Dans un souci de rationalisation de la gestion de la Stratégie de groupe, Microsoft a supprimé des fonctionnalités de gestion des outils liés à Active Directory et a conçu une console centrale appelée Gestion des stratégies de groupe (GPMC, Group Policy
Management Console). La console Gestion de la stratégie de groupe s’ajoute à toute
installation de Windows Server 2008 à l’aide de l’Assistant Ajout de fonctionnalités. Elle est également fournie avec Windows Vista et disponible en téléchargement sur le site Web de Microsoft. Une fois ajoutée au serveur, elle est accessible par le menu Outils d’administration.
Lorsque vous modifiez un GPO dans la console Gestion de stratégie de groupe, celle-ci ouvre l’Éditeur de gestion des stratégies de groupe, qui sert à gérer les para-mètres de stratégie. Si Microsoft s’en était arrêté à ces deux outils, nous bénéficie-rions d’un environnement de gestion merveilleux et simple d’utilisation. Malheureusement, il existe plusieurs autres éditeurs très similaires :
Éditeur d’objets de stratégie de groupe Starter de stratégie de groupe Éditeur qui permet de créer et de gérer des objets de stratégie de groupe Starter.
Comme leur nom l’indique, les GPO Starter fournissent un point de départ pour les nouveaux objets de stratégie définis dans toute l’organisation. Lorsque vous créez un nouvel objet de stratégie, vous pouvez spécifier un GPO Starter comme source ou base du nouvel objet.
Éditeur d’objets de stratégie de groupe locaux Éditeur qui permet de créer et de gérer des objets de stratégie sur l’ordinateur local. Comme leur nom l’indi-que, les GPO locaux fournissent des paramètres de stratégie à un ordina-teur spécifique, contrairement à ceux qui concernent tout un site, domaine ou OU.
Si vous avez déjà travaillé avec les versions précédentes de Windows, vous devez connaître l’Éditeur d’objets de stratégie de groupe. Sur Windows Server 2003 et les précédentes versions de Windows, cet éditeur est le principal outil d’édition pour les objets de stratégie. L’Éditeur d’objets de stratégie de groupe, l’Éditeur de gestion des stratégies de groupe, l’Éditeur d’objets de stratégie de groupe Starter de straté-gie de groupe et l’Éditeur d’objets de stratéstraté-gie de groupe locaux sont essentielle-ment identiques, sauf si l’on considère l’ensemble d’objets de stratégie auquel on accède. Par conséquent, et comme ces outils servent à gérer les objets de stratégie individuels exactement de la même manière, nous ne les distinguerons qu’en cas de besoin. Pour nous y référer, nous les regrouperons sous le terme d’éditeurs de stra-tégie. Il est possible que le terme d’Éditeur d’objets de stratégie de groupe désigne tous ces éditeurs car il se distingue plus facilement de la console Gestion de la stra-tégie de groupe.
Il est impossible de gérer les paramètres de stratégie de Windows Vista et de Win-dows Server 2008 sur des ordinateurs qui n’exécutent pas ces systèmes. En effet, Windows Vista et Windows Server 2008 possèdent de nouvelles versions de l’Édi-teur d’objets de stratégie de groupe et de la console Gestion de la stratégie de groupe. Ces versions ont été mises à jour pour fonctionner avec le nouveau format XML des modèles d’administration, appelé ADMX.
Remarque Il n’est pas possible de travailler avec le format ADMX si l’on pos-sède des versions précédentes des éditeurs de stratégies. On ne peut éditer des GPO à l’aide de fichiers ADMX que sur un ordinateur Windows Vista ou Windows Server 2008.
Microsoft avait de nombreuses raisons de se lancer dans l’élaboration d’un nouveau format. Il s’agissait principalement d’accroître la flexibilité et l’évolutivité. Comme les fichiers ADMX reposent sur XML, leur structure est parfaitement ordonnée et ils sont analysés plus facilement et rapidement pendant l’initialisation. Les performan-ces en sont améliorées lorsque le système d’exploitation analyse la Stratégie de groupe lors du démarrage, de l’ouverture/fermeture de session et de l’extinction, ainsi que pendant l’actualisation de la stratégie. En outre, la structure des fichiers ADMX a permis à Microsoft de poursuivre ses efforts d’internationalisation. Les fichiers ADMX sont divisés en fichiers de langue neutre portant l’extension .admx et de langue spécifique avec une extension .adml. Les fichiers de langue neu-tre garantissent la similitude enneu-tre les principales stratégies d’un GPO. Grâce aux fichiers de langue spécifique, les stratégies peuvent être visionnées et éditées en plusieurs langues. Comme les fichiers de langue neutre stockent les principaux
paramètres, les stratégies sont éditables, quelle que soit la langue dans laquelle l’ordinateur est configuré, ce qui permet par exemple à un utilisateur de visionner et d’éditer des stratégies en français tandis qu’un autre les visionne et les édite en anglais. Le mécanisme qui détermine la langue utilisée est le pack de langues ins-tallé sur l’ordinateur.
Les fichiers ADMX de langue neutre se situent dans le dossier %SystemRoot%\Poli-cyDefinitions. Les fichiers ADMX de langue spécifique se situent dans le dossier %SystemRoot%\PolicyDefinitions\LanguageCulture. Chaque sous-dossier est nommé selon le nom langue/culture attribué par l’Organisation internationale de normali-sation (ISO), comme EN-US pour l’anglais américain.
Lorsque vous démarrez un éditeur de stratégie, il lit automatiquement les fichiers ADMX des dossiers de définitions de stratégies. Par conséquent, vous pouvez copier les fichiers ADMX à exploiter dans le dossier des définitions de stratégies approprié pour qu’ils soient disponibles quand vous éditez des GPO. Si l’éditeur de stratégie fonctionne lorsque vous copiez le ou les fichiers, vous devez le redémarrer pour qu’il tienne compte du ou des fichiers.
Dans les domaines, les fichiers ADMX peuvent être stockés dans un magasin cen-tral, un répertoire créé à l’échelle du domaine dans le répertoire Sysvol
(%Sys-temRoot%\Sysvol\Domain\Policies). Lorsque vous exploitez un magasin central, les
modèles d’administration ne sont plus stockés avec chaque GPO. Seul l’état en cours du paramètre est stocké dans le GPO et les fichiers ADMX ont rejoint le magasin central. Ce mode de stockage réduit la quantité d’espace mobilisée lorsque le nombre du GPO augmente, tout en diminuant également la quantité de données répliquées dans l’entreprise. Tant que vous éditez des GPO avec Windows Vista ou Windows Server 2008, de nouveaux GPO ne vont pas contenir de fichiers ADM ou ADMX. Pour de plus amples informations, reportez-vous à la section « Créer un magasin central », plus loin dans ce chapitre.
Lorsqu’il s’exécute à un niveau fonctionnel de domaine Windows Server 2008, le système d’exploitation met en œuvre un nouveau mécanisme de réplication pour la Stratégie de groupe : le service Réplication DFS (Distributed File System). Ainsi, seu-les seu-les modifications des GPO sont répliquées et non la totalité.
Contrairement à Windows Server 2003, Windows Server 2008 fait appel au service Client de stratégie de groupe pour isoler la notification et le traitement de la Straté-gie de groupe du processus d’ouverture de session Windows. Cette séparation diminue les ressources employées pour le traitement à l’arrière-plan de la stratégie, améliore les performances générales et permet la transmission et l’application de nouveaux fichiers de Stratégie de groupe lors du processus de mise à jour sans imposer de redémarrage.
Windows Server 2008 ne recourt pas à la fonctionnalité de journalisation du suivi dans userenv.dll, mais consigne les messages d’événements de la Stratégie de groupe dans le journal Système. De plus, le journal des opérations de la Stratégie de groupe a remplacé la journalisation Userenv. Lorsque vous dépannez des problè-mes liés à la Stratégie de groupe, vous consultez les problè-messages d’événements détaillés du journal des opérations et non le journal Userenv. Dans l’Observateur
d’événements, on accède au journal des opérations sous Journaux des applications et des services\Microsoft\Windows\GroupPolicy.
Windows Server 2008 s’appuie sur la Connaissance des emplacements réseau à la place du protocole ICMP (ping). Avec ce service, un ordinateur connaît le type de réseau auquel il est connecté et peut répondre aux modifications de l’état du sys-tème ou de la configuration du réseau. Grâce à ce service, le client de Stratégie de groupe détermine l’état de l’ordinateur, l’état du réseau et la bande passante du réseau disponible pour la détection des liaisons lentes.