet Objets de stratégie de groupe liés doit être sélectionné par défaut, comme le montre la figure 5-5. Cliquez sur l’objet de stratégie à exploiter pour le sélectionner.
Figure 5-5 Changez l’ordre des liens pour modifier l’ordre et la priorité de
traitement.
3. Cliquez sur les boutons Déplacer le lien vers le haut ou Déplacer le lien vers le bas pour changer l’ordre des liens de l’objet de stratégie sélectionné.
4. Après avoir modifié l’ordre, confirmez que les objets de stratégie sont traités dans l’ordre voulu en vérifiant l’ordre de priorité dans l’onglet Héritage de stra-tégie de groupe.
L’annulation de l’héritage est une technique basique pour changer le fonctionne-ment de l’héritage. Lorsqu’une stratégie est activée dans un objet de stratégie de niveau supérieur, il est possible d’annuler l’héritage en désactivant la stratégie d’un objet de stratégie de niveau inférieur. Lorsqu’une stratégie est désactivée dans un
objet de stratégie de niveau supérieur, on annule l’héritage en activant la stratégie d’un objet de stratégie de niveau inférieur. Tant qu’une stratégie n’est pas bloquée ou imposée, on obtient l’effet souhaité avec cette technique.
Vous voudrez parfois bloquer l’héritage de sorte qu’aucun paramètre de stratégie des conteneurs de niveau supérieur ne s’applique aux utilisateurs et ordinateur d’un conteneur particulier. Lorsque l’héritage est bloqué, seuls les paramètres de stratégie configurés des objets de stratégie liés à ce niveau s’appliquent et ceux de tous les conteneurs de niveau supérieur sont bloqués (tant qu’aucune stratégie n’est imposée).
Les administrateurs de domaine peuvent bloquer l’héritage pour bloquer les para-mètres de stratégie hérités au niveau du site. Les administrateurs d’OU peuvent blo-quer l’héritage pour bloblo-quer les paramètres de stratégie hérités au niveau du site et du domaine. En faisant appel au blocage pour garantir l’autonomie d’un domaine ou d’une OU, on s’assure que les administrateurs du domaine ou de l’OU possè-dent le contrôle total sur les stratégies qui s’appliquent aux utilisateurs et aux ordi-nateurs qu’ils administrent.
Dans la console Gestion de stratégie de groupe, on bloque l’héritage en cliquant droit sur le domaine ou l’OU qui ne doit pas hériter des paramètres des conteneurs de niveau supérieur et en choisissant Bloquer l’héritage. Si cette option est déjà sélectionnée, le fait de la sélectionner à nouveau supprime le paramètre. Lorsque vous bloquez l’héritage dans la console Gestion de stratégie de groupe, un cercle bleu accompagné d’un point d’exclamation s’ajoute au nœud du conteneur dans l’arborescence de la console. Cette icône de notification indique si le paramètre de blocage de l’héritage d’un domaine ou d’une OU est activé.
Pour empêcher les administrateurs en mesure d’agir sur un conteneur d’annuler ou de bloquer les paramètres de stratégie de groupe hérités, vous pouvez imposer un héritage. Ce faisant, tous les paramètres de stratégie configurés des objets de straté-gie de niveau supérieur sont hérités et appliqués quels que soient les paramètres de stratégie configurés dans les objets de stratégie de niveau inférieur. Ainsi, l’applica-tion imposée d’un héritage remplace l’annulal’applica-tion et le blocage des paramètres de stratégie.
Les administrateurs de forêt peuvent imposer un héritage pour garantir l’applica-tion des paramètres de stratégie configurés au niveau du site et pour empêcher les administrateurs de domaine et d’OU d’annuler ou de bloquer des paramètres de stratégie. Les administrateurs de domaine peuvent imposer un héritage pour garan-tir l’application des paramètres de stratégie configurés au niveau du domaine et pour empêcher les administrateurs d’OU d’annuler ou de bloquer des paramètres de stratégie.
Pour imposer l’héritage de stratégie, dans la console Gestion de stratégie de groupe, développez le conteneur de niveau supérieur à partir duquel débuter l’application forcée, cliquez droit sur le GPO et choisissez Appliqué. Par exemple, si vous voulez vous assurer qu’un GPO de domaine transmet ses paramètres à toutes les OU du domaine via l’héritage, développez le conteneur de domaine, cliquez 138
droit sur le GPO du domaine et choisissez Appliqué. Si cette option est déjà sélec-tionnée, le fait de la sélectionner à nouveau supprime l’application. Dans la console
Gestion de stratégie de groupe, il est simple de déterminer les stratégies qui sont héritées et celles qui sont imposées. Il suffit de sélectionner un objet de stratégie n’importe où dans la console et d’accéder à l’onglet Étendue associé dans le volet de droite. Si la stratégie est imposée, dans la section Liaisons, la colonne Appliqué comportera l’entrée Oui, comme le montre la figure 5-6.
Figure 5-6 Imposez l’héritage de stratégie pour garantir l’application des
paramètres.
Après avoir sélectionné un objet de stratégie, cliquez droit sur une entrée d’empla-cement dans l’onglet Étendue pour afficher un menu contextuel et gérer les liaisons et l’application de la stratégie. Activez ou désactivez les liens en cochant ou en décochant l’option Lien activé. Activez ou désactivez l’application imposée en cochant ou en décochant l’option Appliqué.