Les stratégies de groupe
5. La console Gestion des stratégies de groupe
La console Gestion des stratégies de groupe (connue aussi sous le nom de GPMC pour Group Policy Management Console) est l’outil indispensable pour gérer les stratégies de groupe de votre domaine Active Directory.
Si l’ordinateur depuis lequel vous souhaitez éditer les stratégies de groupe ne possède pas la console GPMC, il vous faudra installer cette fonctionnalité depuis le Gestionnaire de serveur Ajouter des fonctionnalités et cocher la case Gestion des stratégies de groupe.
L’outil RSAT (pour Remote Server Administration Tools) permet de déporter la configuration des stratégies de groupe (et d’une façon générale l’administration des rôles et fonctionnalités de votre serveur) depuis un ordinateur client. Cet outil est téléchargeable sur le site de Microsoft à l’adresse suivante : http://support.microsoft.com/kb/941314.
■ Afin d’accéder à la console GPMC, cliquez sur le bouton Démarrer puis Outils d’administration et Gestion des stratégies de groupe.
La console vous présentera alors l’organisation du ou des domaines de la forêt de votre choix, leurs OU et sousOU ainsi que les objets de stratégies de groupe définis.
Cette console vous permet donc de :
● Créer, modifier, supprimer ou lier vos stratégies de groupe au conteneur des sites, domaines ou unités d’organisation de la forêt de votre choix.
● Configurer le filtrage de l’application d’une stratégie (via filtre WMI ou via la sécurité de la stratégie).
● Gérer la délégation.
● Définir des résultats de stratégie de groupe afin de simuler l’application d’une statégie avant sa mise en production.
● Effectuer des sauvegardes/restaurations des stratégies de groupe.
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlvjpCQPqnzogLAA==-enidentnumber
● etc.
Parmi ces nombreuses fonctionnalités, il ne faut pas oublier deux options qui ont fait leur apparition avec Windows Server 2008. Il s’agit de la possibilité d’effectuer des recherches et de définir des modèles de stratégies.
La fonction Rechercher est disponible à deux niveaux dans la console GPMC.
Pour les grosses sociétés gérant un grand nombre d’objets de stratégies de groupe, une fonction Rechercher est disponible en faisant un clic avec le bouton droit de la souris sur la forêt ou le domaine de votre choix. Il est alors possible d’afficher les objets de stratégies de groupe répondant à certains critères que vous aurez pris soin de définir.
Il est donc possible de choisir d’afficher les stratégies de groupe pour lesquelles des paramètres de sécurité sont définis.
L’autre fonction Rechercher disponible intéressera la plupart d’entre vous. Cette fonction est joignable depuis l’éditeur de gestion des stratégies de groupe. Elle vous permettra de filtrer l’affichage des nombreux paramètres de stratégies se trouvant sous le nœud Modèles d’administration en fonction de critères spécifiques.
Vous pouvez ainsi retrouver les paramètres de stratégies répondant à votre besoin sans avoir à naviguer parmi les milliers de paramètres possibles.
Pour utiliser cette option, procédez comme suit :
■ Depuis votre console GPMC, faites un clic avec le bouton droit de la souris sur l’objet stratégie de groupe que vous souhaitez modifier ; choisissez alors l’option Modifier pour accéder à l’éditeur.
■ L’éditeur de gestion des stratégies de groupe s’ouvre alors. Naviguez jusqu’au nœud Modèles d’administration : définitions de stratégies... via Configuration ordinateur (ou Configuration utilisateur) Stratégies. Afin d’initier une recherche parmi tous ces paramètres, faites un clic avec le bouton droit de la souris sur ce nœud principal (ou l’un de ses sousdossiers même si la recherche s’effectuera quoi qu’il arrive sur tous les paramètres de ce nœud) puis choisissez Options des filtres.
■ Les options des filtres sont divisées en trois catégories vous permettant d’affiner votre recherche. Vous pouvez ainsi choisir d’afficher uniquement les paramètres de stratégie qui sont configurés. Il est également possible
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlvjpCQPqnzogLAA==-enidentnumber
conditions afin d’afficher en quelques secondes les paramètres applicables à la famille Windows Vista par exemple.
L’exemple cidessous définit un filtre qui affichera tous les paramètres contenant le mot activeX dans le titre du paramètre de stratégie, le texte d’explication ou en commentaire (un onglet commentaire vous permet en effet d’ajouter le texte de votre choix à la création d’une stratégie de groupe ou à l’activation d’un paramètre). Cliquez alors sur OK pour valider le filtre.
Une fois le filtre validé, l’arborescence de l’éditeur de stratégie se met automatiquement à jour pour n’afficher que les paramètres correspondant au filtre défini. Ces paramètres sont également regroupés dans le nœud Tous les paramètres.
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlvjpCQPqnzogLAA==-enidentnumber
■ Pour désactiver le filtre et retrouver un affichage complet, faites un clic avec le bouton droit de la souris sur un des dossiers de Modèles d’administrations : définitions de stratégies et enlevez la coche au niveau de Filtre activé.
Les stratégies éditées depuis Windows Server 2008 R2 ou Windows 7 avec les outils RSAT possèdent une interface utilisateur améliorée. En effet, les différents onglets qui étaient affichés lorsque vous éditiez une stratégie depuis Windows 2008 (ou versions antérieures) sont regroupés dans une seule et même fenêtre redimensionnable. Vous y gagnerez largement en clarté !
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlvjpCQPqnzogLAA==-enidentnumber
Depuis Windows Server 2008 R2, les paramètres de stratégies de groupe prennent en charge la valeur multichaîne (REG_MULTI_SZ) ainsi que les valeurs QWORD (pour des applications 64 bits).
Ces GPO de préférences peuvent être modifiées au travers de la cmdlet PowerShell GPPrefRegistryValue (ou GPRegistryValue pour des paramètres de GPO basés sur des modifications de registre). Il faudra pour cela importer le module via la commande ImportModule GroupPolicy.
Le filtrage est pour le moment limité aux paramètres définis dans les Modèles d’administration. Si vous souhaitez une liste plus complète (mais non exhaustive) des paramètres regroupant également les paramètres de sécurité, etc. récupérez le fichier Group Policy Settings Reference for Windows and Windows Server (valable pour Windows Server 2003 SP2/2008/2008 R2 et Windows Vista, Vista SP1 et 7) au format XLS ou XLSX : http://www.microsoft.com/downloads/details.aspx?familyid=18C90C808B0A4906A4F5
FF24CC2030FB&displaylang=en (disponible en anglais uniquement).