Dans ce chapitre - Librairie Eyrolles · stratégies de groupe Dans ce chapitre Introduction aux stratégies de groupe de Windows 2000 ... les propriétés d’un ordinateur. Ils

13

Implémenter des

stratégies de groupe

Dans ce chapitre

�

Introduction aux stratégies de groupe de Windows 2000

�

Structure des stratégies de groupe

�

Implémentation des stratégies de groupe sous Active Directory

�

Modification des règles d’héritage des stratégies de groupe

�

Modification des stratégies de groupe

�

Délégation du contrôle d’administration sur un objet Stratégie de groupe

�

Règles d’implémentation des stratégies de groupe

�

Conseils d’experts

Introduction aux stratégies de groupe de Windows 2000

Les stratégies de groupe sont un ensemble de règles définies par un administrateur pourcontrôler l’environnement de travail d’un utilisateur. Ce principe de stratégie a considérable-ment évolué depuis les versions antérieures de Windows 95/98 et Windows NT 4.0. AvecActive Directory, Microsoft offre désormais une possibilité d’administration centralisée,ainsi que de nouvelles fonctionnalités dont la mise en œuvre aurait été difficile auparavant.

Windows 2000 Server

G

UIDE

DE

L

’

ADMINISTRATEUR

368

Par ailleurs, la flexibilité d’administration d’Active Directory permet d’envisager une confi-guration dynamique de l’environnement utilisateur sur la base de stratégies de groupe.

Une stratégie de groupe est, plus concrètement encore, un banal ensemble de paramètres deconfiguration stockés au sein d’Active Directory. Ces paramètres définissent principalementles propriétés d’un ordinateur. Ils sont gérés par un administrateur de stratégie de groupe ets’appliquent à un ou plusieurs objets d’Active Directory tels qu’un site, un domaine ou uneunité d’organisation. L’association d’une stratégie à l’un de ces objets définit la configurationde l’objet en question et de ses enfants. Lors de la mise en œuvre d’environnements dynami-ques, un objet peut se retrouver associé à plusieurs stratégies de groupe. Ainsi, l’utilisateurJohn Smith pourrait disposer d’une stratégie de type Ordinateur (Configuration ordinateur)associée à sa propre machine, mais aussi d’une stratégie de type Utilisateur, applicablelorsqu’il se connecte à partir de tout autre ordinateur du réseau.

Sous Windows 2000, il est désormais possible de représenter « informatiquement » la straté-gie globale de l’entreprise à l’aide de stratégies de groupe. Elles constituent en ce sens unoutil d’implémentation. Il est ainsi possible de limiter l’exploitation de telle ou telle autreapplication à un ordinateur ou à un utilisateur. Une stratégie peut encore permettre d’habilitertel ou tel autre groupe de personnes à modifier les variables système ou à exploiter lesressources du réseau. En définissant une seule et unique stratégie pour divers objets, vousfacilitez les opérations de configuration. En effet, vous agissez simultanément sur les paramè-tres d’environnement de plusieurs ordinateurs en une seule opération.

Les stratégies de groupe répondent à des besoins aussi divers que le verrouillage d’un ordina-teur, la distribution d’applications ou encore l’exécution de scripts dans le cadre de la réplica-tion des fichiers et des dossiers. Le paramétrage intéresse tout autant l’utilisateur, soucieuxd’optimiser son utilisation quotidienne en minimisant les possibilités de personnalisation, quel’administrateur, dont l’objectif principal est de pouvoir disposer de tout un ensemble d’outilsà partir de tout poste du réseau. C’est au prix de la maîtrise des fonctionnalités associées auxstratégies de groupe que vous pourrez diminuer la charge de gestion d’un réseau et de confi-guration des ordinateurs client au sein de ce réseau.

Structure des stratégies de groupe

Il est important de connaître la structure de base des stratégies de groupe et les fonctionnalitésqui leur sont associées. La Figure 13.1 illustre les deux catégories de configuration disponi-bles lors de l’application d’une stratégie de groupe : la Configuration ordinateur et la Confi-guration utilisateur.

Types de configuration

Bien que chaque catégorie de configuration propose des options identiques, leur mise enœuvre diffère. Ces deux catégories peuvent être gérées à partir du composant enfichable Stra-tégie de groupe de la MMC ou

via

la console d’administration d’Active Directory.

Implémenter des stratégies de groupe

C

HAPITRE

13

369

Configuration ordinateur

Les paramètres de Configuration ordinateur concernent des éléments spécifiques aux machi-nes : l’apparence du Bureau, les paramètres de sécurité, les traitements liés au systèmed’exploitation, le déploiement des fichiers, la restriction d’application, et les scripts de démar-rage et d’arrêt de l’ordinateur. Les options de configuration disponibles s’appliquent à toututilisateur accédant à l’ordinateur concerné. Les stratégies de groupe de type Configurationordinateur s’appliquent dès le démarrage du système d’exploitation.

Configuration utilisateur

Les paramètres de Configuration utilisateur permettent de gérer des stratégies chargées decontrôler les éléments spécifiques aux utilisateurs. Il peut s’agir de configuration d’applica-tions, de paramètres de publication et de restriction d’applications, de configuration de sécu-rité, ou encore de scripts de connexion et de déconnexion de l’utilisateur. Ces options deconfiguration sont disponibles pour l’utilisateur concerné à partir de n’importe quel poste.Cette catégorie de stratégie est particulièrement intéressante lorsque les utilisateurs changentfréquemment de machine. Les stratégies de groupe de type Configuration utilisateur nes’appliquent que lorsque les utilisateurs concernés se connectent à partir de l’un des ordina-teurs du réseau.

Configuration des sous-dossiers

Comme l’illustre la Figure 13.1, les deux catégories de configuration (utilisateur et ordina-teur) disposent implicitement de trois sous-dossiers. Bien que le contenu de ces dossierssemble identique, l’application effective d’un paramètre dépend du type de configuration.Parmi les sous-dossiers par défaut figurent Paramètres logiciel, Paramètres Windows, etModèles d’administration.

Figure 13.1

Exemple de configuration d’une stratégie de groupe.

Windows 2000 Server

G

UIDE

DE

L

’

ADMINISTRATEUR

370

Paramètres logiciel

Le sous-dossier Paramètres logiciel concerne la gestion des composants logiciels installés surles ordinateurs ou pour les utilisateurs. Les paramètres logiciel sont stockés dans le sous-dossier \Configuration ordinateur\Paramètres logiciel pour les configurations ordinateur etdans \Configuration utilisateur\Paramètres logiciel pour les configurations utilisateur (voir laFigure 13.2). Un sous-dossier Installation de logiciel permet de gérer les règles de déploie-ment des applications.

Paramètres Windows

Le sous-dossier Paramètres Windows est utilisé pour la gestion des paramètres d’environne-ment de l’utilisateur ou de l’ordinateur. Ces paramètres sont stockés dans \Configuration ordi-nateur\Paramètres Windows\ pour les stratégies de type Ordinateur et dans \Configurationutilisateur\Paramètres Windows\ pour les stratégies de type Utilisateur (voir la Figure 13.3).La Configuration ordinateur propose deux sous-dossiers relatifs à la sécurité : Paramètres desécurité et Scripts ; la Configuration utilisateur en propose quatre. Outre les dossiers Paramè-tres de sécurité et Scripts, vous trouverez en effet un dossier de maintenance relatif à InternetExplorer et un autre concernant les services d’installation à distance. Ce service peut être misen œuvre pour l’installation de Windows 2000 à partir d’un client distant connecté au réseau.La technologie IntelliMirror met en œuvre cette fonctionnalité lors d’une récupération faisantsuite à une panne.

Modèles d’administration

Le dossier Modèles d’administration contient des informations de stratégie relatives auRegistre. Chaque type de configuration, utilisateur et ordinateur, est responsable de sespropres informations au sein du Registre. Les informations de Configuration utilisateur sontstockées sous la clé HKEY_CURRENT_USER ; les informations de Configuration ordina-teur, sous la clé HKEY_LOCAL_MACHINE (voir la Figure 13.4).

Figure 13.2

Les options de paramétrage logiciel sont disponibles dans les configurations utilisateur et ordinateur.


C

HAPITRE

13

371

Comme sous Windows NT 4.0, les modèles Stratégie sont définis par des fichiers .ADM.Chacune des deux catégories de configuration dispose d’un modèle stocké dans un fichiernommé Registry.pol. Ce fichier sert à administrer les stratégies de groupe définies pourchaque type de configuration. Le fichier Registry.pol en cours d’utilisation est aussi stockédans le dossier Group Policy\Machine pour les configurations de type Ordinateur et dansGroup Policy\User pour les configurations de type Utilisateur.

Figure 13.3

Les options de Paramètres Windows sont disponibles dans les configurations ordinateur et utilisateur.

Figure 13.4

Les modèles d’administration sont disponibles pour les deux catégories de configuration.

Windows 2000 Server

G

UIDE

DE

L

’

ADMINISTRATEUR

372

Types de stratégies de groupe

Outre les types de stratégies de groupe, des catégories ont été définies pour distinguer diffé-rentes stratégies fonctionnelles. Chaque catégorie dispose de son propre ensemble de fonc-tionnalités.

Déploiement logiciel

Le déploiement logiciel est traditionnellement réalisé au moyen de produits tels que SMS(

Systems

Management Server

) de Microsoft. Certaines fonctionnalités propres à ces produitsont été intégrées à Windows 2000. L’environnement utilisateur peut être personnalisé

via

deux déploiements logiciel : l’attribution de programmes et les publications d’applications.

L’attribution de programmes est utilisée pour limiter l’exploitation d’un logiciel pour un ordi-nateur. Lorsqu’une Configuration ordinateur ou utilisateur est attribuée, l’application installéene peut être désinstallée ou reconfigurée sans intervention au niveau de la stratégie. Ce prin-cipe de restriction permet de disposer d’une configuration standard sur les ordinateurs client.

Le principe de publication d’application permet de définir un lot de distribution logiciel pourun utilisateur ou un ordinateur, tout en laissant le choix d’effectuer ou non l’installation.L’application concernée peut, dans ce cas, être désinstallée à tout moment. Les publicationsconcernent par exemple l’installation, pour un logiciel standard, de composants complémen-taires nécessaires à une certaine catégorie d’utilisateurs uniquement.

Stratégies logicielles

Les paramètres de stratégie logicielle sont parmi les plus utilisés. Ils permettent de définirl’environnement de travail de l’utilisateur : la configuration du menu Démarrer, le papierpeint du Bureau, l’économiseur d’écran, ou encore divers autres paramètres du profil utilisa-teur. D’autres paramètres autorisent une personnalisation avancée de l’environnement del’utilisateur en intervenant sur des éléments de configuration plus intimement liés au systèmed’exploitation et au Registre.

Gestion des dossiers et fichiers

La configuration des stratégies de groupe fait généralement intervenir tout un ensemble defonctionnalités liées à la gestion des fichiers et des dossiers. Ces fonctionnalités permettent àun administrateur de stratégies de groupe d’ajouter des fichiers, des dossiers, ainsi que desraccourcis sur le Bureau d’un utilisateur. Citons, à titre d’exemple, la mise à disposition d’uneapplication réseau avec gestion d’une sécurité fondée sur les appartenances de groupe, ouencore la mise à disposition d’un fichier pour l’ensemble d’une communauté d’utilisateurs.

Scripts

Les scripts permettent d’automatiser le lancement de fichiers batch sur l’occurrence decertains événements tels que, par exemple, le démarrage ou l’arrêt de l’ordinateur, laconnexion ou la déconnexion d’un utilisateur. Les scripts permettent ainsi d’automatiser destâches répétitives telles que le mappage d’un lecteur réseau, d’une imprimante, ou le lance-


C

HAPITRE

13

373

ment d’un programme exécutable au démarrage. Les scripts s’exécutent sous contrôle dumoteur Windows Scripting Host. Ce dernier peut en outre supporter des langages de scriptstels que VBScript ou JScript.

Sécurité

Les paramètres de stratégie de sécurité permettent de définir des configurations de sécuritérelatives aux arborescences, au domaine, au réseau et à l’ordinateur local. On peut définirdifférentes stratégies telles que la durée de validité d’un mot de passe, la sécurité Kerberos, lasécurité réseau IP, ou encore la désactivation des comptes. Les stratégies de sécurité contri-buent à améliorer la sécurité globale du système d’information au sein d’une organisation.

Objets Stratégie de groupe

Les objets Stratégie de groupe (GPO) servent à mémoriser les informations de configurationd’une stratégie de groupe. Une fois la stratégie de groupe configurée, elle est stockée dans unobjet GPO et appliquée à un site, un domaine ou une unité d’organisation. Il est tout à faitpossible d’appliquer différents objets Stratégie de groupe à un même site, domaine ou unitéd’organisation.

Les objets Stratégie de groupe sont stockés sous différentes formes. Tout d’abord, leurspropriétés sont stockées au sein d’Active Directory dans un conteneur de type Stratégie degroupe (GPC). Ensuite, les informations relatives à ces objets Stratégie de groupe sontconservées dans un dossier situé sur les différents contrôleurs de domaine. L’ensemble de cesinformations forme les modèles Stratégie de groupe (GPT) . Il est important de noter que lesconteneurs Stratégie globale servent à la mémorisation des informations GPO peu volumi-neuses et dont la fréquence de modification est faible. Les modèles Stratégie globale stockentles informations volumineuses faisant l’objet de modifications fréquentes.

Conteneurs Stratégie de groupe

Un conteneur Stratégie de groupe (GPC) est un objet Active Directory chargé du stockage desinformations relatives au déploiement logiciel. Le GPC est utilisé par les applications commebase d’informations, et fournit des informations relatives aux interfaces de programmation, à lapublication logicielle ou encore à l’attribution de programmes. Les GPC comportent des sous-conteneurs dédiés au stockage des informations de Configuration utilisateur et ordinateur.

Les conteneurs Stratégie de groupe conservent les informations relatives à l’activation ou ladésactivation de l’objet Stratégie de groupe, tout en veillant à la synchronisation entre lesGPT et les GPC. Le conteneur Stratégie de groupe gère les informations suivantes :

•

Information de version

. Cette information sert à la synchronisation entre GPT et GPC.

•

Information d’état

. Cette information définit l’état du GPO (actif ou inactif).

Les modèles Stratégie de groupe

Les modèles Stratégie de groupe (GPT) sont constitués par un sous-ensemble de dossierscréés sur chaque contrôleur de domaine. Ce sous-ensemble de dossiers se trouve dans le

Windows 2000 Server

G

UIDE

DE

L

’

ADMINISTRATEUR

374

dossier System Volume ou SYSVOL. Les GPT conservent toutes les informations relatives audéploiement logiciel, aux stratégies logicielles, aux paramètres de sécurité, aux scripts, et à lagestion des fichiers et dossiers.

L’application des GPT varie selon le type de configuration. Un GPT défini pour une Configu-ration ordinateur prendra effet dès le processus d’initialisation. En revanche, un GPT définipour une Configuration utilisateur ne sera effectif que lors de la connexion de l’utilisateur auréseau. Il est essentiel de tenir compte de ces différences lors de la mise en œuvre de vos stra-tégies de groupe.

Contenu des GPT

Un GPT est essentiellement un ensemble de dossiers et fichiers système. Par défaut, seuls lesdossiers \User et \Machine\Microsoft\Windows\SecEdit sont créés. Au fur et à mesure desdéfinitions des stratégies, d’autres dossiers sont créés. Les GPT sont associés à des GUID(

Globally Unique

Identifiers

) afin de permettre une identification sans équivoque.

Chaque dossier répertorié dans le Tableau 13.1 est associé, pour la catégorie utilisateur ouordinateur, à la définition d’une stratégie.

Tableau 13.1 Arborescence de définition d’un modèle Stratégie de groupe

Sous-dossier Contenu

\ADM Fichiers .ADM files exploités par les modèles Stratégie de groupe

\User Fichiers Registry. pol applicables aux utilisateurs

\User\Applications Fichiers d’avertissement de Windows Installer concernant les utilisateurs

\User\Documents & Settings Modèle Stratégie de groupe identifiant les fichiers ou dossiers à ajouter au Bureau de l’utilisateur

\User\Scripts Sous-dossiers de connexion et de déconnexion des utilisateurs

\User\Scripts\Connexion Scripts de connexion des utilisateurs

\User\Scripts\Déconnexion Scripts de déconnexion des utilisateurs

\Machine Fichier Registry.pol applicable aux ordinateurs

\Machine\Applications Fichiers d’avertissement de Windows Installer relatifs aux ordinateurs

\Machine\Documents & Settings Modèle Stratégie de groupe identifiant les fichiers ou dossiers à ajouter au Bureau de l’ordinateur

\Machine\Microsoft\Windows\SecEdit Fichier de l’éditeur de sécurité GPTTMPL.ini

\Machine\Scripts Sous-dossiers de connexion et de déconnexion relatifs aux ordinateurs

\Machine\Scripts\Startup Scripts de connexion des ordinateurs

\Machine\Scripts\Shutdown Scripts de déconnexion des ordinateurs


C

HAPITRE

13

375

GPT.INI

Le fichier GPT.INI mémorise les paramètres propres à l’objet de stratégie locale. Il définit enparticulier l’état du GPO local : actif ou inactif. Pour tout autre GPO, cette information eststockée au sein même d’Active Directory. Le fichier GPT.INI se trouve sous le dossier racinede chaque modèle Stratégie de groupe (voir la Figure 13.5). Il comporte les entrées suivantes :

• Version = x. Le numéro de version débute à 0 et s’incrémente à chaque révision de l’objetde stratégie de groupe.

• Disabled = z. Ce paramètre peut être fixé à 1 ou à 0 afin de définir l’état de l’objet Stratégiede groupe local (actif ou inactif).

Figure 13.5

Exemple de contenu d’un fichier GPT.INI.

Améliorez votre dextérité grâce aux Add-onsde Windows 2000

Windows 2000 a été conçu sur les bases de Windows NT que Microsoft a fait évo-luer depuis plusieurs années. Même un administrateur familiarisé avec les con-cepts de Windows NT devra suivre une formation pour être en mesure decomprendre et de maîtriser les nouveaux concepts de Windows 2000. Des fonc-tionnalités existantes ont été modifiées, et de nouveaux concepts tels qu’ActiveDirectory ont été introduits.

La plupart des fonctionnalités liées aux stratégies de groupe existent dans lesversions antérieures de Windows NT. Au fur et à mesure du développement deWindows 2000, certaines fonctionnalités ont été intégrées à Windows NT 4.0

via

les différents Services Pack. Le Service Pack 4 fut le premier à introduire desfonctionnalités propres à Windows 2000 : l’éditeur de configuration de sécurité, laMMC et une version orientée 2000 de NTFS. D’autres fonctionnalités de gestionde stratégie tirent leurs origines des versions antérieures de Windows. C’est lecas, notamment, des modèles d’administration, initialement introduits avec lesstratégies système de Windows NT 4.0. Ces modèles, applicables à Windows 95/98, étaient accessibles

via

l’Éditeur de stratégies.

Chez Microsoft, des produits tels que Systems Management Server 2.0 et SQLServer 7.0, disponibles depuis plus d’un an, disposent de fonctionnalités capa-bles de tirer avantage de Windows 2000.

Windows 2000 Server

G

UIDE

DE

L

’

ADMINISTRATEUR

376

Implémenter des stratégies de groupe sous Active Directory

La maîtrise de l’ensemble des fonctionnalités de stratégies de groupe passe par la connais-sance de l’implémentation de ces stratégies au sein d’Active Directory. Tout système nécessi-tant une charge d’administration traduit généralement une certaine complexité. Ce précepteest particulièrement vrai en ce qui concerne les stratégies de groupe, même si diverses optionscomplémentaires ont été introduites afin d’aboutir à un système modulaire. Ainsi, lorsquevous appliquez un ensemble d’objets Stratégie de groupe à différents emplacements, il estindispensable de respecter un certain ordre, afin de déterminer les paramètres de configura-tion qui s’appliqueront pour l’utilisateur ou l’ordinateur. Il existe en outre des options avan-cées permettant de sécuriser l’implémentation, ainsi que des filtres applicables aux utilisa-teurs et ordinateurs afin de prévenir toute association inopportune à une stratégie.

Règles d’héritage

Lorsqu’une stratégie de groupe est appliquée à des objets d’Active Directory, les modifica-tions se font selon un ordre prédéfini. L’ordre d’héritage détermine les stratégies à mettre enœuvre selon le positionnement hiérarchique de l’objet concerné. La notion de précédenced’héritage se révèle particulièrement importante lorsque deux stratégies définies à des empla-cements différents pour un même ordinateur entrent en conflit. La précédence d’héritagepermet alors de déterminer la stratégie prioritaire. Les règles de précédence ont été prédéfi-nies de façon que les stratégies ne puissent s’annuler l’une et l’autre.

Une stratégie de groupe ne peut s’appliquer qu’à un site, un domaine ou une unité d’organisa-tion. Active Directory décide de la stratégie à appliquer en commençant par le point le pluséloigné de l’objet Utilisateur ou Ordinateur concerné. Le premier objet considéré est l’objetSite. Les stratégies applicables à ce niveau peuvent être gérées au moyen du composant deconsole Sites et services Active Directory. Une fois la stratégie pour l’objet Site chargée,l’étape suivante consiste à appliquer des stratégies de groupe au niveau de l’objet Domaine ;viennent ensuite les stratégies associées aux unités d’organisation. Les stratégies de niveauDomaine et Unité d’organisation peuvent être gérées

via

le composant Utilisateurs et ordina-teurs Active Directory. Si une stratégie appliquée au niveau Site ou Domaine entre en conflitavec une configuration de stratégie de niveau Unité d’organisation, la priorité est donnée à lastratégie de niveau Unité d’organisation. La Figure 13.6 illustre le principe de précédenced’héritage pour les stratégies de groupe.

En marge de ces règles, si une stratégie de Configuration ordinateur entre en conflit avec unestratégie de Configuration utilisateur, la stratégie de catégorie utilisateur masque la configura-

Parallèlement aux évolutions propres à Microsoft, certains éditeurs ont mis sur lemarché des produits compatibles Windows 2000 plusieurs mois avant la sortie dusystème. Il existe par exemple des outils tiers de migration de Windows NT versWindows 2000. En se familiarisant dès aujourd’hui à ces outils, les administra-teurs peuvent initier leur long apprentissage vers un environnement « tout »Windows 2000. Tout en permettant de capitaliser sur les systèmes à venir, cesoutils réduisent par ailleurs la charge d’administration actuelle de NT.


C

HAPITRE

13

377

tion de stratégie de catégorie ordinateur. Il existe tout de même quelques exceptions à cesrègles. Les principes de blocage d’héritage et de masquage d’héritage offrent des fonctionna-lités de personnalisation avancée des règles d’héritage des stratégies de groupe. Ces principessont présentés à la section intitulée « Modifier les règles d’héritage des stratégies de groupe ».

Créer un objet Stratégie de groupe

La création d’une stratégie de groupe nécessite la création d’un objet Stratégie de groupe.Sinon, aucune opération d’administration ne peut être faite. Il convient de procéder de cettefaçon pour créer un objet Stratégie de groupe :

1. Démarrez le composant Utilisateurs et groupes Active Directory au moyen descommandes Démarrer, Programmes, Outils d’administration, Utilisateurs et ordina-teurs Active Directory.

2. Cliquez avec le bouton droit de la souris sur l’objet pour lequel vous souhaitez configu-rer une stratégie de groupe (il peut s’agir d’un site, d’un domaine ou d’une unité d’orga-nisation). Choisissez la commande Propriétés du menu contextuel.

3. Activez l’onglet Stratégie de groupe.

4. Sélectionnez le bouton Ajouter situé en dessous de la liste des objets de stratégie degroupe. Vous aurez dès lors la possibilité de sélectionner les onglets Domaines/Unitésd’organisation, Sites et Tous. L’onglet Tous vous permet de créer et de définir vos pro-pres objets Stratégie de groupe.

Site

Domaine

Unité d'organisation (OU)

Les stratégies sont tout d'abord appliquées au niveau du site.

Les stratégies sont ensuite appliquées au niveau du domaine.

Les stratégies sont enfin appliquées au niveau de l'unité d'organisation.

Les stratégies ordinateur s'appliquent lors de la phase d'amorçage des ordinateurs.

Les stratégies utilisateur s'appliquent lors de la connexion de l'utilisateur.

Figure 13.6

Précédence d’héritage des stratégies de groupe.

Windows 2000 ServerGUIDE DE L’ADMINISTRATEUR

378

5. Une fois la sélection effectuée, cliquez sur l’icône du milieu parmi les icônes situées àdroite de la liste, comme nous l’avons illustré à la Figure 13.7. Saisissez un nom pourl’objet créé et validez par OK.

6. Une fois le GPO configuré, réactivez l’onglet Stratégie de groupe et sélectionnez l’objetGPO à gérer. Nous reviendrons ci-après sur les options présentées à la Figure 13.8.

Figure 13.7

Options de configuration des stratégies de groupe.

Figure 13.8

Options disponibles pour la personnalisation d’un objet Stratégie de groupe.

Implémenter des stratégies de groupeCHAPITRE 13

379

Stratégies de groupe et réseaux basse vitesse

Le système de gestion des stratégies de groupe peut détecter le type de connexion. Suivant lesoptions sélectionnées, la configuration de votre stratégie nécessitera une bande passante plusou moins large. C’est pourquoi les réseaux basse vitesse sont pris en compte de manièrespécifique par les objets Stratégie de groupe.

Lorsque l’utilisateur se connecte au réseau, un algorithme permet de déterminer le débit de laconnexion. Si un réseau basse vitesse est détecté, un sous-ensemble de stratégie est mis à ladisposition de l’ordinateur ou de l’utilisateur. Ainsi, sur une connexion lente, les possibilitésde restriction d’application ne seront pas disponibles.

Le paramétrage par défaut de l’exploitation des stratégies sur un lien basse vitesse est lesuivant :

• Paramètres de sécurité ON

• Modèle d’administration ON

• Installation de logiciel OFF

• Scripts OFF

• Redirection de dossiers OFF

Toutes ces catégories de stratégies, hormis les modèles d’administration, peuvent être person-nalisées dans le cadre d’une utilisation sur une connexion basse vitesse. Les modèles d’admi-nistration sont par défaut actifs et ne peuvent être modifiés.

L’algorithme mis en œuvre sous Windows NT 4.0 pour la détection des connexions bassevitesse était fondé sur des temps de réponse liés au système de fichiers. Windows 2000 intègreun nouvel algorithme de détection de débit fondé sur les paramètres Réseau. Les informationsde configuration concernant la détection des liens basse vitesse se trouvent au niveau del’arborescence Configuration ordinateur\Modèles d’administration\Système\Stratégies degroupe pour les configurations ordinateur et dans Configuration utilisateur\Modèles d’admi-nistration\Système\Stratégies de groupe pour les configurations utilisateur. Dans le cadred’une Configuration utilisateur, vous pouvez préciser le débit à partir duquel le système destratégie détecte une connexion basse vitesse. Si vous fixez ce paramètre à 128 Kbit/s, touteconnexion fonctionnant en deçà de cette limite est considérée comme connexion bassevitesse. La valeur par défaut de ce paramètre est de 500 Kbit/s.

Filtrage de la portée d’un GPO

Des groupes de sécurité Active Directory peuvent être mis à contribution afin de cibler laportée d’un objet Stratégie de groupe spécifique. Les possibilités de personnalisation desconfigurations utilisateur et ordinateur peuvent être gérées par ces groupes de sécurité. Lesstratégies de groupe ne s’appliquent qu’aux utilisateurs ou ordinateurs disposant d’autorisa-tions de lecture. En conséquence, même si un utilisateur ou un ordinateur appartient à uneunité d’organisation pour laquelle une stratégie a été définie, l’objet en question ne seraconcerné que dans la mesure où l’autorisation de lecture lui aura été attribuée explicitementou implicitement via l’appartenance à un groupe.


380

Pour qu’un groupe soit concerné par une stratégie de groupe spécifique, il convient de vérifierque l’autorisation Appliquer la stratégie de groupe est cochée et que le groupe dispose d’unaccès en lecture sur l’objet Stratégie de groupe. Si l’un de ces attributs d’autorisation est révo-qué, le groupe ne pourra pas accéder à la stratégie de groupe. Pour qu’une stratégie de groupene puisse plus s’appliquer à un groupe, il vaut mieux désactiver l’attribut Appliquer la straté-gie de groupe plutôt que de supprimer l’autorisation Lecture. Par défaut, le groupe des utilisa-teurs authentifiés ne peut modifier les objets de stratégie de groupe, mais il peut y être associé.Les membres de ce groupe disposent en effet de l’autorisation Appliquer la stratégie degroupe accès et de l’autorisation Lecture.

Les administrateurs du domaine, les administrateurs de l’entreprise, ainsi que le système localdisposent d’autorisations de contrôle total. Les administrateurs étant par ailleurs des utilisa-teurs authentifiés, ils héritent de l’autorisation Appliquer la stratégie de groupe via ce groupede sécurité.

Pour configurer des autorisations spécifiques à un objet Stratégie de groupe, sélectionnez lespropriétés de l’objet et activez l’onglet Sécurité. Cliquez sur le bouton Avancé afin d’accéderaux options présentées à la Figure 13.9. Vous pourrez dès lors configurer les droits d’accèsspécifiques aux objets Stratégie de groupe.

Modifier les règles d’héritage des stratégies de groupeSous Active Directory, les affectations des stratégies de groupe se font en fonction de laprécédence d’héritage. Une stratégie sera appliquée au niveau du site, puis du domaine, et fina-lement au niveau de l’unité d’organisation. Cette simple hiérarchie peut tout à fait convenir aux

Figure 13.9

Filtrage de stratégies de groupe.


381

petites structures. En revanche, dans un environnement d’entreprise de type « multinationale »,il se peut qu’un modèle Stratégie de groupe plus complexe soit nécessaire. La modification desrègles d’héritage des stratégies de groupe peut s’effectuer au moyen de deux options : lemasquage de l’héritage et le blocage de l’héritage.

Remplacement d’héritage

Étant donné la précédence d’héritage des stratégies de groupe, les administrateurs de basniveau sont en mesure de masquer ou de remplacer les stratégies définies à un niveau supé-rieur. Par exemple, un administrateur de domaine peut configurer un ensemble de stratégiesau niveau Domaine pour tous les utilisateurs. Par défaut, un administrateur d’une unitéd’organisation faisant partie du domaine peut remplacer ces configurations par une stratégiedéfinie à son niveau. Grâce à l’option Aucun remplacement, vous pouvez assurer que la stra-tégie définie au niveau Domaine ne sera pas annulée par une stratégie de niveau organisation-nel. Cette option peut être définie, si nécessaire, par un objet Stratégie de groupe. Les admi-nistrateurs peuvent valider les audits sur les stratégies afin de contrôler les éventuels conflits.

Blocage d’héritage

L’option Bloquer l’héritage de stratégie offre aux administrateurs une possibilité complémen-taire de contrôle des stratégies définies pour un objet tel qu’une unité d’organisation. Cetteoption empêche la propagation des stratégies définies au niveau des conteneurs parents. End’autres termes, si un administrateur souhaite créer une unité d’organisation spécifique paral-lèlement à une stratégie définie au niveau Domaine, il peut activer l’option Bloquer l’héritagede stratégie afin d’empêcher l’application de la stratégie parente. Plus concrètement encore,vous devez définir une stratégie de groupe pour l’unité d’organisation concernée et activerl’option Bloquer l’héritage de stratégie. Dès lors, les stratégies du conteneur parent nes’appliqueront plus. Rappelez-vous cependant que si une option de remplacement d’héritageest active, l’option de blocage d’héritage n’est pas disponible.

Modifier les stratégies de groupeComprendre les stratégies de groupe, c’est bien. Les modifier de manière qu’elles puissents’appliquer à votre configuration, c’est mieux ! Pour modifier les objets Stratégie de groupe,deux techniques s’offrent à vous. Vous pouvez tout d’abord sélectionner l’onglet Stratégie degroupe à partir de la page des propriétés du site, du domaine ou de l’unité d’organisation.L’autre solution consiste à exécuter le composant Gestionnaire de stratégies de groupe enayant sélectionné au préalable la stratégie à modifier.

Onglet Stratégie de groupe

Pour modifier les paramètres de configuration des stratégies de groupe, vous pouvez mettre enœuvre l’une des méthodes suivantes. Une fois que vous avez activé l’onglet Stratégie de groupede la page des propriétés d’un site, d’un domaine ou d’une unité d’organisation, vous disposezde différentes options de contrôle sur l’objet Stratégie de groupe (voir la Figure 13.10).


382

• Les boutons Monter et Descendre permettent de définir des priorités entre les différentsobjets de stratégie de groupe. Ils ne sont actifs que lorsque vous disposez d’au moins deuxobjets de stratégie.

• Le bouton Options autorise une personnalisation avancée au moyen des attributs Aucunremplacement ou Désactivé (voir la Figure 13.11).

• Le bouton Supprimer efface l’objet Stratégie de groupe sélectionné. Une première optionpermet de dissocier la stratégie de l’objet. En effet, il arrive parfois que la stratégieconcernée soit déjà associée à d’autres objets et que vous ne souhaitiez pas créer denouvelle stratégie pour ces objets. Une seconde option permet aussi de supprimer le lienentre l’objet et la stratégie ; notez toutefois qu’elle supprime également et de façon perma-nente l’objet Stratégie de groupe.

• Le bouton Propriétés permet d’afficher les propriétés et de préciser si une ou les deux confi-gurations sont désactivées. Les liens avec les autres objets sont par ailleurs affichés. Desattributs de sécurité complémentaires peuvent être définis afin de personnaliser l’objet Stra-tégie de groupe (voir la Figure 13.12).

Figure 13.10

Options de personnalisation d’un objet Stratégie de groupe.

Figure 13.11

Le bouton Options ouvre l’accès à deux paramètres complémentaires.


383

• L’option Bloquer l’héritage de stratégie permet d’activer ou non les règles de précédenced’héritage.

• Le bouton Modifier démarre l’éditeur d’objets Stratégie de groupe. Cet outil sert à la confi-guration des paramètres stockés au sein même de l’objet Stratégie.

Éditeur de stratégies de groupe

Une fois la stratégie de groupe créée, vous pouvez sélectionner le bouton Modifier à partir del’onglet Stratégie de groupe et afficher ainsi les paramètres de configuration disponibles (voirla Figure 13.12). Chaque sous-dossier propose des options de configuration relatives à l’ordi-nateur ou à l’utilisateur. La Figure 13.13 présente les options de configuration pour l’arbores-cence Configuration ordinateur/Modèles d’administration/Système/Connexion. Chaqueoption est de type « 3 états » : actif, inactif ou non configuré.

Pour modifier l’un des paramètres, cliquez avec le bouton droit sur le dossier et sélectionnezla commande Propriétés dans le menu contextuel. La page des propriétés affiche l’ensemble

Figure 13.12

Le bouton Propriétés donne accès à d’autres options de personnalisation au travers de la MMC.

Figure 13.13

Accès aux options de paramétrage de stratégies.


384

des options relatives à la sélection. La Figure 13.14 illustre l’ensemble des paramètres deconfiguration disponibles pour l’élément Délai d’attente des connexions réseau lentes pourles profils utilisateurs.

Cette stratégie dispose de deux onglets. Le premier, Stratégie, affiche les paramètres person-nalisés de cette option. Le deuxième, Expliquer, fournit des explications relatives aux optionset à leurs paramètres de configuration. Les cases à cocher situées dans le coin supérieurgauche fixent l’état de l’élément considéré. Il en existe trois :

• Lorsque la case Activée est sélectionnée, l’option de stratégie est appliquée. La zone deparamètres est active.

• Lorsque la case Désactivée est cochée, l’option correspondante est désactivée. La zone deparamètres est grisée et les éventuelles entrées du Registre dépendant de cette stratégie sontsupprimées. Par exemple, si un ordinateur dispose d’une configuration définie par une stra-tégie précédente ou s’il a été configuré manuellement, les entrées correspondantes sontsupprimées.

• Par défaut, la case Non configurée est cochée. Cela signifie que l’option correspondanten’est pas implémentée. Elle apparaît alors dans l’état Non configurée de l’Éditeur de stra-tégies de groupe. Il est conseillé de conserver cette valeur de paramètre, à moins demaîtriser pleinement les répercussions des modifications que vous apporterez…

Ajouter des modèles d’administration

Vous pouvez définir vos propres modèles d’administration en plus de ceux qui sont fournispar défaut. Les modèles répertoriés sous l’Éditeur de stratégies de groupe sont issus defichiers .adm stockés dans un répertoire spécifique. D’autres fichiers .adm sont disponibles, y

Figure 13.14

Les paramètres disponibles pour l’option Délai d’attente des connexions réseau lentes pour les profils utilisateurs dans le cas d’une stratégie de type Utilisateur.


385

compris ceux qui sont livrés avec certaines versions de Windows NT 4.0. Pour ajouter unmodèle complémentaire, cliquez avec le bouton droit sur le dossier Modèles d’administrationdans l’Éditeur de stratégies de groupe et sélectionnez la commande Ajout/Suppression demodèles. Outre la liste des modèles installés, vous disposez de deux boutons pour l’ajout et lasuppression. Vous pouvez ainsi totalement personnaliser les stratégies de groupe applicablesà votre environnement, en récupérant par exemple des modèles déjà implémentés sousWindows NT 4.0.

Composant Gestionnaire de stratégies de groupe

Les objets Stratégie de groupe peuvent être gérés au moyen d’une console d’administrationpersonnalisée. En définissant votre propre console, vous pourrez gérer vos diverses stratégiesau travers d’une seule et même interface intuitive. Procédez ainsi pour créer une consoled’administration personnalisée :

1. Démarrez la MMC au moyen des commandes Démarrer et Exécuter. Dans la boîte dedialogue Exécuter, tapez MMC, puis validez par OK.

2. Sélectionnez le menu Console, puis Ajouter/Supprimer un composant logiciel enficha-ble.

3. Sous l’onglet Autonome, cliquez sur le bouton Ajouter.

4. Dans la liste des options disponibles, sélectionnez Stratégie de groupe et cliquez surAjouter. Par défaut, la stratégie locale est sélectionnée.

5. Cliquez sur Parcourir pour rechercher la stratégie de groupe à ajouter. Une fois cette der-nière sélectionnée, cliquez sur Terminer pour achever la procédure.

Exemple de configuration de stratégie de groupe

Une fois l’objet Stratégie de groupe configuré et appliqué, le menu Démarrer est modifié.Consultez à titre d’exemple les Figures 13.15 et 13.16 : la seconde ne comprend pas decommande Exécuter.

Figure 13.15

Exemples de menu Démarrer par défaut avant l’application d’une stratégie.


386

Déléguer le contrôle d’administration d’un objet Stratégie de groupe

L’un des facteurs-clés de la réussite d’une implémentation d’une stratégie de groupe est lamaîtrise du modèle d’administration de votre organisation et la cohérence de la stratégie degroupe par rapport à ce modèle. Dans de petites structures, un ou deux administrateurspeuvent se partager la responsabilité de la gestion des stratégies de groupe pour l’ensembledes utilisateurs. Toutefois, ce genre de répartition est difficilement applicable dans la majoritédes entreprises. Avec les stratégies de groupe de Windows 2000, il est possible de déléguer àd’autres personnes le contrôle d’administration des stratégies. Ceci permet de mettre en placed’une infrastructure modulaire souvent plus proche de la réalité de l’entreprise.

Plusieurs facteurs sont à prendre en compte lors de la mise en place d’une stratégie de groupe.La tâche la plus importante consiste à définir les règles de contrôle d’administration des stra-tégies. Vous devez considérer différents éléments, parmi lesquels :

• le choix entre un modèle d’administration centralisé par rapport à un modèle d’administra-tion distribué,

• les frontières d’administration au sein de l’organisation,

• la délégation de l’autorité.

Tous ces points sont essentiels à la mise en œuvre d’une stratégie de groupe efficace. Leproblème le plus épineux reste le choix entre un contrôle d’administration centralisé parrapport à un contrôle distribué. Les tâches d’administration peuvent être déléguées de diffé-rentes manières afin de tenir compte des exigences de votre organisation. Ainsi, des groupesde sécurité peuvent être définis au sein du corps d’administration afin de former un modèleStratégie de groupe. Les objets Stratégie de groupe seront alors façonnés sur la base de cemodèle. Il est ainsi possible de créer des stratégies de groupe pour différentes fonctionnalitéstelles que la gestion des scripts ou le contrôle de la sécurité. Vous pouvez, par exemple, nedésigner qu’un seul administrateur doté de droits de création et de gestion des scripts au seindes stratégies de groupe.

La délégation des tâches d’administration peut être scindée en trois groupes fonctionnels, misen œuvre conjointement ou indépendamment les uns des autres. Ces groupes sont lessuivants :

• création des objets Stratégie de groupe,

Figure 13.16

Exemple de menu Démarrer personnalisé à l’aide d’une stratégie. La commande Exécuter n’apparaît plus.


387

• modification des objets Stratégie de groupe,

• gestion de la liaison d’un objet Stratégie de groupe à un site, un domaine ou une unitéd’organisation.

Pour être en mesure de créer ou de gérer une stratégie de groupe, un administrateur doitdisposer des autorisations Lecture et Écriture de façon explicite ou implicite via son apparte-nance à un groupe de sécurité. En fournissant aux administrateurs un tel niveau d’accès, il estpossible de déléguer des tâches d’administration, comme la modification d’un objet de straté-gie de groupe, à d’autres personnes. Si vous n’attribuez aux administrateurs qu’un accèsen lecture, ils pourront consulter les stratégies, mais ne seront pas habilités à les modifier.Le Tableau 13.2 répertorie les autorisations par défaut lors de la création d’un objet Stratégiede groupe.

L’autorisation d’application des stratégies de groupe n’est accordée à aucun des groupes répertoriés dansle Tableau 13.2, excepté celui des utilisateurs authentifiés. Par défaut, un administrateur connecté au

réseau reçoit l’autorisation d’application des stratégies de groupe via son appartenance au groupe de sécurité desutilisateurs authentifiés.

Créer un objet Stratégie de groupePour créer un objet Stratégie de groupe, un administrateur doit disposer des autorisationsLecture et Écriture au niveau du site, du domaine ou de l’unité d’organisation. Par défaut, ilexiste plusieurs groupes de sécurité disposant déjà des autorisations appropriées pour la créa-tion de tels objets. Parmi ces groupes, citons les Administrateurs du domaine, les Administra-teurs de l’entreprise, les Administrateurs de stratégie de groupe, en plus du Système local.Pour doter les utilisateurs qui ne sont pas administrateurs de capacités de création d’objetsStratégie de groupe, vous devez les intégrer en tant que membres du groupe Administrateursde stratégie de groupe. Rappelez-vous qu’une fois qu’un objet Stratégie de groupe a été créépar un membre du groupe des Administrateurs de stratégie de groupe, l’ensemble desmembres dispose alors de privilèges de type Créateur-propriétaire sur cet objet. En d’autrestermes, tous les membres de ce groupe auront la possibilité de modifier cet objet Stratégie(ceci s’applique aussi aux membres non administrateurs). Par exemple, si deux employés sontmembres du groupe Administrateurs de stratégie de groupe, ils peuvent créer des stratégiesmais ne peuvent modifier que celles qu’ils ont conçues ou celles pour lesquelles ils disposentexplicitement des droits requis. Toutefois, le fait de ne pas être en droit d’associer des straté-

Tableau 13.2 Autorisations par défaut pour un objet Stratégie de groupe

Utilisateur/Groupe Type de contrôle d’accès

Utilisateurs authentifiés Lecture + Application de stratégie de groupe

Créateur-propriétaire Contrôle total

Administrateurs du domaine Contrôle total

Administrateur de l’entreprise Contrôle total

Système local Contrôle total

REMARQUE


388

gies limite les risques d’erreurs et de dommages. La Figure 13.17 illustre les autorisationsdéfinies par défaut lors de la création d’un nouvel objet Stratégie de groupe.

Le bouton Avancé, disponible au bas de la boîte de dialogue de la Figure 13.17, vous donneaccès à un contrôle complémentaire sur les autorisations définies par défaut. La Figure 13.18illustre les options avancées pour la configuration des fonctionnalités de sécurité des objetsStratégie de groupe.

Figure 13.17

Autorisations par défaut appliquées lors de la création d’un nouvel objet Stratégie de groupe.

Figure 13.18

Options avancées pour la configuration des fonctionnalités de sécurité des objets Stratégie de groupe.


389

Modifier un objet Stratégie de groupeLors de la création des objets Stratégie de groupe, les administrateurs de domaine, les admi-nistrateurs d’entreprise, le système d’exploitation, ainsi que le créateur-propriétaire de l’objetStratégie de groupe disposent de droits de modification. L’autorisation Appliquer la stratégiede groupe n’étant pas activée, la stratégie ne s’applique pas à ces utilisateurs au sein de leursgroupes respectifs. Les utilisateurs membres de ces groupes héritent cependant des autorisa-tions Lecture et Appliquer la stratégie de groupe en tant que membres du groupe des utilisa-teurs authentifiés.

D’autres groupes peuvent disposer du droit de modification sur les objets Stratégie de groupeafin de répondre au mieux aux exigences de votre secteur d’activité. Procédez ainsi pour créerun nouveau groupe chargé de gérer les stratégies de groupe :

1. Sélectionnez la stratégie à modifier et ouvrez le composant enfichable Stratégie de groupe.

2. Cliquez avec le bouton droit sur la stratégie, sélectionnez Propriétés, puis activez l’on-glet Sécurité.

3. Cliquez sur le bouton Ajouter et sélectionnez le groupe à ajouter à la stratégie.

4. Par défaut, ce groupe dispose d’une autorisation de lecture sur l’objet. Activez l’autori-sation d’écriture comme cela est illustré à la Figure 13.19.

5. Cliquez sur le bouton Avancé pour personnaliser, le cas échéant, les paramètres d’accèsde ce groupe.

6. Sélectionnez Appliquer et validez par OK.

Figure 13.19

Vous pouvez configurer un nouveau groupe disposant de droits d’administration sur les objets Stratégie de groupe.


390

Gérer un objet Stratégie de groupe associé à un site, un domaine ou une unité d’organisation

Une fois la stratégie créée et configurée, elle doit être appliquée à un objet afin d’être effec-tive. Les objets Stratégie de groupe peuvent uniquement être appliqués à des sites, des domai-nes ou des unités d’organisation. Afin de définir l’objet associé à un objet Stratégie de groupe,vous devez configurer un lien vers le site, le domaine ou l’unité d’organisation en question.Pour mettre en œuvre un lien, activez l’onglet Stratégie de groupe à partir de la page despropriétés du site, du domaine ou de l’unité d’organisation.

Pour que de nouveaux groupes puissent disposer des droits de gestion sur les liens aux objetsStratégie de groupe, il faut faire appel à un nouvel outil proposé par Windows 2000 : l’assis-tant de délégation. Ce dernier inclut une tâche prédéfinie que vous devez sélectionner pourdéléguer la gestion des liens de stratégie de groupe :

1. Cliquez avec le bouton droit sur le site, le domaine ou l’unité d’organisation, et sélec-tionnez Délégation de contrôle.

2. Sélectionnez Suivant dans le premier écran de présentation.

3. L’écran Suivant affiche les domaines et, le cas échéant, les sites concernés. Cliquez surSuivant.

4. Sélectionnez l’utilisateur ou le groupe utilisateur à ajouter à l’aide du bouton Ajouter(voir la Figure 13.20). Cliquez sur Suivant.

5. Cochez la case Gestion des liens de stratégie de groupe afin d’accéder à ses propriétés(voir la Figure 13.21 illustrant une option équivalente lors d’une délégation de contrôlesur un domaine). Cliquez sur Suivant.

Figure 13.20

Choisissez l’utilisateur ou le groupe disposant d’autorisations de délégation.


391

6. La dernière boîte de dialogue affiche les options sélectionnées. Cliquez sur Terminerpour appliquer les paramètres définis.

Règles relatives à l’implémentation des stratégies de groupeLe respect de certaines règles est indispensable lors de la mise en place de la structure et desfonctionnalités des nouvelles stratégies de groupe. Les méthodes d’implémentation des stra-tégies de groupe sont tout aussi importantes que les tâches d’administration quotidiennes.Une implémentation mal conçue ne permettra de retirer aucun avantage des stratégies degroupe et se révélera à la longue contraignante.

Tout d’abord, la mise en œuvre d’une structure de stratégies de groupe suppose la compréhen-sion de l’architecture d’Active Directory. Une infrastructure Active Directory bien conçue estfondée sur les limites et exigences du secteur d’activité de l’organisation. La conceptiond’Active Directory détermine de façon critique les règles d’exploitation des stratégies degroupe. Lors de la conception de votre infrastructure Active Directory, il est donc importantd’intégrer la notion de stratégie de groupe. Vous pourrez ainsi simplifier à l’extrême l’admi-nistration et l’implémentation de votre stratégie de groupe.

Votre implémentation doit par ailleurs tenir compte des règles d’héritage. Rappelez-vous quelorsqu’un objet Stratégie est appliqué, il peut être masqué par d’autres objets Stratégie. Lesstratégies peuvent uniquement être appliquées à trois types d’objets. Les règles d’applicationdes stratégies respectent l’ordre suivant :

• le site,

• le domaine,

• l’unité d’organisation.

Figure 13.21

Sélectionnez les tâches à affecter au groupe ou à l’utilisateur sélectionné.


392

La priorité est donnée à l’objet le plus proche de l’ordinateur ou de l’utilisateur. Par exemple,si une stratégie est associée à un site et une autre à une unité d’organisation et que ces deuxstratégies entrent en conflit, la stratégie de niveau Unité d’organisation prévaudra sur la stra-tégie de niveau Site car l’objet Unité d’organisation est plus proche de l’utilisateur que l’objetSite. Il faut faire très attention à l’implémentation des stratégies dans la mesure où ellespeuvent devenir difficiles à administrer et à gérer en cas de conflit.

Outre les règles d’héritage, d’autres mécanismes permettent de personnaliser l’exploitationdes objets Stratégie de groupe. Par défaut, les objets Stratégie de groupe sont cumulatifs et sepropagent depuis le conteneur parent. Ce comportement peut être modifié au sein même desobjets Stratégie de groupe. Vous pouvez par exemple faire appel à l’option de blocage d’héri-tage pour empêcher la diffusion d’une stratégie d’un conteneur parent. Dès lors, il est possiblede déléguer le contrôle d’administration des conteneurs enfants à d’autres utilisateurs.

L’option de remplacement d’héritage fait partie des techniques permettant une personnalisa-tion avancée. Elle permet en effet d’annuler les règles d’héritage et donc de forcer l’applica-tion d’une stratégie pour un conteneur enfant. Par exemple, si un administrateur de domainedispose des autorisations adéquates sur un conteneur enfant, il pourrait activer l’option deblocage afin d’empêcher la propagation des stratégies du conteneur parent vers ce conteneur.En sélectionnant l’option Aucun remplacement, vous pouvez toutefois vous assurer del’application de la stratégie vers le conteneur enfant. Cette option peut être configurée indivi-duellement pour chaque objet Stratégie de groupe. Par ailleurs, si l’option Aucun remplace-ment est activée conjointement aux options de blocage, le blocage sera effectif.

Lors de l’application de l’objet Stratégie de groupe, n’hésitez pas à faire appel au principed’appartenance aux groupes de sécurité afin de filtrer les utilisateurs et les ordinateurs nonconcernés par la stratégie. Par défaut, un utilisateur doit disposer des autorisations Lecture etAppliquer la stratégie de groupe afin d’être en mesure d’exécuter la stratégie. En révoquantl’une de ces autorisations, vous pourrez interdire l’accès à une stratégie à un utilisateur, unordinateur ou un groupe spécifique. Lorsque vous tenez compte de l’appartenance à des grou-pes de sécurité dans un but de filtrage, ne révoquez pas systématiquement l’autorisationLecture, servez-vous autant que possible de l’autorisation Appliquer la stratégie de groupe. Ilfaut néanmoins faire très attention lors de la conception et de l’implémentation de ce concept.Une utilisation saine conduit à des principes de distribution de stratégie très sophistiqués, uneimplémentation erronée complique énormément la maintenance.

Deux configurations sont disponibles au sein d’une stratégie de groupe : la Configuration ordi-nateur et la Configuration utilisateur. Les configurations ordinateur sont associées à des machi-nes physiques indépendamment de la personne qui s’y connecte. Les paramètres relatifs à laConfiguration utilisateur sont mis en œuvre afin de fournir la même interface à un utilisateur seconnectant à partir de n’importe quelle machine du réseau. La combinaison de ces deux straté-gies permet de disposer d’une configuration efficace. Quoi qu’il en soit, les options de Configu-ration utilisateur masquent toujours les options de Configuration ordinateur.

Chaque type de configuration dispose de différentes catégories d’options. Il existe troissous-dossiers : Paramètres logiciel, Paramètres Windows et Modèles d’administration. Àpartir de ces trois sous-dossiers, il est possible de configurer cinq classes de paramètres : ledéploiement logiciel, les stratégies logicielles, le déploiement des fichiers et dossiers, lesscripts, et la sécurité. Chaque classe maintient son propre ensemble d’options de configuration.


393

Ces options peuvent varier selon que l’on se place sur une Configuration ordinateur ou surune Configuration utilisateur. Les implémentations des stratégies de groupe peuvent êtremises en œuvre et administrées sur la base de la définition de catégories d’objets Stratégie.

Par exemple, un administrateur peut être chargé de la gestion de toutes les stratégies relativesà l’exécution des scripts. Un autre administrateur peut être responsable de la gestion des para-mètres de sécurité stockés au sein des objets Stratégie de groupe.

L’implémentation de stratégies de groupe au sein d’une organisation doit respecter certainesrègles. L’essentiel est de comprendre les besoins spécifiques liés à l’activité afin de mettre enplace l’infrastructure adéquate. Essayez, si possible, de mettre en œuvre votre structureActive Directory tout en ayant à l’esprit l’implémentation des stratégies de groupe. En règlegénérale, il faut réaliser l’implémentation la plus simple possible. En effet, dans des cascomplexes, il se peut que vous ne soyez plus en mesure de contrôler les règles d’implémenta-tion des stratégies de groupe. Rappelez-vous que le but est plus de faciliter les tâches d’admi-nistration que de générer une surcharge de travail…

Conseils d’expertsDans la section précédente, nous nous sommes attachés à la présentation des règles etconcepts importants concernant l’implémentation des stratégies de groupe. Nous allons abor-der maintenant les aspects techniques pratiques de l’administration et de l’implémentationdes stratégies de groupe de façon que votre mise en œuvre soit facilitée. Chacune de nosrecommandations est un compromis, il convient de vérifier leur adéquation par rapport à unenvironnement spécifique.

• Utilisez les stratégies de groupe plutôt que les stratégies système de Windows NT 4.0. Bienque les stratégies de groupe puissent masquer les stratégies système de Windows NT 4.0,nous vous déconseillons une telle approche.

• Les stratégies de groupe peuvent être appliquées à différents niveaux. Essayez de les mettreen œuvre au plus haut niveau possible. Cela facilitera les tâches administratives.

• Associez vos objets de stratégie de groupe au travers des appartenances de groupe. Bienqu’il soit possible d’appliquer des autorisations de sécurité sur des objets Stratégie degroupe directement aux utilisateurs, il est préférable de se fonder sur les appartenances auxgroupes de sécurité afin de limiter les tâches d’administration, surtout dans des environne-ments complexes.

• Ne mettez en œuvre des stratégies orientées ordinateur pour masquer des stratégies orien-tées utilisateur que lorsque cela est indispensable. Les stratégies ordinateur ne doivent êtreappliquées que lorsque vous souhaitez qu’un Bureau ait toujours la même apparence, quelque soit celui qui se connecte.

• Limitez au minimum le nombre d’objets de stratégie associés aux utilisateurs au niveau desunités d’organisation et des domaines. L’application d’un grand nombre de stratégies degroupe peut ralentir le processus de connexion et engendrer une surcharge de travail auniveau administration.


394

• Ne mettez en œuvre les options de blocage de l’héritage des stratégies et de non-remplace-ment que lorsque cela est nécessaire. Ces fonctionnalités compliquent la conception etrendent difficiles les opérations de dépannage. En outre, de telles options accroissent letemps de traitement des stratégies à la connexion ou au démarrage.

• Ne mettez pas en œuvre d’objets de stratégie de groupe impliquant de multiples domaines.La traversée des domaines accroît le temps de traitement des stratégies et peut avoir unimpact catastrophique sur l’utilisateur.

• Lors de l’attribution d’applications via les stratégies de groupe, mettez en œuvre une Confi-guration ordinateur ou une Configuration utilisateur, jamais les deux.

• Appliquez vos filtres de stratégie sur la base des appartenances de groupe. En effet, enappliquant des droits au groupe, il est plus facile de filtrer les utilisateurs concernés par desstratégies spécifiques. Par exemple, si des utilisateurs appartenant à une unité d’organisa-tion à laquelle une stratégie de groupe est appliquée ne sont pas membres d’un groupespécifique, ils ne seront pas concernés par les stratégies de ce groupe. Cette technique esttrès pratique lorsque vous avez à gérer beaucoup d’utilisateurs avec un minimum de straté-gies.

• Mettez en œuvre des scripts de stratégie de groupe plutôt que des scripts associés aux utili-sateurs. La gestion des scripts sera plus facile et plus efficace. Si vous disposez de scripts degroupe et de scripts utilisateur, il se peut qu’il y ait un problème lors de leur exécutiondurant le processus de connexion.

• Lorsque vous définissez des paramètres de réseau basse vitesse, il faut tenir compte desbesoins des clients dans des conditions normales de connexion. Commencez par évaluer lavitesse de connexion au réseau du client, puis concevez vos règles de stratégie en fonctionde cette vitesse.

SynthèseLes stratégies de groupe permettent de gérer les environnements de Bureau de l’utilisateur.Ces configurations sont stockées au sein d’Active Directory et sont répliquées sur l’ensembledes contrôleurs de domaine. Les stratégies de groupe permettent de modéliser et de renforcerl’application des stratégies organisationnelles de l’entreprise.

Il existe deux types de configuration de stratégie de groupe : les stratégies ordinateur et utili-sateur. Chaque catégorie propose des paramètres de configuration similaires, mais leurgestion et leur application diffèrent. Une Configuration ordinateur sert à la gestion et à la défi-nition de stratégies propres à la machine. Par exemple, des paramètres liés au déploiement defichiers ou à la sécurité peuvent s’appliquer à différents utilisateurs ayant accès à un ordina-teur spécifique au travers d’une stratégie de groupe de type Ordinateur. Une Configurationutilisateur permet d’appliquer des stratégies lors de la connexion d’un utilisateur à un réseauWindows 2000. Il peut s’agir de paramètres tels que l’attribution d’applications spécifiquesou la définition d’un écran de veille. Les stratégies de type Ordinateur s’appliquent lors de laphase de boot, tandis que les stratégies de type Utilisateur sont mises en œuvre au moment dela connexion au réseau.


395

Chaque type de configuration intègre trois sous-dossiers proposant chacun un ensembled’options spécifiques. Le dossier Paramètres logiciel permet de gérer la distribution logicielle,y compris la publication et l’attribution d’applications. Le dossier Paramètres Windows sertglobalement à la configuration de l’environnement et intègre des paramètres de configurationde sécurité et de traitement de scripts. Le dernier sous-dossier propose des modèles d’adminis-tration. Ces derniers contiennent des informations sur les stratégies orientées Registre. Lesinformations de type Utilisateur sont stockées sous la clé HKEY_CURRENT_USER et cellesqui sont relatives à la Configuration ordinateur, sous HKEY_LOCAL_MACHINE. Les modè-les d’administration sont des fichiers .admet, les informations de configuration sont stockéesdans un fichier nommé registry.pol. Chaque type de configuration dispose de son propre fichierregistry.pol.

Cinq catégories de stratégie de groupe sont prédéfinies. La distribution logicielle propose desservices d’installation de logiciels. Les deux types de distribution logicielle de Windows 2000sont l’attribution d’applications (obligations d’installation d’un logiciel) et la publicationd’applications (simple mise à disposition du logiciel pour un utilisateur). Les stratégies logi-cielles définissent l’environnement de travail de l’utilisateur (paramètres de Bureau, écran deveille, papier peint, etc.). La stratégie de gestion de fichiers et de dossiers fournit des servicesde réplication comme la recopie d’un dossier contenant de la documentation sur l’ensembledes machines du réseau. Les stratégies Scripts permettent de définir des scripts de démarrageet d’arrêt.

Les objets Stratégie de groupe servent au stockage des informations de configuration. Unefois les paramètres définis, ils sont conservés au sein d’un objet Stratégie de groupe et appli-qués à un site, un domaine ou une unité d’organisation. Il existe deux sortes de GPO : lesconteneurs (GPC) et les modèles (GPT) de stratégie de groupe. Les GPC ne stockent que trèspeu d’informations et font partie d’Active Directory. Ils servent à mémoriser des informationstelles que les attributions d’applications, la disponibilité de l’objet Stratégie, ou encore desinformations de version et d’état de chaque GPO. Les GPT sont stockés sur tous les contrô-leurs de domaine et sont répliqués. Ils contiennent des informations plus volumineuses : enparticulier les fichiers à répliquer et les fichiers source des applications. Un GPT est en faitune structure de dossiers et de fichiers à répliquer à partir du volume système (SYSVOL). Unfichier nommé GPT.INI mémorise les informations de version et l’état de l’objet Stratégie degroupe pour les modèles Stratégie de groupe.

Vous pouvez appliquer les stratégies de groupe de différentes manières. Tout d’abord, unobjet Stratégie de groupe peut être appliqué uniquement à un site, un domaine ou une unitéd’organisation. Ensuite, la stratégie la plus proche de l’objet Utilisateur ou Ordinateur estprioritaire par rapport à toute autre stratégie. Par exemple, si une stratégie est appliquée à undomaine et à une unité d’organisation, compte tenu du fait que l’unité d’organisation est plusproche de l’objet Utilisateur ou Ordinateur, elle est prioritaire. C’est ce qu’on appelle laprécédence d’héritage. Vous pouvez vous fonder sur cette précédence pour le filtrage desautorisations de sécurité d’accès aux objets Stratégie de groupe.

Des options complémentaires permettent de modifier les règles d’héritage. Le principe denon-remplacement de l’héritage est conçu de manière que les administrateurs de bas niveaupuissent filtrer les configurations de stratégies définies à un niveau supérieur. Ainsi, les admi-nistrateurs du domaine ou les administrateurs de plus haut niveau au sein de l’arborescenceActive Directory peuvent forcer l’application d’une stratégie à un niveau inférieur. Le prin-


396

cipe de blocage de l’héritage de stratégie permet de contrôler la propagation des règles d’héri-tage vers les couches basses. Si vous validez ces deux principes de non-remplacement et deblocage d’héritage, la priorité est donnée au non-remplacement des règles d’héritage.

La gestion des configurations des objets Stratégie de groupe se fait au travers de l’Éditeur destratégies de groupe, qui peut être lancé en tant que composant enfichable de la MMC ouaprès la sélection de l’onglet Stratégie de groupe d’un site, d’un domaine ou d’une unitéd’organisation. Si vous optez pour la deuxième méthode, vous devez cliquer sur Configura-tion, puis choisir entre l’un des trois états suivants : Activé, Désactivé ou Non configuré.L’état Activé force l’application des paramètres, Désactivé les annule et Non configuré (l’étatpar défaut) ne produit aucun changement.

Les stratégies de groupe vous permettent de créer un modèle d’administration le plus prochepossible des exigences de votre entreprise. La gestion et la maintenance des objets Stratégiede groupe et des associations nécessitent la mise en place d’administrateurs de stratégie degroupe. Le contrôle d’administration peut être délégué à d’autres administrateurs par le biaisde paramètres de sécurité avancés relatifs à une stratégie, un site, un domaine ou une unitéd’organisation.

Résumons une fois de plus les points importants concernant la création de stratégies degroupe. Premièrement, il convient de maîtriser l’infrastructure Active Directory et son fonc-tionnement. Pour une gestion efficace de vos stratégies de groupe, souvenez-vous de l’ordred’héritage (site, domaine et unité d’organisation). Vous pouvez personnaliser les stratégies degroupe afin qu’elles correspondent le mieux aux impératifs de votre organisation. En conclu-sion, faites en sorte que votre implémentation soit suffisamment simple pour être en mesurede faire face aux inévitables conflits et incidents.

FAQQ : À quel type d’objets les stratégies de groupe peuvent-elles être associées ?

R : Aux sites, domaines et unités d’organisation.

Q : Si une stratégie de configuration utilisateur entre en conflit avec une stratégie de configu-ration ordinateur, quelle est la stratégie appliquée ?

R : En cas de conflit sur les stratégies, la Configuration utilisateur masque la Configurationordinateur.

Q : Quel est l’ordre d’application des objets Stratégie de groupe ?

R : Lorsque les stratégies sont mises en œuvre via Active Directory, l’objet le plus proche del’ordinateur ou de l’utilisateur sera appliqué en premier. En d’autres termes, si un utilisateurse connecte au réseau et que deux de ses stratégies appliquées à différents niveaux de conte-neur entrent en conflit, la stratégie la plus proche de l’objet, conformément à la structured’Active Directory, sera appliquée.

Q : Si les deux options de blocage d’héritage et de non-remplacement sont validées, quelle estl’option prioritaire ?

R : Le blocage de la stratégie d’héritage sert à inhiber l’application au niveau d’un conteneurenfant d’une stratégie configurée au niveau d’un parent. À l’inverse, l’option Aucun rempla-


397

cement permet de forcer l’application de la stratégie de niveau parent. Il faut prêter une atten-tion particulière au paramétrage de ces options, dans la mesure où elles peuvent rapidementcompliquer le déploiement des stratégies de groupe et les opérations de dépannage.

Q : Que peut-on faire pour réduire le temps de traitement d’une stratégie de groupe ?

R : Il faut minimiser le nombre d’objets ainsi que les associations. Rappelez-vous quelorsqu’une stratégie de groupe doit être appliquée, Active Directory doit parcourir tout le site,le domaine, ainsi que les unités d’organisation à partir de la racine de l’arborescence. Évitezpar ailleurs d’exploiter des stratégies interdomaines.