Administration de stratégies de groupe
 

Les stratégies de groupe constituent un moyen d'affiner et de centraliser plus en avant la gestion de l'environnement bureautique d'un utilisateur. Les stratégies de groupe peuvent s'utiliser pour contrôler les programmes mis à la disposition des utilisateurs, les programmes qui s'affichent sur leurs bureaux ainsi que les options du menu démarrer .

Les stratégies de groupe sont généralement définies pour l'intégralité du domaine ou du réseau, et son utilisées pour faire appliquer des politiques d'entreprise.

A. Présentation des stratégies de groupe

Les stratégies de groupe constituent un jeu de paramètres de configuration qu'un administrateur de stratégies de groupe applique à un ou plusieurs objets dans le magasin Active Directory.

Une stratégie de groupe se compose de paramètres qui régissent la manière dont se comportent un objet et ses objets enfants.

L'administrateur peut ainsi fournit un environnement de bureau complet comprenant :

  • Un menu Démarrer personnalisé.
  • Des applications automatiquement configurées.
  • Un accès restreint à des fichiers et des dossiers ainsi qu'aux paramètres de Windows.
  • Affecter des droits accordés à des comptes utilisateurs et à des groupes.

a. Avantages de la stratégie de groupe.

Appliquer des stratégies de groupe réduit le coût qu'implique l'administration de réseaux d'ordinateur appelé TCO (Total cost of ownership).

Cela permet également de sécuriser un poste de travail en bloquant par exemple l'installation de programmes tiers.

b. Amélioration de l'environnement utilisateur.

Vous pouvez effectuer les améliorations suivantes :

  • Mettre automatiquement certaines applications à la disposition de l'utilisateur dans le menu Démarrer .
  • Permettre la distribution d'applications afin que les utilisateurs puissent facilement les sur le réseau et les installer.
  • Placer des fichiers ou des raccourcis à des endroits utiles sur le réseau ou dans un dossier spécifique sur l'ordinateur d'un utilisateur.
  • Automatiser l'exécution des tâches ou des programmes lorsqu'un utilisateur ouvre ou ferme une session et lorsqu'un ordinateur démarre ou s'arrête.
  • Rediriger des dossiers vers des emplacements sur le réseau afin d'accroître la fiabilité des données.

c. Type de stratégies de groupe

Les stratégies de groupe influence différents composants réseau et objets Active Directory.

Voici les différents types de stratégies :

  • Paramètres logiciel : Attribution et publications d'applications.
  • Scripts : Via fichiers .bat ou .vps. principalement au démarrage et à l'arrêt de Windows.
  • Paramètres de sécurité : afin de restreindre l'accès à des ressources.
  • Modèle d'administration : permet de rendre obligatoire certains paramètres du registre régissant le comportement et l'aspect du bureau.
  • Services d'installation à distance : Permet de contrôler les options d'installation des services d'installation à distance.
  • Redirection de dossiers : Permet de rediriger des dossiers spéciaux de profil de Windows 2000 vers un autre emplacement sur le réseau.

B. Structure des stratégies de groupe

Les stratégies de groupe sont des ensembles de paramètres de configuration pouvant s'appliquer à un ou plusieurs objets présents dans le magasin active directory. Ces paramètres sont enregistrés au sein d'un objet stratégie de group (Group Policy Object, GPO). Les objets Stratégies de groupe enregistrent les informations de stratégie de groupe à deux endroits : Dans des conteneurs et dans des modèles.

a. Objet Stratégie de groupe

Un objet Stratégie de groupe (GPO) contient des paramètres de stratégie de groupe destinés à des sites, des domaines ou des UO. Les GPO contiennent des propriétés consignées dans le magasin Active Directory dans un objet nommé conteneur Stratégie de groupe (Group Policy Container, GPC). Par ailleurs, les GPO consignent des informations de stratégies de groupe dans une structure de dossiers nommée modèle Stratégie de groupe (Group Policy Template, GTP).

Une ou plusieurs GPO peuvent s'appliquer à un site, un domaine ou une UO. Plusieurs conteneurs de Active Directory peuvent être associés avec un même GPO et un seul conteneur peut être associé avec plusieurs GPO.

b. Conteneur Stratégie de groupe

Un conteneur Stratégie de groupe (Group Policy Container, GPC) est un objet Active Directory qui enregistre des propriétés de GPO, et qui comprend des sous conteneurs destiné à des informations de stratégie de groupe relatives à des ordinateurs et à des utilisateurs.

c. Rappel de définition

GPO : Objets Stratégie de groupe.

GPT : Modèle Stratégie de groupe.

GPC : Conteneur stratégie de groupe.

d. Modèle de stratégie de groupe

Le modèle de stratégie de groupe, GPT, est une structure de dossiers enregistrée dans le dossier %SystemRoot%\SYSVOL\sysvol\<nom_domaine>\Policie des contrôleurs de domaine.

Lorsqu'un GPO est créé, la structure de dossier GTP correspondante est également créée.

e. Contenu d'un GPT

En général, le contenu par défaut de GTP se compose des sous dossiers User et Machine , ainsi qu'un fichier GTP.ini .

C. Application de stratégie de groupe

Avant de pouvoir créer des stratégie de groupe, vous devez d'abord créer les objets Stratégie de groupe.

a. Création d'un GPO

Pour créer un GPO, ouvrez les propriétés d'un objet site, domaine ou UO. Sélectionner l'onglet Stratégie de groupe . Cliquer sur nouveau et tapez un nom pour l'objet.

Vous pouvez modifier les autorisations sur un GPO en ouvrant la boîte de dialogue Propriétés du domaine, du site ou de l'UO qui contient le GPO, puis en sélectionnant l'onglet Stratégie de groupe . Sélectionner alors le GPO puis l'onglet Sécurité .

b. Utilisation du composant logiciel enfichable Stratégie de groupe

Ce composant permet de définir et de contrôler le comportement des programmes, des ressources réseau et du système d'exploitation à l'égard des utilisateurs et des ordinateurs.

Une fois les GPO créés utiliser le composant logiciel enfichable Stratégie de groupe afin de spécifier des paramètres de stratégie de groupe applicables à des comptes d'utilisateurs et des ordinateurs.

Le composant logiciel enfichable Stratégie de groupe ne fournit aucune prise en charge de type client des ordinateurs Windows 95, 98 et NT.

c. Ordre d'héritage

En général, une stratégie de groupe est transmise de manière descendante, des conteneurs parents vers les conteneurs enfants.

Le composant logiciel enfichable Utilisateur et ordinateurs Active Directory vous permet de configurer l'héritage des domaines et des UO. Ouvrez la boîte de dialogue Propriétés du domaine ou de l'UO, sélectionner l'onglet Stratégie de groupe.

Vous pouvez également configurer l'héritage de sites en utilisant le composant logiciel enfichable Sites et services Active Directory. Ouvrez la boîte de dialogue Propriétés du site sélectionné, puis sélectionner l'onglet Stratégie de groupe. Deux options vous permettent de configurer l'héritage :

Les cases à cocher Bloquer l'héritage de stratégie et Aucun remplacement.

D. Administration de stratégie de groupe

a. Gestion des paramètres des logiciels

Le composant logiciel enfichable Stratégie de groupe vous permet de gérer la distribution de logiciels. Ceux-ce peuvent être installés, attribués, publiés, mis à jour, dépannés et désinstallés au niveau de groupe d'utilisateurs et d'ordinateurs.

Avant d'utiliser Le composant logiciel enfichable Stratégie de groupe pour déployer des logiciels, vos applications doivent disposer des lots Microsoft Windows Installer (.msi). Donc pour déployer Winzip.exe, il faudra acquérir Winzip.msi.

b. Attribution et publication d'applications

Attribution à des utilisateurs :

L'application est publiée auprès d'un utilisateur dés que celui-ci ouvre une session sur un poste de travail du réseau. L'application sera installé quand l'utilisateur la sélectionnera dans le menu démarrer ou en activant un fichiers associé à l'application.

Attribution à des ordinateurs

Une annonce d'installation à lieu en général au démarrage de l'ordinateur

Publication auprès d'utilisateurs

Lorsque vous publié une application auprès d'utilisateurs, l'application ne donne pas l'impression d'être installé. Aucun raccourci n'est visible sur le bureau ou dans le menu démarrer , et aucune modification n'intervient dans le registre local. L'application est mise à disposition de l'utilisateur au moyen du programme Ajout/Suppression de programme du panneau de configuration.

Mise en place d'une attribution et publication d'applications

Pour attribuer ou publier une application, créez un dossier partagé et copiez-y les fichiers de l'application et les fichiers de lot (fichiers.msi). Attribuez les autorisations suivantes sur le dossier partagé :

  • Tout le monde : Lecture
  • Administrateurs : Contrôle total

Ensuite, ouvrez le composant logiciel enfichable Stratègie de groupe du GPO appropié, puis sélectionnez le sous dossier Paramètres logiciel\Installation de logiciel sous Configuration ordinateur et Configuration utilisateur.

Dans le menu Action , cliquez sur Nouveau , puis sélectionnez Package. Placez vous dans le partage réseau créé, puis sélectionner le lot à attribuer. Ensuite sélectionner la méthode de déploiement. Cliquez sur Attribution ou sur Publication , puis cliquer sur OK .

c. Gestion de scripts

Vous pouvez appliquer facilement des scripts de démarrage ou d'arrêt à Windows 2000 ou à des utilisateurs lors de l'ouverture ou fermeture de sessions.

Les scripts pris en charges comprennent les extensions suivantes : .bat, .cmd, .vbs et .js.

Pour attribuer des scripts, double cliquez sur l'icône des scripts choisis (Démarrage, Arrêter le système, Scripts (Ouverture/Fermeture de session)), puis cliquez sur Ajouter et sélectionnez le script.

d. Gestion de paramètres de sécurité

On trouve deux types de stratégie de sécurité sous Windows 2000 :

  • La stratégie de sécurité de domaine.
  • La stratégie de sécurité d'ordinateur (également désignée sous le terme de stratégie locale).

Un ordinateur qui ne fait pas partie d'un domaine Windows 200 n'obéit qu'a une stratégie de sécurité locale. Un ordinateur membre d'un domaine se voit d'abord appliquer la stratégie d'ordinateur qui le concerne, puis la stratégie de sécurité du domaine.

e. Gestion de la redirection de dossiers

L'extension Redirection de dossiers vous permet de rediriger un des dossiers spéciaux suivant présents dans un profil d'utilisateur vers un emplacement de substitution (tel qu'un partage réseau)

 

  • Application Data.
  • Bureau.
  • Mes documents.
  • Mes documents\Mes images.
  • Menu démarrer.

Par exemple on peut rediriger le dossier mes documents d'un utilisateur vers le partage \\<serveur>\<partage>\%username%

Remarque : Par défaut, l'extension Redirection de dossiers n'est pas intégrée au composant logiciel enfichable Stratégie de groupe. Pour utiliser cette extension, vous devez créer une console MMC qui intègre le composant logiciel enfichable Stratégie de groupe pour chaque GPO que vous prenez en charge. En fonction de vos besoins, ajouter l'extension Redirection de dossiers au composant logiciel enfichable Stratégie de groupe.