La console Gestion des stratégies de groupe

La  console  Gestion  des  stratégies  de  groupe  (connue  aussi  sous  le  nom  de  GPMC  pour Group  Policy  Management  Console) est l’outil indispensable pour gérer les stratégies de groupe de votre domaine Active Directory. 

Si l’ordinateur depuis lequel vous souhaitez éditer les stratégies de groupe ne possède pas la console GPMC, il vous  faudra installer cette fonctionnalité depuis le Gestionnaire de serveur ­ Ajouter des fonctionnalités et cocher la case  Gestion des stratégies de groupe. 

L’outil RSAT (pour Remote Server Administration Tools) permet de déporter la configuration des stratégies de  groupe  (et  d’une  façon  générale  l’administration  des  rôles  et  fonctionnalités  de  votre  serveur)  depuis  un  ordinateur  client.  Cet  outil  est  téléchargeable  sur  le  site  de  Microsoft  à  l’adresse  suivante :  http://support.microsoft.com/kb/941314. 

■ Afin  d’accéder  à  la  console  GPMC,  cliquez  sur  le  bouton Démarrer  puis Outils  d’administration  et Gestion  des  stratégies de groupe. 

La console vous présentera alors l’organisation du ou des domaines de la forêt de votre choix, leurs OU et sous­OU  ainsi que les objets de stratégies de groupe définis. 

  Cette console vous permet donc de : 

● Créer,  modifier,  supprimer  ou  lier  vos  stratégies  de  groupe  au  conteneur  des  sites,  domaines  ou  unités  d’organisation de la forêt de votre choix. 

● Configurer le filtrage de l’application d’une stratégie (via filtre WMI ou via la sécurité de la stratégie). 

● Gérer la délégation. 

● Définir  des  résultats  de  stratégie  de  groupe  afin  de  simuler  l’application  d’une  statégie  avant  sa  mise  en  production. 

● Effectuer des sauvegardes/restaurations des stratégies de groupe. 

enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlvjpCQPqnzogLAA==-enidentnumber

● etc. 

Parmi ces nombreuses fonctionnalités, il ne faut pas oublier deux options qui ont fait leur apparition avec Windows  Server 2008. Il s’agit de la possibilité d’effectuer des recherches et de définir des modèles de stratégies. 

La fonction Rechercher est disponible à deux niveaux dans la console GPMC. 

Pour  les  grosses  sociétés  gérant  un  grand  nombre  d’objets  de  stratégies  de  groupe,  une  fonction Rechercher  est  disponible en faisant un clic avec le bouton droit de la souris sur la forêt ou le domaine de votre choix. Il est alors  possible d’afficher les objets de stratégies de groupe répondant à certains critères que vous aurez pris soin de définir. 

Il  est  donc  possible  de  choisir  d’afficher  les  stratégies  de  groupe  pour  lesquelles  des  paramètres  de  sécurité  sont  définis. 

L’autre  fonction Rechercher  disponible  intéressera  la  plupart  d’entre  vous.  Cette  fonction  est  joignable  depuis  l’éditeur de gestion des stratégies de groupe. Elle vous permettra de filtrer l’affichage des nombreux paramètres de  stratégies se trouvant sous le nœud Modèles d’administration en fonction de critères spécifiques. 

Vous pouvez ainsi retrouver les paramètres de stratégies répondant à votre besoin sans avoir à naviguer parmi les  milliers de paramètres possibles. 

Pour utiliser cette option, procédez comme suit : 

■ Depuis votre console GPMC, faites un clic avec le bouton droit de la souris sur l’objet stratégie de groupe que vous  souhaitez modifier ; choisissez alors l’option Modifier pour accéder à l’éditeur. 

■ L’éditeur de gestion des stratégies de groupe s’ouvre alors. Naviguez jusqu’au nœud Modèles d’administration :  définitions  de  stratégies... via Configuration  ordinateur  (ou Configuration  utilisateur)  ­ Stratégies. Afin d’initier  une recherche parmi tous ces paramètres, faites un clic avec le bouton droit de la souris sur ce nœud principal (ou  l’un de ses sous­dossiers même si la recherche s’effectuera quoi qu’il arrive sur tous les paramètres de ce nœud)  puis choisissez Options des filtres. 

■ Les  options  des  filtres  sont  divisées  en  trois  catégories  vous  permettant  d’affiner  votre  recherche.  Vous  pouvez  ainsi  choisir  d’afficher  uniquement  les  paramètres  de  stratégie  qui  sont  configurés.  Il  est  également  possible 

enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlvjpCQPqnzogLAA==-enidentnumber

conditions afin d’afficher en quelques secondes les paramètres applicables à la famille Windows Vista par exemple. 

L’exemple  ci­dessous  définit  un  filtre  qui  affichera  tous  les  paramètres  contenant  le  mot activeX  dans  le  titre  du  paramètre  de  stratégie,  le  texte  d’explication  ou  en  commentaire  (un  onglet commentaire  vous  permet  en  effet  d’ajouter le texte de votre choix à la création d’une stratégie de groupe ou à l’activation d’un paramètre). Cliquez  alors sur OK pour valider le filtre. 

Une fois le filtre validé, l’arborescence de l’éditeur de stratégie se met automatiquement à jour pour n’afficher que les  paramètres  correspondant  au  filtre  défini.  Ces  paramètres  sont  également  regroupés  dans  le  nœud Tous  les  paramètres. 

enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlvjpCQPqnzogLAA==-enidentnumber

■ Pour désactiver le filtre et retrouver un affichage complet, faites un clic avec le bouton droit de la souris sur un des  dossiers de Modèles d’administrations : définitions de stratégies et enlevez la coche au niveau de Filtre activé. 

Les stratégies éditées depuis Windows Server 2008 R2 ou Windows 7 avec les outils RSAT possèdent une interface  utilisateur  améliorée.  En  effet,  les  différents  onglets  qui  étaient  affichés  lorsque  vous  éditiez  une  stratégie  depuis  Windows 2008 (ou versions antérieures) sont regroupés dans une seule et même fenêtre redimensionnable. Vous y  gagnerez largement en clarté ! 

enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlvjpCQPqnzogLAA==-enidentnumber

Depuis Windows Server 2008 R2, les paramètres de stratégies de groupe prennent en charge la valeur multi­chaîne  (REG_MULTI_SZ) ainsi que les valeurs QWORD (pour des applications 64 bits). 

Ces  GPO  de  préférences  peuvent  être  modifiées  au  travers  de  la  cmdlet  PowerShell GPPrefRegistryValue  (ou  GPRegistryValue pour des paramètres de GPO basés sur des modifications de registre). Il faudra pour cela importer le  module via la commande Import­Module GroupPolicy. 

Le  filtrage  est  pour  le  moment  limité  aux  paramètres  définis  dans  les  Modèles  d’administration.  Si  vous  souhaitez  une  liste  plus  complète  (mais  non  exhaustive)  des  paramètres  regroupant  également  les  paramètres de sécurité, etc. récupérez le fichier Group Policy Settings Reference for Windows and Windows Server  (valable pour Windows Server 2003 SP2/2008/2008 R2 et Windows Vista, Vista SP1 et 7) au format XLS ou XLSX :  http://www.microsoft.com/downloads/details.aspx?familyid=18C90C80­8B0A­4906­A4F5­

FF24CC2030FB&displaylang=en (disponible en anglais uniquement).