Stratégie locale et de domaine
Introduction
Dans le système de stratégies de groupe, deux catégories peuvent être distinguées : les stratégies locales et celles du domaine.
Les stratégies locales sont utilisées lors d’une approche individuelle des postes de travail.
Les stratégies de domaine sont indispensables pour configurer un parc entier d’ordinateurs clients d’un réseau de grande taille.
Il existe deux façons d’approcher la gestion des stratégies de groupe au sein des différentes architectures Microsoft.
Si les administrateurs souhaitent utiliser les GPO au sein d’une architecture de type décentralisée (appelée communément un Workgroup), l’unique moyen est de configurer une ou plusieurs stratégies locales sur chaque poste de travail.
Cette approche moins onéreuse génère cependant beaucoup de travail pour les responsables des structures informatiques.
Lorsque l’architecture est centralisée et gérée avec Active Directory, les GPO de domaines sont alors disponibles et pratiquement indispensables pour garantir une homogénéisation des GPO appliquées sur tout le parc.
1. Qu’est-ce qu’une stratégie de groupe ou GPO ?
Un objet de stratégie de groupe (GPO) est un objet qui contient un ou plusieurs paramètres de stratégie...
Les stratégies locales dans un Workgroup
Les stratégies locales permettent aux administrateurs d’effectuer une configuration plus précise et plus approfondie des postes clients fonctionnant avec des systèmes d’exploitation Microsoft.
Dans les systèmes d’exploitation Windows, beaucoup d’options sont déjà disponibles dans les menus de configuration de Windows. La compréhension de l’ensemble des éléments de configuration n’est pas nécessairement à la portée des utilisateurs finaux. En outre, le niveau de configuration requis d’un poste de travail demande souvent plus de recherches que l’utilisation simple des menus classiques de Windows du type panneau de configuration.
Ces cas de figure qui nécessitent une approche encore plus minutieuse concernant la configuration de Windows trouvent des solutions à travers l’utilisation des stratégies locales.
L’Éditeur de stratégie de groupe locale (console gpedit.msc), composant logiciel enfichable de la console MMC (Microsoft Management Console), permet cette approche. Dans cet éditeur, vous pourrez trouver des centaines de paramètres à configurer pour les systèmes et les applications de Windows.
Il existe deux catégories principales disponibles à l’intérieur de la console GPEDIT : le nœud Configuration ordinateur et le nœud Configuration utilisateur. Les objets de stratégie modifiés dans le conteneur Ordinateur s’appliquent à la station de travail quel que soit l’utilisateur et les objets modifiés...
Présentation d’Active Directory
Les services de domaine Active Directory (AD DS) et les services associés constituent une base pour les réseaux d’entreprise qui exécutent des systèmes d’exploitation Windows. La base de données AD DS est le magasin central de tous les objets de domaine, tels que les comptes d’utilisateurs, les comptes d’ordinateurs et les groupes. AD DS fournit un répertoire hiérarchisé interrogeable et une méthode pour l’application de la configuration et des paramètres de sécurité aux objets de l’entreprise.
1. Les différents états d’un serveur Windows
Les systèmes d’exploitation serveurs de Microsoft ont différents états : il est dit Autonome (SA) lorsque le serveur gère sa propre sécurité, il devient un serveur Membre (SM) lorsqu’il est joint à un domaine Active Directory. Ainsi, il récupère la sécurité qui provient du contrôleur de domaine (CD) qui est le rôle "ultime", c’est lui qui est responsable de la sécurité dans un domaine.
Le processus de création d’un annuaire Active Directory implique une infrastructure de résolution de noms car AD fait référence à des noms d’objets (ordinateurs, partages, imprimantes). Pour cela, il faut un serveur DNS (Domain Name System) pour que, lors de la promotion du contrôleur de domaine, une zone du nom correspondant au domaine soit créée. Cette nouvelle zone DNS peut être intégrée à Active Directory.
Généralement lors de la création du premier contrôleur de domaine d’une forêt AD, le rôle de serveur DNS est installé sur le premier contrôleur de domaine.
2. Active Directory : objets physiques et logiques
Les différentes informations relatives à Active Directory sont stockées dans un fichier unique sur le disque dur de chaque contrôleur de domaine.
Composant physique |
Description |
Contrôleurs de domaines |
Contiennent des copies de la base de données A.D (NTDS.DIT). |
Magasin de données |
Répertoire sur chaque contrôleur de domaine qui stocke les informations (SYSVOL). |
Contrôleur... |
Structure d’une stratégie de groupe
1. Introduction
Dans les versions antérieures à Windows Server 2008/2008 R2 et Vista/7, les fichiers ADM (modèles d’administration) étaient à l’origine des modèles d’administration configurables dans les stratégies de groupe. Les modifications des valeurs de registre faites par les fichiers ADM possédaient une syntaxe difficilement compréhensible et modifiable. Si les administrateurs voulaient personnaliser des valeurs de registre additionnelles à celles que Windows fournissait par défaut (les fichiers ADM standards), il était obligatoire de créer un fichier ADM personnalisé et cela nécessitait l’apprentissage de la syntaxe du langage de programmation.
L’enregistrement des fichiers ADM se faisait dans le répertoire de la stratégie de groupe dans laquelle il était créé, ajoutant à la taille de celle-ci environ 4 Mo. La réplication des contrôleurs de domaine était sensiblement alourdie par cette procédure engendrant une panne connue portant le nom de Sysvol bloat.
À partir de Windows Server 2008 et Windows Vista, une nouveauté dans le cadre de la gestion des modèles d’administration apparaît : les fichiers au format ADMX et ADML.
Les fichiers ADMX sont les successeurs des fichiers ADM présents dans les versions antérieures de Windows.
Programmés en langage XML, ces fichiers sont à l’origine des options constituant les modèles d’administration. Comme les fichiers ADM, les formats ADMX affectent la configuration de la base de registre des postes cibles. Les modifications des objets de stratégie de groupe se font dans l’interface de la console de gestion des stratégies de groupe, de façon identique au processus de configuration d’une GPO standard. Les fichiers ADMX définissent les paramètres du registre qui seront activés, désactivés ou modifiés sur les postes de travail cibles.
Afin d’approfondir la gestion et le dépannage des stratégies de groupe, il faut étudier la structure des fichiers ADMX. L’administration des stratégies de groupe prendra alors une dimension plus étendue.
Dans ce chapitre...
Le magasin central
Jusqu’à présent les fichiers ADMX et ADML sont situés sur chaque contrôleur de domaine et sur chaque poste administrateur du domaine. Imaginons qu’un administrateur souhaite créer ou personnaliser un fichier ADMX ou ADML, ce paramètre ne pourra être modifié que sur le poste sur lequel le ou les fichiers ont été modifiés.
Le magasin central est une des nouveautés apparues avec Windows Server 2008 et 2008 R2, il permet une centralisation des modèles d’administration dans le répertoire SYSVOL.
Pour bénéficier du magasin central, celui-ci doit être créé. Microsoft recommande d’effectuer la création du magasin central sur le contrôleur de domaine qui héberge le rôle Émulateur PDC. Les contrôleurs de domaine supplémentaires dans le domaine récupéreront le magasin central avec la réplication Active Directory.
1. Création du magasin central
La création du magasin central doit être effectuée de façon manuelle dans l’explorateur de fichiers du contrôleur de domaine qui héberge le rôle Émulateur PDC fichiers, si les maîtres d’opérations n’ont pas été bougés sur d’autres contrôleurs de domaine. Il faut se connecter...
Les filtres WMI
Les filtres WMI (Windows Management Instrumentation) font partie des outils de ciblage de la GPMC. Ils sont très puissants et permettent de cibler les postes clients d’une stratégie de groupe avec précision.
La recherche d’informations exécutée à partir des filtres WMI est basée sur un nombre important de paramètres relatifs aux postes de travail. Les filtres de recherche peuvent s’appuyer sur le matériel constituant le poste de travail, la version du système d’exploitation installé, les versions des applications installées ou encore le paramétrage système en cours sur le poste.
Les filtres WMI peuvent être utilisés sur les technologies Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016 et 2019 pour les serveurs ainsi que Windows 7, 8.x et 10 pour les postes de travail.
Les stratégies de groupe sont liées aux unités d’organisation et les objets contenus dans ces dernières reçoivent les paramètres de la GPO liée. Mais dans certains cas, nous avons besoin d’effectuer une sélection des ordinateurs de manière plus précise, en fonction de l’espace disponible sur les disques par exemple ou de la version du système d’exploitation. Les filtres WMI vont nous permettre ces opérations de sélection.
Prenons l’exemple d’une stratégie de groupe liée à une OU contenant un ordinateur exécutant Windows XP et une station cliente installée avec Windows Vista ou 7. La stratégie de groupe doit modifier certains paramètres en fonction de la version de l’OS des postes clients.
De ce fait, il est nécessaire de configurer deux objets de stratégie de groupe. Un premier paramètre de stratégie est destiné à la modification des postes XP et le second à la modification des postes Vista/7.
Dans ce cas de figure, l’intérêt est de garantir l’application des paramètres de stratégie uniquement aux ordinateurs concernés.
Plusieurs méthodes peuvent être envisagées pour mener à bien cette opération dont l’utilisation de filtres de WMI. En effet, les filtres WMI permettent de distinguer les ordinateurs selon des critères...
Liens et téléchargements
Utilisez ce lien pour récupérer une documentation détaillée sur le fonctionnement des fichiers ADMX et ADML : http://technet.microsoft.com/fr-fr/library/cc772507%28WS.10%29.aspx
Utilisez ce lien si vous souhaitez créer vos propres fichiers ADMX. Le téléchargement du schéma ADMX vous aidera en fournissant le support de base pour la création de fichiers ADMX et ADML : http://go.microsoft.com/fwlink/?LinkId=86094
Ce lien vous permet l’accès à une documentation qui vous guidera lors de la création du fichier de base personnalisé : http://technet.microsoft.com/fr-fr/library/cc770905%28WS.10%29.aspx
Ce lien vous permettra de télécharger les modèles d’administration et les fichiers de préférence ADMX pour Windows Server 2016 : https://www.microsoft.com/fr-FR/download/details.aspx?id=48257
Ce lien vous permettra de télécharger les modèles d’administration ADM, ADMX et ADML pour Microsoft Office 2016 : https://www.microsoft.com/en-us/download/details.aspx?id=49030
Conclusion et commentaires
Les objets de stratégie de groupe peuvent être utilisés sur des machines dans un Workgroup. Néanmoins la charge administrative pour gérer des postes dans un workgroup est trop importante, d’où l’importance de pouvoir gérer notre parc informatique de manière centralisée avec Active Directory.
La mise en place d’une infrastructure Active Directory impose une étape importante de réflexion et de planification sur l’arborescence de l’annuaire AD. Plus cette arborescence aura été réfléchie, plus son administration en termes de stratégie de groupe en sera facilitée. Une infrastructure AD impose une structure de résolution de noms, une synchronisation du temps de l’ensemble des machines du domaine avec le maître d’opération émulateur PDC qui assure la gestion des GPO dans le domaine ainsi que la gestion du temps dans un domaine Active Directory.
Une stratégie de groupe est composée de deux fichiers, un fichier ADMX qui décrit la structure et les paramètres de registre de l’objet de stratégie de groupe et un fichier linguistique ADML qui lui permet d’afficher les paramètres ADMX associés dans une langue. Ces deux fichiers utilisent le langage XML, il est possible de migrer les anciens fichiers ADM avec...