Les outils de gestion des GPO
Introduction
Afin de gérer les stratégies de groupe dans un environnement Windows Server 2008, 2008 R2 et 2012, 2016 et 2019, Microsoft met à disposition la console de gestion des stratégies de groupe ou GPMC. Cet outil a fait son apparition en même temps que Windows Server 2003 avec une approche novatrice pour l’époque. Il a permis le développement des stratégies de groupe en entreprise de façon marquée. Les serveurs installés avec Windows 2000 obligeaient à connaître l’emplacement exact d’une stratégie dans Active Directory pour avoir la possibilité de la modifier. Depuis son arrivée avec Server 2003, la console de gestion des stratégies de groupe permet la centralisation des informations en rapport avec les GPO qui étaient autrefois disséminées à travers le réseau.
Ce chapitre fait une présentation détaillée de la console de gestion des stratégies de groupe de Windows Server 2019. Celle-ci porte le nom de GPMC 3.0.
En comparaison avec les versions précédentes, la gestion des stratégies de groupe apparaît comme simplifiée avec Server 2008, 2008 R2, 2012, 2012 R2, 2016 et 2019. En effet, la console de gestion des stratégies de groupe nécessitait autrefois un téléchargement et une installation manuelle sur les serveurs...
Administrer et gérer les GPO
L’administration des stratégies de groupe au sein d’une infrastructure Microsoft représente un des pôles majeurs de la gestion et du maintien de l’architecture réseau. Le déploiement massif de stratégies de groupe génère de nombreuses conséquences. En effet, la totalité de la chaîne informatique est impactée depuis les serveurs jusqu’aux postes de travail. Plusieurs moyens sont mis à disposition dans le but de réaliser les tâches d’administration relatives aux stratégies de groupe.
Une des méthodes envisageables est la connexion directe à l’un des contrôleurs de domaine du réseau. Dans ce cas, il est possible de créer et de gérer les stratégies à partir de la GPMC installée sur l’un d’eux.
Il est tout à fait possible d’exploiter les postes de travail installés avec XP ou Vista pour administrer le réseau de la même façon. Certains prérequis techniques doivent être respectés lorsque les administrateurs choisissent d’employer cette méthode.
La console de gestion des stratégies de groupe est un outil natif des systèmes d’exploitation Windows Server 2008, 2008 R2, 2012 et 2016. Aucune installation additionnelle n’est requise...
Gérer les GPO avec la console de gestion des stratégies de groupe GPMC 3.0
1. Implémenter la console GPMC 3.0
Selon la version de Windows Server installée sur les contrôleurs de domaine, l’utilisation de la GPMC est soumise à des conditions.
Les serveurs installés avec la version Entreprise de Windows Server 2008 et 2008 R2 ou la version Datacenter de Windows Server 2012 bénéficient de la console de gestion des stratégies de groupe dès la promotion du serveur au rang de contrôleur de domaine. Sur un serveur membre, il faudra installer la console de gestion des stratégies de groupe.
a. Installation de la fonctionnalité Gestion des stratégies de groupe
L’installation de nouvelles fonctionnalités est possible lorsque l’on exécute le Gestionnaire de serveur de Windows Server 2008, 2008 R2 et 2012, 2016 et 2019. Attardons-nous sur la version 2019 de Windows Server, qui n’a pas changé depuis Windows Server 2012.
Une fois dans le Gestionnaire de serveur, cliquez sur Gérer puis sélectionnez Ajouter des rôles et fonctionnalités.
Choisissez ensuite Installation basée sur un rôle ou une fonctionnalité.
Choisissez ensuite votre serveur (ici par exemple SRV2).
Cliquez deux fois sur Suivant.
Une fois dans la partie Fonctionnalités, choisissez la fonctionnalité Gestion de stratégie de groupe.
Cliquez ensuite sur Suivant puis Installer.
La console de gestion des stratégies de groupe est maintenant installée sur votre serveur.
Pour ouvrir la GPMC, allez dans le Gestionnaire de serveur puis Outils - Gestion des stratégies de groupe.
2. Fonctionnalités de la console GPMC 3.0
a. Création et édition de stratégies de groupe
La totalité des stratégies de groupe du domaine est stockée à l’intérieur du conteneur Objets de stratégie de groupe de la console de gestion des stratégies de groupe. Il existe deux stratégies par défaut créées en même temps que la base d’annuaire Active Directory : les stratégies Default Domain Controllers Policy et Default Domain Policy. Celles-ci sont respectivement appliquées aux contrôleurs de domaine et au domaine.
Après l’ouverture...
Gestion des stratégies de groupe avec PowerShell
PowerShell est apparu au public dans sa version 1 en 2006. La version 2 est arrivée avec Windows Server 2008 R2 et Windows 7. Elle est disponible en téléchargement depuis octobre 2009. Avec la sortie de Windows Server 2012 et Windows 8 (septembre 2012) Microsoft a fait évoluer PowerShell. La nouvelle version 3 apporte un grand nombre de commandes supplémentaires et une focalisation sur l’outil graphique PowerShell ISE (Integrated Scripting Environment), l’ajout de l’intellisense.
Aujourd’hui en tant qu’administrateur, la création de script est une méthode d’administration que tout bon administrateur se doit de connaître et d’utiliser à bon escient. Microsoft l’a bien compris. PowerShell est de plus en plus présent dans la gamme de ses produits : System Center, SharePoint, Lync, Exchange. Certaines commandes ou opérations avec Exchange 2010 ne peuvent être réalisées qu’avec le PowerShell par exemple. Pour ces produits, Microsoft fournit un Shell additionnel pour chacun d’entre eux.
La version 4.0 de PowerShell, DSC, a évolué dans le bon sens jusqu’à la version 5.1 de PowerShell. L’évolution la plus flagrante reste sur la plateforme de cloud Azure. En effet, il est maintenant possible de piloter entièrement les machines, qu’elles soient ou non hébergées sur Azure, avec le service Azure Automation Desired State Configuration. Mais le plus grand changement que Microsoft ait fait a été de se tourner vers l’open source avec sa solution PowerShell ainsi que d’autres produits qui se sont déclinés sur le monde open source tels que SQL Server sous Linux et Bash sous Windows. La frontière entre les deux mondes est de plus en plus mince.
Concernant les stratégies de groupe et PowerShell, nous allons pouvoir effectuer certaines tâches d’administration en créant des scripts.
Ils vont nous permettre de gérer le cycle de vie d’une stratégie de groupe, avec les opérations classiques de maintenance (création, suppression, sauvegarde, rapport), de gestion des liens de l’objet (activation, suppression, mise à jour) et d’application de la sécurité...
Gestion avancée avec AGPM 4.0
La gestion avancée des stratégies de groupe (AGPM) offre un contrôle complet du cycle de vie d’une stratégie de groupe. Elle permet de faire une modification hors ligne d’une stratégie de groupe et propose une délégation basée sur les rôles pour les GPO. AGPM est disponible dans la solution Microsoft Desktop Optimization Pack (MDOP) lorsque l’on dispose d’un contrat Software Assurance.
Cet outil vous aide à déléguer, passer en revue, éditer, approuver, et déployer des objets de politique de groupe (GPO). Il vous donne la possibilité de garder l’historique d’une stratégie de groupe en gardant une version après chaque modification d’une GPO.
La gestion avancée des stratégies de groupe par Microsoft (AGPM) est l’application de MDOP qui peut vous aider à surmonter les défis qui peuvent affecter la gestion de politique de groupe dans n’importe quelle organisation, en particulier lorsque les environnements sont complexes et qu’il existe une hiérarchie bien organisée dans la responsabilité de chacun des administrateurs réseau dans l’entreprise : un modèle robuste de délégation, une administration basée sur des rôles (Administrateur AGPM, Approbateur, Éditeur et Réviseur).
1. Quelques termes employés avec AGPM
Les termes de base employés dans le contexte d’AGPM sont :
-
Client AGPM : ordinateur qui exécute le composant logiciel enfichable AGPM pour la Console de gestion des stratégies de groupe (GPMC), à partir duquel les administrateurs de stratégies de groupe gèrent les GPO.
-
Composant logiciel enfichable AGPM : composant logiciel d’AGPM installé sur les clients AGPM afin qu’ils puissent générer les GPO.
-
Serveur AGPM : serveur qui exécute le service AGPM et gère une archive. Chaque serveur AGPM peut gérer une archive seulement, mais un serveur AGPM peut gérer les données d’archive de nombreux domaines dans une même archive. Une archive peut être hébergée sur un ordinateur autre qu’un serveur AGPM.
-
Service AGPM : composant logiciel d’AGPM qui s’exécute...