Implémentation d'une

stratégie de groupe
Vue d'ensemble

 Présentation de la console Stratégie de groupe

 Structure de la console Stratégie de groupe
 Utilisation des objets Stratégie de groupe
 Application des paramètres de stratégie de groupe
dans Active Directory
 Modification de l'héritage d'une stratégie de groupe
 Délégation du contrôle d'administration des objets
Stratégie de groupe
 Surveillance et résolution des problèmes de
stratégie de groupe
 Conseils pratiques
Présentation de la console Stratégie de groupe

Stratégie de groupe Site

Domaine
Domaine Utilisateurs

UO
Ordinateurs
Les
Les administrateurs
administrateurs définissent
définissent Windows
Windows 2000
2000 l'applique
l'applique
une
une fois
fois la
la stratégie
stratégie de
de groupe
groupe systématiquement
systématiquement
La stratégie de groupe vous permet de :
 Définir des stratégies centralisées et décentralisées
 Vous assurer que les utilisateurs disposent de l'environnement
de travail adéquat
 Réduire le coût total de possession en contrôlant les
environnements d'utilisateur et d'ordinateur
 Appliquer les stratégies de l'entreprise
 Structure de la console Stratégie de groupe

 Types de paramètres de stratégie de groupe

 Objets Stratégie de groupe
 Paramètres de stratégie de groupe pour les
utilisateurs et les ordinateurs
 Objets Stratégie de groupe et conteneurs Active
Directory
Types de paramètres de stratégie de groupe

Types
Types de
de paramètres
paramètres de
de stratégie
stratégie de
de groupe
groupe
Modèles
Modèles Paramètres
Paramètres dede configuration
configuration de
de la
lastratégie
stratégie de
degroupe
groupe
d'administration
d'administration basés sur le Registre
basés sur le Registre
Paramètres
Paramètres de
de la
lasécurité
sécuritédes
des ordinateurs
ordinateurs locaux,
locaux,des
des
Sécurité
Sécurité domaines et du réseau
domaines et du réseau
Installation
Installationdes
des Paramètres
Paramètres de
de gestion
gestioncentralisée
centraliséede
de l'installation
l'installationdes
des
logiciels
logiciels logiciels
logiciels
Scripts
Scripts de
de démarrage,
démarrage,d'arrêt
d'arrêtet
etd'ouverture
d'ouvertureetetdede
Scripts
Scripts fermeture de session
fermeture de session
Services
Services Paramètres
Paramètres qui qui contrôlent
contrôlentles
les options
options disponibles
disponibles lors
lors
d'installation
d'installationàà de l'exécution de l'Assistant Installation de clients
de l'exécution de l'Assistant Installation de clients
distance
distance utilisé
utilisépar
parles
les services
services d'installation
d'installation ààdistance
distance
Paramètres
Paramètres d'administration
d'administrationet etde
depersonnalisation
personnalisationde de
Maintenance
Maintenance Microsoft Internet Explorer sur des ordinateurs
Microsoft Internet Explorer sur des ordinateurs
d'Internet
d'InternetExplorer
Explorer Microsoft
MicrosoftWindows
Windows 20002000
Redirection
Redirectionde
de Paramètres
Paramètres de de stockage
stockagedes des dossiers
dossiers des
des utilisateurs
utilisateurs
dossier
dossier sur un serveur réseau
sur un serveur réseau
 Objets Stratégie de groupe
Objet Stratégie de groupe
 Contient les paramètres de
la stratégie de groupe
 Son contenu est stocké au
niveau de deux
emplacements
Conteneur de stratégie de
groupe
 Stocké dans Active Directory
 Contient les informations de
version utilisées par les
contrôleurs de domaine
Modèle de stratégie de
groupe
 Stocké dans le dossier partagé
Sysvol du contrôleur de
domaine
 Contient les paramètres de la
stratégie de groupe que les
ordinateurs Windows 2000 se
procurent et appliquent
Paramètres de stratégie de groupe pour les
utilisateurs et les ordinateurs
 Paramètres de stratégie de groupe
pour les ordinateurs :
 Définissent le comportement du système
d'exploitation et du bureau, la configuration de la
sécurité, les scripts de démarrage et d'arrêt des
ordinateurs, les options d'application affectées par Ordinateurs
l'ordinateur et la configuration des applications
 S'appliquent à l'initialisation du système
d'exploitation et lors du cycle de rafraîchissement
périodique
 Paramètres de stratégie de groupe
pour les utilisateurs :
 Définissent le comportement du système
d'exploitation, la configuration du bureau et de la
sécurité, les options d'application affectées et Utilisateurs
publiées, la configuration des applications, les
options de redirection des dossiers et les scripts
d'ouverture et de fermeture de sessions utilisateur
 S'appliquent à l'ouverture d'une session utilisateur
sur l'ordinateur et lors du cycle de
rafraîchissement périodique
Application de la stratégie de
groupe
Registry Liste
.pol
des
objets 1 SYSVOL
HKEY_ GPO
CURRENT_
USER Registry 2 Registry
.pol .pol
HKEY_
LOCAL_
3 Modèle de
stratégie
de groupe
MACHINE

L'ordinateur client démarre ou l'utilisateur ouvre une session, et

l'ordinateur extrait une liste d'objets GPO à appliquer
L'ordinateur client se connecte à SYSVOL et localise les fichiers
Registry.pol
L'ordinateur client écrit les informations nécessaires dans les
sous-branches du registre
La boîte de dialogue d'ouverture de session (pour l'ordinateur) ou
le bureau (pour l'utilisateur) s'affiche
Objets Stratégie de groupe et conteneurs
Active Directory
GPO du domaine GPO du site
UO

UO Domaine UO
Domaine
GPO de l'unité GPO de l'unité
d'organisation d'organisation
Site

 Les paramètres des objets Stratégie de groupe s'appliquent aux

objets utilisateur et ordinateur contenus dans les sites, les
domaines et les unités d'organisation auxquels un objet Stratégie
de groupe est lié
 Vous pouvez lier un objet Stratégie de groupe à plusieurs sites,
domaines ou unités d'organisation
 Vous pouvez lier plusieurs objets Stratégie de groupe à un site,
domaine ou une unité d'organisation
 Vous ne pouvez pas lier des objets Stratégie de groupe aux
conteneurs Active Directory par défaut
 Utilisation des objets Stratégie de groupe

 Création d'objets Stratégie de groupe liés

 Création d'objets Stratégie de groupe non liés
 Liaison d'un objet Stratégie de groupe existant
 Spécification d'un contrôleur de domaine pour la
gestion des objets Stratégie de groupe
Création d'objets Stratégie de groupe liés
Pour appliquer la stratégie de
groupe à un conteneur, créez un
objet Stratégie de groupe lié au
conteneur :
 Créez des objets Stratégie de
groupe liés aux domaines ou
aux unités d'organisation à
l'aide du composant Utilisateurs
et ordinateurs Active Directory
 Créez des objets Stratégie de
groupe liés aux sites à l'aide du
composant Sites et services Nom
Nom dede l'objet
l'objet
Active Directory Stratégie
Stratégie
de
de groupe
groupe liélié

Pour
Pour créer
créer un
un objet
objet
Stratégie
Stratégie de
de groupe
groupe
Création d'objets Stratégie de groupe non liés

Pour
Pour créer
créer un
un objet
objet
Stratégie
Stratégie de
de
groupe
groupe non lié
non lié
 Liaison d'un objet Stratégie de groupe existant
Sélectionnez
Sélectionnez l'onglet
l'onglet
approprié Sélectionnez
Sélectionnez lele
approprié conteneur
conteneur dans
dans
lequel
lequel réside
réside l'objet
l'objet
Stratégie de groupe
Stratégie de groupe

Stratégie de groupe

Sélectionnez
Sélectionnez
l'objet
l'objet Stratégie
Stratégie
de
de groupe àà lier
groupe lier
No Override Disabled

Pour
Pour lier
lier un
un objet
objet
Stratégie de
Stratégie de
groupe
groupe existant
existant
Spécification d'un contrôleur de domaine pour
la gestion des objets Stratégie de groupe
 Lorsque vous créez un objet Stratégie de groupe ou en
modifiez un, le contrôleur de domaine détenant le rôle
d'émulateur CPD effectue par défaut l'opération
 Options disponibles pour définir le contrôleur de domaine
qui gérera les objets Stratégie de groupe :
 Celui avec le jeton maître d'opérations pour l'émulateur
CPD
 Celui utilisé par les composants logiciels enfichables
d'Active Directory
 Utiliser tout contrôleur de domaine disponible
 Pour définir le contrôleur de domaine qui gérera les
objets Stratégie de groupe :
 Utilisez la commande Options du contrôleur de domaine
dans le menu Affichage du composant logiciel enfichable
Stratégie de groupe
 Activez le paramètre d'une stratégie de groupe qui définit
l'option du contrôleur de domaine à utiliser
 Application des paramètres de stratégie de
groupe dans Active Directory

 Héritage d'une stratégie de groupe

 Traitement des paramètres de stratégie de groupe
 Contrôle du traitement d'une stratégie de groupe
 Stratégie de groupe et connexions (liaisons)
réseau lentes
 Résolution des conflits entre les paramètres de
stratégie de groupe
 Discussion : Application d'une stratégie de
groupe
Héritage d'une stratégie de groupe

Site
Windows 2000 applique les paramètres
de l'objet Stratégie de groupe dans un
ordre donné

Domaine
Domaine

GPO
UO de domaine
Domaine
Les conteneurs enfants héritent des
paramètres de l'objet Stratégie de
groupe des conteneurs parents Personnel

Ordinateurs

Utilisateurs
Traitement des paramètres de stratégie de
groupe
 Les paramètres de
l'ordinateur sont
L'ordinateur est appliqués
démarré  Les scripts de
démarrage sont
exécutés
 Les paramètres de
l'utilisateur sont
L'utilisateur appliqués
ouvre une  Les scripts d'ouverture
session de session sont
exécutés

La fonctionnalité GetGPOList s'exécute sur l'ordinateur client :

 Au démarrage de l'ordinateur pour déterminer les objets
Stratégie de groupe contenant les paramètres de configuration
de l'ordinateur à appliquer
 À l'ouverture de session de l'utilisateur pour déterminer les
objets Stratégie de groupe contenant les paramètres de
configuration de l'utilisateur à appliquer
Contrôle du traitement d'une stratégie de
groupe
 Traitement synchrone et asynchrone
 Par défaut, le traitement de la stratégie de groupe
est synchrone
 Vous pouvez plutôt définir le traitement asynchrone
en utilisant un paramètre de stratégie de groupe
pour les ordinateurs et les utilisateurs

 Actualisation de la stratégie de groupe à des intervalles

définis :
 Toutes les 90 minutes pour les ordinateurs
configurés comme des contrôleurs de domaine et
exécutant Microsoft Windows 2000 Professionnel
et pour les serveurs membres exécutant
Microsoft Windows 2000 Server
 Toutes les cinq minutes pour les contrôleurs de
domaine
Stratégie de groupe et connexions (liaisons)
réseau lentes

 Une stratégie de groupe peut

détecter une liaison lente
 Une stratégie de groupe utilise
un algorithme pour déterminer si
une liaison doit être considérée
comme lente
 Une stratégie de groupe définit
un indicateur pour signaler une
liaison lente aux extensions côté
client
Résolution des conflits entre les paramètres de
stratégie de groupe

 Tous les paramètres d'une stratégie de

groupe s'appliquent à moins que certains
d'entre eux n'entrent en conflit
 Le dernier paramètre traité s'applique
 Lorsque les paramètres de différents objets
Stratégie de groupe dans la hiérarchie Active
Directory sont en conflit, les paramètres de
l'objet Stratégie de groupe du conteneur
enfant s'appliquent
 Lorsque les paramètres des objets Stratégie
de groupe liés à un même conteneur entrent
en conflit, les paramètres de l'objet Stratégie
de groupe les plus hauts dans la liste
s'appliquent
 Les paramètres d'un ordinateur s'appliquent
lorsqu'ils sont en conflit avec ceux d'un
utilisateur
 Exemple : Application d'une stratégie de
groupe
GPO1

 Le GPO1 s'assure que Site

Le GPO1 s'assure que
Favoris
Favoris s'affiche
s'affiche dans
dans le
le
menu
menu Démarrer
Démarrer
 Les GPO2 et GPO3 nécessitent
Les GPO2 et GPO3 nécessitent GPO2
un
un mot
mot de
de passe
passe de
de 11
11 caractères
caractères GPO3
et
et suppriment
suppriment Windows
Windows Update
Update
Domaine
Domaine
 Le GPO4 supprime Favoris du
Le GPO4 supprime Favoris du
menu
menu Démarrer
Démarrer et
et ajoute
ajoute
Windows
Windows Update
Update
Quels
Quels sont
sont les
les paramètres
paramètres dede GPO4
stratégie UO
stratégie de
de groupe
groupe résultants
résultants
pour
pour l'unité
l'unité d'organisation
d'organisation ??
 Exemple : Application d'une stratégie de
groupe (2)
GPO1

Site
Quels
Quels sont
sont les
les paramètres
paramètres dede
stratégie
stratégie de
de groupe
groupe résultants
résultants
pour
pour l'unité
l'unité d'organisation
d'organisation ??
GPO2
 Le mot de passe doit contenir au
Le mot de passe doit contenir au GPO3
moins
moins 11
11 caractères
caractères
Domaine
Domaine
 Windows Update s'affiche dans le
Windows Update s'affiche dans le
menu
menu Démarrer
Démarrer
 Favoris ne s'affiche pas dans le
Favoris ne s'affiche pas dans le
menu GPO4
menu Démarrer
Démarrer
UO
 Modification de l'héritage d'une stratégie
de groupe

 Activation du blocage de l'héritage

 Activation de l'option Aucun remplacement
 Filtrage des paramètres d'une stratégie de groupe
 Discussion : Modification de l'héritage d'une
stratégie de groupe
Activation du blocage de l'héritage

Blocage de l'héritage :
 Empêche tous les
objets GPO d'hériter Domaine
des paramètres de
tous les conteneurs Production
parents
 Vous ne pouvez pas
choisir de façon GPO
sélective les objets
Sales
GPO à bloquer
 Vous ne pouvez pas
empêcher l'application Aucun
Aucun paramètre
paramètre
de
de l'objet
l'objet
de l'option Aucun GPO
GPO ne s'applique
ne s'applique
remplacement
 Activation de l'option Aucun remplacement
Aucun remplacement :
 Remplace le blocage de
l'héritage et les conflits entre
Domaine les objets GPO
Production
 Doit être défini au niveau
Paramètres supérieur de l'arborescence
de l'objet GPO
définis à l'aide de
d'Active Directory
l'option Aucun  S'applique aux liens et non
remplacement
aux objets GPO
Sales  Applique les règles à l'échelle
de l'entreprise

Paramètres
Les
Les paramètres
paramètres de
de l'objet
l'objet GPO
GPO
de l'objet GPO du domaine s'appliquent
du domaine s'appliquent
en conflit
Filtrage des paramètres d'une stratégie de
groupe
Filtrez les paramètres de la
stratégie de groupe en :
 Refusant de façon explicite
l'autorisation Appliquer la
stratégie de groupe
Domaine  Omettant une autorisation
Appliquer la stratégie de
groupe explicite
Sales

Mengph Autoriser
Autoriser Lire
Lire et
et Appliquer
Appliquer la
la
stratégie
stratégie de
de groupe
groupe
Kimyo

Groupe Refuser
Refuser l'autorisation
l'autorisation
Appliquer
Appliquer la
la stratégie
stratégie de
de groupe
groupe
Exemple : Modification de l'héritage d'une
stratégie de groupe
Paramètres
Paramètres requis
requis
Contoso.com
 Une application antivirus doit être installée
Une application antivirus doit être installée
sur
sur tous
tous les
les ordinateurs
ordinateurs du
du domaine
domaine Sales
 La suite Microsoft Office doit être installée
La suite Microsoft Office doit être installée
sur
sur tous
tous les
les ordinateurs
ordinateurs dans
dans le
le domaine,
domaine,
àà l'exception
l'exception des
des ordinateurs
ordinateurs du
du service
service
Payroll
Payroll
 Une application de comptabilité doit être
Une application de comptabilité doit être Payroll
installée
installée sur
sur tous
tous les
les ordinateurs
ordinateurs clients
clients
du
du service
service Payroll,
Payroll, àà l'exception
l'exception des
des
ordinateurs utilisés par les administrateurs
ordinateurs utilisés par les administrateurs
de
de cette
cette unité
unité d'organisation
d'organisation

Comment
Comment configurer
configurer vos
vos objets
objets
Stratégie Training
Stratégie de
de groupe
groupe ??
Exemple : Modification de l'héritage d'une
stratégie de groupe (2)
Comment
Comment configurer
configurer vos
vos Nwtraders.com
objets
objets Stratégie
Stratégie de
de groupe
groupe ??
Sales
 Créez un objet GPO lié au domaine
Créez un objet GPO lié au domaine
configuré
configuré avec
avec les
les paramètres
paramètres de de
l'application
l'application antivirus et activez l'option
antivirus et activez l'option
Aucun remplacement sur la
Aucun remplacement sur la liaison liaison
 Créez un objet GPO lié au domaine qui
Créez un objet GPO lié au domaine qui
installe
installe la
la suite
suite Microsoft
Microsoft Office
Office
 Activez l'option Bloquer l'héritage de
Activez l'option Bloquer l'héritage de Payroll
stratégies
stratégies pour
pour l'unité
l'unité d'organisation
d'organisation
Payroll
Payroll
 Créez un objet GPO lié à l'unité
Créez un objet GPO lié à l'unité
d'organisation
d'organisation Personnel
Personnel pourpour installer
installer
l'application de comptabilité
l'application de comptabilité
 Modifiez la liste DACL de l'objet GPO lié à
Modifiez la liste DACL de l'objet GPO lié à
l'unité
l'unité d'organisation
d'organisation Payroll
Payroll dede façon
façon àà Training
refuser
refuser l'autorisation
l'autorisation Appliquer
Appliquer la la
stratégie de groupe aux comptes
stratégie de groupe aux comptes
d'ordinateur
d'ordinateur utilisés
utilisés par
par les
les
administrateurs
administrateurs de l'unité d'organisation
de l'unité d'organisation
Atelier J : Implémentation d'une stratégie de
groupe
Délégation du contrôle d'administration des
objets Stratégie de groupe
 Autorisez un utilisateur à gérer les liens des objets Stratégie de groupe
d'un site, d'un domaine ou d'une unité d'organisation en :
 Affectant à l'utilisateur des autorisations d'accès en lecture/écriture aux
attributs gPLink et gPOptions du site, du domaine ou de l'unité
d'organisation
 Utilisant l'Assistant Délégation de contrôle

 Autorisez un utilisateur ou un groupe à créer des objets Stratégie de

groupe en :
 Ajoutant l'utilisateur ou le groupe au groupe Propriétaires créateurs de la
stratégie de groupe
 Autorisez un utilisateur à modifier des objets Stratégie de
groupe en :
 Affectant à l'utilisateur des autorisations d'accès en lecture/écriture à
l'objet Stratégie de groupe
 Intégrant l'utilisateur aux groupes Administrateurs de domaine,
Administrateurs de l'entreprise ou Propriétaires créateurs
 Autorisant l'utilisateur à accéder à l'objet Stratégie de groupe à l'aide de
l'onglet Sécurité de la boîte de dialogue Propriétés de l'objet Stratégie
de groupe
Atelier K : Délégation du contrôle
d'administration d'une stratégie de groupe
 Surveillance et résolution des problèmes de
stratégie de groupe

 Surveillance des stratégies de groupe

 Outils de résolution des problèmes de stratégie de
groupe
 Résolution des problèmes de stratégie de groupe
Surveillance des stratégies de groupe

Vous pouvez surveiller les stratégie

de groupe en :
 Activant l'option Inscription dans le
journal de diagnostics
 Les stratégies de groupe génèrent alors
le détail des événements dans le journal
des événements
 Activant l'option Inscription commentée
 Effectue le suivi de toutes les
modifications et paramètres appliqués à
l'ordinateur local et aux utilisateurs qui
ouvrent une session sur l'ordinateur
 Implique l'ajout de la clé de Registre
correspondante
Outils de résolution des problèmes de
stratégie de groupe

 Microsoft Windows 2000 intègre des

outils pour la résolution des
problèmes de stratégie de groupe :
 Netdiag.exe
 Replmon.exe
 Outils du Kit de Ressources
Techniques Microsoft Windows 2000
Server pour la résolution des
problèmes de stratégie de groupe :
 Gpotool.exe
 Gpresult.exe
Résolution des problèmes de stratégie de
groupe

Impossible
Impossible d'accéder
d'accéder àà l'objet
l'objet Stratégie
Stratégie de
de groupe
groupe
Err eur ou
ou de
de l'ouvrir
l'ouvrir
Les
Les paramètres
paramètres de
de la
la stratégie
stratégie de
de groupe
groupe
Err eur ne
ne s'appliquent
s'appliquent pas
pas comme
comme prévu
prévu
Conseils pratiques

Limitez
Limitez l'utilisation
l'utilisation des
des options
options Bloquer
Bloquer l'héritage
l'héritage de
de
stratégies,
stratégies, Aucun
Aucun remplacement
remplacement et
et le
le filtrage
filtrage des
des objets
objets GPO
GPO

Limitez
Limitez le
le nombre
nombre d'objets
d'objets GPO
GPO pouvant
pouvant affecter
affecter un
un
utilisateur
utilisateur ou
ou un
un ordinateur
ordinateur donné
donné

Regroupez
Regroupez les
les paramètres
paramètres associés
associés dans
dans un
un seul
seul objet
objet GPO
GPO

Limitez
Limitez àà un
un ou
ou deux
deux le
le nombre
nombre d'administrateurs
d'administrateurs auxquels
auxquels
vous déléguez le contrôle d'un objet
vous déléguez le contrôle d'un objet GPOGPO

Évitez
Évitez de
de lier
lier un
un objet
objet GPO
GPO àà un
un site
site contenant
contenant plusieurs
plusieurs
domaines
domaines
Planifiez
Planifiez un
un modèle
modèle décrivant
décrivant la
la façon
façon dont
dont vous
vous souhaitez
souhaitez
implémenter
implémenter lala stratégie
stratégie de
de groupe
groupe