EPFL > VPSI > IT > EXAPP - Site d'information: WinAD (Windows Active Directory)
 

  Affiche tous les articles

 Mode d'emploi du moteur de recherche  Rechercher : 
Moteur de recherche
Home page
Accréditation
Activation MS
AD c'est quoi ?
AD PowerShell
Authentifications
Autorisations DHCP
bugs
Conseils AD
DCs Sécurité
Délégations OUs
Domaine SC
Gaspar
GPO
· Group Policy Quick Link Tree
· Vista GPO
· Déléguer la gestion des services
· Présentation des stratégies de groupe
· Mise à jour éditeur GPO
· Outil pour check GPO = GPMC
· A Propos des deux GPOs par Défaut d'un domaine
Grp-Staff
KMS
Migrations
Outils
Procès verbaux
Profiles Itinérants
PWAD
Règles de nommage
Restaurations DC Fac
ServerAD2003
ServerAD2008
Seven
Students
synchro
toto1
Trucs et Astuces
Win 8.1
WinAD
Windows 10
Windows 8
Windows Server
Wins
Work Shop
  Afficher une version imprimable de ce document dans une nouvelle fenêtre
 
Vista GPO
 

Stratégie de groupe d'une plus grande puissance dans Windows Vista

 
Vue d'ensemble:
  • Infrastructure de stratégie de groupe
  • Amélioration de la détection réseau
  • Capacités de stratégie de groupe supplémentaires

Windows Vista fournit une mise à jour substantielle à l'infrastructure de stratégie de groupe. Maintenant que des organisations du monde entier déploient Windows Vista, beaucoup d'administrateurs ne remarqueront probablement pas une si grande différence dans leur façon de travailler en raison des nombreuses modifications apportées aux fonctions de stratégie de groupe,

tout se passe sous le capot. Les administrateurs découvriront, cependant, que la stratégie de groupe Windows Vista™ est beaucoup plus puissante que dans les versions précédentes.

Avant Windows Vista, le traitement de la stratégie de groupe se déroulait au cours d'un processus appelé winlogon. Winlogon avait de nombreuses responsabilités, notamment celles d'assurer la connexion des utilisateurs sur leur poste de travail et de servir les diverses tâches de stratégie de groupe. La stratégie de groupe représente désormais son propre service Windows®. De plus, elle est renforcée, ce qui signifie qu'il est impossible de l'arrêter ou qu'un administrateur puisse prendre possession des autorisations définies sur la stratégie de groupe pour les désactiver. Ces modifications améliorent la fiabilité globale du moteur de la stratégie de groupe.

Ce n'est qu'un début. Observons plus en détails certaines des principales modifications apportées à la nouvelle stratégie de groupe.


Amélioration de la détection réseau

Avant Windows Vista, le moteur de la stratégie de groupe aurait essayé de déterminer si votre accès s'effectuait via un lien lent ou un lien rapide. Il aurait ensuite utilisé cette information pour permettre la définition des paramètres de stratégie à appliquer. Par un lien lent, la stratégie de groupe n'aurait pas pu envoyer la totalité des paramètres de stratégie à votre système en raison de la durée assez longue de téléchargement. Cette assistance n'a pas été supprimée de la nouvelle stratégie de groupe. Toutefois, les modifications concernent le mode de calcul de la bande passante actuelle.

La détermination de cette vitesse était effectuée par l'envoi de paquets ping Internet Control Message Protocol (ICMP) aux contrôleurs de domaine. Cette approche connaissait quelques problèmes dans la pratique. D'abord, certains administrateurs désactivent le protocole ICMP sur leur routeur. Ensuite, si la connexion s'établissait via des liens à latence élevée (comme par satellite), les calculs n'étaient pas fiables. Dans ces situations, le moteur de stratégie de groupe devait garantir un moyen de déterminer si le lien était réellement rapide ou non.

De plus, le moteur de stratégie de groupe ignorait totalement si l'ordinateur avait récupéré du mode Veille prolongée ou Mise en veille. Le moteur de stratégie de groupe ne savait pas non plus si vous aviez subitement passé un appel entrant après une absence de connexion de six mois. À l'aide de l'ordinateur qui exécute Windows XP ou Windows 2000, un utilisateur pouvait passer un appel entrant, consulter sa messagerie électronique et se déconnecter, sans la moindre actualisation de la stratégie de groupe. La plupart des administrateurs souhaiteraient actualiser la stratégie de groupe, si nécessaire, sur un système ayant récupéré d'une veille prolongée ou d'une mise en veille ou un ordinateur se connectant après une absence prolongée.

La stratégie de groupe Windows Vista mise à jour est assez intelligente pour connaître la connectivité réseau en temps réel. La principale modification concerne le moteur de stratégie de groupe, qui utilise maintenant le gestionnaire de Network Location Awareness 2.0 (NLA) dans Windows Vista. Le service NLA alerte simplement le moteur de stratégie de groupe lorsqu'un contrôleur de domaine est disponible. Et, dans ce cas, une actualisation de la stratégie de groupe est assurée, si nécessaire.


Multiplicité des GPO locaux

Avant la naissance de Windows Vista, seul un objet Stratégie de groupe local (GPO) était pris en charge. Lorsque vous saisissiez GPEDIT.MSC dans une invite de commande et apportiez quelques modifications aux paramètres, vous affectiez alors chaque utilisateur et chaque administrateur qui utilisait cet ordinateur. Cela constituait souvent un problème si, par exemple, vous souhaitiez supprimer la commande Exécuter du menu Démarrer pour les utilisateurs classiques et la conserver pour les administrateurs.

La nouvelle fonctionnalité de multiplicité des GPO locaux résout ce problème en utilisant des couches GPO. Cette fonctionnalité sera probablement utilisée sur des systèmes qui ne sont pas liés à un domaine Active Directory. Toutefois, les utilisateurs au sein de l'entreprise pourront aussi reconnaître l'utilité de cette fonctionnalité.

La nouvelle fonctionnalité de multiplicité des GPO locaux, basée sur des couches, peut devenir un peu plus complexe (voir figure 1). Il existe toujours un GPO local par défaut, qui s'applique au contexte du système de l'ordinateur local et qui affecte tous les utilisateurs sur le système. Ce GPO définit à la fois les paramètres de l'ordinateur et les paramètres utilisateur.

Figure 1 Total de la stratégie de groupe locale des utilisateurs
Figure 1 Total de la stratégie de groupe locale des utilisateurs

La deuxième couche affecte les membres du groupe administrateurs du système local ou des non-administrateurs sur le système local. Par définition, un compte utilisateur ne peut pas se trouver dans les deux groupes. La couche détermine si l'utilisateur est un administrateur système ou un utilisateur régulier, puis applique le GPO approprié (administrateurs ou non-administrateurs). La troisième couche affecte un compte utilisateur du système local portant un nom spécifique.

Ainsi, ces trois GPO locaux potentiels peuvent affecter un utilisateur particulier assis devant son ordinateur. Par exemple, vous pouvez utiliser les trois couches pour définir des paramètres pour chaque utilisateur d'un ordinateur particulier, un plus grand nombre de paramètres qui affectent uniquement les non-administrateurs de l'ordinateur et, pour finir, des paramètres qui affectent un seul utilisateur de cet ordinateur.

Évidemment, si le système a été lié à un domaine Active Directory®, les objets de stratégie de groupe Active Directory ont la priorité sur les stratégies locales. Il faut également remarquer que les administrateurs de domaine peuvent choisir de désactiver tous les GPO locaux assurant le traitement de Windows Vista.


Messages d'erreur et dépannage

Windows Vista dispose d'un tout nouveau système de journal d'événements. Le moteur de stratégie de groupe exploite ce nouveau système Windows Eventing 6.0 (communément appelé journal d'événements) et fractionne les événements en deux journaux particuliers. Le journal système (maintenant considéré comme journal de gestion) présente des problèmes de stratégie de groupe. Si une erreur relative au moteur de stratégie de groupe se produit, elle doit apparaître dans le journal système, et être répertoriée comme provenant du service de stratégie de groupe (pas le processus Userenv).

Un nouveau journal d'applications et de services (qui est un journal opérationnel), est spécifique à la stratégie de groupe, et stocke les événements opérationnels. Il remplace essentiellement l'encombrant fichier de dépannage userenv.log, comme chaque étape à partir du moteur de stratégie de groupe est répertoriée ici pour faciliter la lecture.


ADM et ADMX

Depuis la naissance de Windows NT® 4.0, les fichiers ADM ont fourni des modèles de définition sous-jacents pour tous les éléments disponibles dans une stratégie de groupe. La stratégie de groupe n'est pas entièrement contrôlée par les fichiers ADM, mais ils sont responsables de tous les goodies situés sous Configuration de l'utilisateur | Modèles d'administration en plus de Configuration de l'ordinateur | Modèles d'administration.

Ces fichiers ADM présentent quelques failles techniques. Dans les versions de Windows précédentes à Windows Vista, à chaque fois que vous générez un nouveau GPO, vous copiez un paquet de ces fichiers ADM dans chaque dossier du GPO (qui se trouve dans SYSVOL) à un volume d'environ 5 Mo par GPO. Un grand nombre de GPO entraîne un grand nombre de fichiers de modèle des systèmes en double placés sur SYSVOL, ce qui crée ensuite une grande quantité de réplications de chacune de ces « pépites » de 5 Mo.

De plus, les fichiers ADM sont dépendants de la langue. Un fichier ADM est généré en une seule langue, et chaque utilisateur de ce fichier doit s'accommoder de ce choix de langue.

La stratégie de groupe de Windows Vista résout ces problèmes par l'introduction d'un nouveau format XML pour les fichiers de définition de stratégie appelés ADMX. Les fichiers ADMX sont indépendants de la langue. Toutefois, ils doivent être accompagnés d'un fichier ADML spécifique à la langue. Vous pouvez facilement ajouter des langues en ajoutant simplement des fichiers ADML pour accompagner un fichier ADMX.

Le format ADMX prend en charge le magasin central. Cela évite ainsi la réplication d'informations dupliquées et facilite la mise à jour d'un fichier ADMX. Supposons qu'un fichier ADMX soit mis à jour, peut-être à partir d'un service pack, tout ce que vous avez à faire est de déplacer le fichier mis à jour dans le magasin central. Tous les administrateurs de stratégie de groupe dans le domaine qui utilisent des postes de travail Windows Vista auront accès au fichier ADMX mis à jour. Auparavant, vous deviez vérifier que chaque ordinateur administrateur disposait de la copie correcte d'un fichier ADM, et cette tâche était plutôt complexe.

Un administrateur de domaine doit créer le magasin central sur SYSVOL manuellement, une fois pour chaque domaine Active Directory. Une fois le magasin central créé, tous les administrateurs utilisant des ordinateurs Windows Vista pour créer et gérer des GPO utiliseront automatiquement le magasin central. Notez que cette fonctionnalité est spécifique à Windows Vista et que c'est l'ordinateur Windows Vista lié à un domaine Active Directory qui vérifie la présence d'un magasin central. Vous n'êtes pas forcé d'attendre la prochaine version de Windows Server® , au nom de code « Longhorn », ni de convertir les ordinateurs des utilisateurs en Windows Vista. Ce processus a lieu indépendamment du fait que le domaine soit basé sur Windows Server Longhorn, Windows Server 2003 ou même Windows 2000. Pour utiliser le magasin central, vous devez simplement le créer, puis utiliser les ordinateurs Windows Vista pour créer ou gérer des GPO.

Comme indiqué plus haut, les fichiers ADMX et ADML sont basés sur XML. L'avantage principal du format XML est l'utilisation d'un langage normalisé. Malgré tout, il est important de souligner qu'aucun éditeur graphique ADMX n'est disponible (ou que Microsoft n'a pas l'intention d'en éditer un). Il n'existe pas non plus d'outil de conversion ADM vers ADMX pour quelque modèle ADM personnalisé que vous pourriez posséder.

Windows Vista fournira environ 130 fichiers ADMX pour remplacer les 6 à 8 fichiers ADM fournis dans les versions précédentes de Windows. Ces fichiers sont stockés dans le répertoire \Windows\PolicyDefinitions, comme illustré à la figure 2. Notez que les fichiers ADML sont stockés dans un sous-répertoire spécifique à la langue, comme le répertoire en-US pour l'anglais-américain.

Figure 2 Fichiers ADMX dans le répertoire \Windows\PolicyDefinitions Directory
Figure 2 Fichiers ADMX dans le répertoire \Windows\PolicyDefinitions Directory (Cliquer sur l'image pour l'agrandir)

Console de gestion des stratégies de groupe

La console de gestion des stratégies de groupe, ou GPMC, était disponible en téléchargement pour Windows XP et Windows Server 2003. Une console de gestion Microsoft scriptable GPMC offrait un outil administratif unique pour gérer la stratégie de groupe.

La GPMC est maintenant directement intégrée à Windows Vista. Par conséquent, lorsque vous serez prêt à créer ou modifier des GPO, vous disposerez d'un accès facile au meilleur outil pour cette tâche. Il vous suffira de saisir GPMC.MSC dans l'invite de commande Démarrer Windows Vista | Rechercher.


Nouvelles catégories de contrôle

Windows Vista met environ 800 nouveaux paramètres de stratégie à disposition. Ils se classent en diverses catégories, que vous connaissez et utilisez déjà en grande partie. Mais Windows Vista introduit également un certain nombre de nouvelles catégories extrêmement pratiques. Il s'agit de catégories qui n'ont jamais existé ou pour lesquelles des contrôles de stratégie de groupe faisaient défaut.

Les domaines améliorés dans la stratégie de groupe incluent une politique de mise en réseau câblée et sans fil, un pare-feu Windows et IPsec, Print Management, Desktop Shell, Assistance à distance et Tablet PC. Notez que les stratégies de réseau câblé et sans fil peuvent demander une mise à jour du schéma à l'échelle de la forêt (pour plus d'informations, voir microsoft.com/technet/itsolutions/network/wifi/vista_ad_ext.mspx).

De nouveaux domaines de stratégie de groupe Windows Vista incluent la gestion d'unités de stockage amovibles, la gestion de l'alimentation, le contrôle des comptes utilisateur, le rapport d'erreur Windows, la protection de l’accès réseau et Windows Defender.

Pour contrôler les domaines qui affectent particulièrement les ordinateurs Windows Vista, vous devez utiliser un ordinateur Windows Vista (ou un ordinateur Windows Server « Longhorn ») au cours de la création ou de la modification des GPO. Et ce, parce que les systèmes d'exploitation plus anciens n'auront aucune connaissance de ces nouveaux paramètres spécifiques à Windows Vista.

Nous pourrions consacrer un article entier à l'exploration de chacun de ces domaines, nous n'avons donc pas la place ici pour fouiller chacun d'entre eux. Toutefois, la fonctionnalité de gestion d'unités de stockage amovibles et la fonctionnalité de gestion de l'alimentation (illustrées à la figure 3) méritent particulièrement d'être remarquées. J'ai le pressentiment qu'elles feront le parfait compagnon pour les administrateurs. En bref, ces domaines fournissent un contrôle granulaire convenable permettant de lier les périphériques à Windows Vista et de déterminer le type de paramètres d'alimentation des ordinateurs portables, postes de travail et moniteurs à utiliser pour que l'entreprise fasse des économies.

Figure 3 Application de la gestion de l'alimentation à l'aide d'une stratégie de groupe
Figure 3 Application de la gestion de l'alimentation à l'aide d'une stratégie de groupe (Cliquer sur l'image pour l'agrandir)

Grâce aux paramètres supplémentaires de gestion de l'alimentation de Windows Vista, un administrateur peut choisir de désactiver ou d'activer un moniteur d'affichage vidéo en mode économique Veille. Des études publiées sur le site Web Energy Star de l'Environmental Protection Agency ont démontré que le contrôle de l'alimentation des moniteurs permet d'économiser de 8 € à 24 € par moniteur et par an. Ces économies peuvent devenir réellement intéressantes si vous comptez des centaines ou des milliers de moniteurs dans votre société.

Comme pour la gestion d'unités de stockage, considérez ce scénario : un administrateur souhaite autoriser tous les étudiants à utiliser leur clé USB pour accéder à leur dossier trimestriel, leurs devoirs ou tout autre document stocké sur n'importe quel poste de travail du kiosque du campus. Toutefois, en raison d'une éventuelle erreur d'utilisation et des risques potentiels de sécurité, les étudiants ne doivent pas disposer d'accès en écriture sur les clés USB sur le poste de travail du kiosque du campus, sauf si, évidemment, il s'agit d'une clé USB approuvée par l'établissement. Ce type de granularité dans la gestion des dispositifs est possible à l'aide des paramètres de stratégie de groupe Windows Vista.


Conclusion

Comme vous pouvez le constater, ces améliorations relatives à la gestion de Windows Vista se passent sous le capot. Les administrateurs trouveront que la stratégie de groupe Windows Vista offre une gestion puissante et flexible de la configuration par son plus grand nombre de paramètres configurables, et de nouvelles ressources pour augmenter la sécurité du système (et éventuellement réduire les coûts).

Article N° 124, du 05.12.2006, par Alain Gremaud
URL de cet article : http://winad.epfl.ch/?article=124

© 2017 VPSI - EXAPP - TC